IT服务与信息安全
信息分类 IT内部培训类 保密等级 机密
责任机构 信息技术分公司 责任人 祁科克
创建时间 2010年12月9日 保密期限 有效期至2015年12月
授权范围 集团全体员工
信息安全应知应会
IT服务概述
信息系统介绍及注意事项
IT设备服务介绍及注意事项
IT服务简介
• IT组织介绍
宇通的IT服务由信息技术分公司提供,信息技术分公司简称“信息中心”或“IT”
,负责整个宇通集团的信息系统建设、IT设备管理和信息安全管理。
• IT服务范围
– 信息系统建设:负责公司基于EIP与ERP双平台的所有30多个应用系统的信息化建
设、运行维护和权限管理工作。
– IT设备管理:负责办公电脑(含台式机、瘦客户机和笔记本)和其他电子办公设备
(投影仪、打印机等)的配备、借用与维修。
– 信息安全管理:负责公司所有系统和终端的信息安全管理与监控。
• IT服务入口
热线电话:8867
服务单入口:登录EIP,点击“服务台IT服务IT服务窗口”,见下图。
IT服务台(热线电话:8867)
点击IT服务进入IT服务台
如果您有微机、办公软件、操作系统、
通信、应用系统方面的故障,或者您
需要重置密码、批量提取数据,或者
你不知道跟IT相关的问题该如何解决
需要咨询IT人员,都可以填写该服务
单,我们会有专业人员为您解决问题。
如果您因为工作变动,
需要变更您名下的IT资
产时,请填写该单子,
IT资产包括但不限于以
下这些设备“电脑主机,
显示器,笔记本电脑,
打印机,复印机,投影
仪,摄像机,PDA等”。
当现有系统不能满足的业务
管理改进需求,需进行系统
改造、修改或新建时,业务
可提交需求单,例如开发新
程序、系统配置调整等。需
求单提交后,IT将指派专人
进行分析,在承诺的时间内
内提供解决方案并实现完成,
需求分析和实现过程将按影
响范围由不同层级审批。
如果您因为工作需要申请使用
笔记本电脑(非借用),请您
填写该单子,审批通过后IT人
员会给您配备笔记本电脑
如果您需要申请台式机,
打印机,投影仪,复印
机,扫描仪,PDA,电
话,网络连接或者其他
硬件设备,请您填写该
服务单,审批通过后,
IT会联系您领取申请的
设备
如果您需要借用笔记本电脑,
瘦客户机,投影仪,请您填
写该单子,审批通过后,IT
会联系您领取申请的设备
各部门文档管理员专用,用于联系
IT文档系统管理员调整岗位与人员
对应关系,普通用户无权限
1,如果您需要申请“EIP,RTX,邮箱,SAP,
配置器,CRM,国内/海外服务网,供应商
门户,LES,QM,APS,VPN”账号,请您
填写该单子,审批通过后IT有专人负责开通
您的权限。
2,如果您需要申请“电子传真,短信平台,邮箱
扩展功能,USB,即时通讯,外网,外邮”
权限,也请您填写该单子,审批通过后IT有
专人负责开通您的权限。
信息安全应知应会
IT服务概述
信息系统介绍及注意事项
IT设备服务介绍及注意事项
宇通信息双平台
• 宇通经过十余年的信息化建设,已建成EIP +ERP双平台,其中EIP(企业信息平台)
面向管理,ERP(企业资源计划)面向业务,众多应用系统分别部署在这两个平台上。
SAP
COFI
HR
MM PP
供应商门户售后服务网
PLM
质量信息网订单配置器
……
数
据
总
线
SD
……
EIP
流程
文档
……
新闻
平台及系统模块详图
PLM SCM CRM SSM
EIP
ERP
EDB
SOP
SOP分析
EA
企业架构
FA
财务分析
PE
工作协同
CA
竞争分析
KM
文档管理
PMS
销售分析
PTM
项目与任务
IC
信息服务
HD
服务台
TC
通信服务
IS
信息安全
BP
客户管理
APS
高级排产
PT
考勤管理
DMS
产品文档
CM
