第一篇:国美公司信息系统安全管理分析
国美公司信息系统安全管理分析
一、国美公司的信息系统基本情况:
国美电器一直居于国内领先电器行业。来自中怡康的权威数据显示,2010年国美集团空调销售达600万套,据中国电子商会2006年以来对空调市场份额监测显示,国美集团空调复合增长一直保持行业领先水平,并持续稳居空调市场销售份额第一,是中国空调渠道的第一渠道。另外,国美集团率先在行业通过与上游厂家深度合作及大单采购、淡季打款等措施,国美集团终端空调零售价格在2011年继续保持低于其他渠道的竞争优势,并力争在2011年空调旺季来临之际,抑制空调价格上涨苗头,维持空调低价位水平。国美电器集团坚持“薄利多销,服务当先”的经营理念,依靠准确的市场定位和不断创新的经营策略,引领家电消费潮流,为消费者提供个性化、多样化的服务,国美品牌得到中国广大消费者的青睐。本着“商者无域、相融共生”的企业发展理念,国美电器与全球知名家电制造企业保持紧密、友好、互助的战略合作伙伴关系,成为众多知名家电厂家在中国的最大的经销商。国美之所以如此成功,是基于后台信息平台系统的建设为内部管理带来一系列变革性的影响。
沃尔玛给国美的最大启示,是它用于全球连锁管理的信息和物流配送系统。国美旨在建立“E连锁”(ERP系统管理)模式,以实现与供应商和市场信息的对接,在进货、销售、库存、售后服务等环节实现以客户为中心的协同效应。三星、海尔等供应商可以随时进入国美的ERP系统查看自己产品的销售进度和库存情况,同时,利用国美电器与消费者直接接触得来的市场信息,供应商可以更快地清除库存,生产适销对路的产品。
国美电器是家电产品的连锁销售企业,在日益激烈的竞争环境中,企业销售时对市场的需求和变化做出更快的回应决定着其生存的空间与活力。国美公司领导审时度势,于2003年花巨资请武汉金力软件有限公司为国美量身定做适合本企业的ERP系统,以更好地应对市场和对手的挑战。武汉金力软件有限公司派出ERP专家到国美考察后,经过一年的建立和改进,国美公司于2004年6月1日正式开始使用“金力供应链系统”。公司花巨资建立ERP系统,并建立国美的ERP小组长期服务,这样的目的就是要有一个真正和自身企业的经营特点相适应的企业资源管理系统,来对公司的经营、管理控制发挥重大作用。
基于对经济新形势和行业发展的判断,国美启动了以消费者需求为导向、以供需链全面整合为核心的新型商业模式转型,但要实现这一转型,必须首先打通企业内部、产业链各环节,实现信息流、物流、资金流的高度对接,因此全面升级信息化系统势在必行。在2007年国美就开始进行信息系统的选型,最终选择了SAP与惠普公司,并采用了SAP同时也是业界目前最高的信息化系统版本,在全球范围内国美是第一家应用该版本的零售企业。
国美电器于2011年12月1日宣布,国美集团领航者ERP Leader信息系统已经正式实施成功,国美ERP(企业资源计划)信息系统在行业内首次实现利润核算到单店以及全国库存共享。据了解,这一系统的成功升级将为国美加快推进商业模式变革搭建很好的后台基础,标志着国美率先进入了商品经营和客户经营的阶段。
国美新ERP系统首次在中国零售业实现了对单店、单品和个人的管理,同时在这一平台上,供应商可以共享包括市场基础数据、市场竞争信息、服务信息等在内的信息,实现了零
供信息的透明化、及时化、精准化和无缝对接。据介绍,ERP新系统上线后,国美在全球大型零售行业首次使用批次管理,实现对最小经营单位“门店”和产品全生命周期的管理,甚至细化到对单型号的全程管理。业内分析人士认为,该系统对于国美供应商而言是较大的利好消息,可帮助其控制库存,控制资金链风险。
新ERP系统在国美全面上线后,将把国美的物流、资金流、信息流统一起来进行管理,以最大限度地利用企业现有资源,实现企业经济效益的最大化。同时,对于消费来说,从消费缴款,到送货环节,也都将更加快捷便利,充分体现了“集中管理、分散经营,库存共用(资金共用、人员共用)、统一配送,规范服务、统一核算”的企业战略发展理念。新ERP系统实现了对物流能力、售后能力的实时管理,为一线销售人员提供了完整的服务能力信息,帮助他们能够准确按照客户需求确定送货和上门安装的时间,关于物流配送和送货服务的客户投诉率大幅降低。最大化地优化了资源、降低了成本。这些也都将在终端产品售价上体现出来。
二、国美公司的信息系统安全性分析:
