17-信息处理设备管理程序.doc

信息处理设备管理程序 1 适用与目的 本程序适用于技术中心公司与 IT 相关各类信息处理设施（包括各类软件、硬件、服务、传输线路）的 引进、实施、维护等事宜的管理。 本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处 理设施的保密性、完整性和可用性。 2 信息处理设施的分类 2.1 业务系统、数据存储控制系统及其子系统设备，包括位于机房的服务器和位于使用区域的使用 控制系统终端设备。 2.2 办公用计算机设备，包括所有办公室、会议室内的计算机、打印机，域控制服务器，DNS 服务 器、Email 服务器等。 2.3 网络设备，包括交换机、路由器、防火墙等。 2.4 其它办公设备，包括电话设备、复印机、传真机等。 3 职责 3.1 行政人力部系统运维及IT服务部主要负责全公司技术中心与 IT 相关各类信息处理设施及其服务的引进。包括制作技术规格书、 进行技术选型、安装和验收等。系统运维及IT服务部行政人力部同时负责全公司技术中心网络设备、 业务管理系统日常管理与维护。 3.2 各部门负责运营过程中设备及软件系统的管理制度的执行与维护。 3.3 系统运维及IT服务部行政人力部负责电话/网络通讯与办公系统的管理与维护。 4 信息处理设施的引进和安装 4.1 引进 各部门必须采购的信息处理设施、外包信息系统项目或外包信息系统服务，得到本部门负责人 的批准后，向系统运维及IT服务部行政人力部提交申请。系统运维及IT服务部行政人力部以设备投资计划，项目开发计划为依据，结合对新技术的调 查，作出评价结果并向提出部门反馈该信息。 7 4.2 进行技术选型 系统运维及IT服务部行政人力部负责对购入的信息处理设施的技术选型，并从技术角度对供应商进行评价。技术选型应 该包含以下几方面：性能、相关设施的兼容性、协作能力、技术发展能力等。技术选型结果应填写 在《技术选型报告》中。 4.3 编写购入规格书 各部门根据工作需求，负责编写信息处理设施的购置规格书。规格书中应该包含技术规格、相 关设施的性能（包括安全相关信息）、兼容性等要求，由公司技术中心主管负责人审批。 4.4 订货 由系统运维及IT服务部行政人力部按照公司技术中心采购流程，提供购置要求和选型结果，经公司技术中心主管负责人审批后采购部门按 照要求办理订货手续。 4.5 开箱检查，安装、调试，验收 a) 开箱检查 设备到货后，系统运维及IT服务部行政部应组织相关部门进行开箱检查，依照购买规格书和装箱单核对数量及物品， 确认有无损坏并记录。 b) 安装、调试 引进的设施到位后，按照合同要求，由相关人员进行安装、调试。在实施调试过程中出现的问 题，要记录在《调试时故障履历》中。 c) 验收 安装调试完成以后，系统运维及IT服务部行政部应组织相关部门依据以下文件实施验收： ·购置规格书 ·采购合同及其相关附件 ·调试时故障履历 验收原则上由系统运维及IT服务部行政部实施，验收结果记入《硬件软件验收报告》。由系统运维及IT服务部行政部负责人审定。 d) 验收合格后，可办理出入库手续。 5 信息处理设施的日常维护管理 5.1 计算机设备管理 5.1.1 综合管理部行政人力部负责计算机固定资产的标识，标识随具体设备到使用各部门。计算机保管使用部门将 计算机列入该部门信息资产清单。 5.1.2 各部门配备的计算机设备应与本部门的日常经营情况相适应，不得配备与工作不相符的高档 次或不必要的计算机设备。办公场所不配备多媒体类计算机设备，原则上因工作需要配备笔记本电 脑的需经主管副总批准。 5.1.3 使用部门需配备计算机设备时，应按照本规定执行。资产搬离安置场所、迁移出公司技术中心，需要 获得部门负责人的授权。 5.1.4 使用部门填写《物品领用单》后，经过本部门负责人签字后提交行政人力部综合管理部领取计算机设备。计 算机及附属设备属公司技术中心信息资产，在行政人力部综合管理部备案。有关计算机设备所带技术说明书、软件由行政人力部 综合管理部保存。使用部门的使用人应妥善保管计算机及附属设备，公用计算机设备由使用部门负责人指定专 人负责使用管理。 5.1.5 离职时，应将计算机交还行政人力部综合管理部并注销账户。 5.2 计算机设备维护 5.2.1 计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责计算机的日常维护和 保养；行政人力部综合管理部按照《恶意软件控制程序》要求进行计算机查毒和杀毒工作。 