【正文】 通過對防火墻、路由器等網(wǎng)絡設備的設置，限制訪問權(quán)限及控制數(shù)據(jù)傳輸路徑。 ? 備份數(shù)據(jù)保留時間 與財務報告相關(guān)的各種業(yè)務數(shù)據(jù)須保留七年。 備份對象發(fā)生變更后，需調(diào)整備份策略和備份操作手冊。本地和異地的備份介質(zhì)均須填寫 《 備份介質(zhì)登記表 》 。 信息部負責人須每半年指定專人對備份介質(zhì)在本地和異地的存放情況進行檢查，審閱 《 備份介質(zhì)登記表 》 ，對備份介質(zhì)進行盤點，確保備份介質(zhì)的完整性和標識的規(guī)范性，并做好記錄。 備份操作人員須每半年對備份進行恢復測試，確保備份恢復工作能夠順利進行。 公司信息部信息安全管理員建立突發(fā)病毒事件應急處理預案，及時響應用戶的病毒事件報告，協(xié)調(diào)有關(guān)方面制定處理方案并組織實施，同時跟蹤相關(guān)反饋信息和處理結(jié)果，按 《 信息安全監(jiān)控和安全事件報告管理制度 》 規(guī)定逐級上報有關(guān)部門。 計算機用戶在使用軟盤、光盤和 U盤等移動存儲介質(zhì)前，必須對該介質(zhì)進行殺毒處理。 公司信息部要配備后備防火墻管理人員，并收集后備防火墻管理人員的聯(lián)系方式，以確保緊急時刻能夠立即取得聯(lián)系。 公司信息部防火墻管理人員須及時了解防火墻的有關(guān)升級信息，防火墻的升級應嚴格按照 《 系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度 》進行。 ? 普通帳號管理 申請人使用統(tǒng)一而規(guī)范的 《 帳號 /權(quán)限申請表 》 提出用戶帳號創(chuàng)建、修改、刪除 /禁用等申請。 信息部每季度查看系統(tǒng)日志，監(jiān)督特權(quán)帳號和超級用戶帳號使用情況。 帳號管理人員負責臨時帳號的建立和記錄。 ? 用戶帳號及權(quán)限審閱 系統(tǒng)擁有部門指定專人負責每季度對系統(tǒng)應用層面帳號及權(quán)限進行審閱，并填寫 《 帳號 /權(quán)限清理清單 》 。嚴禁共享個人用戶帳號口令。 總部信息部信息安全管理員先在測試環(huán)境中對各種基準配置進行測試，以確保基準配置的有效性、安全性和可行性。 ? 基礎(chǔ)架構(gòu)的變更 信息部建立基礎(chǔ)架構(gòu)的相關(guān)文檔，包括網(wǎng)絡拓撲圖、設備分布圖、機架分布圖、跳線表、地址表等，當基礎(chǔ)架構(gòu)發(fā)生變更時及時更新此類文檔。 ? 一般性變更流程 需求部門提出系統(tǒng)變更需求，并將變更需求整理成 《 變更申請書 》 ，由部門負責人審批后提交給信息部。 信息部按照事先明確的緊急變更定義做出判斷，確定其優(yōu)先級和影響程度，并進行相應的處理。通過物理和邏輯隔離的手段，控制對運行環(huán)境的訪問。 。 應對下發(fā)的軟件進行版本控制，由專責人員負責發(fā)布軟件的版本管理。詳細流程參見 《 系統(tǒng)變更流程 》 。保留期限為三年。 在對系統(tǒng)或網(wǎng)絡設備配置變更時，配置變更必須遵照統(tǒng)一的變更申請流程。 ? 基準配置的制定與維護 在保證應用系統(tǒng)高效、安全運行的前提下，總部信息部建立操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備等基準配置，基準配置必須與公司整體安全要求一致。 用戶帳號口令最小長度為 6位，并具有一定復雜度。 緊急帳號使用完畢后，緊急帳號使用人員及時通知帳號管理人員禁用緊急帳號。 帳號申請人所屬部門負責人及系統(tǒng)擁有部門負責人根據(jù) 《 崗位權(quán)限對照表 》 對應用層面的臨時用戶帳號申請進行審批。超級用戶帳號指系統(tǒng)中最高權(quán)限帳號，如 root等管理員帳號。 用戶帳號申請、審批及設置由不同人員負責。 需要對防火墻的配置進行變更時，必須按照 《 系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度 》 中配置變更申請流程進行。 公司信息部指定專人負責防火墻的管理工作。 