【正文】 間。 信息安全工作小組以及信息安全管理員定期在公司范圍內(nèi)組織信息安全檢查，確保所有業(yè)務(wù)活動符合公司規(guī)定的信息安全制度、標(biāo)準(zhǔn)及其相關(guān)規(guī)定。 定期對關(guān)鍵系統(tǒng)進行漏洞掃描，確保系統(tǒng)的安全性。 加強防病毒管理，制定并及時更新公司防病毒管理制度，部署、監(jiān)管和指導(dǎo)公司的防病毒工作，研究并制定應(yīng)急方案，應(yīng)對計算機病毒爆發(fā)事件。 信息安全管理有關(guān)計劃在正式實施前，須經(jīng)信息安全工作小組和監(jiān)管部門（如內(nèi)審部 )的批準(zhǔn)，并向相關(guān)員工傳達，明確相關(guān)人員應(yīng)承擔(dān)的義務(wù)和責(zé)任。 ? 信息安全工作小組在信息安全工作方面的主要職責(zé)(略 ) ? 分子公司信息安全管理員的主要職責(zé) 落實上級部門各項制度和要求，負(fù)責(zé)分子公司信息安全管理的日常工作； 分析信息安全現(xiàn)狀和問題，提出安全分析報告和安全防范建議，上報信息安全事件并提出初步處理意見。 公司信息部有對計算機用戶使用的所有公司配備的設(shè)備和系統(tǒng)進行監(jiān)控及抽查的權(quán)利，每季度抽查的比例不低于總量的 5%。 關(guān)于詳細的用戶密碼規(guī)范，請詳見 《 信息系統(tǒng)帳號管理制度 》 及 《 中國鋁業(yè)股份有限公司 SAP系統(tǒng)運行維護操作規(guī)程（試行） 》 。 ? 遠程登陸 禁止用戶安裝用于遠程登陸的軟件，并對公司網(wǎng)絡(luò)進行遠程登入訪問。 禁止使用公司提供的電子郵件帳號在互聯(lián)網(wǎng)上進行注冊。 ? 電子郵件的使用 公司的電子郵件系統(tǒng)僅用于收發(fā)與工作內(nèi)容相關(guān)的電子郵件。GCC制度學(xué)習(xí) 張正坤 目 錄 計算機用戶安全管理制度（試行） 信息安全管理制度（試行） 信息系統(tǒng)監(jiān)控制度（試行） 問題處理管理制度（試行） 操作管理制度（試行） 數(shù)據(jù)管理制度（試行） 備份管理制度（試行） 防病毒管理制度（試行） 防火墻管理制度（試行） 信息系統(tǒng)帳號管理制度（試行） 系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度（試行） 軟件變更管理制度（試行） 計 算機用戶安全管理制度 （試行） ? 互聯(lián)網(wǎng)的使用 禁止瀏覽與工作內(nèi)容無關(guān)的網(wǎng)頁。 禁止使用第三方提供的網(wǎng)上電子郵件系統(tǒng)。 使用公司電子郵件傳遞敏感數(shù)據(jù)時，必須對數(shù)據(jù)進行加密。利用公司許可的遠程登陸軟件，在信息部門規(guī)定時間內(nèi)，用戶可以遠程登陸，如果超過規(guī)定的時間期限，則禁止用戶遠程登陸。 ? 例外情況處理 如因緊急或特殊情況，計算機用戶在工作中無法嚴(yán)格執(zhí)行本規(guī)范中第二節(jié)至第七節(jié)中規(guī)定的操作，必須向其部門負(fù)責(zé)人及信息部負(fù)責(zé)人進行書面申請，在得到相應(yīng)的審批后方可進行相關(guān)操作。 信息安全管理制度（試行） ? 公司的信息安全目標(biāo) 保障信息系統(tǒng)安全穩(wěn)定運行，保證業(yè)務(wù)連續(xù)性； 保護公司的商業(yè)機密和技術(shù)機密，維護公司利益。 ? 信息安全工作內(nèi)容 公司必須建立和完善信息安全管理規(guī)章制度，規(guī)范和加強信息安全管理工作，所有員工都必須遵守與其相關(guān)的信息安全規(guī)章制度。 加強內(nèi)部人員安全管理，依據(jù)最小特權(quán)原則清晰劃分崗位，實現(xiàn)適當(dāng)?shù)穆氊?zé)分離，重要崗位要有人員備份。 加強對遠程訪問的控制，對遠程訪問進行適當(dāng)授權(quán)，并定期對遠程訪問權(quán)限進行審核，確保遠程訪問權(quán)限被適當(dāng)分配。 監(jiān)控并記錄系統(tǒng)設(shè)備的運行情況，定期審閱關(guān)鍵系統(tǒng)設(shè)備的日志，定期提交系統(tǒng)運行報告給信息部負(fù)責(zé)人進行審閱。 信息安全管理員獲取并審閱所有與信息安全相關(guān)的內(nèi)部和外部審計報告，并根據(jù)報告結(jié)果改進信息安全管理工作。 各種批處理工作日志都應(yīng)啟動，用以記錄操作過程和結(jié)果。