·          备份数据应存放在安全的异地位置。

¨        所有备份媒体应存放在安全可靠的地点。所有每周备份媒体应存放在防火保险箱内。所有软件完整备份和每月备份媒体应存放在异地备份档案室。

 

 

（三）厂方应制定相应的程序，确保员工定期更改密码（阶段 3 安全标准 - 必须在 2007 年 12 月 31 日之前完成）
 
 

 

要求：

 

·          所有可以使用计算机系统的员工必须至少每年更改密码两次。

·          程序示例：员工必须至少每半年更改密码一次

 

附加安全建议（标准 3）：

 

·          网络管理员应负责通知计算机用户更改密码。网络管理员应指定更改密码的频率和日期，伺服器运行软件将提醒员工进行更改。

·          对于未能在指定日期内更改密码的员工，应锁闭其对计算机网络的使用，直至系统管理员解除锁闭为止。

·          密码应为字母和数字的组合，长度至少为六个字母和符号。不应采用“明显”密码，例如出生日期、城市名等。

·          为防止密码有可能会被泄漏或破译，员工应经常更改密码。如果员工怀疑密码已被泄漏，应立即使用新密码。

 

 

（四）厂方应制定政策，决定哪些员工有权进入其 IT 系统（阶段 3 安全标准 - 必须在 2007 年 12 月 31 日之前完成）
 
 

 

要求：

 

 

·          厂方必须制定书面程序，确定哪些员工有权进入其 IT 系统。

·          程序示例：仅允许以下部门的员工进入 IT 系统：行政、薪酬、仓储、订单以及销售部门。

 

 

附加安全建议（标准 4）：

 

·          厂方应根据员工的职责赋予其相应的权限。例如，只负责发薪的员工不能使用发票或订单表格。

·          雇用新员工后，其直接主管必须确定该员工是否需要进入 IT 系统。如果确实需要，主管应为此员工申请使用权。主管应向 IT 经理递交一份书面申请表格，注明员工的姓名及其需要使用的应用程序。

 

“信息技术”附加安全建议

 

·          厂方应制定书面的灾后重建计划，以恢复计算机网络及其数据。

·          IT 团队应每年至少预演一次灾后重建计划。

·          灾后重建计划可以定义为计划、制定并执行灾后重建管理程序的持续过程，目的是在系统发生意外中断的情况下确保重要的公司运作可以迅速有效地恢复。所有灾后重建计划必须包含以下元素：

o         关键应用程序评估

o         备份程序

o         重建程序

o         执行程序

o         测试程序

o         计划维护

·          IT 灾后重建计划应为厂方企业灾后重建计划的一部分。

o         厂方应委派一位高级管理人员领导 IT 灾后重建小组。

o         IT 灾后重建小组应识别厂方网络架构的组件，以便制定并更新应急程序。