??????? 1)電腦密碼管理:每個(gè)員工擁有一個(gè)公司內(nèi)部計(jì)算機(jī)登錄帳戶。新員工申請(qǐng)帳戶時(shí)需要向網(wǎng)絡(luò)管理員提供姓名、部門、職位等信息,網(wǎng)絡(luò)管理員將在一天內(nèi)將賬戶信息通知其本人。公司所有用戶在分配到工作電腦時(shí),應(yīng)首先更改自己的電腦登錄密碼,并將個(gè)人登錄密碼在信息管理部登記,若更改密碼后,未進(jìn)行登記,一經(jīng)信管部發(fā)現(xiàn),將對(duì)該用戶進(jìn)行口頭警告。同時(shí),因沒有及時(shí)向信管部備案造成的電腦故障問題或文件丟失等問題,信管部不承擔(dān)責(zé)任。
??????? 2)應(yīng)用系統(tǒng)密碼管理:所有ERP用戶及OA用戶都將分配到一個(gè)帳號(hào)密碼,帳號(hào)是不變的,用戶可以更改自己的系統(tǒng)密碼,密碼盡可能設(shè)置為高安全性的復(fù)雜密碼,嚴(yán)禁用戶將密碼設(shè)置為如123456等傻瓜式密碼,若密碼設(shè)置過于簡單,被其他用戶非法登陸后,在ERP中將會(huì)非法編制篡改單據(jù),在OA中非法冒用流程管理權(quán)限,若產(chǎn)生此情況,將會(huì)導(dǎo)致嚴(yán)重的后果;嚴(yán)禁將ERP帳號(hào)或OA帳號(hào)密碼透露給他人,讓他人代己做ERP單據(jù)或辦理OA流程;員工調(diào)離崗位或離職,所在部門負(fù)責(zé)人應(yīng)及時(shí)通知信管部注銷該員工的應(yīng)用系統(tǒng)帳戶。若因以上原因造成的信息安全后果將由本人承擔(dān)。
??????? 3)采用用戶身份認(rèn)證系統(tǒng):目前我公司登陸服務(wù)器采取的是靜態(tài)密碼認(rèn)證,這種密碼保護(hù)技術(shù)是最低層次的。在企業(yè)內(nèi),容易被其他部門人員注意到服務(wù)器登陸密碼,從而可能會(huì)被動(dòng)機(jī)不良的員工登陸到服務(wù)器,破壞服務(wù)器數(shù)據(jù);在企業(yè)外,容易遭到黑客字典掃描破解密碼,從而攻擊各應(yīng)用服務(wù)器,破壞或盜取商業(yè)數(shù)據(jù)等。因此,我部門在未來的發(fā)展規(guī)劃中,要將用戶身份認(rèn)證當(dāng)作安全的一個(gè)重大隱患,想辦法解決這個(gè)問題。
??????? 這里,我們可以采取動(dòng)態(tài)口令牌或USB KEY認(rèn)證技術(shù),并選擇其中一種技術(shù)與公司現(xiàn)有的靜態(tài)密碼技術(shù)相結(jié)合,動(dòng)態(tài)口令牌隨機(jī)生成動(dòng)態(tài)密碼,并于60秒內(nèi)自動(dòng)刷新密碼,無法采用數(shù)據(jù)字典掃描破解密碼,讓黑客攻擊行為束手無策;而USB KEY采用USB密鑰,存儲(chǔ)特定的加密算法,只有將USB鑰匙接上電腦,與電腦中存儲(chǔ)的認(rèn)證軟件驗(yàn)證通過后,才能進(jìn)入。我們通過(動(dòng)態(tài)+靜態(tài))混合身份認(rèn)證,或(硬件+軟件)混合身份認(rèn)證,保證服務(wù)器的登陸基于網(wǎng)內(nèi)的行為、網(wǎng)外的行為都是安全的。
??????? 4..殺毒軟件安全管理。
??????? 用戶使用的殺毒軟件和防火墻已經(jīng)設(shè)置好自動(dòng)調(diào)度更新和病毒庫升級(jí),每日定時(shí)殺毒,使用者也應(yīng)經(jīng)常手動(dòng)掃描殺毒。
??????? 5.各類軟件安全管理。
??????? 軟件原始盤片應(yīng)交綜合部保管,軟、硬件設(shè)備的原始資料(軟盤、光盤、說明書及保修卡、許可證協(xié)議等)交綜合部保管。保管應(yīng)做到防水、防磁、防火、防盜。使用者必需的操作守冊(cè)由使用者長借、保管。
??????? 6.郵件安全管理。
??????? 所有因公對(duì)外聯(lián)系的電子郵件一律通過公司郵箱info@zxtr.com或tech@th-ee.com 或info@th-ee.com <mailto:或info@th-ee.com>在指定的電腦上進(jìn)行收發(fā)。(參考郵箱管理制度)
??????? 綜上所述,使用者應(yīng)該具有一定的安全防范意識(shí),具體應(yīng)做到:
??????? 日常工作信息安全:
??????? 1)員工應(yīng)對(duì)在自己公司電腦內(nèi)公司機(jī)密信息的安全負(fù)責(zé),當(dāng)需暫時(shí)離開座位時(shí)必須立即啟動(dòng)屏幕保護(hù)程序并帶有密碼。