SAP-ERP的功能涵盖了企业管理业务的各个方面,这些功能模块可以服务于各个不同的企业管理领域。因为SAP的庞大、复杂,如何管理和规避项目实施中的风险,实现相关的安全控制及数据安全往往是企业所面临的一个巨大挑战。统计数据显示,我国企业在ERP系统实施过程中,接近70%的预期目标不能实现。由于ERP系统的数据收集和使用方法都基于IT技术,计算机进行自动处理,比起手工,信息技术大大减少了信息审核所需的时间。在控制薄弱的系统里,在对企业经营造成重大影响之前很难发现错误或舞弊行为,尤其是在实时的分布式的系统里。国美公司做了银企互联,并且通过ERP系统直接付款。由于供应商客户账号的变动的风险则会导致付错款很难追回。因此对ERP系统的风险管理及审计变得尤为重要,以保证ERP系统足够安全,并得到合规控制。对于国美的ERP项目而言,风险存在于项目的全过程,包括项目规划、项目预准备、实施过程和系统运行。归纳起来,国美的SAP-ERP项目的风险主要有以下几方面:
1.缺乏规划或规划不合理:因为没有合适的,正确的规划,带来需求,销售过称的风险。其风险内容包括国美公司对产品需求缺少认同;做需求分析时缺少客户认同;客户没有优先需求,缺少有效的需求,销售变化管理过称;对需求,销售变化缺少相关分析,导致销售减少。
2.项目预准备不充分,导致实施的阶段结果偏离预期。表现为项目计划中的时间等与实际不符。若项目实施时间过长则会影响员工对于系统成功实施的信心、并影响业务的连续性;年末是家电销售的旺季可能会与年末年初财务部门的繁忙季节冲突,导致实施计划受阻;这些时间上的延长往往导致系统实施项目严重超预算。因此,国美应合理安排评估,达到销售与企业内部管理相协调。
3.系统安全设计不完善,存在系统被非法入侵的隐患;
灾难防范措施不当或不完整,容易造成系统崩溃。
三、风险解决与防范:
1、战略规划
随着社会的信息化,国美应制定一个五年的信息系统规划。规划好国美未来的发展战略,如何稳住现有市场,开阔潜在市场。ERP作为IT系统的重要组成部分,服务于企业的长期规划,是长期规划的手段和保证。ERP的目标源于IT系统规划,是评价ERP系统成败的基本标准,应依据IT系统规划,明确ERP系统的实施范围和实施内容。
2、项目预准备
国美现有的SAP-ERP系统虽然大伙好评,但也不免存在一些细致的不足,随着社会的进步期系统也应不断升级更新,确定硬件及网络方案、选择ERP系统和评估咨询合作伙伴是该阶段的三项主要任务,也是ERP系统实施的三大要素。
3、项目实施控制
硬件及网络方案直接影响系统的性能、运行的可靠性和稳定性;ERP系统功能的强弱决定企业需求的满足程度;咨询合作伙伴的工作能力和经验决定实施过程的质量及实施成效。在ERP系统实施中,国美应该采用项目管理技术对实施过程进行控制和管理。有效的实施控制表现在科学的实施计划、明确的阶段成果和严格的成果审核。此外,有效的控制还表现在积极的协调和通畅的信息传递渠道。实施ERP的组织机构部门之间协调和交流得好坏决定实施过程的工作质量和工作效率。
4、业务流程控制
国美的业务流程中的控制和监督环节保证ERP运行后,让各项业务处于有效的控制之中,避免人为损失。设计控制环节时,要兼顾控制和效率。过多控制环节和业务流程冗余势必降低工作效率。而控制环节不足将造成业务失控的风险。
5、项目实施结果
项目评估的结果是ERP实施效果的直接反映。正确地评价实施成果,离不开清晰的实施目标、客观的评价标准和科学的评价方法。目前普遍存在着忽视项目评估的问题。忽视项目评估将带来实施小组不关心实施成果这一隐患。这正是ERP项目的巨大风险所在。在实施效果分析基础上,国美还应更加关注消费者的售后反馈。
6、系统安全管理
每个系统的系统安全均包括:操作系统授权、网络设备权限、应用系统功能权限、数据访问权限、病毒的预防、非法入侵的监督、数据更改的追踪、数据的安全备份与存档,等等。目前,企业中熟练掌握计算机技术的人员较少,计算机接入Internet的也不多。因此,在实施ERP系统时,普遍存在着不重视系统安全的现象。诸如:用户不注意口令保密、超级用户授权多人等。缺乏安全意识的直接后果是系统在安全设计上存在着漏洞和缺陷。近年来,不断有报章披露银行或企业计算机系统被非法入侵的消息,这给企业敲响了警钟。从防范策略上看,另外国美自身也可以采取技术、管理、法律手段。
(一)技术手段
比如建立有效的防火墙防火墙;病毒防控企业网络系统;技术加密与认证密码技术。
(二)管理手段
强化安全保护意识,建立健全企业信息安全管理制度和操作规程制度加强计算机用
户管理企业应结合自身硬软件。
(三)法律手段
加强法律意识在网络环境下,企业的信息安全问题应该有相应的法律法规作为保障。落实法律责任采取系列措施防范企业信息安全隐患。
意外事故或灾难
水灾、火灾、地震等不可抗拒的自然灾害会给ERP系统带来毁灭性的打击。国美的SAP-ERP系统会因此遭到破坏直接造成业务交易的中断,给企业带来不可估量的损失。未雨绸缪的策略和应对措施是降低这一风险的良方。如建立远程备份和恢复机制;在计算机系统不能正常工作的情况下,恢复手工处理业务的步骤和措施。
来自血翅鹰
第二篇:公司信息系统安全管理办法
文章标题:公司信息系统安全管理办法
[找文章到☆好范文 wenmi114.com(http://www.xiexiebang.com/)一站在手,写作无忧!]
