信息技術
 
 

  （一）廠方通過使用防火墻、員工密碼以及防病毒軟件，保護其 IT 系統免被非法使用和進入（階段 3 安全標準 - 必須在 2007 年 12 月 31 日之前完成）
 

 

要求：

 

 

·          廠方必須使用防病毒軟件和防火墻保護其 IT 系統

·          廠方必須要求使用者輸入登錄名/密碼后，方可進入 IT 系統。

 

附加安全建議（標準 1）：

 

·          其它安全措施建議：

 

ü        鎖上存放主伺服器的房間：伺服器和設備的實際保護。應將其存放在上鎖的房間內。

ü        128 位元加密：針對Internet 通信和交易的最高保護級別。加密時會以電子方式將信息打亂，這樣在信息傳送過程中，外部人員查看或修改信息的風險就會降低。

ü        公鑰基礎架構 (PKI)：保護通過 Internet 發送的機密/秘密電子信息的方式。信息發送人持有私鑰，并可向信息接收人分發公鑰。接收人使用公鑰將信息解密。

ü        虛擬專用網絡：此方法將所有網絡通信加密或打亂，提供網絡安全或保護隱私。

 


（二）廠方定期將數據備份（階段 3 安全標準 - 必須在 2007 年 12 月 31 日之前完成）
 
 

 

要求：

 

·          廠方必須備份數據，確保即使主要 IT 系統癱瘓（出于病毒攻擊、工廠失火等原因），記錄也不會丟失。

·          數據可以不同方式備份，較為簡單的方式有軟盤或光盤，較復雜的方式有異地備份伺服器。

 

附加安全建議（標準 2）：

 

 

·          計算機系統每日創建或更新的關鍵數據應每日備份。

·          所有軟件（不管是購買的還是自行開發的）都應至少進行一次完整備份以作出保護。

·          系統數據應至少每月備份一次。

·          所有應用程序數據應根據“三代備份原則”每周完整備份一次。

·          所有協議數據應根據“三代備份原則”每周完整備份一次。

·          應制定數據備份政策，確定數據備份歸檔的方式。要有條理並高效地備份數據，歸檔是必要的。每次備份數據，應將以下幾項內容歸檔：

1.        數據備份日期

2.        數據備份類型（增量備份、完整備份）

3.        數據的代數

4.        數據備份責任

5.        數據備份范圍（文件/目錄）

6.        儲存操作數據的數據媒體

7.        儲存備份數據的數據媒體

8.        數據備份硬件和軟件（帶版本號）

9.        數據備份參數（數據備份類型等）

10.     備份副本的儲存位置

·          每日備份應在辦公時間過后、計算機使用率較低的情況下進行。備份數據應儲存在磁帶備份驅動器中，因為其容量大、可以移動；也可將備份數據儲存在硬盤中。對于大型企業，強烈建議使用備份伺服器和異地存儲。