??????? 2）涉外合同的安全管理。
??????? 綜合部統(tǒng)一管理各部門的涉外合同。各部門將已蓋章的合同原件提交給綜合部后，由綜合部將其分類歸檔到指定的檔案盒中，并將檔案盒編號題名存放于指定的檔案柜中，將檔案柜鎖好。由指定的檔案管理員保管鑰匙。各部門需要借閱已歸檔的合同資料，需要向綜合部提出申請，經綜合部負責人審批通過后，檔案管理員方可開啟檔案盒調出文件發(fā)放給相關部門；原則上不允許各部門向綜合部借閱其他部門的合同資料，若確因工作原因需要借閱，則應提交總經理審批，綜合部在看到總經理的簽字后方可指派檔案管理員借出資料，并規(guī)定借閱時間不得超過8個小時，由借閱人簽字，在借閱過程中造成的合同資料丟失，將由借閱人承擔相關后果。嚴禁檔案管理員在未經許可的情況下私自開啟任何類型的檔案盒；嚴禁檔案管理員將檔案柜鑰匙借給任何人，若因此造成的合同信息泄露、合同丟失將由檔案管理員承擔一切責任。
??????? 3）工資編制的安全管理。
??????? 綜合部統(tǒng)一核算管理人員和工人工資。工資針對于所有部門都是保密的，綜合部在核算員工工資的時候，應該謹慎處理，如在電子表的發(fā)送之前，可以設置相應的密碼，防止不小心發(fā)送到其他人電腦上，在打印工資表的時候，應單獨設置非監(jiān)控直接打印，并立即去打印機取走打印表。工資的核算應嚴格以考勤、績效為依據(jù)核算，不得擅自更改原始依據(jù)。工資核算完成后，上報公司領導審批。
??????? 嚴禁工資核算人向他人透露公司工資及獎金信息，嚴禁在任何場合與他人討論工資話題，一經發(fā)現(xiàn)，將追究其相關責任。
??????? 9.信管部的安全處理措施如下：
??????? 1）計算機網絡設備安全管理。
??????? 公司所有計算機及網絡設備統(tǒng)一歸信息管理部管理。本制度所涉及產品的界定：
??????? A） 計算機是指為公司內部員工使用的PC機（包括CPU、硬盤、內存、機箱、顯示器、網卡、鍵盤和鼠標。主機板和顯示卡由本公司提供，如非特殊需要不配備光驅和軟驅。）
??????? B）網絡設備是指公司內部使用的服務器、網絡交換機、路由器、集線器、以及網絡接入設備等。
??????? C）計算機其他配件是指公司備用的光驅、軟驅等。
??????? D） 附帶軟件包括計算機驅動盤、系統(tǒng)安裝盤、程序安裝盤等。
??????? E） 包括計算機及耗材的采購計劃、故障維修等項工作。
??????? 在員工電腦各組件老化或損壞，嚴重影響工作效率時，信管部可申請以舊換新或報廢處理。若需要報廢，則填寫報廢申請單經部門負責人確認后上報總經理審批，審批通過后才能作報廢處理，信管部不得擅自處理破舊的電腦或電子設備。
??????? 2）公司所有輸入輸出設備統(tǒng)一歸信息管理部管理。
??????? 輸入輸出設備包括掃描儀，傳真機，打印機。使用者在使用此相關設備遇到問題可尋信息管理部幫助。在使用設備過程中遇到故障要及時向信息管理部反映，以便信息管理部及時查找原因，解決故障。
??????? 3）公司視頻會議設備和視頻監(jiān)控設備統(tǒng)一由信息管理部管理。
??????? A）視頻會議設備包括視頻會議服務器、視頻會議終端、SONY攝像頭、會議話筒、電視、投影儀以及鍵盤、接收器、遙控器和線材部分。信息管理部負責以上設備的維護管理工作包括視頻會議的搭建。
??????? B）視頻監(jiān)控設備包括監(jiān)控服務器、監(jiān)控系統(tǒng)以及各路視頻采集器。信息管理部負責各路視頻的監(jiān)控以及備份和維護工作。
??????? 4）信息化系統(tǒng)ERP、OA帳戶安全管理
??????? 系統(tǒng)管理帳號的設置與管理
??????? A）ERP、OA系統(tǒng)管理帳號必須經過總經理授權取得。