第一章总则
第一条为了保护有限公司计算机信息系
统安全,规范信息系统管理,合理利用系统资源,推进公司信息化建设,促进计算机的应用和发展,保障公司信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为公司生产经营服务。根据《中华人民共和国计算机信息系统安全保护条例》及有关法律、法规,结合公司实际情况,制定本规定。
第二条本制度所称的信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,保障应用系统的正常运行,以维护计算机信息系统的安全运行。
第二章硬件
第四条按照谁使用谁负责的原则,落实责任人,负责保管所用的网络设备和线路的完好。两人以上的用户,必须明确一人负责。
第五条计算机设备的日常维护由各部室、分公司负责。计算机设备和软件发生故障或异常情况,由局域网相关管理人员统一进行处理。
第六条按照作息时间准时开关机,及时处理有关文件,严禁使用公司计算机玩游戏、听音乐、看影碟等。
第七条计算机操作人员应保持计算机环境清洁,下班之前退出所有程序关闭计算机,切断插板电源后方可下班离开。
第八条各负责人应对计算机定时杀毒,对外来不明软盘,必须经过严格的病毒监测,方可使用;
第三章软件
第九条根据责任制,各部门、分公司配备的网络设备根据使用者落实到人,各责任人对于计算机的系统登陆必须设置帐号密码,严格控制非使用人员使用计算机
第十条责任人对自己的计算机要经常进行病毒检测与杀毒。严禁外单位人员操作信息系统,严禁使用外来盘片,以防泄密和病毒侵入。
第十一条操作计算机时不得使用一些危险性的命令,严禁使用分区及格式化硬盘等操作。
第十二条计算机操作人员不得随意在各终端及局域网上安装任何与工作无关的软件程序。各单位所使用的计算机和软件系统,除审批通过的管理软件外
第四章网络
第十三条联接局域网内的任何一台计算机不得直接或间接与国际互联网相联,如经发现,所带来的后果由用户责任人负担。
第十四条根据工作需求,批准联接国际互联网的相关部门,联接国际互联的计算机,严格与局域网分开,该计算机上使用的移动外设(U盘,移动硬盘,软盘)必须在经杀毒检测过后才可进入公司办公局域网使用。
第五章移动外设
第十五条凡公司发放的所有移动外设(U盘,移动硬盘,软盘等)只能在公司内部使用,不允许外借、存储私人资料或带离公司使用;
第十六条凡公司发放的所有移动外设(U盘,移动硬盘,软盘等),须定期杀毒;
第十七条外单位的移动外设,若需在本公司办公局域网内使用,必须先杀毒检测后方可使用;
第六章数据安全
第十八条严格按照保密要求操作,所有涉及信息系统操作的管理人员由公司统一发放系统登陆帐号,帐号专人专用,严禁泄漏口令和机密。
第十九条建立双备份制度,对重要资料除在电脑贮存外,还应拷贝到软盘或光盘上,以防病毒破坏或意外而遗失。
第七章附则
第二十条设备管理部有权对局域网络以及各单位计算机
进行定期检查或不定期抽查,凡有违反本制度的单位、部门或个人,由设备管理部报告中心领导,视情节对部门或个人给予适当的经济处罚和行政处分。
第二十一条本制度适用于联网各部室、分公司网络管理人员。
第二十二条本制度由设备管理部负责解释。
第二十二条本制度自公布之日起试行。
第七章考核
第二十三条以上规章制度如有违反,按200元/项考核责任单位,100元/项考核责任人;
第二十四条计算机未达到更换使用年限,而发生故障,进行过主要部件修理的,按修理价值30考核该计算机使用单位,按15考核该计算机的责任人。
计算机日常维护条例
总则
第一条为了确
保湖南湘钢洪盛物流有限公司计算机有效利用率,规范计算机使用,推进公司信息化建设,促进计算机的应用和发展,保障公司信息系统的正常运行,充分发挥信息系统在企业管理中的作用,更好地为公司生产经营服务。制定《计算机日常维护条例》,本条例适用于湖南湘钢洪盛物流有限公司所有办公用计算机。
第二条日常维护意为每日的计算机规范使用及保
养,湖南湘钢洪盛物流有限公司所有计算机根据使用者责任到人,日常维护由责任人完成。
硬件
第三条凡在使用中的计算机,均适用于本条例。
第四条按照作息时间准时开关机,无特殊情况不允许直接关闭计算机电源,或切断供电。
第五条不允许擅自打开机箱,更换计算机任何部件,若计算机发生故障,应及时联系设备管理人员,不得擅自修理,或请其他人修理。
第六条责任应保持计算机环境(办公室环境)清洁,下班之前退出所有程序方可关闭计算机,确定切断插板电源后方可下班离开。
软件
第七条每日开机前检查计算机有无异常,定期对计算机进行杀毒。
第八条不允许在计算机上安装非办公软件,影响计算机的使用。
《公司信息系统安全管理办法》来源于xiexiebang.com,欢迎阅读公司信息系统安全管理办法。
