XX公司安全操作管理办法
制订部门:XX部门 编写日期:
一、 总则
为了更好的确保XX公司网站的安全稳定运行,合理、可靠、安全、高效地组织和管理XX公司网站,提高XX公司网站的服务质量,提高维护队伍的整体素质和水平,特制订本管理制度,作为维护和管理XX公司网站的依据。
二、 范围
本制度的适用范围包括XX公司网站系统的物理资产(包括:网络设备,主机设备,安全设备,监控设备等)、软件资产(操作系统,数据库,应用程序等)、数据资产(用户账号数据、用户交易数据、网络系统、主机数据,应用程序数据等)以及网站系统的技术人员等。
三、 角色与责任
本制度适用于XX公司网站的网络维护人员、服务器管理员、信息管理员等参阅。本制度由总裁办行政部修改和维护。
四、 管理制度
a) 系统账号管理制度
XX公司网站运营的所有硬软件系统账号,包括网站系统的所有硬件网络设备(包括交换机、路由器、防火墙、IDS以及其他网络设备附属的管理系统),XX公司后台管理系统账号密码、XX公司服务器操作系统账号密码、XX公司远程控制系统账号密码、XX公司数据库账号密码、XX公司域名管理系统账号密码、官方微博、微信公众平台账号密码等。网站 产品部门对以上账号密码拥有最高管理权限。
系统账号密码管理制度:
1)账号密码开通及使用
新入职员工或系统初始使用者,开通系统账号,需向其部门分管领导提出账号开通书面申请,经直接上级>办公室主任>网络部门经理核准后,由账号管理专员开通其账号。
2)员工密码的变更
在账号管理专员创建或初始化员工帐号和密码后,员工需要立即改变初始密码。 所有员工的密码必须定期进行变更(所有密码的变更周期应小于1个月,并大于5天),以最大程度确保密码的安全性。
员工丢失或遗忘密码,必须向其所在部门分管领导提出书面密码初始化申请,
经核准后,由账号管理专员具体实施密码的初始化程序,然后通知有关员工,并登记备案。
账号管理专员在发现任何企图非法使用某员工帐号的情况时,应立即强制该员工更改密码,并记录备案。
3)员工帐号的禁止
在超过规定登录次数限制时,员工帐号会被系统自动锁住5。
员工帐号在规定时间(30天)内没有使用,员工帐号会被账号管理专员手工禁止。 员工没有按密码定期变更的规定定期修改密码,超过系统设定的时限(5天)后,员工帐号会被系统自动禁止。
员工在外长期休假(事、病假)、出差,在此期间,其相应的员工帐号应被账号管理专员手工禁止。
当员工发现帐号由于其他原因被禁止时,应及时报告部门分管领导和账号管理专员,账号管理专员在查明原因后再为其开通,并记录在案。
4)员工帐号的删除
员工如果因岗位变动而不再需要访问公司信息资源时,账号管理专员在收到该员工所在部门分管领导的书面通知后,删除该员工相应的员工帐号。
员工离职后,账号管理专员在接到离职手续后,删除该员工所有的员工帐号。 为了项目或其他特殊原因而临时开放的员工帐号,如不再需要,经由项目负责人或分管领导同意后,由账号管理专员立即删除。
5)员工帐号权限的变更
如果员工因岗位变动或其他工作原因需要修改信息系统访问权限,其部门分管领导需要
书面通知账号管理专员,由账号管理专员修改权限。
账号管理专员需要依照“最小需要知道”原则对员工权限分配情况进行定期检查,如有必要,将修改员工权限,并通知该员工和其部门分管领导。
b) 数据安全管理制度
XX公司网站运营的业务数据资料,包括用户注册数据、用户交易数据、用户行为分析数据、网站操作日志数据、及整个XX公司数据库、网站源程序、网站规划运营文档等。
1)网站开发人员需对数据库、网站应用程序所需以下文档整理备案,并定期更新,每周五提交网站商务中心文档管理专员,数据库方面管理文档包括:
