《GCC制度学习培训》PPT参考课件

1、GCC制度学习 张正坤 2010.12,目 录 计算机用户安全管理制度（试行） 信息安全管理制度（试行） 信息系统监控制度（试行） 问题处理管理制度（试行） 操作管理制度（试行） 数据管理制度（试行） 备份管理制度（试行） 防病毒管理制度（试行） 防火墙管理制度（试行） 信息系统帐号管理制度（试行） 系统配置与基础架构管理制度（试行） 软件变更管理制度（试行）,计算机用户安全管理制度（试行）,互联网的使用 禁止浏览与工作内容无关的网页。 禁止从互联网下载或执行以下任何文件，包括但不仅限于以.exe.vbs.scr.pif.hta.reg、 . bat等为扩展名的文件。 禁止从互联网下载或通过公司局域网传送MP3等一切与工作无关的音频、视频及图片等多媒体文件。 电子邮件的使用 公司的电子邮件系统仅用于收发与工作内容相关的电子邮件。 禁止使用第三方提供的网上电子邮件系统。,使用公司电子邮件系统收到不明发件者的邮件时，须避免直接打开此邮件或下载邮件所带附件，若附件为可执行文档，禁止对其进行打开下载及执行等操作，须立即将此邮件（连同其附件）进行彻底删除。 禁止制造及转寄垃圾邮件，以及发放含有粗

2、俗、暴力、色情成份的邮件。 禁止使用公司提供的电子邮件帐号在互联网上进行注册。 使用公司电子邮件传递敏感数据时，必须对数据进行加密。,计算机用户个人设备的使用 禁止用户将其持有的非公司配备的信息设备（如个人笔记本电脑等设备）接入公司内部网络，或与公司的信息设备及系统相连接并存储公司数据。 外来计算机用户的管理 外来人员因工作需要使用公司内部网络时，必须由接待外来人员的单位负责人同意后，经信息部负责人书面审批，由信息部技术人员进行安全检查后，在信息部或接待单位人员的监督下使用网络。,远程登陆 禁止用户安装用于远程登陆的软件，并对公司网络进行远程登入访问。利用公司许可的远程登陆软件，在信息部门规定时间内，用户可以远程登陆，如果超过规定的时间期限，则禁止用户远程登陆。 密码规则 用户须自行保管公司信息系统的个人密码，确保密码的安全性，禁止将密码泄漏给他人，或将记有密码的纸张等介质暴露于公开场合，用户须定期更改其使用的信息系统的密码。 禁止共享公司的任何信息系统的帐号密码。 关于详细的用户密码规范，请详见信息系统帐号管理制度及中国铝业股份有限公司SAP系统运行维护操作规程（试行）。,例外情况处

3、理 如因紧急或特殊情况，计算机用户在工作中无法严格执行本规范中第二节至第七节中规定的操作，必须向其部门负责人及信息部负责人进行书面申请，在得到相应的审批后方可进行相关操作。具体流程为：申请人首先填写计算机用户安全管理特殊需求申请表，由其部门负责人及信息部负责人审批通过后，方可执行相关操作。 定期巡检与抽查 对于以上规范的执行和实施情况，公司信息部将进行定期巡检，并公布检查结果。 公司信息部有对计算机用户使用的所有公司配备的设备和系统进行监控及抽查的权利，每季度抽查的比例不低于总量的5%。,信息安全管理制度（试行） 公司的信息安全目标 保障信息系统安全稳定运行，保证业务连续性； 保护公司的商业机密和技术机密，维护公司利益。 信息安全组织机构及其职责 公司总部信息部成立信息安全工作小组，全面负责公司信息安全政策的制定和实施。各分子公司信息部同时设立信息安全管理岗位，负责分子公司信息安全管理工作。 信息安全工作小组在信息安全工作方面的主要职责(略) 分子公司信息安全管理员的主要职责 落实上级部门各项制度和要求，负责分子公司信息安全管理的日常工作； 分析信息安全现状和问题，提出安全分析报告和安

