【正文】 全相關(guān)的內(nèi)部和外部審計(jì)報(bào)告，并根據(jù)報(bào)告結(jié)果改進(jìn)信息安全管理工作。信息部負(fù)責(zé)人指定專(zhuān)人監(jiān)督計(jì)劃落實(shí)情況。 監(jiān)控并記錄系統(tǒng)設(shè)備的運(yùn)行情況，定期審閱關(guān)鍵系統(tǒng)設(shè)備的日志，定期提交系統(tǒng)運(yùn)行報(bào)告給信息部負(fù)責(zé)人進(jìn)行審閱。 加強(qiáng)網(wǎng)絡(luò)安全管理，安裝、設(shè)置并維護(hù)網(wǎng)絡(luò)防火墻及其它網(wǎng)絡(luò)設(shè)備，保障與互聯(lián)網(wǎng)或其他公眾網(wǎng)絡(luò)的連接安全，控制數(shù)據(jù)在網(wǎng)絡(luò)中的安全傳遞。 加強(qiáng)對(duì)遠(yuǎn)程訪(fǎng)問(wèn)的控制，對(duì)遠(yuǎn)程訪(fǎng)問(wèn)進(jìn)行適當(dāng)授權(quán)，并定期對(duì)遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限進(jìn)行審核，確保遠(yuǎn)程訪(fǎng)問(wèn)權(quán)限被適當(dāng)分配。 必須加強(qiáng)針對(duì)第三方服務(wù)商訪(fǎng)問(wèn)和服務(wù)的安全控制，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上制定安全控制措施。 加強(qiáng)內(nèi)部人員安全管理，依據(jù)最小特權(quán)原則清晰劃分崗位，實(shí)現(xiàn)適當(dāng)?shù)穆氊?zé)分離，重要崗位要有人員備份。 公司信息部每年對(duì)公司的信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估，總結(jié)信息資產(chǎn)的整體風(fēng)險(xiǎn)情況，并根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，調(diào)整信息安全管理目標(biāo)及安全管理計(jì)劃。 ? 信息安全工作內(nèi)容 公司必須建立和完善信息安全管理規(guī)章制度，規(guī)范和加強(qiáng)信息安全管理工作，所有員工都必須遵守與其相關(guān)的信息安全規(guī)章制度。各分子公司信息部同時(shí)設(shè)立信息安全管理崗位，負(fù)責(zé)分子公司信息安全管理工作。 信息安全管理制度（試行） ? 公司的信息安全目標(biāo) 保障信息系統(tǒng)安全穩(wěn)定運(yùn)行，保證業(yè)務(wù)連續(xù)性； 保護(hù)公司的商業(yè)機(jī)密和技術(shù)機(jī)密，維護(hù)公司利益。 ? 定期巡檢與抽查 對(duì)于以上規(guī)范的執(zhí)行和實(shí)施情況，公司信息部將進(jìn)行定期巡檢，并公布檢查結(jié)果。 ? 例外情況處理 如因緊急或特殊情況，計(jì)算機(jī)用戶(hù)在工作中無(wú)法嚴(yán)格執(zhí)行本規(guī)范中第二節(jié)至第七節(jié)中規(guī)定的操作，必須向其部門(mén)負(fù)責(zé)人及信息部負(fù)責(zé)人進(jìn)行書(shū)面申請(qǐng)，在得到相應(yīng)的審批后方可進(jìn)行相關(guān)操作。 禁止共享公司的任何信息系統(tǒng)的帳號(hào)密碼。利用公司許可的遠(yuǎn)程登陸軟件，在信息部門(mén)規(guī)定時(shí)間內(nèi)，用戶(hù)可以遠(yuǎn)程登陸，如果超過(guò)規(guī)定的時(shí)間期限，則禁止用戶(hù)遠(yuǎn)程登陸。 ? 外來(lái)計(jì)算機(jī)用戶(hù)的管理 外來(lái)人員因工作需要使用公司內(nèi)部網(wǎng)絡(luò)時(shí)，必須由接待外來(lái)人員的單位負(fù)責(zé)人同意后，經(jīng)信息部負(fù)責(zé)人書(shū)面審批，由信息部技術(shù)人員進(jìn)行安全檢查后，在信息部或接待單位人員的監(jiān)督下使用網(wǎng)絡(luò)。 使用公司電子郵件傳遞敏感數(shù)據(jù)時(shí)，必須對(duì)數(shù)據(jù)進(jìn)行加密。 禁止制造及轉(zhuǎn)寄垃圾郵件，以及發(fā)放含有粗俗、暴力、色情成份的郵件。 禁止使用第三方提供的網(wǎng)上電子郵件系統(tǒng)。 禁止從互聯(lián)網(wǎng)下載或通過(guò)公司局域網(wǎng)傳送 MP3等一切與工作無(wú)關(guān)的音頻、視頻及圖片等多媒體文件。GCC制度學(xué)習(xí) 張正坤 目 錄 計(jì)算機(jī)用戶(hù)安全管理制度（試行） 信息安全管理制度（試行） 信息系統(tǒng)監(jiān)控制度（試行） 問(wèn)題處理管理制度（試行） 操作管理制度（試行） 數(shù)據(jù)管理制度（試行） 備份管理制度（試行） 防病毒管理制度（試行） 防火墻管理制度（試行） 信息系統(tǒng)帳號(hào)管理制度（試行） 系統(tǒng)配置與基礎(chǔ)架構(gòu)管理制度（試行） 軟件變更管理制度（試行） 計(jì) 算機(jī)用戶(hù)安全管理制度 （試行） ? 互聯(lián)網(wǎng)的使用 禁止瀏覽與工作內(nèi)容無(wú)關(guān)的網(wǎng)頁(yè)。 禁止從互聯(lián)網(wǎng)下載或執(zhí)行以下任何文件，包括但不僅限于以 .exe﹑.vbs﹑.scr﹑.pif﹑.hta﹑.reg 、 . bat等為擴(kuò)展名的文件。 ? 電子郵件的使用 公司的電子郵件系統(tǒng)僅用于收發(fā)與工作內(nèi)容相關(guān)的電子郵件。 使用公司電子郵件系統(tǒng)收到不明發(fā)件者的郵件時(shí)，須避免直接打開(kāi)此郵件或下載郵件所帶附件，若附件為可執(zhí)行文檔，禁止對(duì)其進(jìn)行打開(kāi) ﹑ 下載及執(zhí)行等操作，須立即將此郵件（連同其附件）進(jìn)行徹底刪除。 禁止使用公司提供的電子郵件帳號(hào)在互聯(lián)網(wǎng)上進(jìn)行注冊(cè)。 ? 計(jì)算機(jī)用戶(hù)個(gè)人設(shè)備的使用 禁止用戶(hù)將其持有的非公司配備的信息設(shè)備（如個(gè)人筆記本電腦等設(shè)備）接入公司內(nèi)部網(wǎng)絡(luò)，或與公司的信息設(shè)備及系統(tǒng)相連接并存儲(chǔ)公司數(shù)據(jù)。 ? 遠(yuǎn)程登陸 禁止用戶(hù)安裝用于遠(yuǎn)程登陸的軟件，并對(duì)公司網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程登入訪(fǎng)問(wèn)。 ? 密碼規(guī)則 用戶(hù)須自行保管公司信息系統(tǒng)的個(gè)人密碼，確保密碼的安全性，禁止將密碼泄漏給他人，或?qū)⒂浻忻艽a的紙張等介質(zhì)暴露于公開(kāi)場(chǎng)合，用戶(hù)須定期更改其使用的信息系統(tǒng)的密碼。 關(guān)于詳細(xì)的用戶(hù)密碼規(guī)范，請(qǐng)?jiān)斠?jiàn) 《 信息系統(tǒng)帳號(hào)管理制度 》 及 《 中國(guó)鋁業(yè)股份有限公司 SAP系統(tǒng)運(yùn)行維護(hù)操作規(guī)程（試行） 》 。