赤峰黄金:赤峰黄金信息技术安全制度(2022年12月修订)2022-12-31
赤峰吉隆黄金矿业股份有限公司
信息技术安全制度
2022 年 12 月
�1.0 目标
本制度作为操作制度指导文件的目标是确立管理方向、明确流程要求和技
术方针,以保护赤峰吉隆黄金矿业股份有限公司(简称“赤峰黄金集团”)
的电子信息安全。
2.0 范围
这项条例的适用范围包括:所有在公司使用赤峰黄金集团网络的员工以及
第三方人员,还包括赤峰黄金集团全部的计算机和数据通信系统。
信息技术部需要每一个用户的参与和支持。每一个用户必须接受适当的培
训和拥有有关的参考资料,以便他们能够正确的保护赤峰黄金集团的资产。
在公司发生的所有对赤峰黄金集团不利的信息安全事故,必须立即向信息
技术管理员报告。
在赤峰黄金集团公司网络上的电子信息、内部使用的计算机系统、局域网、
和赤峰黄金集团与外界交互的计算机和网络需要按照本规定行事。
本规定注明了以下的内容:
信息责任
信息分类
安全制度
访问控制
网络安全
工作站和局域网的控制
基本安全控制
信息技术部的服务
报告不符合制度的状况
这份条例定义了控制的底线。在赤峰黄金集团的全体员工需要熟悉这份条
例并且按照条例的规定行事。
3.0 信息责任
3.1 法定的所有权
� 3.1.1 除了明确规定为第三方的材料之外,保存在赤峰黄金集团系统
的电子信息和经过赤峰黄金集团系统的电子信息,其法定所有
权均归属于赤峰黄金集团。除了首席执行官的特定书面授权外,
赤峰黄金集团员工所有开发商务信息都属于赤峰黄金集团。
3.2 信息的掌控者
3.2.1 经理和主管是商务电子信息的掌控者。所有的电子信息都要有
一个指定的掌控者。 当机构没有明确地指定信息的掌控者时,
信息技术部需要指定掌控者。信息的掌控者不拥有信息的法律
拥有权。 他们只是赤峰黄金集团的管理团队的一个可以为机
构做决定的成员。信息的掌控者或他们的代表必须决定和执行
以下这几项工作:
批准电子信息的使用权。
选择特别的控制方式去保护信息,例如额外的输入有效性
确认或者经常性备份的流程。
批准把所有新系统或者升级的应用系统移植到应用环境。
为信息选择一个级别分类。为敏感信息确定级别和分类。
3.3 信息管理人
3.3.1 信息管理人必须由赤峰黄金集团应用程序的开发、支持和进行
电子维护的信息技术部的人员担任。信息管理人有责任确保提
供与本条例以及信息技术的标准统一的服务。信息管理人必须
在基本安全控制和信息技术安全操作系统的控制下保护信息,
使其不会被未经许可而被访问、使用、修改、发布、毁灭。信
息管理人有责任执行备份和恢复等一般控制操作。
3.4 用户
3.4.1 用户的定义是-任何一个访问赤峰黄金集团电子信息的人。 用
户们需要遵守信息掌控人,信息管理人或信息技术部规定的安
全要求。用户要对赤峰黄金集团与信息技术相关的全部的制度、
流程和信息技术标准特别熟悉。如果对怎样处理某个特定的信
息有疑问的话,这些问题因该由信息管理人或信息的掌控人来
� 回答。
4.0 信息分类
4.1 赤峰黄金集团采用了一个信息分类系统将信息归类到三项。所有在
赤峰黄金集团控制下的信息,无论来源于内部还是外部,可以被归
类到其中一项:机密信息、内部信息、和公开信息。每一个用户要
熟悉这些归类而且必须知道怎样去保护这些信息。
4.1.1 机密信息
归于这一类的私密信息只能在赤峰黄金集团内使用。机密信
息需要得到信息掌控人的允许才可以使用。如果未经过许可
就泄露机密信息,将会对赤峰黄金集团,供应商,商务合伙人
或员工造成危害。机密信息如:员工成绩的评价、战略联盟合
同、计算机密码和内部审计报告。
4.1.2 内部信息
归于这一类的信息为不能很明确的归于机密信息的所有信息。
所有用户可以访问这项信息。虽然未经过许可就泄露机密信
息违背了条例,但是这些信息不会严重的影响到赤峰黄金集
团。例如赤峰黄金集团的电话目录、拨号访问号码、新员工培
训和内部制度指南。
4.1.3 公开信息
归于这一类的信息是经过赤峰黄金集团管理层认可后可以对
外公开的信息。从定义上理解,可以解释为不应存在未经批准
而公开发布的信息。这些信息的发布并不会带来危害。例如产
品和服务册、广告、招聘和公告。
4.1.4 默认种类
任何没有被信息的所有者归类的信息将会被默认为“内部信