4、全防范建议，上报信息安全事件并提出初步处理意见。,信息安全工作内容 公司必须建立和完善信息安全管理规章制度，规范和加强信息安全管理工作，所有员工都必须遵守与其相关的信息安全规章制度。 公司信息部每年对信息安全制度进行审阅，以确保其持续有效性，并根据公司信息安全需求进行修订。 公司信息部每年对公司的信息资产进行风险评估，总结信息资产的整体风险情况，并根据风险评估的结果，调整信息安全管理目标及安全管理计划。 信息安全管理有关计划在正式实施前，须经信息安全工作小组和监管部门（如内审部)的批准，并向相关员工传达，明确相关人员应承担的义务和责任。 加强内部人员安全管理，依据最小特权原则清晰划分岗位，实现适当的职责分离，重要岗位要有人员备份。 公司员工须签署保密协议，并接受信息安全教育培训，提高安全意识，及时报告信息安全事件。,必须加强针对第三方服务商访问和服务的安全控制，在风险评估的基础上制定安全控制措施。 加强防病毒管理，制定并及时更新公司防病毒管理制度，部署、监管和指导公司的防病毒工作，研究并制定应急方案，应对计算机病毒爆发事件。 加强对远程访问的控制，对远程访问进行适当授权，并定期对远程访

5、问权限进行审核，确保远程访问权限被适当分配。 规范机房安全设施建设工作，制定并实施物理安全管理和访问控制制度，定期审阅机房安全日志。 加强网络安全管理，安装、设置并维护网络防火墙及其它网络设备，保障与互联网或其他公众网络的连接安全，控制数据在网络中的安全传递。 定期对关键系统进行漏洞扫描，确保系统的安全性。 监控并记录系统设备的运行情况，定期审阅关键系统设备的日志，定期提交系统运行报告给信息部负责人进行审阅。,根据信息安全管理制度，信息安全管理员制定详细的信息安全工作计划，并根据计划组织实施。信息部负责人指定专人监督计划落实情况。 信息安全工作小组以及信息安全管理员定期在公司范围内组织信息安全检查，确保所有业务活动符合公司规定的信息安全制度、标准及其相关规定。 信息安全管理员获取并审阅所有与信息安全相关的内部和外部审计报告，并根据报告结果改进信息安全管理工作。,信息系统监控制度（试行） 信息系统是指支持业务运行的设备（服务器、交换机、路由器、防火墙、VPN设备等）、操作系统、数据库和应用系统。 监控包括运行监控和性能监控。 信息系统运行监控 各种信息系统事件日志都应该启动，并保证足够的

6、日志空间。 各种批处理工作日志都应启动，用以记录操作过程和结果。 网络和系统管理人员每天对信息系统运行状况和日志进行巡检，以便及时发现交换机、路由器、防火墙、VPN等设备的故障，及时发现各种批处理是否成功。 巡检人员每次对信息系统和日志检查后，在信息系统监控纪录表中记录巡检结果。 发现信息系统故障或批处理操作失败，及时报告问题受理人员。具体问题处理流程参见问题处理管理制度。,信息系统性能监控 网络和系统管理人员每天巡检各种信息系统的性能状况，内容包括但不限于硬件设备CPU使用率、内存空闲率、硬盘空间使用率、带宽利用率以及数据库的性能等。 巡检人员每次检查完系统性能后，在信息系统监控纪录表中记录巡检结果。 巡检人员在发现性能异常的时候，及时报告问题受理人员。具体问题处理流程参见问题处理管理制度。 定期审阅与资源评估 信息部负责人指定专人定期审阅信息系统监控纪录表，每月进行总结分析，编写信息系统监控报告，提交信息部负责人审阅。 根据信息系统运行和未来业务需求情况，信息部负责人每半年组织相关人员进行硬件资源容量的评估，参见硬件资源容量评估报告尽早制定硬件扩容计划，从而保证硬件资源满足未来的需

7、求。,问题处理管理制度（试行） “问题”是指信息系统运行过程中出现的各类问题。对业务产生重大影响，需要短时间内解决的问题称为紧急问题，其余的称为一般问题。 问题受理和处理 公司信息部设立问题受理专责人员，负责问题的受理、记录、分派、处理过程的信息沟通以及处理结果的跟踪。 对于一般问题，问题受理专责人员按照问题对正常业务和信息系统的影响程度，划分高、中、低三类处理优先级，确定处理顺序。能自己处理的问题，立即处理，否则提交问题处理人员。具体流程参见问题处理流程。 对于紧急问题，问题受理专责人员立即联系问题处理人员处理，并上报信息部负责人。问题处理人员必须详细记录处理过程，在处理完成后，补填问题处理记录表，连同系统日志一起提交信息部负责人审阅。,对于所有问题，问题受理专责人员必须填写问题受理登记表，及时跟进，确保所有问题得到妥善解决和记录。 问题处理人员应在预期时间内及时向问题受理专责人员报告处理情况，提交问题处理记录表。 问题报告和审阅 问题受理部门负责人每月审核汇总问题受理和处理情况，分析问题处理方法，总结问题产生的原因，并制订预防性措施，形成问题统计分析报告，提交信息部负责人审阅。 问

