1.目的：

同社は、情報セキュリティマネジメントを実施するために、コンピュータ化された情報システムの処理サイクルと情報セキュリティ管理仕様を策定し、インフォメーションセンターがさまざまな情報セキュリティ業務を行っています。処理方針は以下のとおりです。

2.適用範囲：

適用於公司全體人員。

3 .責任：

情報課はソフトウェアとハードウェアの管理を監督する責任があり、関連するすべての部門のコンピュータユーザーはこの管理方法に厳密に従う必要があります。

4.ハードウェアセキュリティルール：

4.1ハードウェア範囲：コンピュータおよび周辺機器、ネットワーク機器、ビデオ機器、通信機器。 例：コンピューター、プリンター、バーコードマシン、バーコードリーダー、スキャナー、デジタルカメラ、ハブ、光ファイバー、プロジェクター、カメラなど。

4.2ハードウェア取得プロセス：「IC-05-CF01固定資産購入操作」「IC-05-CF02固定資産購入操作」「IC-05-CF02固定資産受入操作」に従って実行してください。

注：ユーザーは、ハードウェア機器に署名した後のコンピューターの管理者であり、将来のハードウェア機器の保管に責任を負います。

4.3コンピューター管理者の変更 「IC-05-CF08固定資産の処分および変更操作」に従って実行.            

4.4使用上の注意

4.4.1ユーザーは、情報セクションの同意なしにコンピューターのメインケースを開けたり、サウンドカードやCDプレーヤーなどのアクセサリ（プライベートアクセサリを含む）をインストールしたりすることはできません。違反者は状況に応じて罰せられます。

4.4.2使用者がハードウェア機器に異常または異常を生じた場合は、直ちに情報部に連絡し、自ら解体・修理してはならず、違反者は状況に応じて罰せられます。

4.4.3ハードウェアは会社の資産です。ハードウェア機器が紛失または損傷した場合、管理者は関連する補償に責任を負うものとします。故意に機器に損傷を与えたり盗んだりした場合は、補償に加えて追放され、罰せられます。

4.4.4コンピュータ管理者が他者に許可なくハードウェア機器を使用することを許可し、違反を引き起こした場合、ユーザーと管理者は一緒に罰せられるものとします。保管されているハードウェア機器が他人に悪用されて違反が生じた場合、管理者は関連する責任を負う義務があります。

4.4.5管理者の同意なしに、他人のコンピュータ機器を許可なく使用してはならず、違反者は状況に応じて罰せられるものとします。

4.4.6情報セクションの同意なしに、ユーザーおよびカストディアンはハードウェアデバイスの関連する設定を変更することはできません。違反者はデメリットに対して罰せられ、他人に不便をかけた者は罰せられます。

4.4.7コンピューターのユーザーは、コンピューターを使用して、小説記事、風景写真などの関連のないビジネス情報を印刷することはできません。違反者は状況に応じて罰せられます。

4.4.8コンピュータ機器は会社のオフィスで使用されており、公的または私的な目的で使用したり、仕事（ゲームをしたり、オンラインでチャットしたりするなど）や会社以外の仕事に関係のないことをすることは許可されていません。違反者は上記の罰則を記録しました。

4.5ハードウェアのメンテナンス

4.5.1ユーザーは、情報機器の保守を実施し、電話で情報担当者に通知し、担当者と方法、機器の種類、および障害の説明を詳細に説明するために、情報担当者を必要とします。

4.5.2情報部門の担当者は、ユーザーからの修理の電話を受けた場合、ユーザーの修理の問題をできるだけ早く確認して対処する必要があります。ハードウェアを交換する必要がある場合、情報部門はユーザーに特定の障害を通知します。ユーザーは購入プロセスに従ってリクエストを発行します。発注書、情報部門は、アクセサリを受け取った後、時間内に交換を手配する必要があります。

5.コア情報機器のセキュリティルール

5.1ネットワークサービスのニーズに応じて独立した論理ドメイン（内部または外部ネットワークやファイアウォールなど）を分離し、開発、テスト、および正式な運用環境を分離し、さまざまな運用環境対策に適切な情報セキュリティ保護制御を確立します。

5.1.1重要な機器のセキュリティスキャンを定期的に実施します。

5.1.2重要な機器の侵入テストは定期的に実施されます。

5.1.3システムがオンラインになる前に、ソースコードスキャンのセキュリティテストを実行します。

5.2次の情報セキュリティ保護管理措置を講じる。

5.2.1ウイルス対策ソフトウェア。

5.2.2ネットワークファイアウォール。

5.2.3電子メールサーバーがある場合、それは電子メールフィルタリングメカニズムを持っています。

5.2.4侵入検知および防御メカニズム。

5.2.5外部サービスのためのコア情報通信システムがある場合、それはアプリケーションファイアウォールを持たなければならない。

5.2.6高度な持続的脅威攻撃防御対策。

5.2.7情報通信セキュリティ脅威検出管理メカニズム（SOC）。

6.情報ソフトウェアおよび情報セキュリティ規則

6.1スマートデータアクセス制御、ユーザーログイン認証、ユーザー入出力の検査とフィルタリングなど、情報セキュリティ要件を情報通信システムの開発および保守要件の仕様に組み込みます。

6.2スマートデータアクセス制御、ユーザーログイン認証、ユーザー入出力検査およびフィルタリングテストを含む、情報通信システムのセキュリティ要件テストを定期的に実行します。

6.3情報システムの開発および保守関連のファイルを適切に保存および管理します。

6.4物理的分離、専用コンピュータの動作環境、アクセス権、データ暗号化、送信暗号化、データシールド、人事管理および処理仕様など、機密データの処理および保存のための適切な保護手段を確立します。

6.5業務中、業務中、および辞任の管理手順を作成し、機密保持契約に署名して、機密保持の問題を明確に通知します。

6.6デフォルトのパスワード、パスワードの長さ、パスワードの複雑さ、パスワードの履歴、パスワードの最短および最長の有効期間、ログイン失敗のロックメカニズムなど、ユーザーパスコード管理の運用規則を確立し、マルチ認証テクノロジーの採用を評価します。コア情報通信システム。

6.7特権アカウント、ユーザーアカウント、および権限を定期的に確認し、長期間使用されていないアカウントを無効にします。

6.8認証の失敗、リソースへのアクセスの失敗、重要な動作、重要なデータの変更、機能エラー、管理者の動作など、情報通信システムおよび関連機器の適切な監視手段を確立し、ログの適切な保護メカニズムを確立します。

6.9コンピュータ室や重要なエリアでのセキュリティ管理、人員の出入り管理、環境保全（温度や湿度の管理など）などのプロジェクトに適切な管理手段を確立します。

6.10セキュリティの脆弱性に関する通知に注意を払い、リスクの高い脆弱性にリアルタイムでパッチを適用し、機器、システムコンポーネント、データベースシステム、およびソフトウェアのセキュリティの脆弱性の修復を定期的に評価して処理します。

6.12機密データが実際に削除されることを保証するために、情報機器のリサイクルと排除のためのセキュリティ管理手順を開発します。

6.13ソフトウェアのインストール、電子メール、通信ソフトウェア、ERP、サインオフシステムの操作仕様などの情報ハードウェアおよびソフトウェアの操作手順を作成します。