電話:18605772928
地址:溫州平陽縣鰲江鎮(zhèn)金鰲路21幢
3單元201室
電話:021-51029391
手機: 18601606208
熱線:4006-800-016
郵箱:chaowang@tranwin.org
地址:昆山市花橋商銀路1255號雙聯(lián)國際商務(wù)中心6幢4樓(郵寄)
FMG工廠安全手冊(六)
| 信息技術(shù) | ||||||
要求:
· 廠方必須使用防病毒軟件和防火墻保護其 IT 系統(tǒng) · 廠方必須要求使用者輸入登錄名/密碼后,方可進入 IT 系統(tǒng)。
附加安全建議(標準 1):
· 其它安全措施建議:
ü 鎖上存放主伺服器的房間:伺服器和設(shè)備的實際保護。應(yīng)將其存放在上鎖的房間內(nèi)。 ü 128 位元加密:針對Internet 通信和交易的最高保護級別。加密時會以電子方式將信息打亂,這樣在信息傳送過程中,外部人員查看或修改信息的風(fēng)險就會降低。 ü 公鑰基礎(chǔ)架構(gòu) (PKI):保護通過 Internet 發(fā)送的機密/秘密電子信息的方式。信息發(fā)送人持有私鑰,并可向信息接收人分發(fā)公鑰。接收人使用公鑰將信息解密。 ü 虛擬專用網(wǎng)絡(luò):此方法將所有網(wǎng)絡(luò)通信加密或打亂,提供網(wǎng)絡(luò)安全或保護隱私。
要求:
· 廠方必須備份數(shù)據(jù),確保即使主要 IT 系統(tǒng)癱瘓(出于病毒攻擊、工廠失火等原因),記錄也不會丟失。 · 數(shù)據(jù)可以不同方式備份,較為簡單的方式有軟盤或光盤,較復(fù)雜的方式有異地備份伺服器。
附加安全建議(標準 2):
· 計算機系統(tǒng)每日創(chuàng)建或更新的關(guān)鍵數(shù)據(jù)應(yīng)每日備份。 · 所有軟件(不管是購買的還是自行開發(fā)的)都應(yīng)至少進行一次完整備份以作出保護。 · 系統(tǒng)數(shù)據(jù)應(yīng)至少每月備份一次。 · 所有應(yīng)用程序數(shù)據(jù)應(yīng)根據(jù)“三代備份原則”每周完整備份一次。 · 所有協(xié)議數(shù)據(jù)應(yīng)根據(jù)“三代備份原則”每周完整備份一次。 · 應(yīng)制定數(shù)據(jù)備份政策,確定數(shù)據(jù)備份歸檔的方式。要有條理並高效地備份數(shù)據(jù),歸檔是必要的。每次備份數(shù)據(jù),應(yīng)將以下幾項內(nèi)容歸檔: 1. 數(shù)據(jù)備份日期 2. 數(shù)據(jù)備份類型(增量備份、完整備份) 3. 數(shù)據(jù)的代數(shù) 4. 數(shù)據(jù)備份責(zé)任 5. 數(shù)據(jù)備份范圍(文件/目錄) 6. 儲存操作數(shù)據(jù)的數(shù)據(jù)媒體 7. 儲存?zhèn)浞輸?shù)據(jù)的數(shù)據(jù)媒體 8. 數(shù)據(jù)備份硬件和軟件(帶版本號) 9. 數(shù)據(jù)備份參數(shù)(數(shù)據(jù)備份類型等) 10. 備份副本的儲存位置 · 每日備份應(yīng)在辦公時間過后、計算機使用率較低的情況下進行。備份數(shù)據(jù)應(yīng)儲存在磁帶備份驅(qū)動器中,因為其容量大、可以移動;也可將備份數(shù)據(jù)儲存在硬盤中。對于大型企業(yè),強烈建議使用備份伺服器和異地存儲。 · 備份數(shù)據(jù)應(yīng)存放在安全的異地位置。 ¨ 所有備份媒體應(yīng)存放在安全可靠的地點。所有每周備份媒體應(yīng)存放在防火保險箱內(nèi)。所有軟件完整備份和每月備份媒體應(yīng)存放在異地備份檔案室。
要求:
