??????? 1)電腦密碼管理:每個員工擁有一個公司內(nèi)部計算機登錄帳戶。新員工申請帳戶時需要向網(wǎng)絡管理員提供姓名、部門���、職位等信息����,網(wǎng)絡管理員將在一天內(nèi)將賬戶信息通知其本人。公司所有用戶在分配到工作電腦時,應首先更改自己的電腦登錄密碼,并將個人登錄密碼在信息管理部登記���,若更改密碼后����,未進行登記���,一經(jīng)信管部發(fā)現(xiàn)����,將對該用戶進行口頭警告���。同時����,因沒有及時向信管部備案造成的電腦故障問題或文件丟失等問題�����,信管部不承擔責任���。
??????? 2)應用系統(tǒng)密碼管理:所有ERP用戶及OA用戶都將分配到一個帳號密碼��,帳號是不變的���,用戶可以更改自己的系統(tǒng)密碼,密碼盡可能設置為高安全性的復雜密碼����,嚴禁用戶將密碼設置為如123456等傻瓜式密碼,若密碼設置過于簡單���,被其他用戶非法登陸后���,在ERP中將會非法編制篡改單據(jù)��,在OA中非法冒用流程管理權限�,若產(chǎn)生此情況����,將會導致嚴重的后果;嚴禁將ERP帳號或OA帳號密碼透露給他人���,讓他人代己做ERP單據(jù)或辦理OA流程�;員工調(diào)離崗位或離職�,所在部門負責人應及時通知信管部注銷該員工的應用系統(tǒng)帳戶。若因以上原因造成的信息安全后果將由本人承擔����。
??????? 3)采用用戶身份認證系統(tǒng):目前我公司登陸服務器采取的是靜態(tài)密碼認證,這種密碼保護技術是最低層次的��。在企業(yè)內(nèi)���,容易被其他部門人員注意到服務器登陸密碼�����,從而可能會被動機不良的員工登陸到服務器�����,破壞服務器數(shù)據(jù)�;在企業(yè)外��,容易遭到黑客字典掃描破解密碼�����,從而攻擊各應用服務器���,破壞或盜取商業(yè)數(shù)據(jù)等�����。因此����,我部門在未來的發(fā)展規(guī)劃中���,要將用戶身份認證當作安全的一個重大隱患���,想辦法解決這個問題��。
??????? 這里���,我們可以采取動態(tài)口令牌或USB KEY認證技術,并選擇其中一種技術與公司現(xiàn)有的靜態(tài)密碼技術相結合�,動態(tài)口令牌隨機生成動態(tài)密碼,并于60秒內(nèi)自動刷新密碼���,無法采用數(shù)據(jù)字典掃描破解密碼�,讓黑客攻擊行為束手無策���;而USB KEY采用USB密鑰�����,存儲特定的加密算法���,只有將USB鑰匙接上電腦,與電腦中存儲的認證軟件驗證通過后�����,才能進入。我們通過(動態(tài)+靜態(tài))混合身份認證���,或(硬件+軟件)混合身份認證�,保證服務器的登陸基于網(wǎng)內(nèi)的行為����、網(wǎng)外的行為都是安全的�����。
??????? 4..殺毒軟件安全管理�����。
??????? 用戶使用的殺毒軟件和防火墻已經(jīng)設置好自動調(diào)度更新和病毒庫升級���,每日定時殺毒����,使用者也應經(jīng)常手動掃描殺毒�����。
??????? 5.各類軟件安全管理。
??????? 軟件原始盤片應交綜合部保管�,軟、硬件設備的原始資料(軟盤����、光盤、說明書及保修卡�����、許可證協(xié)議等)交綜合部保管���。保管應做到防水��、防磁�����、防火���、防盜。使用者必需的操作守冊由使用者長借�����、保管。
??????? 6.郵件安全管理�����。
??????? 所有因公對外聯(lián)系的電子郵件一律通過公司郵箱info@zxtr.com或tech@th-ee.com 或info@th-ee.com <mailto:或info@th-ee.com>在指定的電腦上進行收發(fā)���。(參考郵箱管理制度)