如果發(fā)生不明原因的系統(tǒng)工作異?；驁缶F(xiàn)象 , 計算機用戶應立即斷掉網(wǎng)絡連接，并及時通知公司信息部問題受理人員。 公司信息部防病毒管理人員須及時獲取防病毒產(chǎn)品補丁和最新病毒特征碼，并對防病毒服務器進行及時更新。 備份操作人員將備份恢復的審批文檔及備份恢復工作的系統(tǒng)日志保存歸檔。由介質(zhì)保管人員負責檢查，確認介質(zhì)完好。標識和目錄清單的命名規(guī)范參見 《 標識和目錄清單的命名規(guī)范 》 。 備份操作人員須檢查每次的備份工作是否成功，并填寫備份工作匯總記錄，對失敗的備份操作處理需進行記錄、匯報及跟進。 在數(shù)據(jù)傳輸和傳遞過程中，信息部應采取措施保護敏感數(shù)據(jù)，通過權(quán)限設置，防止對數(shù)據(jù)未經(jīng)授權(quán)的訪問、修改，以及通過數(shù)據(jù)加密，保證數(shù)據(jù)傳輸過程中不被非法獲取。 ? 數(shù)據(jù)傳輸管理 應對數(shù)據(jù)傳輸進行控制： 一、數(shù)據(jù)傳輸須有身份認證； 二、敏感數(shù)據(jù)傳輸需要保留相關(guān)記錄。 數(shù)據(jù)提取和發(fā)放須遵循統(tǒng)一的數(shù)據(jù)提取申請流程，參見《 數(shù)據(jù)提取流程 》 。數(shù)據(jù)修改包含數(shù)據(jù)內(nèi)容的修改以及數(shù)據(jù)庫結(jié)構(gòu)的變更。統(tǒng)一保管批處理操作手冊，同時按照 《 操作手冊建立 /變更記錄表 》 的要求進行記錄，操作人員自行保留相應的副本。批處理操作手冊應該包括批處理任務清單、批處理工作的實現(xiàn)方式、執(zhí)行批處理的權(quán)限設置、批處理任務的檢查等內(nèi)容。具體流程參見 《 例外操作處理流程 》 。 信息部每月根據(jù)相應的操作記錄檢查操作手冊的執(zhí)行情況，并進行記錄，檢查和審閱人員簽字存檔。 問題處理人員應在預期時間內(nèi)及時向問題受理專責人員報告處理情況，提交 《 問題處理記錄表 》 。對業(yè)務產(chǎn)生重大影響，需要短時間內(nèi)解決的問題稱為緊急問題，其余的稱為一般問題。具體問題處理流程參見 《 問題處理管理制度 》 。 信息安全管理員獲取并審閱所有與信息安全相關(guān)的內(nèi)部和外部審計報告，并根據(jù)報告結(jié)果改進信息安全管理工作。 加強對遠程訪問的控制，對遠程訪問進行適當授權(quán)，并定期對遠程訪問權(quán)限進行審核，確保遠程訪問權(quán)限被適當分配。 ? 信息安全工作內(nèi)容 公司必須建立和完善信息安全管理規(guī)章制度，規(guī)范和加強信息安全管理工作，所有員工都必須遵守與其相關(guān)的信息安全規(guī)章制度。 ? 例外情況處理 如因緊急或特殊情況，計算機用戶在工作中無法嚴格執(zhí)行本規(guī)范中第二節(jié)至第七節(jié)中規(guī)定的操作，必須向其部門負責人及信息部負責人進行書面申請，在得到相應的審批后方可進行相關(guān)操作。 使用公司電子郵件傳遞敏感數(shù)據(jù)時，必須對數(shù)據(jù)進行加密。GCC制度學習 張正坤 目 錄 計算機用戶安全管理制度（試行） 信息安全管理制度（試行） 信息系統(tǒng)監(jiān)控制度（試行） 問題處理管理制度（試行） 操作管理制度（試行） 數(shù)據(jù)管理制度（試行） 備份管理制度（試行） 防病毒管理制度（試行） 防火墻管理制度（試行） 信息系統(tǒng)帳號管理制度（試行） 系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度（試行） 軟件變更管理制度（試行） 計 算機用戶安全管理制度 （試行） ? 互聯(lián)網(wǎng)的使用 禁止瀏覽與工作內(nèi)容無關(guān)的網(wǎng)頁。 禁止使用公司提供的電子郵件帳號在互聯(lián)網(wǎng)上進行注冊。 關(guān)于詳細的用戶密碼規(guī)范，請詳見 《 信息系統(tǒng)帳號管理制度 》 及 《 中國鋁業(yè)股份有限公司 SAP系統(tǒng)