《17-信息处理设备管理程序.docx》由会员分享,可在线阅读,更多相关《17-信息处理设备管理程序.docx(6页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息处理设备管理程序1适用与目的本程序适用于技术中心公司与IT相关各类信息处理设施(包括各类软件、硬件、服务、传输 线路)的引进、实施、维护等事宜的管理。本程序通过对技术选型、验收、实施、维护等过程中相关控制的明确规定来确保引进的信息处 理设施的保密性、完整性和可用性。2信息处理设施的分类业务系统、数据存储控制系统及其子系统设备,包括位于机房的服务器和位于使用区域的使用 控制系统终端设备。2.1 办公用计算机设备,包括所有办公室、会议室内的计算机、打印机,域控制服务器,DNS服务 器、Email服务器等。2.2 网络设备,包括交换机、路由器、防火墙等。2.3 其它办公设备,包括电话设备、复印机
2、、传真机等。3职责仔政人力-部系统运维及IT服务部主要负责全公司技术中心与IT相关各类信息处理设施及其服务 的引进。包括制作技术规格书、进行技术选型、安装和验收等。系统运维及IT服务部行政人力部同 时负责全公司技术中心网络设备、业务管理系统日常管理与维护。3.1 各部门负责运营过程中设备及软件系统的管理制度的执行与维护。3.2 系统运维及IT服务部行政人力部负责电话/网络通讯与办公系统的管理与维护。4信息处理设施的引进和安装引进各部门必须采购的信息处理设施、外包信息系统项目或外包信息系统服务,得到本部门负责人 的批准后,向系统运维及IT服务部行政人力部提交申请。系统运维及IT服务部行政人力部以
3、设备投 资计划,项目开发计划为依据,结合对新技术的调查,作出评价结果并向提出部门反馈该信息。4.1 进行技术选型系统运维及IT服务部行政人力部负责对购入的信息处理设施的技术选型,并从技术角度对供应 商进行评价。技术选型应该包含以下几方面:性能、相关设施的兼容性、协作能力、技术发展能力 等。技术选型结果应填写在技术选型报告中。4.2 编写购入规格书各部门根据工作需求,负责编写信息处理设施的购置规格书。规格书中应该包含技术规格、相 关设施的性能(包括安全相关信息)、兼容性等要求,由公司技术中心主管负责人审批。4.3 订货由系统运维及IT服务部行政人力部按照公司技术中心采购流程,提供购置要求和选型结
4、果,经 公司技术中心主管负责人审批后采购部门按照要求办理订货手续。4.4 开箱检查,安装、调试,验收a)开箱检查设备到货后,系统运维及IT服务部行政部应组织相关部门进行开箱检查,依照购买规格 书和装箱单核对数量及物品,确认有无损坏并记录。b)安装、调试引进的设施到位后,按照合同要求,由相关人员进行安装、调试。在实施调试过程 中出现的问题,要记录在调试时故障履历中。c)验收 安装调试完成以后,系统运维及IT服务部行政部应组织相关部门依据以下文件实施验收: 购置规格书 采购合同及其相关附件 调试时故障履历 验收原则上由系统运维及收服务部行政割实施,验收结果记入硬件软件验收报告。由系统运维及IT服务
5、部存政部负责人审定。d)验收合格后,可办理出入库手续。5信息处理设施的日常维护管理计算机设备管理5.1.1 综合管理部行政人力部负责计算机固定资产的标识,标识随具体设备到使用各部门。计算机 保管使用部门将计算机列入该部门信息资产清单。5.1.2 各部门配备的计算机设备应与本部门的日常经营情况相适应,不得配备与工作不相符的高档 次或不必要的计算机设备。办公场所不配备多媒体类计算机设备,原则上因工作需要配备笔记本电 脑的需经主管副总批准。5.1.3 使用部门需配备计算机设备时,应按照本规定执行。资产搬离安置场所、迁移出公司技术中 生,需要获得部门负责人的授权。5.1.4 使用部门填写物品领用单后,
