01 计算机信息系统管理 001：信息安全管理.doc

jenk

247

4页

0次

2021-02-22

40墨值下载

上海汽车集团股份有限公司内控手册

计算机信息系统管理 001: 信息安全管理

1.0 流程综述

本子流程主要描述上海汽车相关计算机操作系统、应用系统和电子数据的安全控制，以及如何实现

信息的保密性、完整性和可用性。

2.0 适用范围

公司总部、分支机构、控股子公司，共同控制企业和参股公司参照执行。

3.0 控制目标和关键控制活动

控制目标控制活动编号关键控制活动

安装及配置逻

辑安全管理工

具和技术来限

制对程序 , 数

据及其它信息

的存取。

IT001-CA01-4.2.1

对用户用一一对应的识别和认证权限控制系统(如用户 ID 和

密码)，以阻止非法侵入，确保各级用户只能进入其授权使

用的系统。

IT001-CA02-4.2.2

信息系统部规定了公司密码设置要求：用户密码至少 8 位，

密码中需包含英文大、小写和数字，密码至少 90 天更改一

次，接近的密码在 9 个月内不得重复使用。

逻辑安全管理

工具和技术有

适当管理 , 以

限制对程序 ,

数据及其它信

息的存取。

IT001-CA03-4.2.1

用户因转岗、合同终止或其它原因需改变或取消其原先的权

限，用户部门应以书面形式通知信息系统部，在得到人力资

源部确认信息后，更改或取消其设定。

IT001-CA04-4.2.3

用户部门关键用户或批准权限申请的负责人应定期，至少一

年一次审核并调整用户登录各应用系统的权限范围，对于重

要的关键系统应至少每半年审核一次。

IT001-CA05-4.2.4

信息系统部对于开通管理员权限的用户，每个月通过监控软

件进行审核，检查其是否有非法使用情况。

只有特定人员

才能使用管理

员账号。

IT001-CA06-4.2.4

原则上所有的客户端账号都只开通用户（User）权限。

信息系统部对各系统分别设有系统管理员，系统管理员的岗

位由部门总监任命，只对所负责的系统根据已批准的申请

单，进行规定的操作。

设置设备实体

接近限制 , 以

确保仅有经适

当的授权人员

可以接近和使

用信息资源。

IT001-CA07-4.1.1

高度安全区域必须采取严格的进出控制及门禁系统。任何来

访者或供应商须在相关人员陪同下，才能进入高度安全区

域。

企业的程序、

数据及其它信

息资源均受防

病毒软件保

护。

IT001-CA08-4.2.5

信息系统部在公司所有计算机设备上安装防病毒软件，并定

期统一更新病毒库，同时在服务器上做好相关数据的定期备

份。

用户需使用信息系统部确认过的正版软件，不运行功能不明

的可执行文件。在使用外接存储设备时需先进行查毒、杀毒

工作。

企业之计算机

IT001-CA09-4.2.7

信息系统部将根据业务需要，及时提供合法软件及足够数量

上海汽车集团股份有限公司内控手册

控制目标控制活动编号关键控制活动

系统内所有软

件之安装及使

用均符合软件

授权合约。

的使用许可证(liscense)。

信息系统部将不定期抽查用户合法软件使用情况，一旦发现

员工私自安装的非法软件，将予以删除。

4.0 政策和工作流程

4.1IT 环境的物理安全

IT 环境的物理安全应与人力资源部联系，确保各项安全措施的到位。

4.1.1 高度安全区域的管理

对公司级信息设备集中放置，设立高度安全区域。该区域内基础装修及设备应能满足消防、环境控

制、防静电及报警等相关功能。高度安全区域必须采取严格的进出控制及门禁系统。任何来访者或供应

商须在相关人员陪同下，才能进入高度安全区域。

