企業(yè)信息技術(shù)（IT ）管理制度根據(jù)公司質(zhì)量管理體系，以及計算機應(yīng)用的需要，由IT 部制定本管理制度，并負責本管理制度的具體執(zhí)行。一、計算機硬件管理：1、公司的所有計算機及外圍設(shè)備是公司的固定資產(chǎn)，根據(jù)

企業(yè)信息技術(shù)（IT ）管理制度

根據(jù)公司質(zhì)量管理體系，以及計算機應(yīng)用的需要，由IT 部制定本管理制度，并負責本管理制度的具體執(zhí)行。

一、計算機硬件管理：

1、公司的所有計算機及外圍設(shè)備是公司的固定資產(chǎn)，根據(jù)實際工作需要配備給各部門人員使用，各部門使用人員必須加以愛護、保持整潔，并保證良好的使用環(huán)境。

2、由IT 部對公司所有計算機設(shè)備進行統(tǒng)一編號，建立計算機硬件明細臺帳，并定期對硬件進行維護、檢查各部門使用情況。

3、設(shè)備添置、更換、升級：由各部門根據(jù)實際工作需要提申請，IT 部確定具體配置，書面申請經(jīng)總經(jīng)理、財務(wù)供應(yīng)副總批準后由IT 部進行采購。

4、硬件故障：各部門使用人員發(fā)現(xiàn)硬件故障時，應(yīng)及時向IT 部說明情況，由IT 部進行確定并及時處理，各部門人員不得擅自拆裝更換硬件設(shè)備。

5、部門如需領(lǐng)取耗材，需到IT 部填寫耗材申請單。申請單須清晰注明耗材申請原因。申請經(jīng)財務(wù)副總經(jīng)理批準后，由IT 部進行發(fā)放。

6、計算機的使用人即為該設(shè)備的責任人，使用部門為責任部門。未經(jīng)責任部門經(jīng)理批準，任何人不得使用其他部門或他人計算機。

7、IT 部負責對公司所有電腦硬件使用情況的督查和監(jiān)控。

二、計算機軟件管理

1、軟件的使用：各部門及人員所使用的軟件，由各部門會同IT 部共同確定，由IT 部進行登記。

2、公司需用的軟件，由IT 部統(tǒng)一購買、保管，并登記造冊。各部門的專用軟件，由部門經(jīng)理安排使用，IT 部保管備案。

3、軟件的安裝、刪除和升級：由各部門根據(jù)工作需要，提出書面需求申請，經(jīng)總經(jīng)理批準后，由IT 部進行安裝、刪除和升級。未經(jīng)IT 部批準，各部門和人員不得自行進行上述操作。

4、軟件故障：各部門使用人員發(fā)現(xiàn)軟件故障時，應(yīng)及時向IT 部說明情況，由IT 部進行確定并及時處理，各部門人員不得擅自處理。

5、員工不得私自在工作機上安裝與工作無關(guān)的程序，mp3、影音文件播放程序、 聊天工具、游戲等。

6、工作時間（包括加班時間）公司員工不得使用工作用機玩游戲，聽音樂觀看電影。

7、移動存儲設(shè)備使用管理：為了防止公司資料非法外流以及病毒入侵公司內(nèi)部網(wǎng)絡(luò)，嚴格限制員工使用外來軟盤、光盤、移動硬盤等移動存儲設(shè)備。

8、網(wǎng)絡(luò)下載管理：為了防止病毒侵入公司內(nèi)部網(wǎng)絡(luò)，不得隨意下載文件、信件。

9、使用外網(wǎng)郵件：員工在打開外網(wǎng)郵件時必須激活防火墻或“金山毒霸郵件監(jiān)控”程序。

10、軟件安裝和使用過程中病毒的預防：員工不得在工作機上安裝來歷不明的軟件；安裝軟件前，應(yīng)對該安裝盤進行殺毒。安裝軟件時應(yīng)打開防火墻，防止病毒入侵。

