《软硬件及安全工具运行管理规范.docx》由会员分享,可在线阅读,更多相关《软硬件及安全工具运行管理规范.docx(12页珍藏版)》请在第一文库网上搜索。
1、上海观安信息技术股份有限公司技术支撑中心软硬件及安全工具运行管理规范TSC-IC-2-02本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海观安信息技术股份有限公司所有,受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容(写要点即可)VI.O陈芳2019-10-26李俊定稿V1.1陈芳2023-02-15李俊加入工具投入项目实施使用管理细则定稿目录1. 目的-1-2. 适用范围-1-3. 职责单位-
2、1-4. 工具或软件增置类型-1-5. 工具或软件使用管理-1-5.1.自研工具或产品管理-1-5.11工具或软件研发-1-512.工具或软件安装-2-5.1.3,工具或软件使用-2-5.14.工具或软件废弃-3-5.2.外购产品管理-3-5.2.1.工具或软件采购-3-5.2.2.工具或软件安装-4-5.2.3.工具或软件使用-4-5.2.4.工具或彳牛-5-53-1:JR彳1;11VI-55.4.项目实施中的工具管理-6-6 .其他软件规范化要求-6-7 .硬件设备日常管理-6-7.1.设备购置及安装实施-6-7.2.设备口常管理-7-7.3.设备使用-7-7.4.设备运行维护-8-7.5
3、.设备报废-8-1 .目的为有效使用及管理公司内部计算机软件资源,并确保公司计算机软件之合法使用避免人员因使用非法软件,致触犯著作权法、财产权,影响公司声誉或造成计算机病毒侵害,影响日常工作之进行,故制定本办法。2 .适用范围本办法适用于本公司软件含自主研发及外部采购的安全工具。内部自主研发工具主要包括业务风控平台、安全风险感知软件、数据库静态脱敏软件、安全态势感知分析软件等内容。外购软件例如:APPSCAN、启明天镜、绿盟极光、X-SCAN等工具使用的相关信息管理。3 .职责单位行政部:负责公司内部软硬件的管理与监督工作。各部门职责:为确保公司计算机软件的合法使用的落地性,各部门需指定软件保
4、管人,对计算机软、硬件的使用、保管及合法软件使用进行具体负责。软件保管人需管理监督该部门软件使用及授权情形,并负责软件异动等事项。以确保该部门软件的合法使用,若发现使用的计算机存在来历不明的软件,则应移除或连络行政部协助移除。4 .工具或软件增置类型/购置/自主研发/授权使用/随硬设备附赠/赠与5 .工具或软件使用管理5.1. 自研工具或产品管理5.1.1.工具或软件研发产品经理负责对自研工具或产品功能需求进行分析、搜集。理清工具或产品功能模块流程,完成产品分析报告。研发部门根据需求分析报告,在客户或软件需求部门的配合下完成系统设计报告,完成详细设计、编码、测试工作并交付产品,指导运行使用。具
5、体安全开发规范详见软件开发管理规定。5.12.工具或软件安装公司自主研发的各类工具和计算机软件,每年至少进行一次盘点。各部门因业务需要需使用时可提出申请,由行政部依该软件的授权使用范围进行安装。公司拥有自主研发的各有类工具和相关计算机软件,若有人员要安装则必须先提此申请并经部门主管同意后,方得依授权数量安装,未取得授权部门由该申请部门编列预算处理。自主研发软件保管人对软件负保管之责,软件之使用者如有使用不当,造成毁损或遗失,应负赔偿责任。各部门软件分配使用后,保管人或使用人职务变动或离职时,应移交其保管或使用的软硬件,并办理交接。所有自主研发的软件需经过公司专业测试团队来进行安全性测试,并在测
