利丰(lifung)验厂中供应商对电脑信息系统管控采取什么措施?
利丰验厂规范标准
供应商应建立程序制度来保护电脑不会被非法利用和电脑信息。
合规重要性
供应商的 IT( 信息技术或计算机) 系统控制着每天的商业运营, 或者至少保存有每次交易的记录。 一套先进的系统也可能对B2B( 企业对企业的电子商务模式) 或B2C( 企业对消费者的电子商务模式) 的处理, 以及适时规划、生产和船运等关键商业信息的记录有直接的关联。 此外,电子邮件系统也得到了广泛的使用,时常在多台员工的计算机和服务器里含有机密通信和联系人列表。 今天, 如果没有综合且可信赖的 IT 系统来支持商业决策和业务流程的话, 大多数企业都无法运作或生存。如果一名未经许可的人员或病毒危害到供应商的 IT 系统, 则将对供应商造成巨大的损失, 使其陷入高安全风险中;未经许可的访问可能会更改电子交易数据、植入病毒来消除记录、盗取宝贵数据或甚至使整个 IT 系统崩溃。 因此, 保护供应商 IT 系统的有效访问控制将有助于防止无数的操作和金融挫折。
供应商必须制订一个 IT 政策并建立程序, 加强对 IT 系统的保护, 包括如下所述建议。 供应商必须将 IT 政策告知所有员工, 违反 IT 系统政策的员工必须要接受纠正措施/惩罚。 对于每一起未经许可的系统访问违反事件,供应商都必须调查发生此类违规事件的根本原因, 并制订对策, 防止再次发生。
IT 安全通用规定:
在未取得负责 IT 系统安全的管理人员许可前, 员工严禁下载或使用盗版软件或非官方来源的软件。员工不得将供应商发放的计算机用于非商业活动,包括因特网访问和个人电子邮件通信。
密码控制:
IT 系统的每位经许可的用户都必须配备一个唯一的用户身份和密码。 用户的密码必须要定期更改。 供应商不应发布“一个公共和密码”, 而应要求每位用户出于安全考虑, 妥善保管好各自的访客证及密码, 不得告知其他人。
用户的每次访问都会记录在 IT 系统中。 终止雇佣关系的员工的用户身份和密码必须在员工离职当天即时失效。
系统保护:
a) 鼓励供应商安装反病毒软件和防火墙, 来保护其 IT 系统。 要定期更新反病毒软件。 必须安装防火墙或入侵报警系统, 监控、跟踪并汇报任何可疑的未经许可访问、不当操作、窜改, 或是黑客入侵系统。
b) 应对服务器和 IT 设备进行物理保护, 并保存在上锁区域。 只有经许可的人员才能进入服务器房, 同时也应实施钥匙控制系统。
c) 系统( 软件和硬件) 应定期更新, 加强保护。 加密方式, 如虚拟专用网络( VPN) 能够将信息打乱, 使信息在传输过程中, 被外界查看或更改的风险降到最低。
d) 公钥基础设施( PKI) 可用于保护经由网络传送的机密电子信息。 信息发送方持有一个私人密钥,并提供一个公开密钥来解密发送给预期信息接收方的信息。
数据备份:
a) 必须建立日常数据备份程序, 并予以遵守。 数据备份的方式有很多种, 从使用 CD-Rom 到更为复杂的方法, 如使用场外的备份服务器。
b) 为确保妥善保存好记录, 即使 IT 系统无法使用( 因病毒侵入、火灾等), 该系统仍能够备份数据。
c) 每天都应该对生成或更新任务关键数据的计算机系统进行备份。
d) 所有软件, 无论是购买的或是开发的, 至少都应有一个完整的备份进行保护。 系统数据至少应每月备份一次。
纠正措施步骤
1. 制订一项 IT 政策并建立程序, 包括上述建议要素及对违反规定的处罚。
2. 根据该政策和程序,对系统用户进行培训并告知他们此类政策和程序。
3. 通过定期系统审核,确保该政策和程序得到了遵守。
4. 一旦出现任何违法政策和程序的行为,根据该政策立即采取行动,对事件进行调查,找出根本原因。 实行纠正措施以解决根本原因。 保存好事件调查的文档,记录下所实行的纠正措施。
纠正措施所需证明
1. IT 政策和程序的副本。
2. 提供给系统用户的培训/信息的证明。
3. 一旦出现事故,进行调查以及实行纠正措施的证明。
手机:15950051808
电话:0512-67663325
QQ:2395015289
邮箱:service@nbguohua.com
地址:苏州市姑苏区人民路3188号10幢1412室