1. 数据库所有表结构
2.数据库表之间的关联关系
3.数据缓存架构
4.数据库用户账号
5.数据库备份机制
6.完善的数据库备份
7. 银行接口数据库结构部分详细说明
应用程序日常管理文档包括:
1..NET开发环境版本
2..NET开发环境配置说明
3..NET开发环境账号
4..NET开发环境完整备份
5. 网站最新原程序完整备份
6.网站原程序恢复说明
7. 银行接口程序部分详细说明
8.银行接口程序部分备份
9. 网站开发程序管理规范
2)数据库备份管理制度:
主机的备份分两种,一种是数据的备份,另一种是系统配置的备份。网站开发人员需要作数据备份的服务器为:数据库主机、应用服务器等。所有主机均应有较详细的系统配置的备份,
以便系统的恢复。重要数据应定期进行0级备份和增量备份,并妥善保存存储介质。鉴于现在网络的主机和备份介质,建议采用如下备份计划:
● 每月做一次系统0级备份,并向网站产品部门文档管理专员提交《0级备份日志》; ● 每周做一次增量备份, 并向网站产品部门文档管理专员提交《周增量备份日志》; ● 每个服务器至少保持最近的三个月的系统和数据备份, 并向网站产品部门文档管
理专员提交《系统和数据备份日志》。
c) 服务器安全管理制度
XX公司服务器作为公司网站业务的核心存储设备,信息系统建立起有效的备份与容灾体系,在发生各类灾难时快速响应、全力保证业务连续性,将成为保证企业连续运营的关键。引进一体化的本地/异地备份与容灾体系,以及防火墙、防入侵及一体化安全网关解决方案,可自动建立定时定期自动备份计划、双击热备份、系统恢复、灾难恢复、本地及异地容灾、报警机制、安全查杀、攻击防御等,无论企业的应用服务器发生任何意外,例如,恶意的程序破坏、文件损毁、人为误删误改、操作系统宕机、硬件故障,甚至整个机房毁于意外,都可以完整保护整个信息系统,保障企业最大程度的使数据丢失最少,业务中断时间最短,恢复能力最强。
公司服务器与网络管理的责任部门为网络部,并由其指定责任人负责服务器与网络管理的各项工作。该部门与责任人有权对公司的所有计算机进行操作并查看。同时,其负有对所有计算机信息保密的义务。
具体管理办法如下:
1)网络部需对服务器管理相关文档整理备案,更新的文档需每周五提交网站产品部门文档管理专员,服务器方面管理文档包括:
1.内部开发服务器配置详细说明
2.内部服务器安全管理说明
3.网站服务器配置详细说明
4.网站服务器安全管理账号
5.网站服务器与内部开发服务器数据通说明
6.FTP服务账号、版本及配置说明
7.服务器与银行交互配置详细说明
8.服务器安装程序列表
2) 网络部每日需对服务器运行情况进行监控、检查、分析、记录等工作,形成《服务器运维日报表》,每日提交网站产品部门文档管理专员。
3) 网络部每周需对服务器进行杀毒、清理垃圾文件、升级补丁,保持服务器环境安全,形成《服务器安全周报表》,每周提交网站产品部门文档管理专员。
4) 研发人员对服务器的操作权限由网络部进行分配,并对服务器操作权限、研发人员的使用情况、操作安全等负责。
5)若有突发异常事故,网络部需第一时间向总裁办汇报并协调跟进解决,以保证损失降至最低。
d) 公司服务器集群管理
为保障公司网站、网站交易平台、内部ECP、OA等IT系统高度的稳定性、可用性、扩展性及7*24运行,现实施公司服务器集群管理办法:
具体管理职责如下:
1) 网站产品部门对公司各网站、IT系统的运营需求及运营目标做出评估,并针对评估结果,制订《服务器集群配置及管理解决方案》及不定期的改进优化方案,并提交总裁办公会审批。
