网络安全管理程序
(ISO27001-2013)
1、目的
为了保证公司信息系统稳定的动作,提高工作效率,实现公司计算机硬件及网络的规范化管理,建设一个稳定、高效、健壮的计算机系统。结合公司实际情况,制定本办法。
本制度适用于对公司网络系统的运行维护和管理。
2、适用范围
公司内所有计算机硬件及周边设备,所有网络设备。公司内所有操作计算机岗位和与之有工作的岗位均属此管理之内。
网络系统维护:公司各部门现行局域网、无线网络和机房(如:服务器网络线路、交换机、路由器、无线路由器、光纤接口等);
客户端维护:客户端维护包括:客户机在网络上的名称,IP地址分配,用户登录名称、用户密码及internet的配置;
软件维护包括:服务器操作系统、客户机应用软件、有关专业的网络应用软件等。
客户机应用软件包括:WinZip、PDF阅读器、OFFICE办公软件、卡巴斯基杀毒软件、QQ、SVNVPN、操作系统、连接打印机等
服务器操作应用软件包括:操作系统、WinZip、巴斯基杀毒软件、磁盘阵列
专业的网络应用软件包括:QQ、SVNVPN、
固定资产:台式机、笔记本、工作手机、桌面电话、打印机、复印机、传真机、投影仪、摄像机、
维护: 故障维修、升级、许可维护(操作系统、应用软件、杀毒软件)
采购:询价、采购、保管
3、职责
信息部为网络安全运行的归口部门,负责计算机网络系统的日常维护和管理。
负责系统软件的调研、采购、安装、升级、保管工作;
负责软件有效版本的管理。
信息部为计算机系统、网络、数据库安全管理的归口管理部门。
网络管理员负责计算机网络、办公自动化、金碟的安全运行;服务器安全运行和数据备份;internet对外接口安全以及计算机系统防病毒管理;各种软件的用户密码及权限管理;协助职能部门进行数据备份和数据归档。
网络管理人员执行公司保密制度,严守公司商业机密;
员工执行计算机安全管理制度,遵守企业保密制度。
4、管理
4.1网络系统维护
系统管理员每日定时对机房内的网络服务器、数据库服务器、邮箱服务器、Internet服务器进行日常巡视,并填写《网络运行日志》〔附录A〕。
对于系统和网络出现的异常现象应及时组织相关人员进行分析,制定处理方案,采取积极措施,并如实将异常现象记录在《网络运行日志》〔附录A〕。针对当时没有解决的问题或重要的问题应将问题描述、分析原因、处理方案、处理结果、预防措施等内容记录在《网络问题处理跟踪表》〔附录B〕上。部门负责人要跟踪检查处理结果。
定时对相关服务器数据进行备份。
维护Internet 服务器,监控外来访问和对外访问情况,如有安全问题,及时处理。
制定服务器的防病毒措施,及时下载最新的防病毒疫苗,防止服务器受病毒的侵害。
4.2客户端维护
按照人事部下达的新员工(或外借人员)姓名、分配部门、人员编号为新员工分配计算机名、IP地址、用户名、登录密码。
帐号申请:新员工(或外借人员)需使用计算机向部门主管提出申请经批准由行政部负责分配计算机、IP地址、SVN和邮箱和ID及蜜码。网络管理人员负责软件客户端的安装调试。
员工离职应将本人所使用的计算机名、IP地址、用户名、登录密码、SVNvpn和邮箱的ID等软件信息以书面形式记录,经网络管理员核实并将该记录登记备案。网络管理员对离职人员计算机有关的公司资料信息备份以及拿到人事部门的员工离职通知单,方可对该离职人员所用的帐号信息删除。
为客户机安装防病毒软件,并通知和协助网络用户升级防病毒疫苗。
对于网络用户传播、复制、制造计算机病毒或采用黑客技术而致使计算机网络瘫痪造成重大损失的情况,将给予严肃处理。
4.3系统维护
对于系统和网络出现的异常现象,系统管理员应及时组织相关人员进行分析,制定处理方案,采取积极措施。
维护Internet 服务器,监控外来访问和对外访问情况,如有安全问题,及时处理。
制定服务器的防病毒措施,及时下载最新的防病毒疫苗,防止服务器受病毒的侵害。
4.4软件维护