机房管理人员需保证机房设备和机房设施的正常运行。为了使机房能够安全高效的运作，对使用机

房的人员从以下方面做了规定：机房的出入、机房的操作、机房用电制度、机房安全。详细内容请参见

《上海汽车集团股份有限公司 IT 机房安全管理规定》

4.1.2 保护公司计算机及相关设备和通讯设施的安全

禁止用户私自动用、转移或破坏他人计算机及其他相关设备。用户如果临时或长时间不使用某种设

备，应采取相应的措施进行保护或保存。因维修或其它用途而拆除存有信息的电子设备，如硬盘时，应

完全销毁其存有的数据，并确保此信息不可能被恢复。

4.2IT 环境的逻辑安全

4.2.1 用户账号申请控制

登录和使用公司计算机系统和网络资源，需用户部门确定和批准用户申请的权限范围，信息系统部

审核申请是否符合相关流程和规定，通过后按申请内容进行技术设置。对用户用一一对应的识别和认证

权限控制系统(如用户 ID 和密码)，以阻止非法侵入，确保各级用户只能进入其授权使用的系统。系统

应保留一定期限内的所有登录记录。

用户因转岗、合同终止或其它原因需改变或取消其原先的权限，用户部门应以书面形式通知信息系

统部，在得到人力资源部确认信息后，更改或取消其设定。

4.2.2 密码控制

信息系统部规定了公司密码设置要求，对于任何系统，包括应用系统，操作系统和数据库等：

用户密码至少 8 位；

密码中需包含英文大、小写和数字；

密码至少 90 天更改一次；和

接近的密码在 9 个月内不得重复使用；

同时用户也应建立良好的密码设定和保密习惯。

4.2.3 权限复核

用户部门负责审核该部门的权限申请内容，对于重要的数据，应根据分工将操作权限分开设置。用

户部门关键用户或批准权限申请的负责人应定期，至少一年一次，审核并调整用户登录各应用系统的权

限范围，对于重要的关键系统应至少每半年审核一次，以确保分配给用户使用的权限是恰当的，且符合

权限最小化原则。

4.2.4 管理员账号的管理

上海汽车集团股份有限公司内控手册

计算机信息系统管理 001: 信息安全管理

1.0 流程综述

本子流程主要描述上海汽车相关计算机操作系统、应用系统和电子数据的安全控制，以及如何实现

信息的保密性、完整性和可用性。

2.0 适用范围

公司总部、分支机构、控股子公司，共同控制企业和参股公司参照执行。

3.0 控制目标和关键控制活动

控制目标控制活动编号关键控制活动

安装及配置逻

辑安全管理工

具和技术来限

制对程序 , 数

据及其它信息

的存取。

IT001-CA01-4.2.1

对用户用一一对应的识别和认证权限控制系统(如用户 ID 和

密码)，以阻止非法侵入，确保各级用户只能进入其授权使

用的系统。

IT001-CA02-4.2.2

信息系统部规定了公司密码设置要求：用户密码至少 8 位，

密码中需包含英文大、小写和数字，密码至少 90 天更改一

次，接近的密码在 9 个月内不得重复使用。

逻辑安全管理

工具和技术有

适当管理 , 以

限制对程序 ,

数据及其它信

息的存取。

IT001-CA03-4.2.1

用户因转岗、合同终止或其它原因需改变或取消其原先的权

限，用户部门应以书面形式通知信息系统部，在得到人力资

源部确认信息后，更改或取消其设定。

IT001-CA04-4.2.3

用户部门关键用户或批准权限申请的负责人应定期，至少一

年一次审核并调整用户登录各应用系统的权限范围，对于重

要的关键系统应至少每半年审核一次。

IT001-CA05-4.2.4

信息系统部对于开通管理员权限的用户，每个月通过监控软

件进行审核，检查其是否有非法使用情况。

只有特定人员

才能使用管理

员账号。

IT001-CA06-4.2.4

原则上所有的客户端账号都只开通用户（User）权限。