2) 公司技术部根据审批通过的《服务器集群配置及管理解决方案》的具体要求,负责服务器集群应用程序的配置,并每日监控服务器集群应用程序运行情况,并通过邮件向行政部提交《服务器集群应用程序监控日志》;
3) 网络部根据审批通过的《服务器集群配置及管理解决方案》的具体要求,负责服务器集群服务器及网络环境的配置,并每日监控集群服务器及附属网络设备运行情况,并通过邮件向行政部提交《集群服务器及附属网络设备应用程序监控日志》;
4)网站商务中心、公司技术部、网络部、行政部、总裁办每月30日组织服务器集群运维情况月度会议,对本月服务器集群监控情况进行数据分析、优化改进方案研讨、执行计划制订等。若遇紧急突发情况,以上部门需第一时间组织方案研讨会,以保证服务器第一时间运行正常。
具体权限设定如下:
1) 集群服务器及附属网络设备权限由网络部设定,并提交行政部统一管理及分配;
2) 集群服务器应用程序管理权限由公司技术部设定,并提交行政部统一管理及分配;
3) 各集群硬件程序及软件程序账号、权限申请流程及管理办法,参见本制度a条“系
统账号管理制度”。
e) 在线交易后台安全操作管理
为保障网站交易平台数据、资金、核心文件等的安全,特制订在线交易后台安全操作管理制度如下:
1) 会员中心管理:包括XX公司供应商及采购商注册信息,默认权限由网站商务中心客服专员查阅管理,仅有查看权限。
2) 交易管理:
自动提现申请管理:网站产品部门运营人员负责与客户自动提现服务签约,由财务人员负责签约合同扫描上传系统,并审核通过,系统执行自动提现操作。
平台手续费及提现额度管理:财务人员对平台手续费金额及提现额度申请,由总裁办公会审批通过后,在系统中设置手续费金额及提现额度金额。
人工提现审核:财务人员在该模块中负责超过提现额度的审核,每笔申请审核周期不超过10分钟。
订单管理:网站产品部门客服人员负责平台订单查询及订单状态修改管理。
3) 资金管理:
保证金管理:由财务人员进行客户保证金的结算、统计管理。
退款退货管理:网站产品部门运营人员负责平台客户交易纠纷受理,受理通过后提出客户退款退货申请,由总裁办公会进行退款审批,审批通过后,由财务人员负责平台退款操作执行。
收款管理:由财务人员进行每笔交易成功订单,交易金额、交易手续费等统计及结算。 提现明细管理:由财务人员进行每笔提现金额、提现手续费等统计及结算管理。 具体权限设定如下:
1) XX公司在线交易后台总账号及权限由行政部统一管理及分配;
2) 网站产品部门根据各自业务管理需要,客服类权限账号、运营类权限账号、内容类
权限账号分别向行政部申请,行政部开放后,一对一邮件发送权限。
3) 财务中心资金管理与交易管理,由财务中心人员分别向行政部申请,行政部开放后,
一对一邮件发送权限。
4) 权限申请流程及管理办法,参见本制度a条“系统账号管理制度”。
一、 奖惩措施(仅供参考,具体需行政部制定)
XX公司安全操作管理制度将由行政部进行具体负责实施,并把执行情况向办公室主任汇报,再由办公室主任直接呈报给总裁办安全管理小组,作为各部门年度目标责任制考核的内容之一。
公司将对执行制度好、计算机安全工作成绩显著的部门和个人,将给予表彰和奖励;对违反本安全管理制度和信息安全工作存在隐患的部门,由总裁办信息安全管理小组发出书面整改通知,限期整改;对刻意不执行本安全管理制度、漠视信息安全工作和存在安全隐患而没有及时整改,以至造成重大安全事故和案件的,将追究其部门主要负责人和直接责任者的责任,并按《工作人员违法规章制度行为处理办法》所列的相关条款予以处理,构成犯罪的,将依法追究其刑事责任。