11、軟件的版本管理和控制：為了防止公司內(nèi)的軟件版本混亂和文件格式不兼容，由IT 部控制公司內(nèi)工作用軟件的版本升級。做到統(tǒng)一版本、統(tǒng)一升級。由于員工個人升級軟件版本造成的文件格式不兼容問題一律由該員工負責。

12、IT 部負責對公司所有電腦軟件使用情況的督查和監(jiān)控。

三、公司局域網(wǎng)管理：

1、部門新進員工在服務(wù)器文件目錄下個人專用目錄的創(chuàng)建，應(yīng)由員工所在部門經(jīng)理簽字或主管副總到IT 部簽寫局域網(wǎng)員工權(quán)限變更登記表，并簽字生效，IT 部憑單設(shè)定用戶名、密碼，創(chuàng)建目錄及分配訪問權(quán)限。

2、由于員工工作的調(diào)動等情況需更改目錄訪問權(quán)限者，應(yīng)由員工所在部門經(jīng)理簽字或主管副總到IT 部簽寫局域網(wǎng)員工權(quán)限變更登記表，并簽字生效（特殊情況須總經(jīng)理審批簽字），IT 部憑單重置用戶密碼、目錄及訪問權(quán)限。

3、對于離職人員目錄訪問權(quán)限的刪除及相關(guān)數(shù)據(jù)的備份，應(yīng)由員工所在部門經(jīng)理簽字或主管副總到IT 部簽寫局域網(wǎng)員工權(quán)限變更登記表，并簽字生效，IT 部憑單刪除目錄訪問權(quán)限并對相關(guān)數(shù)據(jù)進行備份。

4、每位使用公司文件服務(wù)器的員工，其對應(yīng)個人專用目錄下均有如下目錄： “部門”、“領(lǐng)導”、“公有”。目錄的操作權(quán)限分別如下：

公有a 、 本人有完全控制的讀寫權(quán)限

b、 公司其他人員均僅有讀取權(quán)限

部門a 、 本人有完全控制的讀寫權(quán)限

b 、所在部門內(nèi)所有其他人員均僅有讀取權(quán)限

c 、 所在部門以外所有人員均無任何訪問權(quán)限

領(lǐng)導a 、 本人有完全控制的讀寫權(quán)限

b、 僅公司領(lǐng)導有讀取權(quán)限

c 、 除以上人員外公司其他人員均無任何訪問權(quán)限

說明：

a 、 如部門內(nèi)部員工間進行數(shù)據(jù)交換，可在本人專用目錄下的“部門”中進行； b 、 如部門以外員工間進行數(shù)據(jù)交換，可在本人專用目錄下的“公有”中進行； c 、 數(shù)據(jù)交換執(zhí)行完畢請務(wù)必及時清理。

5、各部門使用人員，必須將本地計算機和文件服務(wù)器相關(guān)目錄中的工作數(shù)據(jù)定 期進行備份，以防止因硬、軟故障造成數(shù)據(jù)資料損失，備份由IT 部執(zhí)行，備份資料統(tǒng)一存入公司資料室。

6、為推進公司無紙化辦公、提高工作效率、降低辦公成本。IT 部使用NOTES 軟件，設(shè)置內(nèi)部局域網(wǎng)郵箱，并為每人設(shè)置內(nèi)部電子郵件地址，各部門使用人必須定時進行查看、回復、整理，所有郵件數(shù)量不得超過10條。

7、禁止將與工作無關(guān)的圖片、音頻、視頻等文件存放于工作所用電腦或公司文件服務(wù)器，絕對禁止將含有淫穢、色情、暴力的文字、圖片、音頻、視頻等文件存放于工作所用電腦或公司文件服務(wù)器。如違反上述規(guī)定，公司將追究責任并嚴肅處理，因此導致的電腦故障或損壞，則由本人承擔一切責任。