资金管理
IOV
车联网
SM
供应商管理
EC
卡务管理
PP
生产计划
SE
服务工程
ECM
工程更改
PY
薪酬管理
EM
费用管理
SC
采购管理
OC
配置器
QM
质量管理
MM
物料管理
SD
订单管理
BOM
物料清单
SO
维修管理
CO
管理会计
GB
担保业务
PB
招聘管理
OBM
海外商务
PA
组织与人事
CAX
ITSM
IT 管理
MES
生产执行
LES
物流执行
SP
配件管理
CCC
客服中心
FI
财务会计
客户数据 员工数据 产品数据合作伙伴 车辆数据 订单数据 质量数据 EA数据
R&DO
研发分析
QC
质量分析
SC
服务分析
已有图例: 需建设 需扩展
KPI
绩效管理
宇通快讯,用图片形
式展现宇通大事
宇通公告/红头/体系公告,用文
字形式报道公告信息
这里汇聚了您所有的
待办和待阅事项
常用资
料
EIP 介绍—首页
EIP 介绍—工作台
点击“流程中心”,可以提交/查
看审批流程
点击“文档中心”,可以上传/查
看您的所有文档
应用系统的
快捷入口
EIP介绍—服务台(IT,HR,财务,技改,综合)
EIP介绍—企业文化,企业架构,管理创新,知识社区
EIP介绍—门户导航(包括各体系的二级门户)
宇通选用业界最先进的ERP系统—SAP,主要用于物流,生产,销售,研发,质量
及售后等业务数据的处理,全面覆盖公司人、财、物、产、供、销的运营管理。
ECC6
客客户户//服服务务器器
ABAP/4ABAP/4
FIFI
财务会计财务会计
COCO
财务控制财务控制
TRTR
财富管理财富管理
PSPS
项目管理项目管理
WFWF
工作流程管理工作流程管理
ISIS
行业解决方案行业解决方案
MMMM
物料管理物料管理
HRHR
人事管理人事管理
SDSD
销售与分销销售与分销
PPPP
生产计划生产计划
QMQM
质量管理质量管理
CSCS
客户服务客户服务
WMWM
仓库管理仓库管理
ERP介绍-SAP
SAP标准解决方案示意图
库存管理
仓库管理
财务管理
建议计划
生产
物料需求计划物料需求计划
发货 转储
采购
收货
销售与分销
发票校验
发票
需求需求库存库存
预测预测
订单订单
– 通常接触到的各种信息系统均为正式环境,严禁在正式环境中进行尝试、练习。
–对信息系统的各种操作都应该在指导人的指导下完成,或者咨询IT分公司。
– 信息系统中有大量的业务保密信息,严禁将保密信息摘抄后外泄。
– 信息系统的不同操作需要的运行时间不同,出现明显的超时操作应尽快停止。
– 严禁在正式环境中进行数据的海量查询,例如查看一整年的物料出入库记录。
– 每个员工都需妥善保管系统口令,并在使用信息系统后及时登出。
信息系统使用注意事项
信息安全应知应会及案例分享
IT服务概述
IT设备服务介绍及注意事项
信息系统介绍及注意事项
IT设备服务介绍
1、设备维修与升
级必须由信息技术
分公司负责完成,
不允许私自处理
。
2、 严禁员工私自
安装计算机操作系
统。
3、用户报修方法:
EIP中填写服务单
或拨打8867服务热
线反馈。
1、申请条件:部
门有预算,且业务
需求符合《信息终
端使用管理规范》
和《笔记本电脑使
用管理规范》。
2、申请方法:通
过EIP服务台提交
服务单,经部门领
导的合理性审批和
IT的合规性审批后
方可配发。
1、每台设备都有固定
的责任人,不允许私
自调配。
2、使用人变更或离职
必须上交设备。
3、员工离职或者调离
所在部门时,必须知
会信息安全管理人员
进行信息安全离职审
计,确认在职期间没
有违反信息安全相关
管理规定行为后,方
可以办理相关手续。
申请 报修 上交
服务范围:受理用户对于台式电脑、笔记本电脑、打印机、交换机、电话、
投影仪、扫描仪及其它存储介质等的申请、报修及上交。
