為確保公司ERP軟件穩(wěn)定安全的運行�,現(xiàn)根據(jù)公司的網(wǎng)絡運行環(huán)境及硬件設施特制定出如下安全保密措施及制度:
一�、服務器安全防護措施
1、在兩臺ERP服務器上均安裝了正版的防病毒軟件���,對計算機病毒����、有害電子郵件有整套的防范措施��,防止有害信息對服務器系統(tǒng)的干擾和破壞����。
2、做好生產(chǎn)日志的留存��。服務器具有保存60天以上的系統(tǒng)運行日志和用戶使用日志記錄功能���,內(nèi)容包括IP地址及使用情況等����。
3�、ERP系統(tǒng)軟件建立雙機熱備份機制���,一旦主服務器系統(tǒng)遇到故障或受到攻擊導致不能正常運行,保證備用服務器系統(tǒng)能及時替換主系統(tǒng)提供服務����。
4、關閉服務器系統(tǒng)中暫不使用的服務功能�����,及相關端口�����,并及時用補丁修復系統(tǒng)漏洞�,設置定期病毒查殺。
5�����、服務器平時處于鎖定狀態(tài)��,并保管好登錄密碼��;遠程桌面連接設置超級用戶名及密碼��,并綁定IP及MAC地址��,以防他人登入�。
6、服務器提供集中式權(quán)限管理�����,針對不同的應用系統(tǒng)��、終端����、操作人員,由服務器系統(tǒng)管理員設置共享數(shù)據(jù)庫信息的訪問權(quán)限���,并設置相應的密碼及口令����。不同的操作人員設定不同的用戶名��,且定期更換���,嚴禁操作人員泄漏自己的口令��。對操作人員的權(quán)限嚴格按照崗位職責設定����,并由服務器系統(tǒng)管理員定期檢查操作人員權(quán)限。
7��、公司機房按照電信機房標準建設�,內(nèi)有必備的獨立UPS不間斷電源、高靈敏度的煙霧探測系統(tǒng)和消防系統(tǒng)����,定期進行電力、防火�����、防潮��、防磁和防鼠檢查����。
二、網(wǎng)絡與數(shù)據(jù)安全保障措施
1����、服務器網(wǎng)絡安全保障措施:
(1)公司采用多層華為賽門鐵克USG5000企業(yè)級網(wǎng)絡硬件防火墻對公司的網(wǎng)絡及服務器進行全面的保護����。
(2)服務器安裝專業(yè)的安全軟件��,提供基于網(wǎng)絡�����、數(shù)據(jù)庫���、客戶端、應用程序的入侵檢測服務��,在防火墻的基礎上又增加了幾道安全措施�,確保服務器系統(tǒng)的高度安全。
(3)定期對服務器系統(tǒng)進行安全漏洞掃描和分析����,排除安全隱患,做到安全防患于未然��。
2�����、軟件數(shù)據(jù)安全保障措施:
(1)數(shù)據(jù)安全關系到整個信息系統(tǒng)正常運轉(zhuǎn),影響到公司ERP軟件正常的運行秩序���,責任十分重大����,必須具有高度的責任感和一絲不茍萬無一失的嚴謹工作作風��。
(2)ERP系統(tǒng)主服務器必須每天做一次數(shù)據(jù)全備份到ERP系統(tǒng)備用服務器(此備份為計劃備份�,系統(tǒng)自動執(zhí)行),時間為晚上20點整����。
(3)每兩周對備份數(shù)據(jù)進行一次校對試驗,以確保ERP備用服務器上的數(shù)據(jù)安全可靠�����。
(4)根據(jù)服務器數(shù)據(jù)增長量�,應定期對過期數(shù)據(jù)進行處理,以保障系統(tǒng)運作效率���。
(5)對清除數(shù)據(jù)必須刻成光盤存檔�,保存期限至少三年,以供后期查詢所用���。
(6)根據(jù)軟件數(shù)據(jù)的保密制度和用途����,確定ERP軟件使用人員的賬號權(quán)限�。 禁止泄露、外借和轉(zhuǎn)移任何數(shù)據(jù)信息��。
(7)制定ERP軟件工作流程的各級賬號審批權(quán)限��,未經(jīng)批準不得隨意更改業(yè)務數(shù)據(jù)��。
(8)備份數(shù)據(jù)光盤保管地點應有防火����、防熱����、防潮、防塵����、防磁、防盜設施。
(9)使用備份數(shù)據(jù)時由網(wǎng)絡中心經(jīng)理提出申請�,經(jīng)運營中心副總裁審批后,方可使用��。
三�����、服務器及軟件安全保密制度
1����、公司內(nèi)部員工不得對外泄露關于服務器的任何信息;
2���、公司內(nèi)部員工不得利用服務器進行除ERP軟件運行所需以外的任何行為��;
3���、對公司相關管理人員設定服務器管理權(quán)限,不得越權(quán)管理服務器信息��;
4��、根據(jù)公司各部門各級工作人員設定相應賬號權(quán)限��,使用人員嚴格保存自己使用賬號密碼;
5����、ERP軟件使用人員不得惡意刪除任何軟件基本信息及他人錄入信息;
6����、一旦發(fā)生服務器信息安全事故,應立即報告公司領導人并及時進行事故處理����;
7、ERP軟件管理員對有毒有害的信息進行過濾�、用戶信息進行保密����。
8、服務器管理員定期或不定期檢查服務器信息內(nèi)容����,實施有效監(jiān)控,做好安全監(jiān)督工作��;
9�、系統(tǒng)管理員未經(jīng)許可不得隨意修改或刪除數(shù)據(jù)庫內(nèi)的任何數(shù)據(jù)信息�����,更不能對外提供��。
10�����、除授權(quán)管理人員外��,未經(jīng)許可��,任何人不能動用他人設備�����,不得通過網(wǎng)絡(局域網(wǎng)��、VPN虛擬專網(wǎng)����、內(nèi)部網(wǎng)等)聯(lián)機調(diào)閱數(shù)據(jù)�����。
11、對服務器的管理人員��,以及領導明確各級人員的責任�,管理服務器的正常運行,嚴格抓管理工作�,實行誰管理誰負責。
12�、強化信息安全保密管理,加強安全保密意識教育��。因人為原因造成信息數(shù)據(jù)泄密及安全事故��,追究當事人責任��;觸犯法律的�,依法追究。