公司计算机,必须由系统管理员统一安装操作系统、OFFICE等软件,用户可以在系统管理员的授权下,自行安装系统和专业软件。
严禁擅自在计算机中安装非工作软件和程序,严禁擅自删除计算机中的系统文件,由此可能导致数据丢失或计算机操作系统破坏,以致计算机瘫痪而影响工作;如确实工作需要安装或删除软件和程序应当向网络系统管理人提出申请,同管理人员统一安装或删除。
用户如有中毒、操作系统缓慢、死机等问题时,向系统管理人员提出口头请求,接到请求的系统管理人员应及时提供维护服务,并查明出现故障的原因,如因上一些黄色网站、看电影、下载与工作无关的东西所造成的,根据情节按下列规定进行处罚。
4.5 IT设备和周边设备维护
公司各部门的电脑管理,遵循谁使用,谁负责的原则进行管理。
电脑相关设备由公司统一配置并定位,任何部门和个人不得允许私自挪用、调换、外借和移动。如因工作南非要调换位置上报行政部,由行政部安调换。
公司电脑及周办办公设备固定资产标签,不得随意撕毁;如发现标签脱落应及时告知行政部员工重新补贴处理。
设备故障:由本人填写“故障报修申请表”。
4.6计算机病毒防治
计算机上必须安装防病毒软件,防病毒软件由用户定期更新。
使用U盘前,必须对U盘进行病毒扫描确认无毒后方能使用。
计算机对于外来软件的安装、图纸和文件的使用,在使用前要进行病毒扫描。
为了防止病毒侵蚀,员工不得从internet网下载游戏及与工作无关的软件,不得在微机上安装、运行游戏软件。
4.7IP地址和用户密码管理
局域网IP地址由网络管理员负责管理,用户不得擅自更改客户端的IP地址及计算机名(计算机名称设置应参照此格式 部门 +用户名称)。
如有必要,计算机用户可自行设置电脑开机用户名和登录密码。
5、处罚
5.1上网行为处罚
对上网用户在上班时间下载电影、软件等与工作无关的,或者在线音乐、在线视频等,严重占用网络宽带,导致网络堵塞,一经发现,将立即断网,用户须向本部门经理说明原因,如经理同意其继续上网责需通知信息部由信息部通知网络管理员给予开通;
员工访问了不明网站,病毒、蠕虫、木马、恶意代码及间谍软件等通过网页、Email、聊天工具、下载软件等方式,侵入到内网的各个角落,严重影响公司网络的正常运行,一经发现将立即断网,管理员会通知用户其电脑中毒,如用户解决不了管理员将帮助其解决。
上班时间浏览与工作无关网页、炒股、购物、游戏等一经发现将立即通知本部门经理。
使用BT、电驴、迅雷、网际快车、超级旋风等P2P下载软件和PPlive、UUsee、PPstream、迅雷看看等P2P视频软件。使得局域网网络资源被消耗殆尽,导致企业正常的网络应用无法进行,严重干扰了公司的经营活动的一经发现罚款500元。
未经许可私自修改电脑IP地址,导致局域网出现IP地址冲突,电脑掉线现象,严重影响了局域网的稳定和畅通。将立即断网通知公司信息部及其部门经理。
未经许可私自移动公司在各点分布的网络设备及布线,乱拉线等,一经发现将交由信息部处理。
部门共用的电脑,查不到责任人时,由部门责任人承担。
3.2. 系统软件破坏处罚
公司电脑系统以及应用平台等经系统管理员装好后一个月内,由于上网、中病毒、自己装卸软件等人为因素导致电脑瘫痪、办公软件、平台无法正常运行的将有信息部处理。
6、保密
刻意或无意泄漏经营数据的或市场经营决策的,一经查实,有本部门经理处理,后果严重者移交法律机构进行处理;
严格保密本公司的数据和文件,严禁外来人员对计算机数据和文件拷贝或抄写。也不得私自通过互联网发送本公司涉密的数据和文件。如工作需要,必须经过领导同意方可以进行操作。
7、相关支持性文件
《文件控制程序》
《记录控制程序》
《内部审核程序》
8、相关记录
无
★CMMI认证★CCRC认证★ISO27001认证★ITSS认证★CS认证★两化融合认证★重庆CMMI认证★重庆CCRC认证★重庆ISO27001认证★重庆ITSS认证★重庆CS认证★重庆GJB5000A认证★重庆两化融合认证★
|