– 所有信息终端设备的配备依照“对岗不对人”为原则,即设备跟岗位相匹配,不
能随人的变化而变化,设备只能通过收回和配备流程进行变更。所有信息终端设
备责任到人,不得出现无人负责的设备。
– 笔记本配备标准:长期驻外且需要经常移动办公的人员。
– 笔记本借用规则:使用人至少提前2天提交“EIP借用笔记本申请”流程,借用
期1个月以内需要部门领导审批,借用期在1个月至3个月之间的需要增加体系总
监审批。笔记本电脑的连续借用期不允许超过12个月。
– IP地址设置为信息技术分公司统一配置,严禁员工擅自更改IP地址。
– 禁止下载、制造、传播与工作无关的文件。
– 所有员工的上网行为(包括QQ\MSN聊天信息与文件发送、浏览网页、WEB邮
件、FTP上传等)公司都将进行监控与信息备份 。
– 禁止利用公司网络资源进行任何与工作无关的事,公司网络资源24小时只能用
于工作。
IT设备申请及使用注意事项
IT设备服务介绍及注意事项
IT服务概述
信息系统介绍及注意事项
信息安全应知应会
什么是信息安全
信息安全是指软硬件等业务系统产生的数据收到保护,不因各种原因而遭受到破坏、更
改、泄漏,系统连续可靠运行,信息服务不中断。
信息安全三要素
保密性、完整性、可用性
根据统计,全球排名前1000的大公司,平均每年发生起商业间谍事件,损失总数
高达上千亿美元。
2007年5月,韩国起亚汽车公司新推出“索兰托”车型,起亚公司内部9名员工因涉嫌
向中国的汽车制造企业(疑为河北天马和安徽奇瑞)出售车身自动组装技术等技术信息而
被韩国检察局起诉,涉案金额达亿韩币。
我们面临的各类威胁
泄漏泄漏DDisclosureisclosure
篡改篡改
AAlterationlteration
破坏破坏
DDestructionestruction
保密性保密性
CConfidentialityonfidentiality
完整性完整性
IIntegrityntegrity
可用性可用性
AAvailabilityvailability
总体目标:
– 通过有效的技术与管理措施,使企业信息资产免遭威胁,或者将威胁带来的损失
降到最低程度,保证信息资产的保密性、完整性和可用性,确保公司业务的正常
运作。
总体策略:
– 体系化:信息安全不靠自觉,也不是救火,而是日常工作和绩效的一部分,除流
程、技术、制度、组织外,还包括教育和审计
– 可控性:你是谁?你可以做什么?-权限管理
– 可审计:你做了什么?
信息安全总体目标
TOPEA为宇通所定义的信息安全体系结构,该结构以信息安全技术做支撑,面向明
确的信息安全管理目标和总体策略,通过组织,流程,教育和审计的全面协同机制,形成
宇通信息安全管理体系,并依靠其自身的持续改进能力,始终同步支持公司业务发展对信
息安全的要求。
信息安全
管理组织
Organization
信息安全
管理流程
Process
信息安全
教育
Education
信息安全
审计
Audit
宇通信息安全目标与策略
信息安全技术 Technique
信息安全TOPEA模型
审计原则:定期、透明、及时、业务影响最小。
审计流程:
审计内容:
1、管理审计:主要审计信息安全管理相关制度的执行情况;
2、技术审计:主要从技术方面审计信息资产的安全程度,包括授权审计、用户访问审计、
信息输入输出日志审计、邮件发送日志审计、档案借阅日志审计、病毒感染、互联网
访问、数据备份、个人电脑文档审计等;
通报机制:
1、在日常工作或者审计中发现信息安全问题,员工和审计人员应及时向信息安全管理小
组汇报;
2、根据审计结果,信息安全小组定期对全公司各体系信息安全的状况进行评估,并形成
书面报告,提交信息安全管理委员会。