第三篇:信息系统安全管理方案
信息系统安全管理方案
信息系统的安全,是指为信息系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄漏,以保证系统连续正常运行。信息系统的安全方案是为发布、管理和保护敏感的信息资源而制定的一级法律、法规和措施的总和,是对信息资源使用、管理规则的正式描述,是院内所有人员都必须遵守的规则。信息系统的受到的安全威胁有:操作系统的不安全性、防火墙的不安全性、来自内部人员的安全威胁、缺乏有效的监督机制和评估网络系统的安全性手段、系统不能对病毒有效控制等。
一、机房设备的物理安全
硬件设备事故对信息系统危害极大,如电源事故引起的火灾,机房通风散热不好引起烧毁硬件等,严重的可使系统业务停顿,造成不可估量的损失;轻的也会使相应业务混乱,无法正常运转。对系统的管理、看护不善,可使一些不法分子盗窃计算机及网络硬件设备,从中牟利,使企业和国家财产遭受损失,还破坏了系统的正常运行。因此,信息系统安全首先要保证机房和硬件设备的安全。要制定严格的机房管理制度和保卫制度,注意防火、防盗、防雷击等突发事件和自然灾害,采用隔离、防辐射措施实现系统安全运行。
二、管理制度
在制定安全策略的同时,要制定相关的信息与网络安全的技术标
准与规范。技术标准着重从技术方面规定与规范实现安全策略的技术、机制与安全产品的功能指标要求。管理规范是从政策组织、人力与流程方面对安全策略的实施进行规划。这些标准与规范是安全策略的技术保障与管理基础,没有一定政策法规制度保障的安全策略形同一堆废纸。
要备好国家有关法规,如:《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》、《商用密码管理条例》等,做到有据可查。同时,要制定信息系统及其环境安全管理的规则,规则应包含下列内容:
1、岗位职责:包括门卫在内的值班制度与职责,管理人员和工程技术人员的职责;
2、信息系统的使用规则,包括各用户的使用权限,建立与维护完整的网络用户数据库,严格对系统日志进行管理,对公共机房实行精确到人、到机位的登记制度,实现对网络客户、IP地址、MAC地址、服务帐号的精确管理;
3、软件管理制度;
4、机房设备(包括电源、空调)管理制度;
5、网络运行管理制度;
6、硬件维护制度;
7、软件维护制度;
8、定期安全检查与教育制度;
9、下属单位入网行为规范和安全协议。
三、网络安全
按照网络OSI七层模型,网络系统的安全贯穿与整个七层模型。针对网络系统实际运行的TCP/IP协议,网络安全贯穿于信息系统的以下层次:
1、物理层安全:主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰等)。
2、链路层安全:需要保证网络链路传送的数据不被窃听。主要采用划分 VLAN、加密通讯(远程网)等手段。
3、网络层安全:需要保证网络只给授权的用户使用授权的服务,保证网络路由正确,避免被拦截或监听。
4、操作系统安全:保证客户资料、操作系统访问控制的安全,同时能够对该操作系统的应用进行审计。
5、应用平台安全:应用平台之建立在网络系统上的应用软件服务器,如数据服务器、电子邮件服务器、WEB服务器等。其安全通常采用多种技术(如SSL等)来增强应用平台的安全系统。
6、应用系统安全:使用应用平台提供的安全服务来保证基本安全,如通过通讯双方的认证、审计等手段。
系统安全体系应具备以下功能:建立对特等网段、服务的访问控制体系;检查安全漏洞;建立入侵性攻击监控体系;主动进行加密通
讯;建立良好的认证体系;进行良好的备份和恢复机制;进行多层防御,隐藏内部信息并建立安全监控中心等。
网络安全防范是每一个系统设计人员和管理人员的重要任务和职责。网络应采用保种控制技术保证安全访问而绝对禁止非法者进入,已经成为网络建设及安全的重大决策问题。
明确网络资源。事实上我们不能确定谁会来攻击网络系统,所以作为网络管理员在制定安全策略之初应充分了解网络结构,了解保护什么,需要什么样的访问以及如何协调所有的网络资源和访问。
第四篇:信息系统安全管理规范
信息系统安全管理规范
1、目标
此文档用于规范公司业务系统的安全管理,安全管理所达到的目标如下:
确保业务系统中所有数据及文件的有效保护,未经许可的用户无法访问数据。对用户权限进行合理规划,使系统在安全状态下满足工作的需求。
2、机房访问控制
机房做为设备的集中地,对于进入有严格的要求。只有公司指定的系统管理员及数据库管理员才有权限申请进入机房。系统管理员及数据库管理员因工作需要进入机房前必须经过公司书面批准。严格遵守机房管理制度。
3、操作系统访问控制