??????? B）ERP系統(tǒng)管理員負責ERP系統(tǒng)帳套環(huán)境生成、維護，負責一般操作帳號的生成和維護，負責故障恢復等管理及維護；OA系統(tǒng)管理員負責OA系統(tǒng)自定義表單的生成、流程的建設和優(yōu)化。
??????? C）ERP、OA系統(tǒng)管理員對業(yè)務系統(tǒng)進行數(shù)據(jù)整理、故障恢復等操作，必須有相關部門的簽字和領導的審批授權。
??????? D）ERP、OA操作用戶需要增加或修改權限需要填寫ERP/OA用戶權限申請表，并經過本部門負責人簽字后交由總經理審核，通過后，再由信息管理部作權限相關處理。
??????? E）系統(tǒng)管理員不得使用他人帳號進行業(yè)務操作。
??????? F）系統(tǒng)管理員調離崗位或離職，信息管理部負責人應及時注銷其帳號并生成新的系統(tǒng)管理員帳號。
??????? 一般操作帳號的設置與管理
??????? A）一般操作帳號由系統(tǒng)管理員根據(jù)各類應用系統(tǒng)操作要求生成，應按每用戶一帳號對應設置。
??????? B）操作員調離崗位，系統(tǒng)管理員應及時注銷其帳號并在新員工入職時根據(jù)需要生成新的操作員帳號。
??????? 5）密碼安全管理
??????? A）終端計算機密碼安全管理：系統(tǒng)管理員及時登記公司所有用戶電腦密碼，制成《用戶電腦密碼登記》文件。在用戶人員變動或電腦更換時，系統(tǒng)管理員及時登記相應的新密碼。
??????? B）應用服務器密碼安全管理：包括ERP服務器、OA服務器、域服務器、郵箱服務器。信息管理部為確保服務器置于外網相對安全，針對每個服務器創(chuàng)建一個復雜的、不同的密碼，并每年更換一次新密碼。制成《服務器密碼登記》文件，并提交給部門負責人。
??????? C）防火墻/路由器密碼安全管理: 防火墻和路由器的密碼和服務器管理方法一樣，設置成不同的、復雜的密碼，并每年更換一次，將密碼登記到《網絡設備密碼登記文件》中，并提交給部門負責人。
??????? D）ERP/OA系統(tǒng)密碼安全管理: ERP/OA系統(tǒng)密碼分為管理員密碼和操作用戶密碼。系統(tǒng)管理員登錄密碼由ERP/OA管理員掌管，為保證系統(tǒng)安全需要定期更改時，及時上報部門負責人。操作用戶密碼由ERP/OA管理員在創(chuàng)建帳戶時初始生成，信息管理部發(fā)放帳號密碼后，由用戶本人修改密碼，并自行保管好自己的密碼，如特殊原因忘記密碼時，由ERP/OA管理員幫其初始化密碼。
??????? 信管部應將所有的服務器和網絡設備設置不同的密碼，所有的密碼僅限于信管部內部人員掌握，不得向其他部門人員透露，在特殊情況下，需要供應商做遠程調試時，方可透漏相關設備密碼，在調試結束后，應盡快更改密碼。并通知部門內其他人員。由于服務器及網絡設備均置于公網上，容易受到不法分子攻擊，因此，需要定期更改密碼，且密碼復雜性盡可能設置高。
??????? 6）數(shù)據(jù)備份安全管理
??????? 定期備份ERP服務器、OA服務器、郵箱服務器。具體備份方法如下：
??????? A）ERP服務器備份：每天早上自動備份E3帳套和5000帳套。
??????? B）OA服務器備份：每天早上9：00備份OA數(shù)據(jù)庫，并于每周五早上9：00備份OA系統(tǒng)文件夾。
??????? C）郵箱服務器備份：每周五早上9：00在郵箱控制臺執(zhí)行備份操作，并于每月28日備份郵箱目錄文件夾。備份完成后，將備份文件轉存到其他電腦上或移動硬盤上做異地歸檔，以防本地硬盤發(fā)生故障時能隨時做災難恢復。