由信息安全管理小组负责,及时捕获和处理信息安全事件,为信息安全管理提供考核
依据,通过审计确保信息安全管理的高度执行力和持续改进。
信息安全审计
信息是一种资产,它涵盖由宇通公司员工所创造的所有信息,同其他重要的商业资产
一样,对一个组织而言都具有一定价值,需要加以保护。 信息保密根据其价值、敏
感程度、泄漏给企业带来的影响不同,可分为绝密、机密、保密三个级别。
绝密
最重要的企业秘密,一
旦泄漏,会对公司的正
常运营带来特别严重的
损害,降低公司市场竞
争力、销售收入或盈利
能力;比如直接影响集
团公司权益的重要决策
文件(永久期限);
机密
重要的企业秘密,一旦
泄漏,会对公司的正常
运营带来影响,引起法
律纠纷或影响部门、企
业、合作伙伴间的合作
关系;比如公司人事档
案、合同、协议等;
(5年期限)
保密
绝密和保密范围外的其
它信息资产,在宇通员
工范围内均可以查看。
(3年期限)
信息资产的保密级别
指对有意盗窃、泄密公司保密信息的,
或者有意违反信息安全管理规定,性质
严重造成重大损失的行为
指对有意违反信息安全管理
规定,性质严重或造成公司
损失的行为
指对有意违反信息安全管理
规定,性质严重或造成公司
损失的行为
指对违反信息安全
管理规定,性质较
轻,没有造成公司
损失的行为
一级违规
二级违规
三级违规
四级违规
信息安全违规的等级划分
违
规
信
息
安
全
违
规
信
息
安
全
违
规
信
息
安
全
违
规
信
息
安
全
四级
违规
未经批准,安装公司非标准或注册软件
通过各种信息通信方式(邮件,USB,RTX即时通信等)发送传递与工作无关文
件(人数少,性质不严重)
未按公司规定机箱上锁和封闭USB口
利用公司互联网访问工作无关的网站,或无报备连续24小时下载超过1G的与
工作无关的文件
信息安全在执行审计或安全流程过程中,员工有意为难或阻止执行
常见的信息安全违规行为-四级违规
违
规
信
息
安
全
违
规
信
息
安
全
违
规
信
息
安
全
违
规
信
息
安
全
三级
违规
未经批准,访问游戏,娱乐站点及与工作无关的任何站点
未经批准,在公司信息系统范围内通过其它方式登陆互联网或盗用合法用
户IP访问互联网
未经批准,转借信息系统帐号或随意将密码告诉他人
非正当渠道获取或传递保密文档
未按照信息资产分类授权表的信息资产授权范围,私自将公司文档或信息
授予未经授权的任何其他人员(包括公司人员和非公司人员)
损坏、泄露保密级以上级信息;或因个人操作不当,对公司信息资产的保
密性、完整性、可用性造成危害,导致较小影响和破坏的信息安全事件。
常见的信息安全违规行为-三级违规
违
规
信
息
安
全
违
规
信
息
安
全
违
规
信
息
安
全
违
规
信
息
安
全
二级
违规
常见的信息安全违规行为-二级违规
发送与工作无关连环邮件(人数多,性质严重,影响范围大)
访问不健康网站或通过各种信息通信方式(外网邮箱,QQ,MSN等通信工具)向外
部发送公司未经授权发送的公司文件。
未经允许,在各种媒体、公众场合发表与公司有关的评论或言论或文章
未经批准,私自转借笔记本电脑及各种便携存储设备
私自刻录文档,盗用他人帐号
非法收集大量与本岗位工作无关机密级以上文档
员工在离岗期间未按照公司《员工离岗调动规定》,私自删除,拷贝,修改自己终
端计算机系统内的信息资产
未按照公司IT设备相关规定私自调配使用IT资产
违
规
信
息
安
全
违
规
信
息
安
全
违
规
信
息
安
全
违
规
信
息
安
全
一级
违规
常见的信息安全违规行为-一级违规
有意散布传播政治性言论或公司内部未公开的信息
恶意攻击公司网络和信息系统,编制或传播病毒程序
有意窃取、盗卖公司保密信息,恶意损坏、泄漏机密级以上信息;
因个人工作原因造成的绝密信息资产丢失(包括管理员备份的电子文件,数据库