具體問題處理流程參見 《 問題處理管理制度 》 。具體問題處理流程參見 《 問題處理管理制度 》 。對業(yè)務(wù)產(chǎn)生重大影響，需要短時間內(nèi)解決的問題稱為緊急問題，其余的稱為一般問題。具體流程參見 《 問題處理流程 》 。 問題處理人員應(yīng)在預(yù)期時間內(nèi)及時向問題受理專責(zé)人員報告處理情況，提交 《 問題處理記錄表 》 。 操作管理制度（試行） ? 日常操作管理 信息部人員參考有關(guān)文檔（軟件開發(fā)商或硬件制造商提供的技術(shù)文檔等），統(tǒng)籌考慮所有例行的重要操作（包括系統(tǒng)監(jiān)控、備份、常規(guī)預(yù)防性維護等）填寫 《 操作手冊建立 /變更申請表 》 ，按照 《 操作手冊建立 /變更流程 》 規(guī)定制定相應(yīng)的操作手冊。 信息部每月根據(jù)相應(yīng)的操作記錄檢查操作手冊的執(zhí)行情況，并進行記錄，檢查和審閱人員簽字存檔。 變更后的操作手冊，必須經(jīng)過信息部負(fù)責(zé)人批準(zhǔn)后才能實施。具體流程參見 《 例外操作處理流程 》 。 具體流程參見 《 信息安全監(jiān)控與安全事件報告管理制度 》 、《 信息系統(tǒng)監(jiān)控制度 》 、 《 SAP系統(tǒng)監(jiān)控制度 》 。批處理操作手冊應(yīng)該包括批處理任務(wù)清單、批處理工作的實現(xiàn)方式、執(zhí)行批處理的權(quán)限設(shè)置、批處理任務(wù)的檢查等內(nèi)容。具體變更流程參見 《 操作手冊建立 /變更流程 》 。統(tǒng)一保管批處理操作手冊，同時按照 《 操作手冊建立 /變更記錄表 》 的要求進行記錄，操作人員自行保留相應(yīng)的副本。 關(guān)于數(shù)據(jù)備份的管理，參見 《 備份管理制度 》 中的相關(guān)內(nèi)容。數(shù)據(jù)修改包含數(shù)據(jù)內(nèi)容的修改以及數(shù)據(jù)庫結(jié)構(gòu)的變更。數(shù)據(jù)導(dǎo)入 /修改操作只能由指定的信息部人員執(zhí)行，導(dǎo)入 /修改權(quán)限須按照規(guī)范通過系統(tǒng)設(shè)定分配給指定人員。 數(shù)據(jù)提取和發(fā)放須遵循統(tǒng)一的數(shù)據(jù)提取申請流程，參見《 數(shù)據(jù)提取流程 》 。 數(shù)據(jù)庫中的數(shù)據(jù)操作日志、 《 數(shù)據(jù)導(dǎo)入 /修改 /提取申請表 》和 《 數(shù)據(jù)導(dǎo)入 /修改 /提取匯總表 》 須保留三年。 ? 數(shù)據(jù)傳輸管理 應(yīng)對數(shù)據(jù)傳輸進行控制： 一、數(shù)據(jù)傳輸須有身份認(rèn)證； 二、敏感數(shù)據(jù)傳輸需要保留相關(guān)記錄。具體內(nèi)容參見 《 系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度 》 。 在數(shù)據(jù)傳輸和傳遞過程中，信息部應(yīng)采取措施保護敏感數(shù)據(jù)，通過權(quán)限設(shè)置，防止對數(shù)據(jù)未經(jīng)授權(quán)的訪問、修改，以及通過數(shù)據(jù)加密，保證數(shù)據(jù)傳輸過程中不被非法獲取。 ? 備份恢復(fù)測試 備份介質(zhì)中的數(shù)據(jù)須每半年進行恢復(fù)測試，以確保備份的有效性和備份恢復(fù)的可行性。 備份操作人員須檢查每次的備份工作是否成功，并填寫備份工作匯總記錄，對失敗的備份操作處理需進行記錄、匯報及跟進。具體流程參見 《 備份申請流程 》 。標(biāo)識和目錄清單的命名規(guī)范參見 《 標(biāo)識和目錄清單的命名規(guī)范 》 。存儲介質(zhì)庫（柜）必須由介質(zhì)保管人員存取，其他人員未經(jīng)批準(zhǔn)不準(zhǔn)操作。由介質(zhì)保管人員負(fù)責(zé)檢查，確認(rèn)介質(zhì)完好。計劃中，應(yīng)對于數(shù)據(jù)重要程度進行分類以保證能夠按照優(yōu)先級進行數(shù)據(jù)恢復(fù)。 備份操作人員將備份恢復(fù)的審批文檔及備份恢復(fù)工作的系統(tǒng)日志保存歸檔。 防病毒管理制度（試行） ? 防病毒管理 總部信息部負(fù)責(zé)病毒防治體系的統(tǒng)一構(gòu)建和部署，公司信息部指定專人負(fù)責(zé)計算機病毒防治工作。 公司信息部防病毒管理人員須及時獲取防病毒產(chǎn)品補丁和最新病毒特