信息技術(shù)
 
 

  （一）廠方通過使用防火墻、員工密碼以及防病毒軟件，保護(hù)其 IT 系統(tǒng)免被非法使用和進(jìn)入（階段 3 安全標(biāo)準(zhǔn) - 必須在 2007 年 12 月 31 日之前完成）
 

要求：

·          廠方必須使用防病毒軟件和防火墻保護(hù)其 IT 系統(tǒng)

·          廠方必須要求使用者輸入登錄名/密碼后，方可進(jìn)入 IT 系統(tǒng)。

附加安全建議（標(biāo)準(zhǔn) 1）：

·          其它安全措施建議：

ü        鎖上存放主伺服器的房間：伺服器和設(shè)備的實(shí)際保護(hù)。應(yīng)將其存放在上鎖的房間內(nèi)。

ü        128 位元加密：針對(duì)Internet 通信和交易的最高保護(hù)級(jí)別。加密時(shí)會(huì)以電子方式將信息打亂，這樣在信息傳送過程中，外部人員查看或修改信息的風(fēng)險(xiǎn)就會(huì)降低。

ü        公鑰基礎(chǔ)架構(gòu) (PKI)：保護(hù)通過 Internet 發(fā)送的機(jī)密/秘密電子信息的方式。信息發(fā)送人持有私鑰，并可向信息接收人分發(fā)公鑰。接收人使用公鑰將信息解密。

ü        虛擬專用網(wǎng)絡(luò)：此方法將所有網(wǎng)絡(luò)通信加密或打亂，提供網(wǎng)絡(luò)安全或保護(hù)隱私。

（二）廠方定期將數(shù)據(jù)備份（階段 3 安全標(biāo)準(zhǔn) - 必須在 2007 年 12 月 31 日之前完成）
 
 

要求：

·          廠方必須備份數(shù)據(jù)，確保即使主要 IT 系統(tǒng)癱瘓（出于病毒攻擊、工廠失火等原因），記錄也不會(huì)丟失。

·          數(shù)據(jù)可以不同方式備份，較為簡(jiǎn)單的方式有軟盤或光盤，較復(fù)雜的方式有異地備份伺服器。

附加安全建議（標(biāo)準(zhǔn) 2）：

·          計(jì)算機(jī)系統(tǒng)每日創(chuàng)建或更新的關(guān)鍵數(shù)據(jù)應(yīng)每日備份。

·          所有軟件（不管是購買的還是自行開發(fā)的）都應(yīng)至少進(jìn)行一次完整備份以作出保護(hù)。

·          系統(tǒng)數(shù)據(jù)應(yīng)至少每月備份一次。

·          所有應(yīng)用程序數(shù)據(jù)應(yīng)根據(jù)“三代備份原則”每周完整備份一次。

·          所有協(xié)議數(shù)據(jù)應(yīng)根據(jù)“三代備份原則”每周完整備份一次。

·          應(yīng)制定數(shù)據(jù)備份政策，確定數(shù)據(jù)備份歸檔的方式。要有條理並高效地備份數(shù)據(jù)，歸檔是必要的。每次備份數(shù)據(jù)，應(yīng)將以下幾項(xiàng)內(nèi)容歸檔：

1.        數(shù)據(jù)備份日期

2.        數(shù)據(jù)備份類型（增量備份、完整備份）

3.        數(shù)據(jù)的代數(shù)

4.        數(shù)據(jù)備份責(zé)任

5.        數(shù)據(jù)備份范圍（文件/目錄）

6.        儲(chǔ)存操作數(shù)據(jù)的數(shù)據(jù)媒體

7.        儲(chǔ)存?zhèn)浞輸?shù)據(jù)的數(shù)據(jù)媒體

8.        數(shù)據(jù)備份硬件和軟件（帶版本號(hào)）

9.        數(shù)據(jù)備份參數(shù)（數(shù)據(jù)備份類型等）

10.     備份副本的儲(chǔ)存位置

·          每日備份應(yīng)在辦公時(shí)間過后、計(jì)算機(jī)使用率較低的情況下進(jìn)行。備份數(shù)據(jù)應(yīng)儲(chǔ)存在磁帶備份驅(qū)動(dòng)器中，因?yàn)槠淙萘看蟆⒖梢砸苿?dòng)；也可將備份數(shù)據(jù)儲(chǔ)存在硬盤中。對(duì)于大型企業(yè)，強(qiáng)烈建議使用備份伺服器和異地存儲(chǔ)。

·          備份數(shù)據(jù)應(yīng)存放在安全的異地位置。

¨        所有備份媒體應(yīng)存放在安全可靠的地點(diǎn)。所有每周備份媒體應(yīng)存放在防火保險(xiǎn)箱內(nèi)。所有軟件完整備份和每月備份媒體應(yīng)存放在異地備份檔案室。

（三）廠方應(yīng)制定相應(yīng)的程序，確保員工定期更改密碼（階段 3 安全標(biāo)準(zhǔn) - 必須在 2007 年 12 月 31 日之前完成）
 
 