??????? 綜上所述����,使用者應該具有一定的安全防范意識�,具體應做到:
??????? 日常工作信息安全:
??????? 1)員工應對在自己公司電腦內(nèi)公司機密信息的安全負責����,當需暫時離開座位時必須立即啟動屏幕保護程序并帶有密碼。
??????? 2.)員工有責任正確地保護分配給本人的所有計算機帳戶��。
??????? 3.)各部門經(jīng)理及人事部應及時向信息管理部提供本部門及公司員工的人事及職位變動信息�。
??????? 4)每臺公司電腦內(nèi)必須安裝反病毒軟件并啟動實時掃描程序。信息管理部可以提供最新殺毒軟件�。
??????? 5)不得安裝有可能危及公司計算機網(wǎng)絡的任何軟件,若實在有需要進行軟件測試的必須將計算機脫離公司計算機網(wǎng)絡進行單機操作���。
??????? 6)任何對公司內(nèi)部計算機網(wǎng)絡的黑客行為是絕對禁止的��,一經(jīng)查實將按公司有關規(guī)定嚴肅處理��。
??????? 假期時間辦公室的安全: 確保工作電腦的安全��,在你離開之前的一周內(nèi)備份你的文件��。在你即將離開之際確保你的電腦關機并設有開機密碼���,其它信息管理部設備的電源也必須切斷�。
??????? 確保數(shù)據(jù)的安全:確保你的軟盤��,備份數(shù)據(jù)源和所有機密文件被妥善鎖好�。公司高度秘密和秘密信息在不用時必須總是被保存在設有密碼鎖或鑰匙的柜中。公司的機密信息必須存放在鎖上的辦公桌或文件柜中���。
??????? 當你在外的時候:不要在任何地方談論公司的機密信息��。公司的競爭對手成員也可能在休假�,而且總在探聽我們公司的消息����。任何小小的信息都可能是他們所需要的。
??????? 當你回來的時候:如果你發(fā)現(xiàn)在安全方面有任何可疑之處都要向公司有關方面進行匯報。報告任何意外對于正確調(diào)查和阻止任何更進一步錯誤的行為是很重要的����。
??????? 常規(guī)注意事項
??????? 1)任何外來盤片(包括CD、VCD碟片及軟盤)���,只有經(jīng)過系統(tǒng)管理員確認不帶病毒后�����,才可在公司計算機上使用.否則造成病毒感染或其他破壞的�����,公司將對其責任人進行罰款處理���,每次金額50元~500元�。
??????? 2)個人未經(jīng)公司領導允許不得擅自將公司保密的商務資料、技術文件輸出�,若需輸出必須履行審批手續(xù)。申請人填寫申請單�����,寫明輸出資料內(nèi)容、份數(shù)�、路徑、用途�����、申請日期����、申請人等項目,經(jīng)部門領導和公司領導共同簽字審批后���,交由專人上機操作�����。
??????? 3)未經(jīng)系統(tǒng)管理員許可����,不得從因特網(wǎng)上下載任何軟件安裝��,系統(tǒng)管理員將不定期檢查����,發(fā)現(xiàn)有違反本條規(guī)定的,將給予50元~500元的罰款。
??????? 4)嚴禁在工作時間利用計算機網(wǎng)絡從事與本職工作無關的活動��,發(fā)現(xiàn)有違反本條規(guī)定的����,將給予50元~200元的罰款。
??????? 三�����、細則:從各部門級出發(fā)����,針對這些信息隱患制訂安全防范措施。
??????? 1.采購部的安全處理措施如下:
??????? 1)采購招標的安全管理�����。
??????? 由采購部門編寫招標計劃���,經(jīng)部門負責人簽字后,上報總經(jīng)理審批���,總經(jīng)理根據(jù)生產(chǎn)過程的物料需求及原有的物料采購價格決定是否需要尋找新的貨源�,若審批同意后,采購部才可以開展招標工作�。采購部門制定招標邀請書,邀請眾多有法人資格����、供貨條件的單位參與我公司的招標活動。在發(fā)標書的過程中����。采購部應遵守下列原則:①招標的公開性:對于采購的招標信息應該公開;評標的標準和程序應該公開����;中標的結果應該公開。②招標的公平與公正:對待各方投標者一視同仁����,不得對任何投標方帶有主觀意見。③招標的保密性:采購部人員嚴禁以任何形式向投標方透露招標的意向�。評標完成后提交評標報告給總經(jīng)理,最后由總經(jīng)理中標�����、授標�。