四、Internet （互聯(lián)網(wǎng)）使用管理：

1、公司注冊域名為：www.arjowiggins-tracingpapers.com

公司郵箱域名為：http://mail

凡有訪問Internet 的權(quán)限的用戶電腦，IE 默認主頁地址必須設(shè)為兩者之一，公司員工有責任熟記公司域名及郵箱域名。

2、任何時間公司員工不得使用公司的電腦瀏覽淫穢、色情、暴力、違反國家安全的網(wǎng)站。

3、工作時間（包括加班時間）公司員工不得瀏覽與工作無關(guān)的網(wǎng)站，不得下載與工作無關(guān)的文件，包括mp3、Flash 、影音文件、游戲等。

4、公司員工不得使用ＢＴ等可給公司網(wǎng)絡(luò)造成嚴重帶寬壓力的軟件進行下載，一經(jīng)發(fā)現(xiàn)，IT 部即刻查封IP ，截止時間以總經(jīng)理批示可重新接入公司網(wǎng)絡(luò)為準，其間造成的不能正常訪問公司局域網(wǎng)及互聯(lián)網(wǎng)等故障及損失，由本人承擔一切責任。

5、工作時間（包括加班時間）公司員工不得通過網(wǎng)絡(luò)玩在線游戲，聽音樂觀看電影。

6、工作時間（包括加班時間）公司員工不得使用任何網(wǎng)絡(luò)聊天工具，包括QICQ 、ICQ 、MSN 、網(wǎng)易泡泡等，不得進入聊天室聊天。

7、公司員工上網(wǎng)時必須激活病毒防火墻，不得隨意下載文件、信件，防止病毒侵入公司內(nèi)部網(wǎng)絡(luò)，如違反該規(guī)定，一切后果由本人承擔。

8、各部門上報的因工作需要的上網(wǎng)名單，經(jīng)公司領(lǐng)導批準后，由IT 部統(tǒng)一調(diào)配公司員工上網(wǎng)權(quán)限。對于私自盜用他人上網(wǎng)權(quán)限的用戶，按有關(guān)規(guī)定處理。

9、公司為工作需要員工統(tǒng)一分配Email 地址，各使用人員必須定時進行查看、回復、整理。

10、公司員工不得私自更改本機IP 、DNS 、網(wǎng)關(guān)地址。對于因私自更改造成的一切后果由本人承擔。

11、公司員工不得使用他人電腦上網(wǎng)，不得將外人帶入公司使用公司電腦和通過公司內(nèi)網(wǎng)上網(wǎng)。

12、無上網(wǎng)權(quán)限的員工因工作需要，經(jīng)部門經(jīng)理批準后，統(tǒng)一到IT 部上網(wǎng)。

五、信息安全管理：

一）、目的

制定信息安全制度的目的是：確保歐伏公司的網(wǎng)絡(luò)系統(tǒng)運行在一種合理的安全狀態(tài)下，同時不影響公司員工使用網(wǎng)絡(luò)。

具體目標包括：保障數(shù)據(jù)安全和系統(tǒng)安全。

1、數(shù)據(jù)安全

1) 防止未經(jīng)授權(quán)修改數(shù)據(jù)；

2) 防止未經(jīng)發(fā)覺的遺漏或重復數(shù)據(jù)；

3) 防止未經(jīng)授權(quán)泄露數(shù)據(jù)；

4) 確保數(shù)據(jù)發(fā)送者的身份正確無誤；

5) 確保數(shù)據(jù)接受者的身份正確無誤；

6) 數(shù)據(jù)的發(fā)送者、接受者以及數(shù)據(jù)的交換僅對發(fā)送者與接受者是可見的；

7) 在取得明確的可訪問系統(tǒng)的授權(quán)后，才能與該系統(tǒng)通信。

2、系統(tǒng)安全

1) 防止未經(jīng)授權(quán)或越權(quán)使用系統(tǒng)；

2) 控制網(wǎng)絡(luò)流量，防止過量的訪問使系統(tǒng)資源過載導致的系統(tǒng)崩潰。內(nèi)部網(wǎng)絡(luò)流量超負荷，保障外網(wǎng)服務(wù)(Internet)、內(nèi)網(wǎng)郵件服務(wù)（Notes ）的安全。