XX公司安全操作管理办法
制订部门:XX部门 编写日期:
一、 总则
为了更好的确保XX公司网站的安全稳定运行,合理、可靠、安全、高效地组织和管理XX公司网站,提高XX公司网站的服务质量,提高维护队伍的整体素质和水平,特制订本管理制度,作为维护和管理XX公司网站的依据。
二、 范围
本制度的适用范围包括XX公司网站系统的物理资产(包括:网络设备,主机设备,安全设备,监控设备等)、软件资产(操作系统,数据库,应用程序等)、数据资产(用户账号数据、用户交易数据、网络系统、主机数据,应用程序数据等)以及网站系统的技术人员等。
三、 角色与责任
本制度适用于XX公司网站的网络维护人员、服务器管理员、信息管理员等参阅。本制度由总裁办行政部修改和维护。
四、 管理制度
a) 系统账号管理制度
XX公司网站运营的所有硬软件系统账号,包括网站系统的所有硬件网络设备(包括交换机、路由器、防火墙、IDS以及其他网络设备附属的管理系统),XX公司后台管理系统账号密码、XX公司服务器操作系统账号密码、XX公司远程控制系统账号密码、XX公司数据库账号密码、XX公司域名管理系统账号密码、官方微博、微信公众平台账号密码等。网站 产品部门对以上账号密码拥有最高管理权限。
系统账号密码管理制度:
1)账号密码开通及使用
新入职员工或系统初始使用者,开通系统账号,需向其部门分管领导提出账号开通书面申请,经直接上级>办公室主任>网络部门经理核准后,由账号管理专员开通其账号。
2)员工密码的变更
在账号管理专员创建或初始化员工帐号和密码后,员工需要立即改变初始密码。 所有员工的密码必须定期进行变更(所有密码的变更周期应小于1个月,并大于5天),以最大程度确保密码的安全性。
员工丢失或遗忘密码,必须向其所在部门分管领导提出书面密码初始化申请,
经核准后,由账号管理专员具体实施密码的初始化程序,然后通知有关员工,并登记备案。
账号管理专员在发现任何企图非法使用某员工帐号的情况时,应立即强制该员工更改密码,并记录备案。
3)员工帐号的禁止
在超过规定登录次数限制时,员工帐号会被系统自动锁住5。
员工帐号在规定时间(30天)内没有使用,员工帐号会被账号管理专员手工禁止。 员工没有按密码定期变更的规定定期修改密码,超过系统设定的时限(5天)后,员工帐号会被系统自动禁止。
员工在外长期休假(事、病假)、出差,在此期间,其相应的员工帐号应被账号管理专员手工禁止。
当员工发现帐号由于其他原因被禁止时,应及时报告部门分管领导和账号管理专员,账号管理专员在查明原因后再为其开通,并记录在案。
4)员工帐号的删除
员工如果因岗位变动而不再需要访问公司信息资源时,账号管理专员在收到该员工所在部门分管领导的书面通知后,删除该员工相应的员工帐号。
员工离职后,账号管理专员在接到离职手续后,删除该员工所有的员工帐号。 为了项目或其他特殊原因而临时开放的员工帐号,如不再需要,经由项目负责人或分管领导同意后,由账号管理专员立即删除。
5)员工帐号权限的变更
如果员工因岗位变动或其他工作原因需要修改信息系统访问权限,其部门分管领导需要
书面通知账号管理专员,由账号管理专员修改权限。
账号管理专员需要依照“最小需要知道”原则对员工权限分配情况进行定期检查,如有必要,将修改员工权限,并通知该员工和其部门分管领导。
b) 数据安全管理制度
XX公司网站运营的业务数据资料,包括用户注册数据、用户交易数据、用户行为分析数据、网站操作日志数据、及整个XX公司数据库、网站源程序、网站规划运营文档等。
1)网站开发人员需对数据库、网站应用程序所需以下文档整理备案,并定期更新,每周五提交网站商务中心文档管理专员,数据库方面管理文档包括:
1. 数据库所有表结构
2.数据库表之间的关联关系
3.数据缓存架构
4.数据库用户账号
5.数据库备份机制
6.完善的数据库备份
7. 银行接口数据库结构部分详细说明
应用程序日常管理文档包括:
1..NET开发环境版本
2..NET开发环境配置说明
3..NET开发环境账号
4..NET开发环境完整备份
5. 网站最新原程序完整备份
6.网站原程序恢复说明
7. 银行接口程序部分详细说明
8.银行接口程序部分备份
9. 网站开发程序管理规范
2)数据库备份管理制度:
主机的备份分两种,一种是数据的备份,另一种是系统配置的备份。网站开发人员需要作数据备份的服务器为:数据库主机、应用服务器等。所有主机均应有较详细的系统配置的备份,
以便系统的恢复。重要数据应定期进行0级备份和增量备份,并妥善保存存储介质。鉴于现在网络的主机和备份介质,建议采用如下备份计划:
● 每月做一次系统0级备份,并向网站产品部门文档管理专员提交《0级备份日志》; ● 每周做一次增量备份, 并向网站产品部门文档管理专员提交《周增量备份日志》; ● 每个服务器至少保持最近的三个月的系统和数据备份, 并向网站产品部门文档管
理专员提交《系统和数据备份日志》。
c) 服务器安全管理制度
XX公司服务器作为公司网站业务的核心存储设备,信息系统建立起有效的备份与容灾体系,在发生各类灾难时快速响应、全力保证业务连续性,将成为保证企业连续运营的关键。引进一体化的本地/异地备份与容灾体系,以及防火墙、防入侵及一体化安全网关解决方案,可自动建立定时定期自动备份计划、双击热备份、系统恢复、灾难恢复、本地及异地容灾、报警机制、安全查杀、攻击防御等,无论企业的应用服务器发生任何意外,例如,恶意的程序破坏、文件损毁、人为误删误改、操作系统宕机、硬件故障,甚至整个机房毁于意外,都可以完整保护整个信息系统,保障企业最大程度的使数据丢失最少,业务中断时间最短,恢复能力最强。
公司服务器与网络管理的责任部门为网络部,并由其指定责任人负责服务器与网络管理的各项工作。该部门与责任人有权对公司的所有计算机进行操作并查看。同时,其负有对所有计算机信息保密的义务。
具体管理办法如下:
1)网络部需对服务器管理相关文档整理备案,更新的文档需每周五提交网站产品部门文档管理专员,服务器方面管理文档包括:
1.内部开发服务器配置详细说明
2.内部服务器安全管理说明
3.网站服务器配置详细说明
4.网站服务器安全管理账号
5.网站服务器与内部开发服务器数据通说明
6.FTP服务账号、版本及配置说明
7.服务器与银行交互配置详细说明
8.服务器安装程序列表
2) 网络部每日需对服务器运行情况进行监控、检查、分析、记录等工作,形成《服务器运维日报表》,每日提交网站产品部门文档管理专员。
3) 网络部每周需对服务器进行杀毒、清理垃圾文件、升级补丁,保持服务器环境安全,形成《服务器安全周报表》,每周提交网站产品部门文档管理专员。
4) 研发人员对服务器的操作权限由网络部进行分配,并对服务器操作权限、研发人员的使用情况、操作安全等负责。
5)若有突发异常事故,网络部需第一时间向总裁办汇报并协调跟进解决,以保证损失降至最低。
d) 公司服务器集群管理
为保障公司网站、网站交易平台、内部ECP、OA等IT系统高度的稳定性、可用性、扩展性及7*24运行,现实施公司服务器集群管理办法:
具体管理职责如下:
1) 网站产品部门对公司各网站、IT系统的运营需求及运营目标做出评估,并针对评估结果,制订《服务器集群配置及管理解决方案》及不定期的改进优化方案,并提交总裁办公会审批。
