【正文】 間。 信息安全工作小組以及信息安全管理員定期在公司范圍內(nèi)組織信息安全檢查，確保所有業(yè)務活動符合公司規(guī)定的信息安全制度、標準及其相關規(guī)定。 定期對關鍵系統(tǒng)進行漏洞掃描，確保系統(tǒng)的安全性。 加強防病毒管理，制定并及時更新公司防病毒管理制度，部署、監(jiān)管和指導公司的防病毒工作，研究并制定應急方案，應對計算機病毒爆發(fā)事件。 信息安全管理有關計劃在正式實施前，須經(jīng)信息安全工作小組和監(jiān)管部門（如內(nèi)審部 )的批準，并向相關員工傳達，明確相關人員應承擔的義務和責任。 ? 信息安全工作小組在信息安全工作方面的主要職責(略 ) ? 分子公司信息安全管理員的主要職責 落實上級部門各項制度和要求，負責分子公司信息安全管理的日常工作； 分析信息安全現(xiàn)狀和問題，提出安全分析報告和安全防范建議，上報信息安全事件并提出初步處理意見。 公司信息部有對計算機用戶使用的所有公司配備的設備和系統(tǒng)進行監(jiān)控及抽查的權利，每季度抽查的比例不低于總量的 5%。 關于詳細的用戶密碼規(guī)范，請詳見 《 信息系統(tǒng)帳號管理制度 》 及 《 中國鋁業(yè)股份有限公司 SAP系統(tǒng)運行維護操作規(guī)程（試行） 》 。 ? 遠程登陸 禁止用戶安裝用于遠程登陸的軟件，并對公司網(wǎng)絡進行遠程登入訪問。 禁止使用公司提供的電子郵件帳號在互聯(lián)網(wǎng)上進行注冊。 ? 電子郵件的使用 公司的電子郵件系統(tǒng)僅用于收發(fā)與工作內(nèi)容相關的電子郵件。GCC制度學習 張正坤 目 錄 計算機用戶安全管理制度（試行） 信息安全管理制度（試行） 信息系統(tǒng)監(jiān)控制度（試行） 問題處理管理制度（試行） 操作管理制度（試行） 數(shù)據(jù)管理制度（試行） 備份管理制度（試行） 防病毒管理制度（試行） 防火墻管理制度（試行） 信息系統(tǒng)帳號管理制度（試行） 系統(tǒng)配置與基礎架構管理制度（試行） 軟件變更管理制度（試行） 計 算機用戶安全管理制度 （試行） ? 互聯(lián)網(wǎng)的使用 禁止瀏覽與工作內(nèi)容無關的網(wǎng)頁。 禁止使用第三方提供的網(wǎng)上電子郵件系統(tǒng)。 使用公司電子郵件傳遞敏感數(shù)據(jù)時，必須對數(shù)據(jù)進行加密。利用公司許可的遠程登陸軟件，在信息部門規(guī)定時間內(nèi)，用戶可以遠程登陸，如果超過規(guī)定的時間期限，則禁止用戶遠程登陸。 ? 例外情況處理 如因緊急或特殊情況，計算機用戶在工作中無法嚴格執(zhí)行本規(guī)范中第二節(jié)至第七節(jié)中規(guī)定的操作，必須向其部門負責人及信息部負責人進行書面申請，在得到相應的審批后方可進行相關操作。 信息安全管理制度（試行） ? 公司的信息安全目標 保障信息系統(tǒng)安全穩(wěn)定運行，保證業(yè)務連續(xù)性； 保護公司的商業(yè)機密和技術機密，維護公司利益。 ? 信息安全工作內(nèi)容 公司必須建立和完善信息安全管理規(guī)章制度，規(guī)范和加強信息安全管理工作，所有員工都必須遵守與其相關的信息安全規(guī)章制度。 加強內(nèi)部人員安全管理，依據(jù)最小特權原則清晰劃分崗位，實現(xiàn)適當?shù)穆氊煼蛛x，重要崗位要有人員備份。 加強對遠程訪問的控制，對遠程訪問進行適當授權，并定期對遠程訪問權限進行審核，確保遠程訪問權限被適當分配。 監(jiān)控并記錄系統(tǒng)設備的運行情況，定期審閱關鍵系統(tǒng)設備的日志，定期提交系統(tǒng)運行報告給信息部負責人進行審閱。 信息安全管理員獲取并審閱所有與信息安全相關的內(nèi)部和外部審計報告，并根據(jù)報告結果改進信息安全管理工作。 各種批處理工作日志都應啟動，用以記錄操作過程和結果。具體問題處理流程參見 《 問題處理管理制度 》 。