要求：

·          所有可以使用計(jì)算機(jī)系統(tǒng)的員工必須至少每年更改密碼兩次。

·          程序示例：?jiǎn)T工必須至少每半年更改密碼一次

附加安全建議（標(biāo)準(zhǔn) 3）：

·          網(wǎng)絡(luò)管理員應(yīng)負(fù)責(zé)通知計(jì)算機(jī)用戶更改密碼。網(wǎng)絡(luò)管理員應(yīng)指定更改密碼的頻率和日期，伺服器運(yùn)行軟件將提醒員工進(jìn)行更改。

·          對(duì)于未能在指定日期內(nèi)更改密碼的員工，應(yīng)鎖閉其對(duì)計(jì)算機(jī)網(wǎng)絡(luò)的使用，直至系統(tǒng)管理員解除鎖閉為止。

·          密碼應(yīng)為字母和數(shù)字的組合，長(zhǎng)度至少為六個(gè)字母和符號(hào)。不應(yīng)采用“明顯”密碼，例如出生日期、城市名等。

·          為防止密碼有可能會(huì)被泄漏或破譯，員工應(yīng)經(jīng)常更改密碼。如果員工懷疑密碼已被泄漏，應(yīng)立即使用新密碼。

（四）廠方應(yīng)制定政策，決定哪些員工有權(quán)進(jìn)入其 IT 系統(tǒng)（階段 3 安全標(biāo)準(zhǔn) - 必須在 2007 年 12 月 31 日之前完成）
 
 

要求：

·          廠方必須制定書面程序，確定哪些員工有權(quán)進(jìn)入其 IT 系統(tǒng)。

·          程序示例：僅允許以下部門的員工進(jìn)入 IT 系統(tǒng)：行政、薪酬、倉儲(chǔ)、訂單以及銷售部門。

附加安全建議（標(biāo)準(zhǔn) 4）：

·          廠方應(yīng)根據(jù)員工的職責(zé)賦予其相應(yīng)的權(quán)限。例如，只負(fù)責(zé)發(fā)薪的員工不能使用發(fā)票或訂單表格。

·          雇用新員工后，其直接主管必須確定該員工是否需要進(jìn)入 IT 系統(tǒng)。如果確實(shí)需要，主管應(yīng)為此員工申請(qǐng)使用權(quán)。主管應(yīng)向 IT 經(jīng)理遞交一份書面申請(qǐng)表格，注明員工的姓名及其需要使用的應(yīng)用程序。

“信息技術(shù)”附加安全建議

·          廠方應(yīng)制定書面的災(zāi)后重建計(jì)劃，以恢復(fù)計(jì)算機(jī)網(wǎng)絡(luò)及其數(shù)據(jù)。

·          IT 團(tuán)隊(duì)?wèi)?yīng)每年至少預(yù)演一次災(zāi)后重建計(jì)劃。

·          災(zāi)后重建計(jì)劃可以定義為計(jì)劃、制定并執(zhí)行災(zāi)后重建管理程序的持續(xù)過程，目的是在系統(tǒng)發(fā)生意外中斷的情況下確保重要的公司運(yùn)作可以迅速有效地恢復(fù)。所有災(zāi)后重建計(jì)劃必須包含以下元素：

o         關(guān)鍵應(yīng)用程序評(píng)估

o         備份程序

o         重建程序

o         執(zhí)行程序

o         測(cè)試程序

o         計(jì)劃維護(hù)

·          IT 災(zāi)后重建計(jì)劃應(yīng)為廠方企業(yè)災(zāi)后重建計(jì)劃的一部分。

o         廠方應(yīng)委派一位高級(jí)管理人員領(lǐng)導(dǎo) IT 災(zāi)后重建小組。

o         IT 災(zāi)后重建小組應(yīng)識(shí)別廠方網(wǎng)絡(luò)架構(gòu)的組件，以便制定并更新應(yīng)急程序。

o         IT 災(zāi)后重建小組應(yīng)對(duì)廠方的 IT 系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估分析并將其歸檔。

o         IT 災(zāi)后重建小組應(yīng)評(píng)估并區(qū)分需要支持的關(guān)鍵和次要業(yè)務(wù)功能的優(yōu)先次序。

o         IT 災(zāi)后重建小組應(yīng)為所有關(guān)鍵和次要業(yè)務(wù)職能制定、維護(hù)并記錄書面策略性重建程序。

o         IT 災(zāi)后重建小組應(yīng)確定、維護(hù)并分發(fā)可協(xié)助工廠災(zāi)后重建的關(guān)鍵和次要業(yè)務(wù)功能人員名單。

o         IT 災(zāi)后重建小組應(yīng)制定、維護(hù)并向所有 IT 員工和每個(gè)關(guān)鍵及次要業(yè)務(wù)功能的負(fù)責(zé)人分發(fā)書面的 IT 應(yīng)急計(jì)劃培訓(xùn)綱要。

o         IT 災(zāi)后重建小組應(yīng)從各方面測(cè)試 IT 應(yīng)急計(jì)劃 - 至少每年一次。這對(duì)應(yīng)急計(jì)劃的成功至關(guān)重要。

o         IT 災(zāi)后重建小組應(yīng)制定、維護(hù)并記錄有效的IT 應(yīng)急計(jì)劃年度評(píng)估。