· 所有可以使用計算機系統(tǒng)的員工必須至少每年更改密碼兩次。 · 程序示例:員工必須至少每半年更改密碼一次
附加安全建議(標準 3):
· 網(wǎng)絡(luò)管理員應(yīng)負責(zé)通知計算機用戶更改密碼。網(wǎng)絡(luò)管理員應(yīng)指定更改密碼的頻率和日期,伺服器運行軟件將提醒員工進行更改。 · 對于未能在指定日期內(nèi)更改密碼的員工,應(yīng)鎖閉其對計算機網(wǎng)絡(luò)的使用,直至系統(tǒng)管理員解除鎖閉為止。 · 密碼應(yīng)為字母和數(shù)字的組合,長度至少為六個字母和符號。不應(yīng)采用“明顯”密碼,例如出生日期、城市名等。 · 為防止密碼有可能會被泄漏或破譯,員工應(yīng)經(jīng)常更改密碼。如果員工懷疑密碼已被泄漏,應(yīng)立即使用新密碼。
要求:
· 廠方必須制定書面程序,確定哪些員工有權(quán)進入其 IT 系統(tǒng)。 · 程序示例:僅允許以下部門的員工進入 IT 系統(tǒng):行政、薪酬、倉儲、訂單以及銷售部門。
附加安全建議(標準 4):
· 廠方應(yīng)根據(jù)員工的職責(zé)賦予其相應(yīng)的權(quán)限。例如,只負責(zé)發(fā)薪的員工不能使用發(fā)票或訂單表格。 · 雇用新員工后,其直接主管必須確定該員工是否需要進入 IT 系統(tǒng)。如果確實需要,主管應(yīng)為此員工申請使用權(quán)。主管應(yīng)向 IT 經(jīng)理遞交一份書面申請表格,注明員工的姓名及其需要使用的應(yīng)用程序。
“信息技術(shù)”附加安全建議
· 廠方應(yīng)制定書面的災(zāi)后重建計劃,以恢復(fù)計算機網(wǎng)絡(luò)及其數(shù)據(jù)。 · IT 團隊應(yīng)每年至少預(yù)演一次災(zāi)后重建計劃。 · 災(zāi)后重建計劃可以定義為計劃、制定并執(zhí)行災(zāi)后重建管理程序的持續(xù)過程,目的是在系統(tǒng)發(fā)生意外中斷的情況下確保重要的公司運作可以迅速有效地恢復(fù)。所有災(zāi)后重建計劃必須包含以下元素: o 關(guān)鍵應(yīng)用程序評估 o 備份程序 o 重建程序 o 執(zhí)行程序 o 測試程序 o 計劃維護 · IT 災(zāi)后重建計劃應(yīng)為廠方企業(yè)災(zāi)后重建計劃的一部分。 o 廠方應(yīng)委派一位高級管理人員領(lǐng)導(dǎo) IT 災(zāi)后重建小組。 o IT 災(zāi)后重建小組應(yīng)識別廠方網(wǎng)絡(luò)架構(gòu)的組件,以便制定并更新應(yīng)急程序。 o IT 災(zāi)后重建小組應(yīng)對廠方的 IT 系統(tǒng)進行風(fēng)險評估分析并將其歸檔。 o IT 災(zāi)后重建小組應(yīng)評估并區(qū)分需要支持的關(guān)鍵和次要業(yè)務(wù)功能的優(yōu)先次序。 o IT 災(zāi)后重建小組應(yīng)為所有關(guān)鍵和次要業(yè)務(wù)職能制定、維護并記錄書面策略性重建程序。 o IT 災(zāi)后重建小組應(yīng)確定、維護并分發(fā)可協(xié)助工廠災(zāi)后重建的關(guān)鍵和次要業(yè)務(wù)功能人員名單。 o IT 災(zāi)后重建小組應(yīng)制定、維護并向所有 IT 員工和每個關(guān)鍵及次要業(yè)務(wù)功能的負責(zé)人分發(fā)書面的 IT 應(yīng)急計劃培訓(xùn)綱要。 o IT 災(zāi)后重建小組應(yīng)從各方面測試 IT 應(yīng)急計劃 - 至少每年一次。這對應(yīng)急計劃的成功至關(guān)重要。 o IT 災(zāi)后重建小組應(yīng)制定、維護并記錄有效的IT 應(yīng)急計劃年度評估。 | ||||||