??????? 數(shù)據(jù)清理前必須對數(shù)據(jù)進行備份，在確認備份正確后方可進行清理操作。歷次清理前的備份數(shù)據(jù)要根據(jù)備份策略進行定期保存或永久保存，并確?？梢噪S時使用。數(shù)據(jù)清理的實施應避開企業(yè)網絡應用高峰，避免對各部門工作造成影響。數(shù)據(jù)的清理包括：
??????? A）ERP系統(tǒng)中錯誤單據(jù)的清理、錯誤初始資料的清理、人員變動記錄的清理。
??????? B）OA系統(tǒng)中錯誤流程的清理、錯誤審批單的清理、人員變動記錄的清理。
??????? C）郵箱系統(tǒng)中垃圾郵件的清理、人員變動記錄的清理。
??????? D）用戶電腦中系統(tǒng)垃圾文件的清理、IE緩存的清理。
??????? 7）信息資料安全管理
??????? A）加密系統(tǒng)管理；目前我公司使用的是天盾文檔加密系統(tǒng)，對常用辦公軟件office、pdf、AutoCAD文件加密，公司內部的此類文件被帶出公司后，顯示在其他的電腦上均為亂碼，保證了各個部門在未授權的情況無法將公司的文件資料泄露出去。然而，我公司因為之前的需求，加密軟件使用的是單機版與網絡版混合使用的，網絡版可以根據(jù)策略的下發(fā)，實現(xiàn)文件在企業(yè)網的加密、反截圖、禁USB等功能，但脫離局域網后，電腦無法打開文件，若有出差人員在外地使用電腦，就無法使用網絡版；而單機版就解決了出差人員電腦加密的問題，可以正常打開公司的文件，但這里存在一個安全風險，若出差人員的電腦被盜，將會造成企業(yè)信息資料的外泄。針對以上情況，我們需要尋找一種更加適合的加密軟件，確保使用一種版本就能夠融合單機與網絡的優(yōu)勢。我們需要這種加密軟件實現(xiàn)如下功能：能夠通過控制臺在公司網內加密指定類型的文件，同時可以設置不同的加密權限對應于不同的用戶組；能夠根據(jù)需要設置文件能否在脫離公司網的情況下使用以及使用的時間限制等；能夠加密原加密軟件不支持的文件類型；能夠熒熒于所有的windows平臺上；能夠禁用USB存儲設備，不禁用USB外設；能禁止用戶屏幕截圖；能審計打印等。
??????? B）大藍監(jiān)控軟件管理：監(jiān)控軟件在很大程度上起到威懾作用，監(jiān)控軟件能夠記錄所有用戶在個人電腦上的一舉一動，通過實時屏幕監(jiān)控、屏幕錄象、插入存儲設備報警、網頁及程序過濾等功能及時抓出威脅企業(yè)信息安全的元兇。
??????? C）打印控制軟件管理：打印控制軟件應用后，員工的打印需要在管理員審核通過后方能打印，若管理員審核到某員工的打印內容涉及本公司信息安全，拒絕員工的打印。在審核通過、打印完成后，管理員可隨時調出以前的打印記錄，保證了及時信息安全責任追究。
??????? D）設備送外維修，須經設備管理部門負責人批準。送修前，需將設備存儲介質內應用軟件和數(shù)據(jù)備份后刪除，并進行登記。對修復的設備，設備維修人員應對設備進行驗收、病毒檢測和登記。
??????? E）信息管理部和綜合部對報廢設備中存有的程序、數(shù)據(jù)資料進行備份后清除，并妥善處理廢棄無用的資料和介質，防止泄密。
??????? F）信息管理部負責計算機病毒的防治工作，建立本單位的計算機病毒防治管理制度，經常進行計算機病毒檢查，發(fā)現(xiàn)病毒及時清除。
??????? G）用戶計算機未經信息管理部允許不準安裝其它軟件、不準使用來歷不明的載體（包括軟盤、光盤、移動硬盤等）。
??????? 8）機房安全管理
??????? ①非信息管理部人員不得進入機房，信管部人員要確保機房大門時刻處于關閉狀態(tài)。若因為工作需要進入機房時，完成相關操作后，一定要關好機房大門，并保管好機房鑰匙。
??????? ②保持機房整齊清潔，各種機器設備按維護計劃定期進行保養(yǎng)，保持清潔光亮。
??????? ③確保機房防水，定期檢查機房天花板、四壁有無漏水現(xiàn)象，保證機房內的服務器和其他電器設備的安全。