6、试通过后,在安全管理员的监督下进行安装。软件安装后,应采用相应的安全措施,使风险将至最小。5.1.3.工具或软件使用自主研发的工具或软件保管人应根据软件工具的升级要求,获取升级更新包,确保使用汇总的软件工具及时升级,并记录升级的日期和版本等相关信息,防范自研产品平台存在的安全漏洞。自主研发的工具或软件保管人或使用人,对于保管或使用的软件不可盗卖、循私营利或其它不法情事,违者除提报主管及依公司规定惩处外,如因此触犯著作权者,则该员应负刑事及民事全部责任。5.1.3.1.工具或软件借用自主研发工具或软件文件及计算机硬件外围借用需提前向行政部和部门相关领导提出申请。借用的软件,仅能在公司内原已合法使
7、用之计算机上使用。使用者借用的工具或软件严禁自行拷贝留存或违反智能财产权相关规定之行为,若触犯法律者应负刑事及民事全部责任。借用工具或软件于使用后应归还公司,并将安装于私有计算机内相关软件予以删除,不得留存备份。借用的工具或软件若有遗失或不正常使用导致损坏,无法正常使用,借用人应负赔偿之责。(正常使用损坏不在此限,但须交回原借用之光盘或磁盘)。借用或归还的工具或软件,须直接通过软件管理人员,不可私自转借,并不得委任借还。气短矍软件及安全工具运行管理制度不得私自刻盘随意借用软件,公开IiCenSe等信息。5.1.3.2.工具或软件升级工具或软件的升级一般每季度末由各产品线发起,特殊情况如遇紧急版
8、本更新等,则由使用者在得到消息的一周内下载更新包,下载更新包更新前,应进行备份操作,包括软件本身和使用过程中的数据,在更新时应指定专人负责验证测试和安全测试,测试通过后告知行政部进行版本更新后的登记,再交由使用者继续使用。若测试不通过则回退至上一版本。升级完成后需进行升级测试验证,并提供升级功能验证记录或报告。5.1.4.工具或软件废弃升级未通过的工具或软件和旧版本的工具或软件需进行销毁,废弃,并由相关部门监督确认。5.2.外购产品管理5.2.1.工具或软件采购各部门之工具或软件管理者对该部门使用中的软件,应视需要查核实际使用状况,以作为软件增置与编列预算的参考。各部门在做软件请购时应考量软件
9、用途、授权形式及价格以评估软件需求。5.2.1.1.工具或软件采购原则软件采购般需遵守以下原则:A.相同的软件集中采购。B.使用者多的软件,采用网络版或授权使用方式。C.所有软件经过专业测试团队的安全性测试,测试通过后,必须在安全管理员的监督下进行安装使用。5.2.1.2.工具或软件采购要求采购与接受赠与的软件应有合法的版权授予,若授权书应取得版权所有人或赠予单位的可资证明版权来源的文件或签证。软件的采购应依据正常请购等手续,并于取得软件及授权证明后,统一交由行政部。5.2.2.工具或软件安装公司各类计算机软件,应以具著作版权者为限,并统一由相关部门负责安装保管,并每年至少进行一次盘点。各部门
10、因业务需要需使用时可提出申请,并可在该软件的授权使用范围进行安装。公司购买的相关计算机软件,若有人员要安装则必须先提出申请并经部门主管同意后,方可依授权数量安装,未取得授权部门由该申请部门编列预算处理。软件保管人对软件负保管之责,软件之使用者如有使用不当,造成毁损或遗失,应负赔偿责任。各部门软件分配使用后,保管人或使用人职务变动或离职时,应移交其保管或使用的软硬件,并办理交接。各部门增购的软件,于购入后需将正版软件交由行政部,由行政部记录变更内容,为软件做增加变动登记。5.2.3.工具或软件使用禁止员工购买或使用会干扰或破坏网络上其它使用者或节点的软、硬件系统,此种干扰与破坏如散布计算机病毒、
