網(wǎng)絡(luò)服務(wù)器安全保密制度
為確保公司ERP軟件穩(wěn)定安全的運行,現(xiàn)根據(jù)公司的網(wǎng)絡(luò)運行環(huán)境及硬件設(shè)施特制定出如下安全保密措施及制度:
一���、服務(wù)器安全防護措施
1����、在兩臺ERP服務(wù)器上均安裝了正版的防病毒軟件����,對計算機病毒、有害電子郵件有整套的防范措施�,防止有害信息對服務(wù)器系統(tǒng)的干擾和破壞。
2����、做好生產(chǎn)日志的留存����。服務(wù)器具有保存60天以上的系統(tǒng)運行日志和用戶使用日志記錄功能�,內(nèi)容包括IP地址及使用情況等。
3�����、ERP系統(tǒng)軟件建立雙機熱備份機制��,一旦主服務(wù)器系統(tǒng)遇到故障或受到攻擊導致不能正常運行�����,保證備用服務(wù)器系統(tǒng)能及時替換主系統(tǒng)提供服務(wù)����。
4、關(guān)閉服務(wù)器系統(tǒng)中暫不使用的服務(wù)功能���,及相關(guān)端口���,并及時用補丁修復系統(tǒng)漏洞,設(shè)置定期病毒查殺�����。
5、服務(wù)器平時處于鎖定狀態(tài)�,并保管好登錄密碼�;遠程桌面連接設(shè)置超級用戶名及密碼,并綁定IP及MAC地址��,以防他人登入�。
6、服務(wù)器提供集中式權(quán)限管理���,針對不同的應(yīng)用系統(tǒng)����、終端�、操作人員,由服務(wù)器系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫信息的訪問權(quán)限�����,并設(shè)置相應(yīng)的密碼及口令�。不同的操作人員設(shè)定不同的用戶名,且定期更換��,嚴禁操作人員泄漏自己的口令。對操作人員的權(quán)限嚴格按照崗位職責設(shè)定����,并由服務(wù)器系統(tǒng)管理員定期檢查操作人員權(quán)限。
7��、公司機房按照電信機房標準建設(shè)�����,內(nèi)有必備的獨立UPS不間斷電源�、高靈敏度的煙霧探測系統(tǒng)和消防系統(tǒng),定期進行電力��、防火��、防潮���、防磁和防鼠檢查��。
二����、網(wǎng)絡(luò)與數(shù)據(jù)安全保障措施
1、服務(wù)器網(wǎng)絡(luò)安全保障措施:
(1)公司采用多層華為賽門鐵克USG5000企業(yè)級網(wǎng)絡(luò)硬件防火墻對公司的網(wǎng)絡(luò)及服務(wù)器進行全面的保護�。
(2)服務(wù)器安裝專業(yè)的安全軟件,提供基于網(wǎng)絡(luò)����、數(shù)據(jù)庫、客戶端�、應(yīng)用程序的入侵檢測服務(wù),在防火墻的基礎(chǔ)上又增加了幾道安全措施�����,確保服務(wù)器系統(tǒng)的高度安全����。
(3)定期對服務(wù)器系統(tǒng)進行安全漏洞掃描和分析��,排除安全隱患�����,做到安全防患于未然�����。
2����、軟件數(shù)據(jù)安全保障措施:
(1)數(shù)據(jù)安全關(guān)系到整個信息系統(tǒng)正常運轉(zhuǎn)�,影響到公司ERP軟件正常的運行秩序��,責任十分重大�,必須具有高度的責任感和一絲不茍萬無一失的嚴謹工作作風。
(2)ERP系統(tǒng)主服務(wù)器必須每天做一次數(shù)據(jù)全備份到ERP系統(tǒng)備用服務(wù)器(此備份為計劃備份����,系統(tǒng)自動執(zhí)行),時間為晚上20點整�。
(3)每兩周對備份數(shù)據(jù)進行一次校對試驗,以確保ERP備用服務(wù)器上的數(shù)據(jù)安全可靠�����。
(4)根據(jù)服務(wù)器數(shù)據(jù)增長量�,應(yīng)定期對過期數(shù)據(jù)進行處理,以保障系統(tǒng)運作效率���。
(5)對清除數(shù)據(jù)必須刻成光盤存檔����,保存期限至少三年,以供后期查詢所用���。
(6)根據(jù)軟件數(shù)據(jù)的保密制度和用途�����,確定ERP軟件使用人員的賬號權(quán)限�。 禁止泄露����、外借和轉(zhuǎn)移任何數(shù)據(jù)信息。
(7)制定ERP軟件工作流程的各級賬號審批權(quán)限��,未經(jīng)批準不得隨意更改業(yè)務(wù)數(shù)據(jù)�����。
(8)備份數(shù)據(jù)光盤保管地點應(yīng)有防火�����、防熱��、防潮�����、防塵�、防磁、防盜設(shè)施���。
(9)使用備份數(shù)據(jù)時由網(wǎng)絡(luò)中心經(jīng)理提出申請�����,經(jīng)運營中心副總裁審批后���,方可使用。
三���、服務(wù)器及軟件安全保密制度
1��、公司內(nèi)部員工不得對外泄露關(guān)于服務(wù)器的任何信息����;
2����、公司內(nèi)部員工不得利用服務(wù)器進行除ERP軟件運行所需以外的任何行為��;
3���、對公司相關(guān)管理人員設(shè)定服務(wù)器管理權(quán)限,不得越權(quán)管理服務(wù)器信息��;
4���、根據(jù)公司各部門各級工作人員設(shè)定相應(yīng)賬號權(quán)限��,使用人員嚴格保存自己使用賬號密碼�;
5��、ERP軟件使用人員不得惡意刪除任何軟件基本信息及他人錄入信息���;
6、一旦發(fā)生服務(wù)器信息安全事故�,應(yīng)立即報告公司領(lǐng)導人并及時進行事故處理;
7���、ERP軟件管理員對有毒有害的信息進行過濾����、用戶信息進行保密。
8���、服務(wù)器管理員定期或不定期檢查服務(wù)器信息內(nèi)容�����,實施有效監(jiān)控�,做好安全監(jiān)督工作��;
9����、系統(tǒng)管理員未經(jīng)許可不得隨意修改或刪除數(shù)據(jù)庫內(nèi)的任何數(shù)據(jù)信息,更不能對外提供���。
10����、除授權(quán)管理人員外��,未經(jīng)許可�����,任何人不能動用他人設(shè)備,不得通過網(wǎng)絡(luò)(局域網(wǎng)�����、VPN虛擬專網(wǎng)��、內(nèi)部網(wǎng)等)聯(lián)機調(diào)閱數(shù)據(jù)���。
11����、對服務(wù)器的管理人員���,以及領(lǐng)導明確各級人員的責任�����,管理服務(wù)器的正常運行��,嚴格抓管理工作���,實行誰管理誰負責�����。
12、強化信息安全保密管理����,加強安全保密意識教育。因人為原因造成信息數(shù)據(jù)泄密及安全事故���,追究當事人責任�����;觸犯法律的���,依法追究。