保护系统数据安全的第一道防线是保障网络访问的安全,不允许未经许可的 用户进入到公司网络中。第二道防线就是要控制存放数据及应用文件的主机系统 不能被未经许可的用户直接访问。为防止主机系统被不安全访问,采取以下措施: 操作系统级的超级管理用户口令、数据库管理用户口令、应用管理用户口令 只能由系统管理员设定并经办公室审核,1个月做一次修改,口令要向其他人员 保密。在应用系统实施阶段,考虑到应用软件提供商需要对自己的产品进行调试,可以在调试时将应用管理用户口令暂时开放给应用软件提供商; 调试一结束系统 管理员马上更改口令。对口令设定必需满足以下规范: 最多允许尝试次数 口令最长有效期 口令的最大长度 口令的最小长度 5 30 天 不受限 6 口令的唯一性要求。
4、系统的安全控制
最近三次所更改的口令不能相同 通过口令控制及对象的安全控制实现。
5、数据库访问控制
为有效的保障业务数据的安全,采取以下措施:
数据库内具有较高权限的管理用户口令由办公室数据库管理员设定,并由办公室审核,不能向其他人开放。口令必须1个月做一次修改。业务系统后台数据库对象创建用户的口令由办公室数据库管理员设定,由办公室审核。不能向其他人开放。口令必须 1 个月做一次修改。
对口令设定必需满足以下规范:
口令最长有效期 口令的最大长度 口令的最小长度 口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同 根据操作需求,在数据库中分别建立对业务数据只有“增、删、改”权限的用户;对业务数据只有“查询”权限的用户。不同的操作需求开
放不同权限的用 户。除办公室门的人员外,其他部门的任何人员均没有权限从后台数据库直接进行数据的“增、删、改”操作 对于业务必须的后台 job 或批处理,必须由办公室门人员执行。
6、应用系统访问控制
应用系统访问依靠系统内部定义的操作用户权限来控制,操作用户权限控制到菜单一级,对于操作用户的安全管理有如下规范:
所有应用级的操作用户及初始口令统一由办公室门设定,以个人邮件的形式分别发给各部门的操作人员。各部门操作人员在首次登录时必须修改口令,口令必须1个月做一次修改。
对于口令设定必需满足以下规范:
口令最长有效期 口令的最大长度口令的最小长度口令的唯一性要求 30 天 不受限 6 最近三次所更改的口令不能相同操作人员不能将自己的用户及口令随意告诉他人所有使用者的认可都由系统管理员来逐一分配。必须由部门经理提交访问权认可的申请表,然后由办公室批准。当应用系统中需要加入新的使用者时,首先使用者需要填写“权限申请表”。该申请表应该得到部门经理和办公室的共同批准。之后,IT 系统管理员会帮助 应用系统的使用者开通账户,并建立相应的访问等级和权限。当应用系统需要关闭某位使用者的账户时,首先该部门应该填写“权限申请 表”,并得到部门经理和办公室的共同批准。之后,IT 系统管理员会帮助应用系 统使用者关闭该账户。大多数的主文件都会与审查日志一起更新。使用者号码、处理日期以及时间 将写入日志,以备今后查询之用。
7、个人义务
如果技术上可行,每一位使用者都应该通过一个唯一的使用者身份号码来识别,该号码设有密码,并不得与任何人共享。使用者的身份号码意味着不允许存在公共使用。然而,支持网关和服务器的设备是一个例外,例如:互联网服务器等。只有得到 IT 经理的批准,才能使用这些公共使用身份号码。使用者不得与他人共享密码。如果已经告知了他人,那么使用者将对他人利 用密码所做的任何行为的后果负责。若使用者怀疑他的密码已经被泄露了,那么他应该尽快更换密码。并应该在 第一时间向 IT 系统管理员汇报。3使用者不应该书面记录下密码,并放在别人可以轻易看到的地方。密码不得设置成特定词汇或其他能被轻易猜到的字词。类似姓名、电话号码、身份证号、生日等都是不合格的密码。使用者不得向他人泄漏密码。如果 IT 技术支持人员要求运用使用
者的号码 访问,则必须当着使用者的面登录。如果使用者泄漏了密码,则必须尽快更改密 码。如果他们因诱骗而泄漏了密码,则必须尽快向 IT 系统管理员汇报。如果使用者怀疑我们信息系统的安全性受到威胁,则必须尽快向 IT 系统管 理员汇报。使用者对他们自己输入系统的数据的精确性负责,同时也对他们指示系统开发下载到我们系统上的数据的精确性负责。他们必须尽力保证数据的准确性。如 果发现错误,并且自己能够修改的话,则应该将其改正。如果自己改正不了,则应该向他们的主管汇报。如果是在源文件发现数据错误,则应该尽快改正这些错误,而不是故意将这些错误输入我们的电脑系统。使用者在离开终端机器或电脑以前必须下线,这一点应该强制执行。如果是 在使用不带下线功能的单机个人电脑,则必须在离开电脑前终止程序。只有当执 行批处理任务时是例外。当使用者的工作职责有变动时,他的访问权也应该作相应的变更。部门经 理应该及时递交“权限申请表”以通知 IT 系统管理员。特别是在员工辞职的情 况下,他/她的部门经理以及人事部经理应该及时通知 IT 系统管理员,以保证在 最短的时间内撤销他/她的系统访问权。
