為確保公司ERP軟件穩(wěn)定安全的運(yùn)行,現(xiàn)根據(jù)公司的網(wǎng)絡(luò)運(yùn)行環(huán)境及硬件設(shè)施特制定出如下安全保密措施及制度:
一、服務(wù)器安全防護(hù)措施
1、在兩臺(tái)ERP服務(wù)器上均安裝了正版的防病毒軟件,對(duì)計(jì)算機(jī)病毒、有害電子郵件有整套的防范措施,防止有害信息對(duì)服務(wù)器系統(tǒng)的干擾和破壞。
2、做好生產(chǎn)日志的留存。服務(wù)器具有保存60天以上的系統(tǒng)運(yùn)行日志和用戶使用日志記錄功能,內(nèi)容包括IP地址及使用情況等。
3、ERP系統(tǒng)軟件建立雙機(jī)熱備份機(jī)制,一旦主服務(wù)器系統(tǒng)遇到故障或受到攻擊導(dǎo)致不能正常運(yùn)行,保證備用服務(wù)器系統(tǒng)能及時(shí)替換主系統(tǒng)提供服務(wù)。
4、關(guān)閉服務(wù)器系統(tǒng)中暫不使用的服務(wù)功能,及相關(guān)端口,并及時(shí)用補(bǔ)丁修復(fù)系統(tǒng)漏洞,設(shè)置定期病毒查殺。
5、服務(wù)器平時(shí)處于鎖定狀態(tài),并保管好登錄密碼;遠(yuǎn)程桌面連接設(shè)置超級(jí)用戶名及密碼,并綁定IP及MAC地址,以防他人登入。
6、服務(wù)器提供集中式權(quán)限管理,針對(duì)不同的應(yīng)用系統(tǒng)、終端、操作人員,由服務(wù)器系統(tǒng)管理員設(shè)置共享數(shù)據(jù)庫信息的訪問權(quán)限,并設(shè)置相應(yīng)的密碼及口令。不同的操作人員設(shè)定不同的用戶名,且定期更換,嚴(yán)禁操作人員泄漏自己的口令。對(duì)操作人員的權(quán)限嚴(yán)格按照崗位職責(zé)設(shè)定,并由服務(wù)器系統(tǒng)管理員定期檢查操作人員權(quán)限。
7、公司機(jī)房按照電信機(jī)房標(biāo)準(zhǔn)建設(shè),內(nèi)有必備的獨(dú)立UPS不間斷電源、高靈敏度的煙霧探測系統(tǒng)和消防系統(tǒng),定期進(jìn)行電力、防火、防潮、防磁和防鼠檢查。
二、網(wǎng)絡(luò)與數(shù)據(jù)安全保障措施
1、服務(wù)器網(wǎng)絡(luò)安全保障措施:
(1)公司采用多層華為賽門鐵克USG5000企業(yè)級(jí)網(wǎng)絡(luò)硬件防火墻對(duì)公司的網(wǎng)絡(luò)及服務(wù)器進(jìn)行全面的保護(hù)。
(2)服務(wù)器安裝專業(yè)的安全軟件,提供基于網(wǎng)絡(luò)、數(shù)據(jù)庫、客戶端、應(yīng)用程序的入侵檢測服務(wù),在防火墻的基礎(chǔ)上又增加了幾道安全措施,確保服務(wù)器系統(tǒng)的高度安全。
(3)定期對(duì)服務(wù)器系統(tǒng)進(jìn)行安全漏洞掃描和分析,排除安全隱患,做到安全防患于未然。
2、軟件數(shù)據(jù)安全保障措施:
(1)數(shù)據(jù)安全關(guān)系到整個(gè)信息系統(tǒng)正常運(yùn)轉(zhuǎn),影響到公司ERP軟件正常的運(yùn)行秩序,責(zé)任十分重大,必須具有高度的責(zé)任感和一絲不茍萬無一失的嚴(yán)謹(jǐn)工作作風(fēng)。