5.2.2 计算机使用部门发现故障或异常，可先报公司技术中心 IT 管理员处理，如其无法解决，则由 IT 管理 员填写《事态事件脆弱性记录》向供应商申请维修。故障原因及处理结果应记入《事态事件脆弱性 记录》。 5.3 计算机调配与报废管理 5.3.1 用户计算机更新后，原来的计算机由行政人力部综合管理部根据计算机的技术状态决定调配使用或予以报废 处理。 5.3.2 含有敏感信息的计算机调配使用或报废前，计算机使用部门应与行政人力部综合管理部共同采取安全可靠的 方法将计算机内的敏感信息清除。 5.3.3 调配 5.3.3.1 部门内部的调配由使用部门自行处理，并通知行政人力部综合管理部进行计算机配置变更，变更执行《更 改控制程序》。 5.3.3.2 部门间的调配管理：行政部综合管理部收回因更新等原因不用的计算机设备，由变更部门变更信息资 产清单，并按照本程序 5.1.3、5.1.4 要求重新分配使用。 5.4 报废处理 5.4.1 计算机设备采用集中报废处理。报废前由使用部门或行政人力部综合管理部提出报废申请，经批准后由行政人力部综合管理部实施报废。 5.4.2 行政人力部综合管理部按照批准的处置方案，检测机内确无任何信息后，进行报废处理，并变更固定资产清 单。 5.5 笔记本电脑安全管理 5.5.1 笔记本电脑应由被授权的使用人保管；对于需多人共用的笔记本电脑，应由部门负责人指定 专人保管。 5.5.2 笔记本所带附件应由使用者本人或部门负责人指定专人保管。 5.5.3 笔记本电脑使用时应防止恶意软件的侵害，在系统中应安装防病毒软件，并由使用人对其定 期升级，对系统定期查杀，行政部负责监督。 5.5.4 笔记本电脑在移动使用中，不得随意拉接网络，必要时需填写《用户授权申请表》向行政部综合管理部 提出需求，经行政人力部综合管理部审批后方可接入网络。 5.6 计算机安全使用的要求 5.6.1 计算机设备为公司技术中心财产，应爱惜使用，按照正确的操作步骤操作。 5.6.2 使用计算机时应遵循信息安全保密策略要求执行。 5.6.3 员工办完入职手续后由行政人力部综合管理部根据该员工权限需要开通服务器权限；离职时，由行政人力部综合管理部办理注销账户。 5.6.4 新域用户名为用户姓名的全拼（有重名时后面加数字加以区别），初始登录密码为员工编号。 用户在第一次登录系统时应变更密码，密码需要设置在 8 位（英文字母、数字或符号组合的优质密 码）并注意保密。 5.6.5 各人使用自己的账户登录，未经许可不得以他人用户名登录。若用户遗忘密码，应及时向行 政部申请新密码后登录。 5.6.6 不得使用计算机设备处理正常工作以外的事务。 5.6.7 计算机的软硬件设置管理由行政部综合管理部负责，未经许可，任何人不得更换。 5.6.8 行政人力部综合管理部负责初始软件的安装，严禁安装与工作无关的软件；严禁安装未经授权的软件；严禁 私自安装的各类代理软件；严禁私自启动某些系统服务(DHCP\RAS)；严禁安装任何类型的黑客软件； 任何人不得私自搭建、安装服务器类软件和任何对本部信息系统运转有影响的软件，如因工作要求 需要特别安装的，必须在行政部综合管理部申请备案；每台进入办公网络的终端计算机都必须安装指定的杀毒 软件，并按照接受管理的方式安装，严禁员工私自卸载或删除企业版客户端杀毒软件。计算机用户 的软件安装与升级按照《更改控制程序》执行。拒绝使用来历不明的软件和光盘。 5.6.9 严禁乱拉接电源，以防造成短路或失火。严禁私拉网线、私用集线器及所有影响网络正常运 行的设备， 5.6.10 计算机桌面要保持清洁，不得将秘密和（或）受控文件直接放置在桌面；计算机桌面必须 设置屏幕保护，恢复时需用密码确认（执行密码口令管理规定）。屏保由公司技术中心统一制作，各部门负 责安装，行政人力部综合管理部进行监督。 5.7 网络安全使用的要求 5.7.1 对于网络连接供应商，应充分考虑其信誉和现有安全防范措施，在签署保密协议的基础上加 以筛选。 5.7.2 对内设置必要的路由器防火墙，采用 HTTP、的连接方式，捆绑固定 IP 地址防止权限滥用。 6 信息处理设施的日常点检 6.1 计算机的日常点检 日常点检的目的是确认系统硬件是否运行良好，有无硬件及程序上的报警，备份是否正常进行 等。