8、题受理和处理过程中产生的所有文档均由信息部文档管理人员统一保存和管理。保存期限至少为一年。,操作管理制度（试行） 日常操作管理 信息部人员参考有关文档（软件开发商或硬件制造商提供的技术文档等），统筹考虑所有例行的重要操作（包括系统监控、备份、常规预防性维护等）填写操作手册建立/变更申请表，按照操作手册建立/变更流程规定制定相应的操作手册。 操作手册制定过程中的各类文档交信息部文档管理人员存档，同时按照操作手册建立/变更记录表的要求进行记录，操作人员自行保留操作手册的副本。 操作手册包括系统（设备、操作系统、数据库和应用系统等）名称、操作名称、执行操作的岗位人员、操作规程和操作的流程顺序等信息，特别要明确执行日常操作的流程（必要时需明确执行操作的具体时间）。 相关人员必须严格按照操作手册执行日常的重要操作，同时保存完整的操作记录。,信息部每月根据相应的操作记录检查操作手册的执行情况，并进行记录，检查和审阅人员签字存档。 操作手册维护管理 信息部必须通过合理的权限分配，控制对操作手册的变更；必须通过严格的申请、审批、检查和确认程序控制操作手册的变更，操作手册制作和检查工作需由不同人员进行。

9、 定期检查日常工作的资源需求和利用情况，对日常工作进行总结分析，拟定操作手册的变更方案，修订操作手册，确保操作手册内容与当前操作的一致性。具体流程参见操作手册建立/变更流程。 变更后的操作手册，必须经过信息部负责人批准后才能实施。 信息部文档管理人员统一保管操作手册，同时按照操作手册建立/变更记录表的要求进行记录，操作人员自行保留相应的副本。,例外操作管理 通常情况下，相关人员必须根据操作手册规定的步骤执行日常操作。例外情况下，不能按照操作手册的规定进行操作时，必须向相关负责人提出申请，得到批准后才能执行操作。具体流程参见例外操作处理流程。 执行例外操作前，操作人员应向信息部负责人提交例外操作申请表，由信息部负责人对申请进行审批。 只有例外操作申请得到批准后，相关人员才能执行该操作，并填写例外操作处理记录表。 信息部安排专人检查操作手册、例外操作申请表、例外操作处理记录表和操作日志（或记录），加强对例外操作的监督，确保所有例外操作严格按照例外操作处理流程执行。 具体流程参见信息安全监控与安全事件报告管理制度、信息系统监控制度、SAP系统监控制度。,批处理操作管理 在系统安全稳定运行的情况下，为了简化日常操作，可在系统后台进行批处理任务的设置。 需要建立批处理操作（含关键系统中的任务计划）的申请（详见批处理操作申请表）、变更和批准的管理流程，并通过合理的人员权限分配，控制对批处理操作的变更。 信息部应该建立批处理操作手册作为批处理的操作指导。批处理操作手册应该包括批处理任务清单、批处理工作的实现方式、执行批处理的权限设置、批处理任务的检查等内容。详见批处理操作手册内容。 系统管理人员根据日常操作的执行情况以及通过对日常操作的记录进行分析，提出批处理操作的变更方案，同时考虑批处理操作变更对操作手册的影响，提出操作手册的变更方案。所有变更方案经测试通过后，交信息部负责人审批。具体变更流程参见操作手册建立/变更流程。 批处理操作变更后，应立即变更相应的批处理操作手册。变更后的批处理操作和操作手册，必须经过信息部负责人指定专人检查和确认后才能实施。 信息部文档管理人员完整保存批处理操作过程中形成的各类文档。统一保管批处理操作手

《《GCC制度学习培训》PPT参考课件》由会员W****分享，可在线阅读，更多相关《《GCC制度学习培训》PPT参考课件》请在金锄头文库上搜索。