二）、適用范圍

信息安全制度適用于：

1. 任何與歐伏公司網(wǎng)絡(luò)設(shè)備相連的IP 網(wǎng)絡(luò)，所有連接到上述網(wǎng)絡(luò)上的設(shè)備；

2. 任何歐伏公司所屬數(shù)據(jù)傳輸經(jīng)過的網(wǎng)絡(luò)，所有上述網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)；

3. 對數(shù)據(jù)進行管理的人員，如果要將新的設(shè)備增加到歐伏公司的網(wǎng)絡(luò)中，適用于 該項目的負責人；

4. 所有連接到歐伏網(wǎng)絡(luò)中的設(shè)備，以及歐伏公司職員在該網(wǎng)絡(luò)中使用的任何設(shè)備。

三）、責任

在信息安全制度的涉及范圍內(nèi)，每個部門的信息安全由部門負責人或由其指定專人來負責。

四）、內(nèi)容

1. 內(nèi)部人員的攻擊，包括有意和無意兩種。主要表現(xiàn)為：

1) 保密觀念不強，或不懂遵守保密守則，隨便泄漏機密；打印復制機密文件；隨便打印出系統(tǒng)保密字或向無關(guān)人員泄露有關(guān)機密信息；

2) 由于業(yè)務(wù)不熟練、操作失誤，導致文件丟失或者誤發(fā)，或因未遵守操作規(guī)則而造成泄密；

3) 因規(guī)章制度不健全造成人為泄露事故，如對機密文件管理不善，各種文件存放混亂，違章操作等造成不良后果；

4) 素質(zhì)差，缺乏責任心，沒有良好的工作態(tài)度，明知故犯，或有意破壞網(wǎng)絡(luò)系統(tǒng)和設(shè)備；

5) 利用竊取系統(tǒng)的磁盤、磁帶或紙帶等記錄載體或利用被廢棄的打印文件、復寫紙來竊取系統(tǒng)用戶信息；

6) 通過非法竊取他人的用戶名和口令來進入他人的計算機，拷貝文件或進行破壞；

7) 使用帶有病毒的外來介質(zhì)，帶毒的磁盤、存儲設(shè)備；

8) 瀏覽具有惡意代碼的互聯(lián)網(wǎng)網(wǎng)頁。

2. 外部人員的攻擊或非法訪問

1) 外來設(shè)備企圖聯(lián)入本企業(yè)的局域網(wǎng)；

2) 通過物理連接試圖竊取管理員身份、或竊取重要文件；

3) 通過發(fā)送病毒郵件、蠕蟲攻擊；

4) 外部人員非法在本企業(yè)局域網(wǎng)中安裝、使用木馬、嗅探器等程序。 3. 技術(shù)故障所帶來的威脅。通常指突發(fā)事故

1) 由于硬件原因造成系統(tǒng)的故障；

2) 人為刪除系統(tǒng)重要文件：BOOT.INI 、NTDETECT.COM 、NTLDR 、IO.SYS 、MSDOS.SYS 、D:WINNT目錄及其中的文件等；