点检的流程、责任、项目、点检周期和记录表详见《系统日常点检业务手册》。如出现在检查 期人员外出等不在岗情况，需要在返回工作岗位时，立即补充完善上述手册。 6.2 网络设备的管理与维护 点检的流程、责任、项目、点检周期和记录表详见《系统日常点检业务手册》。 6.3 点检策略 6.3.1 所有存在于计算机、网络设备上的服务、入侵检测系统、防火墙和其他网络边界访问控制系 统的系统审核、账号审核和应用审核日志必须打开，如果有警报和警示功能必须打开。 6.3.2 审核日志必须保存一定的期限，任何个人和部门不得以任何理由删除保存期之内的日志。 6.3.3 审核日志必须由该系统管理员定期检查，特权使用、试图非授权的访问、系统故障和异常等 内容应该得到评审，以查找违背信息安全的征兆和事实。 6.3.4 入侵检测系统必须处于启动状态，日志保存一定的期限，定期评审异常现象，对所有可疑或 经确认的入侵行为和入侵企图需及时汇报并采取相应的措施。 6.3.5 日志的配置最低要求 设备类型 日志内容 保存周期 检查周期 服务系统 对外提供服务的 a)用户标识符(ID)； b)登录和注销事件； c)若可能，终端位置； d)成功的失败的登录试图。 ≥6 个月 ≤2 周 直接用于设计、存储、 检测的控制、管理和查 询系统 ≥12 个月 ≤2 周 全公司技术中心办公系统 ≥6 个月 ≤5 周 部门内部服务器 ≥6 个月 ≤5 周 其他服务器 ≥6 个月 ≤5 周 防火墙和 路由器 系统配置更改日志 ≥1 个月 ≤5 周 访问日志(方向、流量) ≥1 个月 ≤5 周 VPN 网关 a)用户标识符(ID)； b)登录和注销事件； c)终端位置； d)成功的失败的登录试图。 ≥1 周 ≤1 周 入侵检测 异常网络连接的时间、IP、 ≥3 个月 ≤5 周 系统 入侵类型 远程访问 系统 a)用户标识符(ID)； b)登录和注销事件； c)终端位置； d)成功的失败的登录试图。 ≥3 个月 ≤5 周 6.3.6 行政人力部系统运维及IT服务部 IT 管理员根据系统的安全要求确认其日志内容、保存周期、检查周期，其最低要求 不得低于上表的要求。如果因为日志系统本身原因不能满足上表的最低要求，需要降低标准的，必 须得到行政人力部负责人或管理者代表的批准和备案。 6.3.7 系统运维及IT服务部行政人力部 IT 管理员配置日志系统，并定期检查日志内容，评审安全情况。评审的内容包括： 授权访问、特权操作、试图非授权的访问、系统故障与异常等情况，评审结束应形成《日志检查评 审记录》。 6.4 维修服务的外包安全控制 6.4.1 系统运维及IT服务部行政人力部应与厂商签订设备维护（维修）服务合同，合同应包含信息安全方面的特殊条款，例 如签订保密协议。合同须明确服务的时间、范围、内容和记录保存条款。 6.4.2 对厂商现场维护有特殊安全要求时应填写《用户授权申请表》，进入机房的需要填写《机房 出入登记表》，由相关人员陪同方可进入。 6.4.3 不接受厂商通过远程诊断端口进行远程维护访问授权。 6.5 资料的保存 6.5.1 设备的技术资料由设备所在的部门交由系统运维及IT服务部行政人力部保存并建立《受控文件和资料发放清单》，以备 日后查阅。 6.5.2 设备厂商对设备进行维修后提供的维修（维护）记录单，由系统运维及IT服务部行政部保存，以备日后查询。 6.6 网络扫描工具的安全使用管理 6.6.1 对网络扫描工具的使用，必须得到部门负责人以上领导的授权，并保存使用的记录。 7 其它要求 涉及应用系统软件的开发（包括外包软件开发）的项目，还需执行《系统开发与维护控制程序》 的相关要求。 8 相关文件 ² 《系统开发与维护控制程序》 ² 《系统逻辑访问管理制度》 ² 《消防管理规定》 ² 《软件采购控制规定》 ² 《固定资产管理制度》 ² 《系统日常点检业务手册》 9 记录 记录名称 保存部门 保存期限 《技术选型报告》 《调试故障履历》 《硬件软件验收报告》 《用户授权申请表》 《信息系统日常点检记录》 《日志检查评审记录》 《机房出入登记表》 《受控文件和资料发放清单》 《变更申请表》 《采购合同》 系统运维及IT服务部行政部 行政部 行政部 行政部 行政部 行政部 行政部 信息安全保密办公室 行政部 行政部 3 年 3 年 3 年 3 年 3 年 3 年 3 年 3 年 3 年 3 年