【正文】 重要的業(yè)務(wù)數(shù)據(jù)要保證物理上的安全，存放數(shù)據(jù)的介質(zhì)必須放在安全的地方，非授權(quán)人員不得訪問。所有變更方案經(jīng)測(cè)試通過后，交信息部負(fù)責(zé)人審批。 信息部安排專人檢查操作手冊(cè)、 《 例外操作申請(qǐng)表 》 、《 例外操作處理記錄表 》 和操作日志（或記錄），加強(qiáng)對(duì)例外操作的監(jiān)督，確保所有例外操作嚴(yán)格按照 《 例外操作處理流程 》執(zhí)行。具體流程參見 《 操作手冊(cè)建立 /變更流程 》 。保存期限至少為一年。能自己處理的問題，立即處理，否則提交問題處理人員。 巡檢人員在發(fā)現(xiàn)性能異常的時(shí)候，及時(shí)報(bào)告問題受理人員。 ? 信息系統(tǒng)運(yùn)行監(jiān)控 各種信息系統(tǒng)事件日志都應(yīng)該啟動(dòng)，并保證足夠的日志空間。 定期對(duì)關(guān)鍵系統(tǒng)進(jìn)行漏洞掃描，確保系統(tǒng)的安全性。 信息安全管理有關(guān)計(jì)劃在正式實(shí)施前，須經(jīng)信息安全工作小組和監(jiān)管部門（如內(nèi)審部 )的批準(zhǔn)，并向相關(guān)員工傳達(dá)，明確相關(guān)人員應(yīng)承擔(dān)的義務(wù)和責(zé)任。 公司信息部有對(duì)計(jì)算機(jī)用戶使用的所有公司配備的設(shè)備和系統(tǒng)進(jìn)行監(jiān)控及抽查的權(quán)利，每季度抽查的比例不低于總量的 5%。 ? 遠(yuǎn)程登陸 禁止用戶安裝用于遠(yuǎn)程登陸的軟件，并對(duì)公司網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程登入訪問。 ? 電子郵件的使用 公司的電子郵件系統(tǒng)僅用于收發(fā)與工作內(nèi)容相關(guān)的電子郵件。 禁止使用第三方提供的網(wǎng)上電子郵件系統(tǒng)。利用公司許可的遠(yuǎn)程登陸軟件，在信息部門規(guī)定時(shí)間內(nèi)，用戶可以遠(yuǎn)程登陸，如果超過規(guī)定的時(shí)間期限，則禁止用戶遠(yuǎn)程登陸。 信息安全管理制度（試行） ? 公司的信息安全目標(biāo) 保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，保證業(yè)務(wù)連續(xù)性； 保護(hù)公司的商業(yè)機(jī)密和技術(shù)機(jī)密，維護(hù)公司利益。 加強(qiáng)內(nèi)部人員安全管理，依據(jù)最小特權(quán)原則清晰劃分崗位，實(shí)現(xiàn)適當(dāng)?shù)穆氊?zé)分離，重要崗位要有人員備份。 監(jiān)控并記錄系統(tǒng)設(shè)備的運(yùn)行情況，定期審閱關(guān)鍵系統(tǒng)設(shè)備的日志，定期提交系統(tǒng)運(yùn)行報(bào)告給信息部負(fù)責(zé)人進(jìn)行審閱。 各種批處理工作日志都應(yīng)啟動(dòng)，用以記錄操作過程和結(jié)果。具體問題處理流程參見 《 問題處理管理制度 》 。具體流程參見 《 問題處理流程 》 。 操作管理制度（試行） ? 日常操作管理 信息部人員參考有關(guān)文檔（軟件開發(fā)商或硬件制造商提供的技術(shù)文檔等），統(tǒng)籌考慮所有例行的重要操作（包括系統(tǒng)監(jiān)控、備份、常規(guī)預(yù)防性維護(hù)等）填寫 《 操作手冊(cè)建立 /變更申請(qǐng)表 》 ，按照 《 操作手冊(cè)建立 /變更流程 》 規(guī)定制定相應(yīng)的操作手冊(cè)。 