8、局域网和广域网安全
在可能的情况下,我们都应将端口转换到使用者的个人电脑。如果没有足够的转换,已转换的端口将根据以下优先等级来分配:
需要带宽的使用者可以访问机密数据的使用者职务等级,例如:公司领导优先于管理员,管理员优先于经理,依此类推。所有的访问我们本地网络的端口只有在部门经理指定授权使用者时才可以 开通。因此,在公共区域(例如:会议室)的访问端口只能在使用时开通。4 交换机位于数据中心,对该中心的物理访问应该控制。除了授权的 IT 支持人员以外,任何使用者都不得在公司办公地点的个人电脑上安装任何带有数据包监听、端口或地址扫描功能的软件。IP 地址只能由经授权的 IT 支持人员来分配。使用者不得自行分配他们的 IP 地址。所有的交换机、路由器、互联网服务器以及防火墙都应该设置密码,此密码 不得为原厂密码。交换机、路由器、互联网服务器以及防火墙的所有不同等级的密码都应该记 录在案。IT 经理应该保留一个备份。所有服务器的管理员密码和主管密码都应该记录在案。IT 经理应该保留一 个备份。对于交换机、路由器、网络集线器以及服务器的结构等级的访问应该只限授 权的 IT 支持人员。关于安全的信息以及通往网络的网关的保护机制应该只有授权的 IT 支持人 员知道。所有的交换机和路由器都应该由非间断电原提供至少 60 分钟的电源供应。如可能,非间断电源供应机应该轮流由一台备用的发电机来充电。只有经授权的使用者才允许安装和使用
网络发明和监控工具。
第五篇:国家电网公司信息系统安全管理办法
国家电网公司信息系统安全管理办法
第一章 总 则
第一条 为加强和规范国家电网公司(以下简称公司)信息系统安全工作,提高公司信息系统整体安全防护水平,实现信息系统安全的可控、能控、在控,依据国家有关法律、法规、规定及公司有关制度,制定本办法。
第二条 本办法所称信息系统指公司一体化企业级信息系统,主要包括一体化企业级信息集成平台(以下简称“一体化平台”)和八大业务应用。“一体化平台”包含信息网络、数据交换、数据中心、应用集成和企业门户;“业务应用”包含财务(资金)管理、营销管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理业务应用。电力二次系统安全防护遵照国家电力监管委员会5号令《电力二次系统安全防护规定》及其配套文件《电力二次系统安全防护总体方案》执行。
第三条 信息系统安全主要任务是确保信息系统持续、稳定、可靠运行和确保信息内容的机密性、完整性、可用性,防止因信息系统本身故障导致信息系统不能正常使用和系统崩溃,抵御黑客、病毒、恶意代码等对信息系统发起的各类攻击和破坏,防止信息内容及数据丢失和失密,防止有害信息在网上传播,防止公司对外服务中断和由此造成的电力系统运行事故。
第四条 公司信息系统安全坚持“分区、分级、分域”总体防护策略,执行信息系统安全等级保护制度。管理信息网络分为信息内网和信息外网,实现“双机双网”,信息内网定位为公司信息化“SG186”工程业务应用承载网络和内部办公网络,信息外网定位为对外业务网络和访问互联网用户终端网络。信息内、外网之间实施强逻辑隔离的措施。电力二次系统实行“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略。
第五条 在规划和建设信息系统时,信息系统安全防护措施应按照“三同步”原则,与信息系统建设同步规划、同步建设、同步投入运行。
第六条 本办法适用于公司总部,各区域电网、省(自治区、直辖市)电力公司和公司直属单位(以下简称各单位)的信息系统安全管理工作。
第二章 信息系统安全管理职责
第七条 公司信息系统安全管理实行统一领导、分级管理。各单位主要负责人是本单位信息系统安全第一责任人,各单位信息化领导小组负责本单位信息系统安全重大事项决策和协调工作。
第八条 信息系统安全纳入公司安全管理体系,实行专业管理、归口监督。公司信息化工作部是信息系统安全的管理部门,负责管理信息大区(信息内网和信息外网)的安全保障,国家电力调度通信中心负责电力二次系统特别是生产控制大区系统的安全保障,安全监察部负责公司信息系统安全监督工作。第九条 公司信息化工作部主要职责:
(一)落实国家有关信息系统安全法规、方针、政策、标准和规范,联系国家有关部门落实信息系统安全管理相关工作;
(二)组织制定公司信息系统安全管理规章制度和标准规范;
(三)指导、协调和检查各单位信息系统安全工作,组织落实公司信息系统等级保护制度,统筹开展公司信息系统风险评估和安全检查工作;