6、经过本部门负责人签字后提交行政人力部综合管理部领取 计算机设备。计 算机及附属设备属公司技术中心信息资产,在行政人力部综合管理部备案。有关 计算机设备所带技术说明书、软件由行政人力部综合管理部保存。使用部门的使用人应妥善保管计 算机及附属设备,公用计算机设备由使用部门负责人指定专 人负责使用管理。5.1.5 离职时,应将计算机交还行政人力部综合管理部并注销账户。5.2 计算机设备维护计算机使用部门应将每部计算机落实到个人管理。计算机使用人员负责计算机的日常维护和 保养;行政人力部综合管理部按照恶意软件控制程序要求进行计算机查毒和杀毒工作。5.2.1 计算机使用部门发现故障或异常,可先报公司技术
7、中心IT管理员处理,如其无法解决,则由 IT管理员填写事态事件脆弱性记录向供应商申请维修。故障原因及处理结果应记入事态事 件脆弱性记录。5.3 计算机调配与报废管理用户计算机更新后,原来的计算机由存政人力综合管理部根据计算机的技术状态决定调配 使用或予以报废处理。5.3.1 含有敏感信息的计算机调配使用或报废前,计算机使用部门应与行政人力部综合管理部共同 采取安全可靠的方法将计算机内的敏感信息清除。5.3.2 调配1部门内部的调配由使用部门自行处理,并通知彳于政人为-部综合管理部进行计算机配置变 更,变更执行更改控制程序。5部门间的调配管理:行政部综合管理部收回因更新等原因不用的计算机设备,由
8、变更部门 变更信息资产清单,并按照本程序、要求重新分配使用。5.4 报废处理计算机设备采用集中报废处理。报废前由使用部门或行政人力部综合管理部提出报废申请, 经批准后由行政人力部综合管理部实施报废。5.4.1 行政人力部综合管理部按照批准的处置方案,检测机内确无任何信息后,进行报废处理,并变 更固定资产清单。5.5 笔记本电脑安全管理笔记本电脑应由被授权的使用人保管;对于需多人共用的笔记本电脑,应由部门负责人指定 专人保管。5.5.1 笔记本所带附件应由使用者本人或部门负责人指定专人保管。5.5.2 笔记本电脑使用时应防止恶意软件的侵害,在系统中应安装防病毒软件,并由使用人对其定 期升级,对系
9、统定期查杀,行政部负责监督。5.5.3 笔记本电脑在移动使用中,不得随意拉接网络,必要时需填写用户授权申请表向行政部 综合管理部 提出需求,经行政人力部综合管理部审批后方可接入网络。5.6 计算机安全使用的要求计算机设备为公司技术中心财产,应爱惜使用,按照正确的操作步骤操作。5.6.1 使用计算机时应遵循信息安全保密策略要求执行。5.6.2 员工办完入职手续后由行政人力部综合萱理部根据该员工权限需要开通服务器权限;离职 时,由行政人力部综合管理部办理注销账户。5.6.3 新域用户名为用户姓名的全拼(有重名时后面加数字加以区别),初始登录密码为员工编号。 用户在第一次登录系统时应变更密码,密码需
10、要设置在8位(英文字母、数字或符号组合的优质密 码)并注意保密。5.6.4 各人使用自己的账户登录,未经许可不得以他人用户名登录。若用户遗忘密码,应及时向行 政部申请新密码后登录。5.6.5 不得使用计算机设备处理正常工作以外的事务。5.6.6 计算机的软硬件设置管理由存政部综合管理部负责,未经许可,任何人不得更换。568行政人力部综合管理部负责初始软件的安装,严禁安装与工作无关的软件;严禁安装未经授权 的软件;严禁私自安装的各类代理软件;严禁私自启动某些系统服务(DHCPRAS);严禁安装任何类型 的黑客软件;任何人不得私自搭建、安装服务器类软件和任何对本部信息系统运转有影响的软件, 如因工
11、作要求 需要特别安装的,必须在存政部综合管理部申请备案;每台进入办公网络的终端计算 机都必须安装指定的杀毒 软件,并按照接受管理的方式安装,严禁员工私自卸载或删除企业版客户 端杀毒软件。计算机用户的软件安装与升级按照更改控制程序执行。拒绝使用来历不明的软件 和光盘。5.6.9 严禁乱拉接电源,以防造成短路或失火。严禁私拉网线、私用集线器及所有影响网络正常运 行的设备,计算机桌面要保持清洁,不得将秘密和(或)受控文件直接放置在桌面;计算机桌面必须 设置屏幕保护,恢复时需用密码确认(执行密码口令管理规定)。屏保由小司技术中心统一制作, 各部门负 责安装,行政人力部综合管理部进行监督。5.7 网络安