3) 新軟件、硬件的不當安裝引起系統(tǒng)無法正常使用；

4) 內(nèi)部人員擅自使用其他軟件或更改網(wǎng)絡(luò)配置(如IP 地址) 導致服務(wù)器不能正常工作；

5) 由于不可抗拒的因素導致硬件損壞。

4. 數(shù)據(jù)的意外丟失

1) 由于硬件的損壞導致數(shù)據(jù)丟失；

2) 由于系統(tǒng)的不穩(wěn)定導致數(shù)據(jù)丟失；

3) 電力系統(tǒng)故障造成的數(shù)據(jù)丟失；

五）、解決方案

1、軟件資源的安全和管理方案

主要規(guī)范軟盤、光盤、移動存儲設(shè)備使用、網(wǎng)絡(luò)下載、使用外網(wǎng)郵件、軟件安裝和使用過程中病毒的預防及使用控制。

2、數(shù)據(jù)資源的安全和管理方案

1. 數(shù)據(jù)存儲的安全管理

1) 存放有業(yè)務(wù)數(shù)據(jù)或程序的磁盤、磁帶或光盤，應(yīng)視同文字記錄妥善保管。必須注

意放磁、防潮、防火、防盜，必須垂直放置；

2) 對硬盤上的數(shù)據(jù)，要根據(jù)安全分級建立有效的權(quán)限，并嚴格管理，對于內(nèi)部訪問

級和機密級的數(shù)據(jù)要進行嚴格的NTFS 權(quán)限設(shè)置和必要的加密，以確保硬盤數(shù)據(jù)的安全；

3) 存放有業(yè)務(wù)數(shù)據(jù)或程序的磁盤、磁帶或光盤，管理必須落實到人，并分類建立登

記薄，記錄編號、名稱、用途、規(guī)格、制作日期、有效期、使用者、批準者等；

4) 對存放有重要數(shù)據(jù)的磁盤、磁帶、光盤，至少要備份兩份并分兩處妥善保管；

5) 日常工作數(shù)據(jù)不存放于引導分區(qū)及操作系統(tǒng)所在的磁盤分區(qū)（如：我的文檔、桌

面、C 盤）；

6) 打印有業(yè)務(wù)數(shù)據(jù)的打印紙，要視同檔案進行管理；

7) 凡超過數(shù)據(jù)保存期磁盤、磁帶、光盤，必須經(jīng)過特殊的數(shù)據(jù)清除處理，否則不能

視同空白磁盤、磁帶、光盤；

8) 凡不能正常記錄數(shù)據(jù)的磁盤、磁帶、光盤，須經(jīng)測試確認后由IT 部進行銷毀，并

做好登記；

9) 對需要長期保存的有效數(shù)據(jù)，應(yīng)在磁盤、磁帶、光盤的質(zhì)量保證期內(nèi)進行轉(zhuǎn)儲，

轉(zhuǎn)儲時應(yīng)確保內(nèi)容正確。

2. 數(shù)據(jù)的使用管理

10) 數(shù)據(jù)必須嚴格保密，未經(jīng)上級主管部門同意，一律不準對外提供任何數(shù)據(jù)和程序；

11) 數(shù)據(jù)按規(guī)定進行拷貝以外，任何人不得以任何借口和形式進行拷貝。

六）、密碼安全和管理方案

1. 培養(yǎng)良好的安全操作習慣，在指定的計算機或終端上操作，不要把密碼寫在記事

本或電腦上，有事離開計算機時應(yīng)將其鎖定；

2. 防止電腦緩存、Cookies 記錄重要密碼，特別是辦公室的電腦里；

3. 做到口令專管專用，定期更改并在失密后立即報告；

4. 人員調(diào)離時，應(yīng)采取相應(yīng)的安全管理措施。例如：人員調(diào)離的同時馬上移交工作、

更換口令、取消帳號。

六、網(wǎng)絡(luò)機房管理：

一）、機房管理

1、要有安全防范意識。早進入、晚離開時要檢查設(shè)備情況；離開時察看燈、門、窗、鎖是否關(guān)閉好。

2、路由器、交換機和服務(wù)器以及通信設(shè)備是網(wǎng)絡(luò)的關(guān)鍵設(shè)備，不得自行配置或更換，更不能挪作它用。

3、非工作人員進入機房，要事先征得同意；未經(jīng)許可一律不準觸碰開關(guān)和設(shè)備。

4、機房工作人員要掌握防火技能，定期檢查消防設(shè)施是否正常。出現(xiàn)異常情況應(yīng)立即報警，切斷電源，用滅火設(shè)備撲救。

5、計算機房要保持清潔、衛(wèi)生，并由專人負責管理和維護(包括溫度、濕度、電力系統(tǒng)、網(wǎng)絡(luò)設(shè)備等) ，無關(guān)人員未經(jīng)管理人員批準嚴禁進入機房。

