参考模版,仅供参考
目的
为规范各运营中心在数据导出、账号管理和设备使用等方面的行为,保证系统正常运行,数据正常使用。范围
本制度适用于组织的各个运营中心。职责
3.1 信息部
负责制定本规范;
负责从网络、IT设备、IT系统层面检查各运营中心的信息安全状况;
负责网络、IT设备、IT系统的信息安全日常维护;
与审计部、运营管理部一起对信息安全事件进行调查、处理及纠正措施管理;
3.2 运营管理部
参与制定本规范;
负责从运营管理层面检查各运营中心的信息安全规范执行情况
负责审批各运营中心提出的特殊权限申请及信息安全规范例外申请;
与审计部、信息部一起对信息安全事件进行调查、处理及纠正措施管理;
3.3审计部
参与制定本规范;
与信息部、运营管理部一起对信息安全事件进行调查、处理及纠正措施管理;
负责从审计层面检查信息部、运营管理部及各运营中心的信息安全规范执行情况,提出管理改进要求;
3.4 各运营中心
严格按本规范要求开展日常工作;
配合调查和处理信息安全事件;按要求完成信息安全不符合事项的整改;
- 内容
4.1 数据安全规范
工作中使用数据最小化:在工作中尽量将数据操作控制在最小需求范围内,即使权限许可,也应避免执行大范围查询操作;
数据披露必须要经过审批:对公司外部披露运营中心、公司相关经营数据、对外部人员发送公司内部文件、报表等,必须获得VP及以上级别审批才能执行;转发公司官方文章、微信、微博或其他公开资料时,评论文字不得涉及公司业务数据、业务细节描述及与具体客户相关描述;严禁在未经授权的情况下,将公司的任何数据(包括但不限于系统界面数据、报表数据、经营数据等)发布到公司之外的任何媒介;
导出数据必须要脱敏:非工作必须,员工不得从系统导出任何数据;任何从系统中导出的文件、电子表格,原则上不允许包含客户敏感信息(姓名、性别、住址、身份证号、电话号码等能辨识用户身份的任何信息);如因业务需要必须导出这些信息的,需要先获得运营管理部备案,由信息部技术支持组进行权限设置后方可执行;
数据使用完后必须要销毁:数据在使用完后,包括电子文档、纸质文档或存在U盘(含其他存储方式)中的数据必须要销毁,防止2次泄漏。
4.2 系统管理和使用规范
权限账号不借用、不共用:员工不得将自己的账号借给其他人使用;各运营中心也不得设置多人共用的系统账号;
权限设置应适当:仓管理人员在为员工设置系统权限时,应采用最小化原则,不得将最高权限转授员工、不得授予超出员工工作范围的权限,因兼岗等情况临时扩充员工权限后,要及时回收;
密码必须定期修改:系统登陆密码原则上每三个月必须修改一次,且修改后的密码应满足如下条件:密码至少8位,且必须是大小写字母、数字和字符的组合;
即时通讯系统:原则上各运营中心作业电脑上只允许安装“心语”作为即时通讯工具;如有特殊需求(如需要与客户联系的客服岗位)需要安装其他即时沟通工具的,需要在运营管理部备案后才能由IT运维进行安装;
不允许自行安装软件:员工不得在公司电脑上私自安装软件,如有特殊软件需求,需要在运营管理部备案后才能由IT运维进行安装;
严禁擅自重装系统:严禁员工自行重装电脑操作系统和各业务系统;出现系统故障应联系IT运维,由IT运维进行处理;
定期对账号权限进行清查:每隔一个时间段需要对系统中拥有权限的账号进行清查,保证账号权限的合理和适用。
4.3 设备和网络使用规范
禁止使用非公司设备办公:禁止使用非公司设备办公(如家庭电脑、网吧电脑登);
不得使用公司设备和网络从事非办公用途:具有互联网访问权限的设备使用人不得使用公司设备和网络从事非办公用途,例如观看与工作无关的网站、下载与工作无关文件等;
离开电脑要锁屏:员工应执行关机或锁屏操作才能离开工位;系统应设置1分钟无操作的情况下默认锁屏;
不使用不可信的网络办公:使用手提电脑办公的员工,不得连接任何免费WIFI处理工作相关事宜,以免信息被拦截;
不允许使用U盘、移动硬盘等:公司办公电脑原则上不允许连接U盘、移动硬盘等外接式存储设备。有特殊需求的员工,需要获得VP及以上级别的审批才能开通USB端口权限;
不允许使用网盘等公共存储设施:禁止将公司文件、数据存入互联网存储平台(如网盘等);
4.4 人事信息安全管理规范
各运营中心所有需要使用信息系统的员工,都必须在签署保密协议之后才能上岗;
各运营中心负责人应负责保障系统中本运营中心员工信息的正确性;
各运营中心负责人应确保员工上岗前做好权限分配;在员工转岗前做好权限修改;在员工离职时及时取消权限并关闭账号; - 责任
对于以上信息安全行为规范,如有违反并造成影响的,依据ISO27001信息安全体系中的:《ISMS-C-20信息安全事件管理制度》和《ISMS-C-21信息安全奖惩管理制度》2个制度进行处理。