11、尝试侵入未经授权之计算机系统、或其它类似之情形者皆在禁止范围内。网络上存取到的任何资源,若其拥有属个人或非公司所有,除非己正式开放或己获授权使用,否则禁止滥用或更制使用此等资源。公司员工使用计算机与网络相关资源应规范处理,并尊重知识财产权,不利用公司购买的产品从事任何违规或违法行为;并遵守公司规范。为确保公司外购计算机软件的合法使用,各部门负责管理该设备所使用的软件,若发现使用的计算机存在来历不明的软件,应连络行政部协助处理。外购工具或软件保管人或使用人,对于保管或使用的软件不可盗卖、循私营利或其它不法情事,违者除提报主管及依公司规定惩处外,如因此触犯著作权者,则该员应负刑事及民事全部责任。工
12、具或软件保管人应根据软件工具的升级要求,获取升级更新包,确保使用汇总的软件工具及时升级,并记录升级的日期和版本等相关信息,防范外购软件工具存在的安全漏洞。5.2.3.1.工具或软件借用外购工具和软件文件及计算机硬件外围借用需提前向行政部和部门相关领导提出申请。借用的软件,仅能在公司内原已合法使用之计算机上使用。使用者借用的外购工具和软件严禁自行拷贝留存或违反智能财产权相关规定之行为,若触犯法律者应负刑事及民事全部责任。借用工具和软件于使用后应归还公司,并将安装于私有计算机内相关软件予以删除,不得留存备份。借用的工具和软件若有遗失或不正常使用导致损坏,无法正常使用,借用人应负赔偿之责。(正常使用
13、损坏不在此限,但须交回原借用之光盘或磁盘)。行政部对于购入的合法工具或软件由各部门负责人进行保管。借用或归还软件,须直接通过软件管理人员,不可私自转借,并不得委任借还。不得私自刻盘随意借用软件,公开IiCenSe等信息。5.2.3.2.工具或软件测试所有外购工具或软件必须是正式版本,严禁使用测试版和盗版软件。所有外购工具或软件需经过专业测试团队进行安全性测试,测试通过后,进行安装软件,需采用相应的安全措施,使风险将至最小。5.2.3.3.工具或软件的升级外购软件的升级一般每季度末由软件使用者至官方网站下载,特殊情况如遇紧急版本更新等,则由使用者在得到消息的一周内下载更新包,下载更新包更新前,应
14、进行备份操作,包括软件本身和使用过程中的数据,由专业测试团队负责验证测试和安全测试,测试通过后告知相关部门进行版本更新,再交由使用者继续使用。升级完成后需进行升级测试验证,并提供升级功能验证记录或报告。5.2.4.工具或软件废弃升级未通过的工具或软件和旧版本的工具或软件需要进行销毁,废弃。5 .3.工具或软件审计为使软件在计算机中发挥应有效用,并避免非法软件流入公司,行政部可定期或不定期稽查,并依据下列原则办理.由行政部人员定期或不定期检视计算机内相关软件或信息。为确保公司计算机软件的合法使用,行政部可不定期检查公司各部门所使用的软件是否合法,如发现使用非法计算机软件者,除提报与主管外,并追究
15、责任。5.4. 项目实施中的工具管理如公司自研或外购的工具运用到项目实施中进行安全评估与安全测评时,需对选择的工具的功能和参数配置及功能性内容进行测试与评估。分析评估工具对客户系统进行测试的适用性与安全性。如发现不适配时,应及时避免一些强力扫描或探测、以及攻击性测试功能的配置。对工具安全性与适用性的测试内容,应包括病毒检测、自身漏洞检测、攻击性脚本执行、策略配置等内容。6 .其他软件规范化要求员工网络上存取到的任何资源,若其拥有属个人或非公司所有,除非已正式开放或已获授权使用,否则禁止滥用或复制使用此等资源。公司员工使用计算机与网络相关资源应规范处理,并尊重知识财产权,不使用任何非法软件包于计算机系统内,不利用公司计算机从事任何违规或违法行为;并遵守公司规范。禁止员工使用非法工具或软件,或私人拥有的计算机软件安装使用于公司计算机上或将私人计算机带至公司,也不得将公司合法软件私自拷贝、借于他人或私自将软、硬件带回家中,如因此触犯著作权者,则该员应负刑事及民事之全部责任。为确保公司计算机软件