變更后的操作手冊(cè)，必須經(jīng)過信息部負(fù)責(zé)人批準(zhǔn)后才能實(shí)施。 具體流程參見 《 信息安全監(jiān)控與安全事件報(bào)告管理制度 》 、《 信息系統(tǒng)監(jiān)控制度 》 、 《 SAP系統(tǒng)監(jiān)控制度 》 。具體變更流程參見 《 操作手冊(cè)建立 /變更流程 》 。 關(guān)于數(shù)據(jù)備份的管理，參見 《 備份管理制度 》 中的相關(guān)內(nèi)容。數(shù)據(jù)導(dǎo)入 /修改操作只能由指定的信息部人員執(zhí)行，導(dǎo)入 /修改權(quán)限須按照規(guī)范通過系統(tǒng)設(shè)定分配給指定人員。 數(shù)據(jù)庫(kù)中的數(shù)據(jù)操作日志、 《 數(shù)據(jù)導(dǎo)入 /修改 /提取申請(qǐng)表 》和 《 數(shù)據(jù)導(dǎo)入 /修改 /提取匯總表 》 須保留三年。具體內(nèi)容參見 《 系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度 》 。 ? 備份恢復(fù)測(cè)試 備份介質(zhì)中的數(shù)據(jù)須每半年進(jìn)行恢復(fù)測(cè)試，以確保備份的有效性和備份恢復(fù)的可行性。具體流程參見 《 備份申請(qǐng)流程 》 。存儲(chǔ)介質(zhì)庫(kù)（柜）必須由介質(zhì)保管人員存取，其他人員未經(jīng)批準(zhǔn)不準(zhǔn)操作。計(jì)劃中，應(yīng)對(duì)于數(shù)據(jù)重要程度進(jìn)行分類以保證能夠按照優(yōu)先級(jí)進(jìn)行數(shù)據(jù)恢復(fù)。 防病毒管理制度（試行） ? 防病毒管理 總部信息部負(fù)責(zé)病毒防治體系的統(tǒng)一構(gòu)建和部署，公司信息部指定專人負(fù)責(zé)計(jì)算機(jī)病毒防治工作。 未接入公司內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)用戶須安裝公司信息部指定的單機(jī)版病毒防治產(chǎn)品，定時(shí)掃描計(jì)算機(jī)系統(tǒng)并及時(shí)更新病毒特征碼。 ? 防病毒檢查 公司信息部應(yīng)每季度對(duì)公司范圍內(nèi)的個(gè)人電腦進(jìn)行一次抽查，抽查個(gè)人電腦防病毒產(chǎn)品的安裝和使用情況，填寫 《 個(gè)人電腦防病毒抽查情況登記表 》 。 未經(jīng)許可，任何人不得登錄防火墻，廠商工程師只能在信息部防火墻管理人員的陪同和監(jiān)督下進(jìn)行調(diào)試，調(diào)試完畢后防火墻管理人員應(yīng)立即更改口令。備份文件須安全妥善地保存。 信息部負(fù)責(zé)人根據(jù) 《 崗位權(quán)限對(duì)照表 》 對(duì)系統(tǒng)層面的普通用戶帳號(hào)申請(qǐng)進(jìn)行審批。 臨時(shí)使用超級(jí)用戶帳號(hào)必須有監(jiān)督人員在場(chǎng)記錄其工作內(nèi)容。具體流程參見 《 臨時(shí)訪問帳號(hào)管理流程 》 。 員工離職后，帳號(hào)管理人員及時(shí)禁用并刪除離職人員所使用的帳號(hào)。 系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度（試行） 系統(tǒng)配置： 是指各應(yīng)用系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)設(shè)置，以及路由器、防火墻、核心交換機(jī)等網(wǎng)絡(luò)設(shè)備和安全設(shè)備的設(shè)置。 