(四)负责信息系统二级以下事故的调查和处理(公司信息系统安全事件描述见《国家电网公司信息系统事故调查与统计规定》);协助信息系统一级、二级事故的调查和处理;
(五)在公司应急体系框架内,负责公司信息系统应急管理相关工作;
(六)开展涉密计算机网络和系统立项、设计和建设,做好信息系统安全与保密检查;
(七)负责规范公司信息系统安全产品的测评和选型工作。第十条 公司安全监察部主要职责:
(一)负责公司信息系统安全全过程监督检查;
(二)负责信息系统一级、二级事故的调查和处理;
(三)负责监督公司信息系统应急管理工作落实;
(四)负责归口统计信息系统安全事故。第十一条 国家电力调度通信中心主要职责:
(一)负责制定电力二次系统管理制度,负责制定公司电力二次系统安全防护方案及应急处理预案;
(二)负责审核下级电力二次系统安全防护实施方案和应急处理预案,负责电力二次系统信息系统安全事故的调查和处理;
(三)配合完成国家有关部门对公司电力二次系统开展的信息系统安全检查、等级保护制度落实等各项工作。
第十二条 业务应用部门主要职责:
(一)配合开展业务应用系统安全等级定级工作;
(二)配合开展业务应用系统安全测评、安全检查和风险评估等工作;
(三)负责或配合开展业务应用使用人员的有关信息系统安全和保密培训工作;
(四)协助开展业务应用人员办公计算机安全管理。第十三条 各单位主要职责:
(一)负责贯彻落实国家有关信息系统安全法规、方针、政策、标准和规范,贯彻落实公司信息系统安全相关规章制度和技术标准,建立健全本单位信息系统安全标准制度和规范体系;
(二)负责落实本单位范围内信息系统安全工作责任制;
(三)在公司信息职能管理部门指导下,落实本单位信息系统等级保护制度、信息系统风险评估和安全检查等工作;
(四)按公司信息系统应急体系要求建立本单位信息系统应急体系,组织本单位信息系统安全突发事件的应急处理;
(五)负责明确本单位信息系统安全运行维护部门或机构,落实信息系统安全运行维护日常工作,具体落实信息系统安全等级保护和安全策略;
(六)组织本单位信息系统安全的宣传和培训。
第三章 管理措施
第十四条 不断建立健全信息系统安全管理制度体系,通过操作规程实现安全管理和操作人员的标准化作业;定期对信息系统安全管理制度进行检查和审定,对存在不足或需要改进的安全管理制度及时进行修订。
第十五条 明确安全管理机构,设立系统管理员、网络管理员、安全管理员等岗位,并明确各岗位职责。应加强信息系统安全管理人员之间、信息职能部门和业务部门之间的合作与沟通,定期或不定期召开协调会议,共同协作处理信息系统安全问题。
第十六条 严格遵守“涉密不上网、上网不涉密”纪律,严禁将涉密计算机与互联网和其他公共信息网络连接,严禁在非涉密计算机和互联网上存储、处理国家秘密。严禁在信息外网计算机上存储和处理涉及企业秘密的信息。严禁涉密移动存储介质在涉密计算机和非涉密计算机及互联网上交叉使用。
第十七条 严格信息系统安全工作人员录用过程,审查其身份、背景、专业资格,关键岗位应签署保密协议;及时终止离岗员工的所有访问权限;严格外部人员访问程序,对允许访问人员实行专人全程陪同或监督,并登记备案。第十八条 严格按照国家有关部门要求,开展公司网络与信息系统定级、审批、备案工作。针对确定的网络与信息系统安全等级,要根据等级保护有关要求,落实必要的管理和技术措施,严格执行等级保护制度。
第十九条 新建信息系统涉及安全防护措施建设,应明确安全需求,确定安全等级,结合公司安全防护总体策略,进行安全防护方案设计;根据国家有关规定和坚持鼓励使用国产化产品原则,开展安全产品采购,必要时开展产品预先选型测试;加强软件开发管理,确保开发环境与实际运行环境安全隔离;委托有资质的第三方测试单位对系统进行安全性测试,并出具安全性测试报告;对测试不符合要求的,在整改后要重新测试。系统试运行前,要开展相关安全培训。
第二十条 加强信息系统运行维护全过程管理:
(一)严格执行信息机房管理有关规范,确保机房运行环境符合要求,严格机房出入管理。要编制信息系统资产清单,建立资产管理制度,根据资产重要程度对资产进行标识。
(二)对信息系统软硬件设备选型、采购、使用等实行规范化管理,建立相应操作规程,对终端计算机、工作站、便携机、系统和网络等设备实行标准化作业。强化存储介质存放、使用、维护和销毁等各项措施。
(三)按照最小服务配置和最小授权原则,对安全策略、安全配置、日志和操作等方面做出具体规定,明确各个角色的权限、责任和风险;详细记录日常操作、运行维护记录、参数设置和修改等内容,严禁任何未经授权的操作;定期开展运行日志和审计数据分析工作,及时发现异常行为。及时根据需要进行软件升级更新,并在更新前做好备份;定期进行漏洞扫描,及时发现安全漏洞并进行修补;及时安装补丁程序,在安装补丁前做好测试和备份工作。
