MMG工廠安全手冊(六)
(一)廠方通過使用防火墻、員工密碼以及防病毒軟件,保護其 系統免被非法使用和進入(階段 3 安全標準 - 必須在 2007 年 12 月 31 日之前完成)
要求:
·廠方必須使用防病毒軟件和防火墻保護其 系統
·廠方必須要求使用者輸入登錄名/密碼后,方可進入 系統。
附加安全建議(標準 1):
·其它安全措施建議:
鎖上存放主伺服器的房間:伺服器和設備的實際保護。應將其存放在上鎖的房間內。
128 位元加密:針對Internet 通信和交易的最高保護級別。加密時會以電子方式將信息打亂,這樣在信息傳送過程中,外部人員查看或修改信息的風險就會降低。
公鑰基礎架構 (PKI):保護通過 Internet 發送的機密/秘密電子信息的方式。信息發送人持有私鑰,并可向信息接收人分發公鑰。接收人使用公鑰將信息解密。
虛擬專用網絡:此方法將所有網絡通信加密或打亂,提供網絡安全或保護隱私。
(二)廠方定期將數據備份(階段 3 安全標準 - 必須在 2007 年 12 月 31 日之前完成)
要求:
·廠方必須備份數據,確保即使主要 系統癱瘓(出于病毒攻擊、工廠失火等原因),記錄也不會丟失。
·數據可以不同方式備份,較為簡單的方式有軟盤或光盤,較復雜的方式有異地備份伺服器。
附加安全建議(標準 2):
·計算機系統每日創建或更新的關鍵數據應每日備份。
·所有軟件(不管是購買的還是自行開發的)都應至少進行一次完整備份以作出保護。
·系統數據應至少每月備份一次。
·所有應用程序數據應根據“三代備份原則”每周完整備份一次。
·所有協議數據應根據“三代備份原則”每周完整備份一次。
·應制定數據備份政策,確定數據備份歸檔的方式。要有條理並高效地備份數據,歸檔是必要的。每次備份數據,應將以下幾項內容歸檔:
1.數據備份日期
2.數據備份類型(增量備份、完整備份)
3.數據的代數
4.數據備份責任
5.數據備份范圍(文件/目錄)
6.儲存操作數據的數據媒體
7.儲存備份數據的數據媒體
8.數據備份硬件和軟件(帶版本號)
9.數據備份參數(數據備份類型等)
10. 備份副本的儲存位置
·每日備份應在辦公時間過后、計算機使用率較低的情況下進行。備份數據應儲存在磁帶備份驅動器中,因為其容量大、可以移動;也可將備份數據儲存在硬盤中。對于大型企業,強烈建議使用備份伺服器和異地存儲。
·備份數據應存放在安全的異地位置。
¨ 所有備份媒體應存放在安全可靠的地點。所有每周備份媒體應存放在防火保險箱內。所有軟件完整備份和每月備份媒體應存放在異地備份檔案室。
(三)廠方應制定相應的程序,確保員工定期更改密碼(階段 3 安全標準 - 必須在 2007 年 12 月 31 日之前完成)
要求:
.所有可以使用計算機系統的員工必須至少每年更改密碼兩次。
·程序示例:員工必須至少每半年更改密碼一次
附加安全建議(標準 3):
·網絡管理員應負責通知計算機用戶更改密碼。網絡管理員應指定更改密碼的頻率和日期,伺服器運行軟件將提醒員工進行更改。
·對于未能在指定日期內更改密碼的員工,應鎖閉其對計算機網絡的使用,直至系統管理員解除鎖閉為止。
·密碼應為字母和數字的組合,長度至少為六個字母和符號。不應采用“明顯”密碼,例如出生日期、城市名等。
·為防止密碼有可能會被泄漏或破譯,員工應經常更改密碼。如果員工懷疑密碼已被泄漏,應立即使用新密碼。
(四)廠方應制定政策,決定哪些員工有權進入其 系統(階段 3 安全標準 - 必須在 2007 年 12 月 31 日之前完成)
要求:
·廠方必須制定書面程序,確定哪些員工有權進入其 系統。
·程序示例:僅允許以下部門的員工進入 系統:行政、薪酬、倉儲、訂單以及銷售部門。
附加安全建議(標準 4):
·廠方應根據員工的職責賦予其相應的權限。例如,只負責發薪的員工不能使用發票或訂單表格。
·雇用新員工后,其直接主管必須確定該員工是否需要進入 系統。如果確實需要,主管應為此員工申請使用權。主管應向 經理遞交一份書面申請表格,注明員工的姓名及其需要使用的應用程序。
“信息技術”附加安全建議
·廠方應制定書面的災后重建計劃,以恢復計算機網絡及其數據。
· 團隊應每年至少預演一次災后重建計劃。
·災后重建計劃可以定義為計劃、制定并執行災后重建管理程序的持續過程,目的是在系統發生意外中斷的情況下確保重要的公司運作可以迅速有效地恢復。所有災后重建計劃必須包含以下元素:
關鍵應用程序評估
備份程序
重建程序
執行程序
測試程序
計劃維護
· 災后重建計劃應為廠方企業災后重建計劃的一部分。
廠方應委派一位高級管理人員領導 災后重建小組。
災后重建小組應識別廠方網絡架構的組件,以便制定并更新應急程序。
災后重建小組應對廠方的 系統進行風險評估分析并將其歸檔。
災后重建小組應評估并區分需要支持的關鍵和次要業務功能的優先次序。
災后重建小組應為所有關鍵和次要業務職能制定、維護并記錄書面策略性重建程序。
災后重建小組應確定、維護并分發可協助工廠災后重建的關鍵和次要業務功能人員名單。
災后重建小組應制定、維護并向所有 員工和每個關鍵及次要業務功能的負責人分發書面的 應急計劃培訓綱要。
災后重建小組應從各方面測試 應急計劃 - 至少每年一次。這對應急計劃的成功至關重要。
災后重建小組應制定、維護并記錄有效的 應急計劃年度評估。