總部信息部信息安全管理員每年須對(duì)各類基準(zhǔn)配置進(jìn)行檢查，以確?；鶞?zhǔn)配置滿足業(yè)務(wù)需求和技術(shù)要求。 基礎(chǔ)架構(gòu)變更時(shí)，必須遵照統(tǒng)一的變更申請(qǐng)流程，參見 《 配置變更 /基礎(chǔ)架構(gòu)變更管理流程 》 。信息部負(fù)責(zé)人審批 《 變更申請(qǐng)書 》 。信息部應(yīng)對(duì)緊急變更的處理進(jìn)行規(guī)范的文檔記錄。 對(duì)授權(quán)訪問運(yùn)行環(huán)境的人員進(jìn)行詳細(xì)記錄，并定期進(jìn)行檢查。 系統(tǒng)維護(hù)人員不應(yīng)該擁有前臺(tái)應(yīng)用程序的訪問權(quán)限，更不應(yīng)該在前臺(tái)應(yīng)用程序中擔(dān)任實(shí)際的操作任務(wù)。詳細(xì)流程參見 《 緊急變更流程 》 。 信息部將所有的變更請(qǐng)求記錄在 《 任務(wù)管理表 》 中，并按照優(yōu)先級(jí)安排實(shí)施的先后次序進(jìn)行跟蹤處理。評(píng)估之后，須根據(jù)基準(zhǔn)配置要求和評(píng)估結(jié)果對(duì)具體的配置設(shè)置進(jìn)行變更； 二、檢查基礎(chǔ)架構(gòu)變動(dòng)情況，審閱 《 基礎(chǔ)架構(gòu)變更申請(qǐng)表 》 以及 《 配置 /基礎(chǔ)架構(gòu)變更記錄表 》 ，保證基礎(chǔ)架構(gòu)變更是經(jīng)過授權(quán)的； 信息安全管理員填寫 《 系統(tǒng)配置與基礎(chǔ)架構(gòu)審閱報(bào)告 》 ，報(bào)告中記錄總體審閱過程和結(jié)論，并提交給信息部負(fù)責(zé)人審閱。 ? 運(yùn)行環(huán)境配置的設(shè)置與維護(hù) 經(jīng)授權(quán)的配置管理人員根據(jù)系統(tǒng)安裝手冊(cè)和基準(zhǔn)配置對(duì)初裝系統(tǒng)或設(shè)備進(jìn)行安裝和配置，詳細(xì)記錄安裝過程和配置清單。 基礎(chǔ)架構(gòu)： 包括支持業(yè)務(wù)運(yùn)營(yíng)的網(wǎng)絡(luò)、系統(tǒng)平臺(tái)和線路結(jié)構(gòu)等。具體流程參見 《 用戶帳號(hào)審閱及權(quán)限確認(rèn)流程 》 。 帳號(hào)管理人員負(fù)責(zé)緊急帳號(hào)的下發(fā)和記錄。具體流程參見 《 特權(quán)帳號(hào)和超級(jí)用戶帳號(hào)管理流程 》 。具體流程參見 《 普通帳號(hào)管理流程 》 。 公司信息部防火墻管理人員每月分析防火墻日志，并編制防火墻運(yùn)行報(bào)告交公司信息部安全管理員和公司信息部負(fù)責(zé)人審閱。 通過對(duì)路由器、交換機(jī)和防火墻等網(wǎng)絡(luò)設(shè)備的設(shè)置，控制數(shù)據(jù)在網(wǎng)絡(luò)中安全傳遞，公司網(wǎng)絡(luò)與外部的數(shù)據(jù)傳輸只能通過指定的路徑進(jìn)行。 公司信息部應(yīng)向本級(jí)公司管理層匯報(bào)防病毒抽查情況，并及時(shí)采取措施解決防病毒抽查中出現(xiàn)的問題。 根據(jù)公司信息部的通知，計(jì)算機(jī)用戶須及時(shí)做好防病毒產(chǎn)品的升級(jí)、系統(tǒng)安全補(bǔ)丁的安裝和病毒隔離區(qū)的維護(hù)等工作。 公司信息部防病毒