1、终端安全管理规定主导部门: IT 部支持部门: N/A审 批: IT 部文档编号: IT-V01生效日期:终端安全管理规定文档编号: IT-V01 2 / 6版本 发布日期 发布原因 生效日期Version Issuance Date Reasons of Issuance Effective Date1.0 新版本发布会签批准人 签名 签署日期Approval(s) Signatures Date Signed起草人EditorIT 经理IT ManagerIT 总监 (VP)IT Director终端安全管理规定文档编号: IT-V01 3 / 6终端安全管理规定1. 目的终端安全管理规定
2、的目的是为了加强公司信息安全保障能力,建立健全公司的安全管理体系,提高整体的网络与信息安全水平,保证业务系统的正常运营,提高网络服务质量,在公司安全体系框架下(准入系统) ,本规定加强公司终端的管理,规范公司终端的配置和使用,降低由于个人对终端的使用不当而给公司造成的风险,提高公司终端标准化程度。2. 范围本规定适用于公司所有使用终端的员工以及管理终端的系统管理员。3. 定义3.1 终端终端泛指一切可以接入网络的计算设备,如笔记本电脑、台式电脑、智能手机、平板电脑等。3.2 用户账号用户账号是用户用于访问公司信息系统的唯一的身份标识,包括用户名和密码。用户账号分为终端账号、AD 账号、业务系统
3、账号、VPN 账号,以及后台管理账号。3.3 办公终端办公终端指用户办公目的,连接办公系统的终端。4. 职责和权限阐述本规定涉及的部门(角色)职责与权限。4.1 IT 部的职责和权限公司 IT 部门负责终端安全策略的统一规划,制定终端的技术安全规范,定期检查公司终端的安全情况。4.2 IT 系统 Infra 组和 CIM 组的职责和权限IT 系统 Infra 组负责办公终端安全的具体工作,IT CIM 组负责生产终端安全的具体工作,要求各系统进行终端区域的划分,定期检查各系统终端的安全使用情况。4.3 系统管理员的职责和权限各系统的管理员应根据要求严格执行终端的安全操作规范。终端安全管理规定文
4、档编号: IT-V01 4 / 65. 内容5.1 生产终端安全要求公司生产终端系统安全配置应该遵循以下原则:5.1.1 应划分专用的生产终端接入网络区域,生产终端应根据接入区域的配置要求进行接入。5.1.2 各系统生产终端都应统一部署系统安全配置策略,并对系统信息配置信息进行备案登记。5.1.3 公司生产终端使用的软件必须是正版软件,禁止安装与生产工作无关的软件,如游戏、音乐、视频、第三方检测工具等。5.1.4 公司生产终端必须安装防病毒系统,Infra 系统管理员应定期检查并保持更新病毒码为最新病毒码。5.1.5 公司生产终端必须及时安装安全补丁,Infra 系统管理员应定期检查并保持系统
5、补丁(泛指操作系统高危漏洞的安全补丁)全面安装。5.1.6 公司生产终端应根据用户权限设置账户和口令,根据公司用户账号管理流程规定中的规定进行设置。5.1.7 公司生产终端禁止开放没有限制的文件共享。5.1.8 公司生产终端应根据业务需要仅打开必须的端口服务,其它端口全部关闭。5.1.9 公司生产终端应根据公司计算机命名方式统一命名。5.1.10 公司生产终端应设定带密码保护的屏幕保护,并确保在无人看管的情况下能够进行限时自动锁屏。5.1.11 公司生产终端在未经授权的情况下,禁止通过任何方式接入 Internet 网络。严禁通过安装USB 无线网卡或使用智能手机设置热点的方式访问互联网,如生
6、产需要必须访问互联网或远程协助调试设备时,根据公司已颁布的IT 网络及电脑使用规定 ,向 IT Infra 组提交用户权限申请表 ,审核通过后,由 Infra 工程师开放其对应端口的网络访问权限,并在约定的时间点内关闭端口,同时做好相应的记录。5.1.12 在未经公司允许的情况下,禁止私自在生产终端接入光驱、移动存储、调制解调器、红外设备、无线设备和串口设备等外设。5.1.13 对用于非 24 小时监控用途的生产终端,考虑到节约能源、提高产品的使用效率及更好的实行成本效益控制,要求在下班后必须关闭机器。5.1.14 对于超过使用期限的生产终端,如果需要淘汰、报废或者利旧,应按照公司资产管理流程
7、要求和涉密信息处理流程进行数据清除后再进行资产处置。终端安全管理规定文档编号: IT-V01 5 / 65.2 办公终端安全要求5.2.1 公司所有的使用办公终端,必须统一安装公司标准的准入系统客户端。5.2.2 公司所有办公终端的命名应符合公司计算机命名规范。5.2.3 公司所有的办公终端应统一部署预定义的系统安全配置策略和授权的标准软件。5.2.4 公司所有的办公终端应正确安装防病毒系统,确保及时更新病毒码。5.2.5 公司所有的办公终端应及时安装高危系统漏洞弄补丁,应与公司发布的补丁保持一致。5.2.6 公司所有办公终端的密码不能为空,根据用户账号管理流程规定中的密码规定严格执行。5.2
8、.7 公司所有办公终端不得私自转借给他人使用或用于其他商业形式的用途。5.2.8 公司的移动办公终端在外出办公时,不得使其处于无人看管状态。5.2.9 公司的移动办公终端不允许借给无关人员操作,防止信息的泄密和数据破坏。5.2.10 公司办公终端不得私自安装盗版软件和与工作无关的软件,不得私自安装扫描软件或黑客攻击工具(例如 360 安全卫士和 QQ 腾讯管家等第三方扫描工具) 。5.2.11 公司办公终端在无工作需求的情况下,应关闭 IIS,TELNET 以及 FTP 等不必要的服务;5.2.12 公司办公终端的 Internet 访问需有策略或者工具进行控制和监控;公司办公终端应启用设置密
9、码的屏幕保护程序。5.3 报告和处理5.3.1 使用终端的过程中,如果发现设备具有可疑安全情况,或发生病毒和安全事件,应由IT Infra 部门组织人员或 Helpdesk 工程师进行处理。5.3.2 IT 系统人员如发现终端的信息安全问题,应以电话或邮件的方式通知本部门和 IT 部门最高领导,由 IT 部负责调查,并组织协调安全问题的处理。5.3.3 终端的信息安全事件应依照 信息安全事件管理程序中定义的流程进行处理和响应。5.3.4 终端的信息安全问题在处理完毕后应按照 信息安全事件管理程序进行记录备案。5.4 审核和监督5.4.1 系统在使用终端的安全管理方面应接受 IT 系统的监督和检查,对在检查中提出的问题要及时改进。5.4.2 公司信息安全管理部定期对各系统终端的使用情况进行有效监督和管理,对违反管理终端安全管理规定文档编号: IT-V01 6 / 6规定的行为应进行记录和上报,并协调相应部门予以处罚。6. 参考文件6.1 用户账户管理流程规定6.2 信息安全事件管理程序7. 更改历史记录IT-V01 新版本发布8. 附则本规定由 IT 部每年复审一次,根据复审结果进行修订并颁布执行。本制度的解释权归 IT 部。本规定自发布的日起生效,凡有与该规定冲突的,以此规定为准。9. 附件无10、 信 息 安 全 事 件管 理 程 序 .doc