??????? 2)采購價格及供應商的信息安全保密�����。
??????? 采購信息的保密要求采購部所有人員不得以任何形式向其他部門或外部人員透露物料采購的價格���,嚴禁向他人透露各種物料的供貨來源。采購部門人員要隨時檢查個人辦公區(qū)域的文件資料是否存放好��,防止因打印的采購價格表和供應商聯(lián)絡單沒有存放好����,導致采購信息資料外泄。要求部門人員要嚴格保管好工作紙質(zhì)文件��,同時一定要在電腦中設置帶密碼的屏幕保護確保價格信息與供應商資料的電子信息安全��。
??????? 2.客服部有如下工作存在安全隱患:
??????? 1)及時向甲方傳遞發(fā)貨信息與到貨信息�。
??????? 2)甲方基地發(fā)貨及庫存統(tǒng)計:記錄甲方發(fā)往各風場的數(shù)據(jù),盤點甲方各基地庫存數(shù)����;
??????? 3)總經(jīng)辦工作安排。
??????? 以上存在的安全隱患及處理措施如下:
??????? A)發(fā)貨��、到貨���、現(xiàn)場庫存信息安全���。
??????? 客服部人員在統(tǒng)計往風場發(fā)貨及現(xiàn)場庫存的時候,可能會因為客服部盤點疏忽��,最終統(tǒng)計的庫存結果不準確�。這會造成公司的發(fā)貨信息與現(xiàn)場到貨數(shù)量不一致,從而得迅速查找整個發(fā)貨到貨流程的出錯環(huán)節(jié)����;甚至會因為庫存統(tǒng)計的不準確,延遲發(fā)貨到貨時間�����,導致現(xiàn)場庫不能及時向風場發(fā)貨���,從而影響客戶的業(yè)務��?���?头楷F(xiàn)場人員必須每日在OA中編寫日記�,以便部門領導能隨時掌握此現(xiàn)場人員的工作動態(tài)���,現(xiàn)場人員要認真盤點到貨數(shù)量及現(xiàn)場庫存信息,在現(xiàn)場與甲方進行每月����、每季、每年度的數(shù)據(jù)核對��,確保到貨數(shù)量與發(fā)貨數(shù)量一致�,并隨時向部門負責人匯報。
??????? B)總經(jīng)辦的日程安排管理����。
??????? 在實際的工作中,總經(jīng)理因工作繁忙暫時不在公司�,一些待辦理的工作無法通過審核?�?头控撠熑艘私饪偨?jīng)辦的行程���,并確保行程不被泄露����,保證總經(jīng)理的其他事務不會受到打擾�,在總經(jīng)理方便時���,提醒總經(jīng)理處理一些比較緊急的待辦文件;若總經(jīng)理不在公司��,以先短信后電話的形式給總經(jīng)理匯報待辦理的文件類型����,在總經(jīng)理辦理完成后����,及時將文件下發(fā)給相應部門。
??????? 3.項目部的安全處理措施如下:
??????? 1)圖紙的安全管理���。
??????? 項目部的圖紙只允許在部門內(nèi)部傳閱�。在進行項目生產(chǎn)時��,工藝員申請借閱項目圖紙����,經(jīng)簽字確認后,檔案專員將圖紙副本發(fā)放給工藝員����,工藝員負責監(jiān)督技術人員和操作人員嚴格按照圖紙進行生產(chǎn)����,確保生產(chǎn)過程符合ISO9000體系要求��。生產(chǎn)完成后�,工藝員將圖紙返還給檔案專員,圖紙副本重新歸檔��。在借閱過程中���,嚴禁借用人將圖紙傳閱給其他人員����,一經(jīng)發(fā)現(xiàn)�����,必將嚴肅處理���。