??????? 2.)員工有責(zé)任正確地保護(hù)分配給本人的所有計(jì)算機(jī)帳戶。
??????? 3.)各部門經(jīng)理及人事部應(yīng)及時(shí)向信息管理部提供本部門及公司員工的人事及職位變動(dòng)信息。
??????? 4)每臺(tái)公司電腦內(nèi)必須安裝反病毒軟件并啟動(dòng)實(shí)時(shí)掃描程序。信息管理部可以提供最新殺毒軟件。
??????? 5)不得安裝有可能危及公司計(jì)算機(jī)網(wǎng)絡(luò)的任何軟件,若實(shí)在有需要進(jìn)行軟件測試的必須將計(jì)算機(jī)脫離公司計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行單機(jī)操作。
??????? 6)任何對(duì)公司內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)的黑客行為是絕對(duì)禁止的,一經(jīng)查實(shí)將按公司有關(guān)規(guī)定嚴(yán)肅處理。
??????? 假期時(shí)間辦公室的安全: 確保工作電腦的安全,在你離開之前的一周內(nèi)備份你的文件。在你即將離開之際確保你的電腦關(guān)機(jī)并設(shè)有開機(jī)密碼,其它信息管理部設(shè)備的電源也必須切斷。
??????? 確保數(shù)據(jù)的安全:確保你的軟盤,備份數(shù)據(jù)源和所有機(jī)密文件被妥善鎖好。公司高度秘密和秘密信息在不用時(shí)必須總是被保存在設(shè)有密碼鎖或鑰匙的柜中。公司的機(jī)密信息必須存放在鎖上的辦公桌或文件柜中。
??????? 當(dāng)你在外的時(shí)候:不要在任何地方談?wù)摴镜臋C(jī)密信息。公司的競爭對(duì)手成員也可能在休假,而且總在探聽我們公司的消息。任何小小的信息都可能是他們所需要的。
??????? 當(dāng)你回來的時(shí)候:如果你發(fā)現(xiàn)在安全方面有任何可疑之處都要向公司有關(guān)方面進(jìn)行匯報(bào)。報(bào)告任何意外對(duì)于正確調(diào)查和阻止任何更進(jìn)一步錯(cuò)誤的行為是很重要的。
??????? 常規(guī)注意事項(xiàng)
??????? 1)任何外來盤片(包括CD、VCD碟片及軟盤),只有經(jīng)過系統(tǒng)管理員確認(rèn)不帶病毒后,才可在公司計(jì)算機(jī)上使用.否則造成病毒感染或其他破壞的,公司將對(duì)其責(zé)任人進(jìn)行罰款處理,每次金額50元~500元。
??????? 2)個(gè)人未經(jīng)公司領(lǐng)導(dǎo)允許不得擅自將公司保密的商務(wù)資料、技術(shù)文件輸出,若需輸出必須履行審批手續(xù)。申請(qǐng)人填寫申請(qǐng)單,寫明輸出資料內(nèi)容、份數(shù)、路徑、用途、申請(qǐng)日期、申請(qǐng)人等項(xiàng)目,經(jīng)部門領(lǐng)導(dǎo)和公司領(lǐng)導(dǎo)共同簽字審批后,交由專人上機(jī)操作。
??????? 3)未經(jīng)系統(tǒng)管理員許可,不得從因特網(wǎng)上下載任何軟件安裝,系統(tǒng)管理員將不定期檢查,發(fā)現(xiàn)有違反本條規(guī)定的,將給予50元~500元的罰款。
??????? 4)嚴(yán)禁在工作時(shí)間利用計(jì)算機(jī)網(wǎng)絡(luò)從事與本職工作無關(guān)的活動(dòng),發(fā)現(xiàn)有違反本條規(guī)定的,將給予50元~200元的罰款。
??????? 三、細(xì)則:從各部門級(jí)出發(fā),針對(duì)這些信息隱患制訂安全防范措施。
??????? 1.采購部的安全處理措施如下:
??????? 1)采購招標(biāo)的安全管理。