12、全使用的要求571对于网络连接供应商,应充分考虑其信誉和现有安全防范措施,在签署保密协议的基础上加 以筛选。对内设置必要的路由器防火墙,采用HTTP、的连接方式,捆绑固定IP地址防止权限滥用。6信息处理设施的日常点检计算机的日常点检日常点检的目的是确认系统硬件是否运行良好,有无硬件及程序上的报警,备份是否正常进行 等。点检的流程、责任、项目、点检周期和记录表详见系统日常点检业务手册。如出现在检查 期人员外出等不在岗情况,需要在返回工作岗位时,立即补充完善上述手册。6.1 网络设备的管理与维护点检的流程、责任、项目、点检周期和记录表详见系统日常点检业务手册。6.2 点检策略631所有存在于计算机
13、、网络设备上的服务、入侵检测系统、防火墙和其他网络边界访问控制系 统的系统审核、账号审核和应用审核日志必须打开,如果有警报和警示功能必须打开。632审核日志必须保存一定的期限,任何个人和部门不得以任何理由删除保存期之内的日志。6.2.3 审核日志必须由该系统管理员定期检查,特权使用、试图非授权的访问、系统故障和异常等 内容应该得到评审,以查找违背信息安全的征兆和事实。6.2.4 入侵检测系统必须处于启动状态,日志保存一定的期限,定期评审异常现象,对所有可疑或 经确认的入侵行为和入侵企图需及时汇报并采取相应的措施。6.2.5 日志的配置最低要求设备类型日志内容保存周期检查周期服务系统对外提供服务
14、的a)用户标识符(ID); b)登录 和注销事件;C)若可能, 终端位置;d)成功的失败 的登录试图。26个月W2周直接用于设计、存储、 检测的控制、管理和查 询系统212个月W2周全公司技术中心办公系26个月W5周部门内部服务器26个月W5周其他服务器26个月W5周防火墙和 路由器系统配置更改日志21个月W5周访问日志(方向、流量)21个月W5周VPN网关a)用户标识符(2);b)登录和注销事件;c)终端 位置;d)成功的失败的登 录试图。21周W1周入侵检测异常网络连接的时间、IP、23个月W5周系统入侵类型远程访问 系统a)用户标识符(ID);b)登录和注销事件;C)终端 位置;d)成功
15、的失败的登 录试图。23个月W5周6.2.6 行政入为部系统运维及IT服务部-IT管理员根据系统的安全要求确认其日志内容、保存周 期、检查周期,其最低要求不得低于上表的要求。如果因为日志系统本身原因不能满足上表的最低要求,需要降低标准的,必 须得到行政人力部负责人或管理者代表的批准和备案。6.2.7 系统运维及IT服务部行政人力部IT管理员配置日志系统,并定期检查日志内容,评审安全 情况。评审的内容包括:授权访问、特权操作、试图非授权的访问、系统故障与异常等情况,评审 结束应形成日志检查评审记录。6.3 维修服务的外包安全控制系统运维及IT服务部行政人力部应与厂商签订设备维护(维修)服务合同,
16、合同应包含信息 安全方面的特殊条款,例如签订保密协议。合同须明确服务的时间、范围、内容和记录保存条 款。6.3.3 对厂商现场维护有特殊安全要求时应填写用户授权申请表,进入机房的需要填写机房 出入登记表,由相关人员陪同方可进入。6.3.4 不接受厂商通过远程诊断端口进行远程维护访问授权。6.4 资料的保存设备的技术资料由设备所在的部门交由系统运维及IT服务部行政人力部保存并建立受控文 件和资料发放清单,以备日后查阅。6.4.3 设备厂商对设备进行维修后提供的维修(维护)记录单,由系统运维及IT服务部行政部保 存,以备日后查询。6.5 网络扫描工具的安全使用管理对网络扫描工具的使用,必须得到部门负责人以上领导的授权,并保存使用的记录。7其它要求涉及应用系统软件的开发(包括外包软件开发)的项目,还需执行系统开发与维护控制程序 的相关要求。8相关文件令系统开发与维护控制程序令 系统逻辑访问管理制度令 消防管理规定令 软件采购控制规定令 固定资产管理制度。 系统日常点检业务手册9记录记保存部门保存期限技术选型报告系统运维及IT服务3年调试故障履历部行政部3年硬件软件验收报告3年用户授权申请表政部行政部行政3年信息系统日常点检记录部行政部日志检查评审记录信息安全保密办公蚤行政部3年机房出入登记表3年受控文件和资料发放清单3年变更申请表*3年采购合同*3年3年