具體問題處理流程參見 《 問題處理管理制度 》 。對業(yè)務產(chǎn)生重大影響，需要短時間內(nèi)解決的問題稱為緊急問題，其余的稱為一般問題。具體流程參見 《 問題處理流程 》 。 問題處理人員應在預期時間內(nèi)及時向問題受理專責人員報告處理情況，提交 《 問題處理記錄表 》 。 操作管理制度（試行） ? 日常操作管理 信息部人員參考有關文檔（軟件開發(fā)商或硬件制造商提供的技術文檔等），統(tǒng)籌考慮所有例行的重要操作（包括系統(tǒng)監(jiān)控、備份、常規(guī)預防性維護等）填寫 《 操作手冊建立 /變更申請表 》 ，按照 《 操作手冊建立 /變更流程 》 規(guī)定制定相應的操作手冊。 信息部每月根據(jù)相應的操作記錄檢查操作手冊的執(zhí)行情況，并進行記錄，檢查和審閱人員簽字存檔。 變更后的操作手冊，必須經(jīng)過信息部負責人批準后才能實施。具體流程參見 《 例外操作處理流程 》 。 具體流程參見 《 信息安全監(jiān)控與安全事件報告管理制度 》 、《 信息系統(tǒng)監(jiān)控制度 》 、 《 SAP系統(tǒng)監(jiān)控制度 》 。批處理操作手冊應該包括批處理任務清單、批處理工作的實現(xiàn)方式、執(zhí)行批處理的權限設置、批處理任務的檢查等內(nèi)容。具體變更流程參見 《 操作手冊建立 /變更流程 》 。統(tǒng)一保管批處理操作手冊，同時按照 《 操作手冊建立 /變更記錄表 》 的要求進行記錄，操作人員自行保留相應的副本。 關于數(shù)據(jù)備份的管理，參見 《 備份管理制度 》 中的相關內(nèi)容。數(shù)據(jù)修改包含數(shù)據(jù)內(nèi)容的修改以及數(shù)據(jù)庫結構的變更。數(shù)據(jù)導入 /修改操作只能由指定的信息部人員執(zhí)行，導入 /修改權限須按照規(guī)范通過系統(tǒng)設定分配給指定人員。 數(shù)據(jù)提取和發(fā)放須遵循統(tǒng)一的數(shù)據(jù)提取申請流程，參見《 數(shù)據(jù)提取流程 》 。 數(shù)據(jù)庫中的數(shù)據(jù)操作日志、 《 數(shù)據(jù)導入 /修改 /提取申請表 》和 《 數(shù)據(jù)導入 /修改 /提取匯總表 》 須保留三年。 ? 數(shù)據(jù)傳輸管理 應對數(shù)據(jù)傳輸進行控制： 一、數(shù)據(jù)傳輸須有身份認證； 二、敏感數(shù)據(jù)傳輸需要保留相關記錄。具體內(nèi)容參見 《 系統(tǒng)配置與基礎架構管理制度 》 。 在數(shù)據(jù)傳輸和傳遞過程中，信息部應采取措施保護敏感數(shù)據(jù)，通過權限設置，防止對數(shù)據(jù)未經(jīng)授權的訪問、修改，以及通過數(shù)據(jù)加密，保證數(shù)據(jù)傳輸過程中不被非法獲取。 ? 備份恢復測試 備份介質(zhì)中的數(shù)據(jù)須每半年進行恢復測試，以確保備份的有效性和備份恢復的可行性。 備份操作人員須檢查每次的備份工作是否成功，并填寫備份工作匯總記錄，對失敗的備份操作處理需進行記錄、匯報及跟進。具體流程參見 《 備份申請流程 》 。標識和目錄清單的命名規(guī)范參見 《 標識和目錄清單的命名規(guī)范 》 。存儲介質(zhì)庫（柜）必須由介質(zhì)保管人員存取，其他人員未經(jīng)批準不準操作。由介質(zhì)保管人員負責檢查，確認介質(zhì)完好。計劃中，應對于數(shù)據(jù)重要程度進行分類以保證能夠按照優(yōu)先級進行數(shù)據(jù)恢復。 備份操作人員將備份恢復的審批文檔及備份恢復工作的系統(tǒng)日志保存歸檔。 防病毒管理制度（試行） ? 防病毒管理 總部信息部負責病毒防治體系的統(tǒng)一構建和部署，公司信息部指定專人負責計算機病毒防治工作。 公司信息部防病毒管理人員須及時獲取防病毒產(chǎn)品補丁和最新病毒特