(四)及时升级防病毒软件,加强全员防病毒、木马的意识,不打开、阅读来历不明的邮件;要指定专人对网络和主机进行恶意代码检测并做好记录,定期开展分析;加强防恶意代码软件授权使用、恶意代码库升级等管理。
(五)严格系统变更、系统重要操作、物理访问和系统接入申报和审批程序,建立健全变更管理制度。保证所有与外部系统的连接均得到授权和批准,进行必要的安全隔离,配置严格的访问控制策略,开展必要的安全评估。
(六)建立和执行密码使用管理制度,使用符合国家密码管理规定的密码技术和产品。
(七)对信息网络与系统运行状况等进行监测和报警;定期对监测和报警记录进行分析,根据需要采取必要的应对措施;应建立安全管理中心,对安全设备、恶意代码、补丁升级、安全审计等安全设施进行集中管理。
(八)严格按照有关信息系统事故调查规定,及时报告信息系统事故情况,认真开展信息系统事故原因分析,坚持“四不放过”原则,有效落实整改,确保类似事故不再发生。严格执行有关公司网络与信息系统安全运行情况通报制度,做好定期、节假日和特殊时期的网络与信息系统安全运行情况报送工作。第二十一条 严格执行公司有关信息系统安全风险评估管理规定,切实将信息系统安全风险评估工作常态化和制度化,及时落实整改,及时消除信息系统安全隐患。根据国家和公司要求,定期开展信息系统安全检查工作,做好特殊时期安全检查和安全保障工作。
第二十二条 不断完善应急预案,加强培训和演练,确保人力、设备等应急保障资源可用。
第二十三条 建立备份与恢复管理相关安全管理制度,严格控制数据备份和恢复过程,妥善保存备份记录,定期执行恢复程序。要切实根据需要开展业务应用容灾系统建设。
第二十四条 切实加强网络信任体系建设规划工作,不断完善公司安全认证系统相关技术标准和功能规范。强化信任体系应用工作,做好信息系统统一身份认证,以及重要信息的加密和签名工作。第二十五条 切实加强员工信息系统安全培训,提高全员信息系统安全意识;强化信息系统安全人员专业技能培训,做到培训工作有计划、有总结,培训效果有评价。要对关键岗位人员进行全面、严格的安全审查和技能考核,对在信息系统安全工作中做出显著成绩的单位和人员应给予奖励和表彰。对违反国家法律、法规和公司有关规定,造成一定不良影响和后果的,要追究其责任。
第四章 技术措施
第二十六条 根据国家和公司有关规定,对机房建筑设置符合要求的避雷装置、灭火和火灾自动报警系统;采取防雨水措施,防止雨水、水蒸气结露和地下积水;设置温、湿度自动调节设施,控制机房温、湿度在设备运行所允许范围之内,保证双路供电,电源线和通信电缆应隔离,避免互相干扰;采用接地方式防止外界电磁干扰和设备寄生耦合干扰。
第二十七条 加强网络安全技术工作:
(一)网络核心交换机、路由器等网络设备要冗余配置,合理分配网络带宽;建立业务终端与业务服务器之间的访问控制;根据需要划分不同子网;对重要网段采取网络层地址与数据链路层地址绑定措施。
(二)采用防火墙或入侵防护设备(IPS)对内网边界实施访问审查和控制;对进出网络信息内容实施过滤,对应用层常用协议命令进行控制,网关应限制网络最大流量数及网络连接数。严格拨号访问控制措施。
(三)加强内部用户私自访问外部网络行为的检测工作,要能够及时发现,准确定位,有效阻断;对重要网段,应采用入侵检测系统进行监控,对入侵事件及时提供报警。
第二十八条 加强系统安全技术工作:
(一)对操作系统和数据库系统用户进行身份标识和鉴别,具有登录失败处理,限制非法登录次数,设置连接超时功能;用户访问不得采用空账号和空口令,口令要足够强健,长度不得少于8位。
(二)严格限制匿名用户的访问权限;实现操作系统和数据库系统特权用户访问权限分离,对访问权限一致的用户进行分组,访问控制力度应达到主体为用户级,客体为文件、数据库表级。
(三)控制单个用户的多重并发会话和最大并发连接数,限制单个用户对系统资源、磁盘空间的最大或最小使用限度,当系统服务水平降低到预先规定的最小值时,应能检测并报警。
第二十九条 严格网络、系统安全审计工作,安全审计系统应定期生成审计报表,自动进行备份,审计记录应受到保护,避免删除、修改或破坏。第三十条 重要和敏感信息实行加密传输和存储;对重要信息实行自动、定期备份;对门户网站页面,要具有防篡改机制和措施。第三十一条 严格用户帐号及口令管理,使用强健复杂口令,定期更换口令,杜绝使用空口令;定期开展用户终端计算机数据备份工作,及时安装系统补丁程序,及时更新杀病毒程序,加强移动存储介质管理。
第五章 附则
第三十二条 本办法由国家电网公司信息化工作部负责解释并督促执行。第三十三条 各单位可根据本办法制定实施细则,报国家电网公司备案。第三十四条 本办法自印发之日起执行。
点击咨询 