信息系统部对各系统分别设有系统管理员，系统管理员的岗

位由部门总监任命，只对所负责的系统根据已批准的申请

单，进行规定的操作。

设置设备实体

接近限制 , 以

确保仅有经适

当的授权人员

可以接近和使

用信息资源。

IT001-CA07-4.1.1

高度安全区域必须采取严格的进出控制及门禁系统。任何来

访者或供应商须在相关人员陪同下，才能进入高度安全区

域。

企业的程序、

数据及其它信

息资源均受防

病毒软件保

护。

IT001-CA08-4.2.5

信息系统部在公司所有计算机设备上安装防病毒软件，并定

期统一更新病毒库，同时在服务器上做好相关数据的定期备

份。

用户需使用信息系统部确认过的正版软件，不运行功能不明

的可执行文件。在使用外接存储设备时需先进行查毒、杀毒

工作。

企业之计算机

IT001-CA09-4.2.7

信息系统部将根据业务需要，及时提供合法软件及足够数量

上海汽车集团股份有限公司内控手册

控制目标控制活动编号关键控制活动

系统内所有软

件之安装及使

用均符合软件

授权合约。

的使用许可证(liscense)。

信息系统部将不定期抽查用户合法软件使用情况，一旦发现

员工私自安装的非法软件，将予以删除。

4.0 政策和工作流程

4.1IT 环境的物理安全

IT 环境的物理安全应与人力资源部联系，确保各项安全措施的到位。

4.1.1 高度安全区域的管理

对公司级信息设备集中放置，设立高度安全区域。该区域内基础装修及设备应能满足消防、环境控

制、防静电及报警等相关功能。高度安全区域必须采取严格的进出控制及门禁系统。任何来访者或供应

商须在相关人员陪同下，才能进入高度安全区域。

机房管理人员需保证机房设备和机房设施的正常运行。为了使机房能够安全高效的运作，对使用机

房的人员从以下方面做了规定：机房的出入、机房的操作、机房用电制度、机房安全。详细内容请参见

《上海汽车集团股份有限公司 IT 机房安全管理规定》

4.1.2 保护公司计算机及相关设备和通讯设施的安全

禁止用户私自动用、转移或破坏他人计算机及其他相关设备。用户如果临时或长时间不使用某种设

备，应采取相应的措施进行保护或保存。因维修或其它用途而拆除存有信息的电子设备，如硬盘时，应

完全销毁其存有的数据，并确保此信息不可能被恢复。

4.2IT 环境的逻辑安全

4.2.1 用户账号申请控制

登录和使用公司计算机系统和网络资源，需用户部门确定和批准用户申请的权限范围，信息系统部

审核申请是否符合相关流程和规定，通过后按申请内容进行技术设置。对用户用一一对应的识别和认证

权限控制系统(如用户 ID 和密码)，以阻止非法侵入，确保各级用户只能进入其授权使用的系统。系统

应保留一定期限内的所有登录记录。

用户因转岗、合同终止或其它原因需改变或取消其原先的权限，用户部门应以书面形式通知信息系

统部，在得到人力资源部确认信息后，更改或取消其设定。

4.2.2 密码控制

信息系统部规定了公司密码设置要求，对于任何系统，包括应用系统，操作系统和数据库等：

用户密码至少 8 位；

密码中需包含英文大、小写和数字；

密码至少 90 天更改一次；和

接近的密码在 9 个月内不得重复使用；

同时用户也应建立良好的密码设定和保密习惯。

4.2.3 权限复核

用户部门负责审核该部门的权限申请内容，对于重要的数据，应根据分工将操作权限分开设置。用

户部门关键用户或批准权限申请的负责人应定期，至少一年一次，审核并调整用户登录各应用系统的权

限范围，对于重要的关键系统应至少每半年审核一次，以确保分配给用户使用的权限是恰当的，且符合

权限最小化原则。

4.2.4 管理员账号的管理

of 4

40墨值下载

database

关注

评论