6、嚴禁易燃易爆和強磁物品及其它與機房工作無關(guān)的物品進入機房。不能明火作業(yè)。機房一律禁止吸煙，凡不聽勸告者，一律逐出機房。

7、建立機房登記制度，對本地局域網(wǎng)絡(luò)、廣域網(wǎng)的運行，建立檔案。未發(fā)生故障或故障隱患時當班人員不可對中繼、網(wǎng)線及各種設(shè)備進行任何調(diào)試，對所發(fā)生的故障、處理過程和結(jié)果等做好詳細登記。

8、網(wǎng)管人員應(yīng)做好網(wǎng)絡(luò)安全工作，服務(wù)器的各種帳號嚴格保密。監(jiān)控網(wǎng)絡(luò)上的數(shù)據(jù)流，從中檢測出攻擊的行為并給予響應(yīng)和處理。

9、做好操作系統(tǒng)的補丁修正工作。

10、網(wǎng)管人員統(tǒng)一管理計算機及其相關(guān)設(shè)備，完整保存計算機及其相關(guān)設(shè)備的驅(qū)動程序、保修卡及重要隨機文件。

11、計算機及其相關(guān)設(shè)備的報廢需經(jīng)過管理部門或?qū)Ｂ毴藛T鑒定，確認不符合使用要求后方可申請報廢。

12、制定數(shù)據(jù)管理制度。對數(shù)據(jù)實施嚴格的安全與保密管理，防止系統(tǒng)數(shù)據(jù)的非法生成、變更、泄露、丟失及破壞。當班人員應(yīng)在數(shù)據(jù)庫的系統(tǒng)認證、系統(tǒng)授權(quán)、系統(tǒng)完整性、補丁和修正程序方面實時修改。

二）、計算機病毒防范制度

1、網(wǎng)絡(luò)管理人員應(yīng)有較強的病毒防范意識，定期進行病毒檢測(特別是郵件服務(wù)器) ，發(fā)現(xiàn)病毒立即處理并通知管理部門或?qū)Ｂ毴藛T。

2、采用國家許可的正版防病毒軟件并及時更新軟件版本。

3、未經(jīng)上級管理人員許可，當班人員不得在服務(wù)器上安裝新軟件，若確為需要安裝，

安裝前應(yīng)進行病毒例行檢測。

4、經(jīng)遠程通信傳送的程序或數(shù)據(jù)，必須經(jīng)過檢測確認無病毒后方可使用。

三）、數(shù)據(jù)保密及數(shù)據(jù)備份制度

1、各部門根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定使用人員的存取權(quán)限、存取方式。

2、禁止泄露、外借和轉(zhuǎn)移專業(yè)數(shù)據(jù)信息。

3、公司統(tǒng)一封閉電腦USB 端口、需使用移動存儲設(shè)備傳遞數(shù)據(jù)的，經(jīng)主管副總批準后，統(tǒng)一到IT 部辦理。

4、每天當班人員制作數(shù)據(jù)的備份并異地存放，確保系統(tǒng)一旦發(fā)生故障時能夠快速恢復，備份數(shù)據(jù)不得更改。

5、業(yè)務(wù)數(shù)據(jù)必須定期、完整、真實、準確地轉(zhuǎn)儲到不可更改的介質(zhì)上，并要求集中和異地保存，保存期限至少2年。

6、備份的數(shù)據(jù)由公司資料室負責保管，由管理人員按規(guī)定同備份部門進行交接。

7、備份數(shù)據(jù)資料保管地點應(yīng)有防火、防熱、防潮、防塵、防磁、防盜設(shè)施。

本制度自公布之日起執(zhí)行，對違反制度的部門和人員，由公司酌情給予罰款及除名處理。本制度由IT 部負責解釋和修改。

北京歐伏電氣設(shè)備有限公司

IT 部

2005年6月4日