2) 公司技术部根据审批通过的《服务器集群配置及管理解决方案》的具体要求,负责服务器集群应用程序的配置,并每日监控服务器集群应用程序运行情况,并通过邮件向行政部提交《服务器集群应用程序监控日志》;
3) 网络部根据审批通过的《服务器集群配置及管理解决方案》的具体要求,负责服务器集群服务器及网络环境的配置,并每日监控集群服务器及附属网络设备运行情况,并通过邮件向行政部提交《集群服务器及附属网络设备应用程序监控日志》;
4)网站商务中心、公司技术部、网络部、行政部、总裁办每月30日组织服务器集群运维情况月度会议,对本月服务器集群监控情况进行数据分析、优化改进方案研讨、执行计划制订等。若遇紧急突发情况,以上部门需第一时间组织方案研讨会,以保证服务器第一时间运行正常。
具体权限设定如下:
1) 集群服务器及附属网络设备权限由网络部设定,并提交行政部统一管理及分配;
2) 集群服务器应用程序管理权限由公司技术部设定,并提交行政部统一管理及分配;
3) 各集群硬件程序及软件程序账号、权限申请流程及管理办法,参见本制度a条“系
统账号管理制度”。
e) 在线交易后台安全操作管理
为保障网站交易平台数据、资金、核心文件等的安全,特制订在线交易后台安全操作管理制度如下:
1) 会员中心管理:包括XX公司供应商及采购商注册信息,默认权限由网站商务中心客服专员查阅管理,仅有查看权限。
2) 交易管理:
自动提现申请管理:网站产品部门运营人员负责与客户自动提现服务签约,由财务人员负责签约合同扫描上传系统,并审核通过,系统执行自动提现操作。
平台手续费及提现额度管理:财务人员对平台手续费金额及提现额度申请,由总裁办公会审批通过后,在系统中设置手续费金额及提现额度金额。
人工提现审核:财务人员在该模块中负责超过提现额度的审核,每笔申请审核周期不超过10分钟。
订单管理:网站产品部门客服人员负责平台订单查询及订单状态修改管理。
3) 资金管理:
保证金管理:由财务人员进行客户保证金的结算、统计管理。
退款退货管理:网站产品部门运营人员负责平台客户交易纠纷受理,受理通过后提出客户退款退货申请,由总裁办公会进行退款审批,审批通过后,由财务人员负责平台退款操作执行。
收款管理:由财务人员进行每笔交易成功订单,交易金额、交易手续费等统计及结算。 提现明细管理:由财务人员进行每笔提现金额、提现手续费等统计及结算管理。 具体权限设定如下:
1) XX公司在线交易后台总账号及权限由行政部统一管理及分配;
2) 网站产品部门根据各自业务管理需要,客服类权限账号、运营类权限账号、内容类
权限账号分别向行政部申请,行政部开放后,一对一邮件发送权限。
3) 财务中心资金管理与交易管理,由财务中心人员分别向行政部申请,行政部开放后,
一对一邮件发送权限。
4) 权限申请流程及管理办法,参见本制度a条“系统账号管理制度”。
一、 奖惩措施(仅供参考,具体需行政部制定)
XX公司安全操作管理制度将由行政部进行具体负责实施,并把执行情况向办公室主任汇报,再由办公室主任直接呈报给总裁办安全管理小组,作为各部门年度目标责任制考核的内容之一。
公司将对执行制度好、计算机安全工作成绩显著的部门和个人,将给予表彰和奖励;对违反本安全管理制度和信息安全工作存在隐患的部门,由总裁办信息安全管理小组发出书面整改通知,限期整改;对刻意不执行本安全管理制度、漠视信息安全工作和存在安全隐患而没有及时整改,以至造成重大安全事故和案件的,将追究其部门主要负责人和直接责任者的责任,并按《工作人员违法规章制度行为处理办法》所列的相关条款予以处理,构成犯罪的,将依法追究其刑事责任。