??????? A）發(fā)生機房漏水時，信管部應立即通知綜合部聯(lián)系大廈物業(yè)，同時，信管部第一時間保護好服務器及其他設備，避免設備浸水后損壞。
??????? B）若為墻體或窗戶滲漏水，應急領導小組應立即采取有效措施確保機房安全，同時安排通知綜合部協(xié)助及時清除積水，維修墻體或窗戶，消除滲漏水隱患。
??????? ④確保機房防火，定期檢查機房內滅火器狀態(tài)完好無損。
??????? A）完善機房環(huán)境，確保機房具備二氧化碳滅火器；禁止攜帶易燃易爆物品進入機房。
??????? B）一旦發(fā)生火災，迅速切斷機房電源，避免災情的擴散，并迅速撥打物業(yè)管理和119火警電話。
??????? C）等待消防車到來期間,應組織物業(yè)保安或工作人員在保證安全的前提下滅火,應急領導小組應在第一時間內集中所有二氧化碳滅火器,抓住時機,盡可能的把火撲滅。
??????? D）配合消防部門調查事故原因，對造成的損失和起火原因做好記錄，以便進行災后總結。
??????? ⑤確保機房防雷，遇到暴風雨惡劣天氣，應作防范性處理。
??????? A）遇雷暴天氣，信管部在下班后應及時關閉所有服務器，切斷電源，暫停內部計算機網絡工作。
??????? B）雷暴天氣結束后，信管部應及時開通服務器，恢復內部計算機網絡工作，對設備和數(shù)據(jù)進行檢查。出現(xiàn)故障的，事發(fā)部門應將故障情況及時報告應急領導小組。
??????? C）因雷擊造成損失的，信管部應會同綜合部進行核實、報損，并在調查工作結束后一日內書面報告領導。
??????? 應急領導小組每日查看、清點設備并鎖好機房大門。
??????? ⑥確保在停電后，業(yè)務應用的安全管理。
??????? 信管部在接到停電通知時，應設置便簽提醒自己具體要停電的時間，若停電時間在上班時間，則提前發(fā)出通知給北京和常州所有人員，避免在停電時出現(xiàn)文件損壞或資料丟失；若停電時間發(fā)生在下班時間，則在下班時通知所有人關閉電源，同時信管部及時關閉服務器，以免停電損壞主機電源。
??????? 停電結束后，打開各應用服務器，并謹記要打開視頻監(jiān)控服務器，恢復閉路監(jiān)控系統(tǒng)正常工作。
??????? ⑦確保機房防盜，針對此環(huán)節(jié)，作相關防范處理。
??????? A）信息管理部每日查看、清點設備并鎖好機房大門。
??????? B）信息管理部每日檢查錄像監(jiān)控服務器狀態(tài)，確保監(jiān)控畫面正常，并檢查每日錄像正常性、完整性。
??????? C）發(fā)生設備被盜或人為損害設備情況時，使用者或管理者應立即報告信息管理部，同時保護好現(xiàn)場。
??????? D）信管部接報后，即刻調出監(jiān)控錄像，搜查可疑行跡，若無法解決，可聯(lián)系公安部門處理。
??????? 提高行業(yè)信息化管理水平，信息安全是關鍵。而信息安全構建必須管理、技術兩者雙管齊下：
??????? 1）加強管理，綜合防范。 安全體系是一個整體的、系統(tǒng)的工程，不是簡單的“技術積木”。它是技術、管理的有機結合體。管理者必須以預防為主、綜合管理、人員防范和技術防范相結合，逐級建立多層次的安全防護體系，綜全防范實現(xiàn)分級阻止違規(guī)行為，實現(xiàn)一體化的安全系統(tǒng)。
??????? 2）完善制度，強化培訓。完善的信息安全管理制度是行業(yè)信息系統(tǒng)安全運行的基礎保證。為系統(tǒng)資源規(guī)定明確使用的權限，對員工按其職責劃定必要的最小授權范圍，明確安全責任。確保安全措施落實、有效，加強員工的信息安全教育和培訓，強化安全意識和法治觀念。提高員工的職業(yè)道德和信息化應用水平。
???