具體流程為：申請(qǐng)人首先填寫(xiě) 《 計(jì)算機(jī)用戶(hù)安全管理特殊需求申請(qǐng)表 》 ，由其部門(mén)負(fù)責(zé)人及信息部負(fù)責(zé)人審批通過(guò)后，方可執(zhí)行相關(guān)操作。 公司信息部有對(duì)計(jì)算機(jī)用戶(hù)使用的所有公司配備的設(shè)備和系統(tǒng)進(jìn)行監(jiān)控及抽查的權(quán)利，每季度抽查的比例不低于總量的 5%。 ? 信息安全組織機(jī)構(gòu)及其職責(zé) 公司總部信息部成立信息安全工作小組，全面負(fù)責(zé)公司信息安全政策的制定和實(shí)施。 ? 信息安全工作小組在信息安全工作方面的主要職責(zé)(略 ) ? 分子公司信息安全管理員的主要職責(zé) 落實(shí)上級(jí)部門(mén)各項(xiàng)制度和要求，負(fù)責(zé)分子公司信息安全管理的日常工作； 分析信息安全現(xiàn)狀和問(wèn)題，提出安全分析報(bào)告和安全防范建議，上報(bào)信息安全事件并提出初步處理意見(jiàn)。 公司信息部每年對(duì)信息安全制度進(jìn)行審閱，以確保其持續(xù)有效性，并根據(jù)公司信息安全需求進(jìn)行修訂。 信息安全管理有關(guān)計(jì)劃在正式實(shí)施前，須經(jīng)信息安全工作小組和監(jiān)管部門(mén)（如內(nèi)審部 )的批準(zhǔn)，并向相關(guān)員工傳達(dá)，明確相關(guān)人員應(yīng)承擔(dān)的義務(wù)和責(zé)任。 公司員工須簽署保密協(xié)議，并接受信息安全教育培訓(xùn)，提高安全意識(shí)，及時(shí)報(bào)告信息安全事件。 加強(qiáng)防病毒管理，制定并及時(shí)更新公司防病毒管理制度，部署、監(jiān)管和指導(dǎo)公司的防病毒工作，研究并制定應(yīng)急方案，應(yīng)對(duì)計(jì)算機(jī)病毒爆發(fā)事件。 規(guī)范機(jī)房安全設(shè)施建設(shè)工作，制定并實(shí)施物理安全管理和訪(fǎng)問(wèn)控制制度，定期審閱機(jī)房安全日志。 定期對(duì)關(guān)鍵系統(tǒng)進(jìn)行漏洞掃描，確保系統(tǒng)的安全性。 根據(jù)信息安全管理制度，信息安全管理員制定詳細(xì)的信息安全工作計(jì)劃，并根據(jù)計(jì)劃組織實(shí)施。 信息安全工作小組以及信息安全管理員定期在公司范圍內(nèi)組織信息安全檢查，確保所有業(yè)務(wù)活動(dòng)符合公司規(guī)定的信息安全制度、標(biāo)準(zhǔn)及其相關(guān)規(guī)定。 信息系統(tǒng)監(jiān)控制度（試行） 信息系統(tǒng)是指支持業(yè)務(wù)運(yùn)行的設(shè)備（服務(wù)器、交換機(jī)、路由器、防火墻、 VPN設(shè)備等）、操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用系統(tǒng)。 ? 信息系統(tǒng)運(yùn)行監(jiān)控 各種信息系統(tǒng)事件日志都應(yīng)該啟動(dòng)，并保證足夠的日志空間。 網(wǎng)絡(luò)和系統(tǒng)管理人員每天對(duì)信息系統(tǒng)運(yùn)行狀況和日志進(jìn)行巡檢，以便及時(shí)發(fā)現(xiàn)交換機(jī)、路由器、防火墻、 VPN等設(shè)備的故障，及時(shí)發(fā)現(xiàn)各種批處理是否成功。 發(fā)現(xiàn)信息系統(tǒng)故障或批處理操作失敗，及時(shí)報(bào)告問(wèn)題受理人員。 ? 信息系統(tǒng)性能監(jiān)控 網(wǎng)絡(luò)和