文件无法正常恢复,以及员工自己保存的纸质文档电子文档信息资产)。
1、信息资产只用于授权范围内使用。各体系部门产生的所有文档都要加注信息安全封面,
特别要明确保密等级及授权范围。将信息资产输出到公司以外范围时,需经领导审批同
意后向部门信息安全管理员登记备案。
2、经过正常授权获得保密信息的人员无权将所获得的保密信息再授权,也不得提供给任
何未经授权发送的第三方。禁止员工私下交流保密信息。
3、办公室信息安全
–员工下班后桌面上不能有保密级以上纸件文档;
–员工离开座位超过10分钟,桌面上不能有保密级以上文档;
–保密信息文档应放在带锁抽屉或保密柜内;
–未经批准,严禁员工和来访人员在办公区域使用照相机或其他录像设备。
4、会议信息安全
–会议的信息安全由会议召集人负责,会议的录音、录像应由会议召集人或其指定人员妥
善保管,如需重复使用,则使用前应删除原有内容;
–会议结束后应有专人清理会场,回收清点核对会议资料并妥善处理。
信息资产的使用及发送注意事项
1、《宇通集团信息安全管理规范》
2、《信息终端使用管理规范》
3、《宇通集团信息安全审计管理细则》
4、《电子文档管理规范》
5、《笔记本电脑管理规定》
公司现行信息安全相关管理规范
案例一:
1964年《中国画报》
大庆在齐齐哈尔与哈尔滨之间
油井直径
油田储量及产量
中国政府向全球征求设计方案并采购
设备时日本公司一举中标
中国建国第一泄密大案
案例二:
供应链体系某员工,EIP登录密码保管不善,密码被其他员工获取。该账户被他人盗用
后,在网络上发布公司生产安排等涉密信息,给公司生产安排造成了损失。最终被罚款300
元。
2009年9月,技术体系某员工在内部论坛,将正在研发过程中的房车技术资料作为附
件上传,全公司范围内都可阅读下载,属于严重泄密,最终被罚款1000元。
案例三:
生产体系部分员工将系统登录密码、EIP登录密码、SAP登录密码明文记录后公开张贴,
最终被罚款300元。
所有系统登录密码均为重要涉密信息,拥有这些密码就拥有了各类系统的使用权,一
旦被其他员工误用,被公司以外人员、离职人员盗用,后果不堪设想。
公司为保证操作密码的保密性,域策略要求系统登录密码三个月更新一次且复杂度有
具体要求。
信息安全事件警示录
2009年7月集团审计部某员工,办公电脑内存储大量与工作无关的文件及娱乐程序,滥用公司
办公设备和互联网资源,提出警告批评,并责令立刻自行清理。
2009年7月30日,销售公司某员工私自更改自己的IP地址,非法进行外网访问,导致其他员工
无法正常访问公司网络,属于严重的终端安全违规行为,提出严重警告。
2009年8月对终端计算机USB接口审计中,发现销售体系售后服务部某员工在未授权情况下拷
贝公司重要资料,内容包括公司图纸、维修记录、内部培训资料、及公司人力资源部的后备干
部培训资料等,属于严重的违规行为,对此,销售体系信息安全专员已及时组织进行了资产追
回,信息安全小组对该员工提出严重警告并处以1000元罚款。
2009年9月份,底盘室某员工在内部论坛发帖,将公司正在开发过程中的房车技术资料(机密
信息)做为附件上传在回复内容中,全公司范围内均能阅读、下载、复制,严重违反了《宇通
集团信息安全管理规范》和公司技术资料保密要求,属于严重的信息泄露事件。
2009年12月技术体系2009届新员工,使用公司内部邮箱向外网邮箱输出公司机密级文件,内容
包括宇通企业标准、研发流程、CATIA二次开发、3D模型等,属于严重的信息泄露事件。当天,
信息安全小组和技术中心已联合完成了资产追回和清理。全部解除劳动合同。
2010年6月,销售公司某业务员自行重装电脑系统导致VPN软件丢失,此现象违反《信息终端
管理规范》,属于信息安全违规事件。
谢谢聆听