(2)ERP系統(tǒng)主服務(wù)器必須每天做一次數(shù)據(jù)全備份到ERP系統(tǒng)備用服務(wù)器(此備份為計(jì)劃備份,系統(tǒng)自動(dòng)執(zhí)行),時(shí)間為晚上20點(diǎn)整。
(3)每兩周對(duì)備份數(shù)據(jù)進(jìn)行一次校對(duì)試驗(yàn),以確保ERP備用服務(wù)器上的數(shù)據(jù)安全可靠。
(4)根據(jù)服務(wù)器數(shù)據(jù)增長量,應(yīng)定期對(duì)過期數(shù)據(jù)進(jìn)行處理,以保障系統(tǒng)運(yùn)作效率。
(5)對(duì)清除數(shù)據(jù)必須刻成光盤存檔,保存期限至少三年,以供后期查詢所用。
(6)根據(jù)軟件數(shù)據(jù)的保密制度和用途,確定ERP軟件使用人員的賬號(hào)權(quán)限。 禁止泄露、外借和轉(zhuǎn)移任何數(shù)據(jù)信息。
(7)制定ERP軟件工作流程的各級(jí)賬號(hào)審批權(quán)限,未經(jīng)批準(zhǔn)不得隨意更改業(yè)務(wù)數(shù)據(jù)。
(8)備份數(shù)據(jù)光盤保管地點(diǎn)應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。
(9)使用備份數(shù)據(jù)時(shí)由網(wǎng)絡(luò)中心經(jīng)理提出申請(qǐng),經(jīng)運(yùn)營中心副總裁審批后,方可使用。
三、服務(wù)器及軟件安全保密制度
1、公司內(nèi)部員工不得對(duì)外泄露關(guān)于服務(wù)器的任何信息;
2、公司內(nèi)部員工不得利用服務(wù)器進(jìn)行除ERP軟件運(yùn)行所需以外的任何行為;
3、對(duì)公司相關(guān)管理人員設(shè)定服務(wù)器管理權(quán)限,不得越權(quán)管理服務(wù)器信息;
4、根據(jù)公司各部門各級(jí)工作人員設(shè)定相應(yīng)賬號(hào)權(quán)限,使用人員嚴(yán)格保存自己使用賬號(hào)密碼;
5、ERP軟件使用人員不得惡意刪除任何軟件基本信息及他人錄入信息;
6、一旦發(fā)生服務(wù)器信息安全事故,應(yīng)立即報(bào)告公司領(lǐng)導(dǎo)人并及時(shí)進(jìn)行事故處理;
7、ERP軟件管理員對(duì)有毒有害的信息進(jìn)行過濾、用戶信息進(jìn)行保密。
8、服務(wù)器管理員定期或不定期檢查服務(wù)器信息內(nèi)容,實(shí)施有效監(jiān)控,做好安全監(jiān)督工作;
9、系統(tǒng)管理員未經(jīng)許可不得隨意修改或刪除數(shù)據(jù)庫內(nèi)的任何數(shù)據(jù)信息,更不能對(duì)外提供。
10、除授權(quán)管理人員外,未經(jīng)許可,任何人不能動(dòng)用他人設(shè)備,不得通過網(wǎng)絡(luò)(局域網(wǎng)、VPN虛擬專網(wǎng)、內(nèi)部網(wǎng)等)聯(lián)機(jī)調(diào)閱數(shù)據(jù)。
11、對(duì)服務(wù)器的管理人員,以及領(lǐng)導(dǎo)明確各級(jí)人員的責(zé)任,管理服務(wù)器的正常運(yùn)行,嚴(yán)格抓管理工作,實(shí)行誰管理誰負(fù)責(zé)。
12、強(qiáng)化信息安全保密管理,加強(qiáng)安全保密意識(shí)教育。因人為原因造成信息數(shù)據(jù)泄密及安全事故,追究當(dāng)事人責(zé)任;觸犯法律的,依法追究。