??????? 由采購部門編寫招標(biāo)計(jì)劃,經(jīng)部門負(fù)責(zé)人簽字后,上報(bào)總經(jīng)理審批,總經(jīng)理根據(jù)生產(chǎn)過程的物料需求及原有的物料采購價(jià)格決定是否需要尋找新的貨源,若審批同意后,采購部才可以開展招標(biāo)工作。采購部門制定招標(biāo)邀請(qǐng)書,邀請(qǐng)眾多有法人資格、供貨條件的單位參與我公司的招標(biāo)活動(dòng)。在發(fā)標(biāo)書的過程中。采購部應(yīng)遵守下列原則:①招標(biāo)的公開性:對(duì)于采購的招標(biāo)信息應(yīng)該公開;評(píng)標(biāo)的標(biāo)準(zhǔn)和程序應(yīng)該公開;中標(biāo)的結(jié)果應(yīng)該公開。②招標(biāo)的公平與公正:對(duì)待各方投標(biāo)者一視同仁,不得對(duì)任何投標(biāo)方帶有主觀意見。③招標(biāo)的保密性:采購部人員嚴(yán)禁以任何形式向投標(biāo)方透露招標(biāo)的意向。評(píng)標(biāo)完成后提交評(píng)標(biāo)報(bào)告給總經(jīng)理,最后由總經(jīng)理中標(biāo)、授標(biāo)。
??????? 2)采購價(jià)格及供應(yīng)商的信息安全保密。
??????? 采購信息的保密要求采購部所有人員不得以任何形式向其他部門或外部人員透露物料采購的價(jià)格,嚴(yán)禁向他人透露各種物料的供貨來源。采購部門人員要隨時(shí)檢查個(gè)人辦公區(qū)域的文件資料是否存放好,防止因打印的采購價(jià)格表和供應(yīng)商聯(lián)絡(luò)單沒有存放好,導(dǎo)致采購信息資料外泄。要求部門人員要嚴(yán)格保管好工作紙質(zhì)文件,同時(shí)一定要在電腦中設(shè)置帶密碼的屏幕保護(hù)確保價(jià)格信息與供應(yīng)商資料的電子信息安全。
??????? 2.客服部有如下工作存在安全隱患:
??????? 1)及時(shí)向甲方傳遞發(fā)貨信息與到貨信息。
??????? 2)甲方基地發(fā)貨及庫存統(tǒng)計(jì):記錄甲方發(fā)往各風(fēng)場的數(shù)據(jù),盤點(diǎn)甲方各基地庫存數(shù);
??????? 3)總經(jīng)辦工作安排。
??????? 以上存在的安全隱患及處理措施如下:
??????? A)發(fā)貨、到貨、現(xiàn)場庫存信息安全。
??????? 客服部人員在統(tǒng)計(jì)往風(fēng)場發(fā)貨及現(xiàn)場庫存的時(shí)候,可能會(huì)因?yàn)榭头勘P點(diǎn)疏忽,最終統(tǒng)計(jì)的庫存結(jié)果不準(zhǔn)確。這會(huì)造成公司的發(fā)貨信息與現(xiàn)場到貨數(shù)量不一致,從而得迅速查找整個(gè)發(fā)貨到貨流程的出錯(cuò)環(huán)節(jié);甚至?xí)驗(yàn)閹齑娼y(tǒng)計(jì)的不準(zhǔn)確,延遲發(fā)貨到貨時(shí)間,導(dǎo)致現(xiàn)場庫不能及時(shí)向風(fēng)場發(fā)貨,從而影響客戶的業(yè)務(wù)??头楷F(xiàn)場人員必須每日在OA中編寫日記,以便部門領(lǐng)導(dǎo)能隨時(shí)掌握此現(xiàn)場人員的工作動(dòng)態(tài),現(xiàn)場人員要認(rèn)真盤點(diǎn)到貨數(shù)量及現(xiàn)場庫存信息,在現(xiàn)場與甲方進(jìn)行每月、每季、每年度的數(shù)據(jù)核對(duì),確保到貨數(shù)量與發(fā)貨數(shù)量一致,并隨時(shí)向部門負(fù)責(zé)人匯報(bào)。
??????? B)總經(jīng)辦的日程安排管理。
??????? 在實(shí)際的工作中,總經(jīng)理因工作繁忙暫時(shí)不在公司,一些待辦理的工作無法通過審核??头控?fù)責(zé)人要了解總經(jīng)辦的行程,并確保行程不被泄露,保證總經(jīng)理的其他事務(wù)不會(huì)受到打擾,在總經(jīng)理方便時(shí),提醒總經(jīng)理處理一些比較緊急的待辦文件;若總經(jīng)理不在公司,以先短信后電話的形式給總經(jīng)理匯報(bào)待辦理的文件類型,在總經(jīng)理辦理完成后,及時(shí)將文件下發(fā)給相應(yīng)部門。
??????? 3.項(xiàng)目部的安全處理措施如下:
??????? 1)圖紙的安全管理。
??????? 項(xiàng)目部的圖紙只允許在部門內(nèi)部傳閱。在進(jìn)行項(xiàng)目生產(chǎn)時(shí),工藝員申請(qǐng)借閱項(xiàng)目圖紙,經(jīng)簽字確認(rèn)后,檔案專員將圖紙副本發(fā)放給工藝員,工藝員負(fù)責(zé)監(jiān)督技術(shù)人員和操作人員嚴(yán)格按照?qǐng)D紙進(jìn)行生產(chǎn),確保生產(chǎn)過程符合ISO9000體系要求。生產(chǎn)完成后,工藝員將圖紙返還給檔案專員,圖紙副本重新歸檔。在借閱過程中,嚴(yán)禁借用人將圖紙傳閱給其他人員,一經(jīng)發(fā)現(xiàn),必將嚴(yán)肅處理。