息”。
5.0 安全制度
5.1 信息技术部将依照公司目标草拟新的信息技术安全政策,并对所有
的信息技术安全政策进行维护。赤峰黄金集团的管理层将每年对这
� 些政策及其变更进行评审。每年公司也会将最新的信息技术安全政
策传达给员工。
《信息技术安全制度》的首次发布将通过公司公告或电子邮件发送给
所有员工。赤峰黄金要求所有新员工详细阅读《信息技术安全制度》。
6.0 访问控制
6.1 需要知道
6.1.1 信息访问权必须在用户“需要知道”的情况下提供给用户。信
息只能披露给具有合理业务要求的用户。
6.1.2 为了执行“需要知道”这一理念,赤峰黄金集团采用了访问
请求审批流程。如果要创建新用户,则该用户的部门经理要向
信息技术部发送一份《新用户创建申请表》(附录 A),载明
授予该新用户的访问权限。信息技术部将按该表的请求设置
新用户的访问权限。
6.2 添加用户使用权
6.2.1 赤峰黄金集团有一套关于在系统内添加用户访问权的正式管
理流程,包括以下几个步骤:访问鉴权、访问授权、通知用户、
提供安全预设密码和用户首次登陆强制更换密码。
6.2.2 当新用户需要域账户和/或电子邮件账户时,经该用户的部门
经理批准,人力资源部将发送一份《新用户创建申请表》。填
写完成的表格经批准后将被转发给信息技术部,以创建账户。
6.2.3 如果用户需要访问支持财务流程的重要应用软件(附录 B)中
的相关信息,也应按相关流程首先发送《财务系统账号权限新
增变更申请表》(附录 C),再由相关人员签名,最后再由附
录 B 中所示的管理员对此请求表进行存档。
6.3 修改用户使用权
6.3.1 赤峰黄金集团有一套关于在系统内修改用户访问权的正式管
理流程,包括以下几个步骤:访问申请、访问授权和通知用户。
6.3.2 相关用户的部门经理应向信息技术部发送一份关于修改用户
访问权的电子邮件或提交《数据访问申请表》(附录 D)。在
� 信息技术部对用户访问权进行修改之后,信息技术部应向该
用户的部门经理发送一份电子邮件或返回《数据访问申请表》,
以就相应的变更做出通知。信息技术部将把该邮件保存在该
用户的许可文档中。
6.3.3 信息技术部不会仅凭一个电话而对用户的访问权进行变更或
修改。
6.3.4 附录 B 财务流程的重大应用中的管理员也应遵循以上
程序并提交《财务系统账号权限新增变更申请表》。
6.4 终止用户使用权
6.4.1 赤峰黄金集团有一套关于在系统内去除用户访问权的正式管
理流程,包括以下几个步骤:人力资源部门通知信息技术部和
附录 A 财务流程的重大应用中的管理员、删除访问权、定期
比对在职员工名册(来自于人力资源部)和信息技术系统访问
权。附录 A 财务流程的重大应用的管理员应与相关部门经理
一起核查访问权是否已被删除,或定期比对在职员工名册与
信息技术系统的访问权。
6.4.2 如果员工离职,人力资源部将通过电子邮件发送《账户停用申
请表格》(附录 E)通知信息技术部和附录 B 财务流程的重大
应用中的管理员。信息技术部和附录 B 财务流程的重大应用
中的管理员将审核用户文件,以决定对离职员工的访问权做
出何种处理。信息技术部以及附录 B 财务流程的重大应用中
的管理员将取消离职员工在所有相关系统中的访问权,并默
认在一周后对该访问权进行删除。信息技术部和附录 B 财务
流程的重大应用中的管理员将告知人力资源部和相应的部门
经理该访问权已被删除。
6.5 审查用户的使用权
6.5.1 人力资源部每半年向信息技术部发送一份在职员工名册。信
息技术部将把当前用户清单与人力资源部发来的在职员工名
� 册相比较。如果发现任何离职员工仍拥有访问权,则将就此事
与该用户的部门经理进行确认。
6.5.2 附录 B 财务流程的重大应用中的管理员每半年会向相关部门
经理发送一份当前用户清单,以核对是否有离职人员拥有访
问权。
6.6 特权账户
6.6.1 所有用户(包括信息技术部的员工)都应通过访问权使用本地
计算机。
6.6.2 用户在任何情况下都不得拥有域管理权或企业网络管理权。
6.6.3 即使是信息技术部的用户账户也不得拥有域管理权或企业网
络管理权。当需要访问服务器或程序时,他们应使用拥有域管
理权或企业网络管理权的特殊账户。这些账户由信息技术部
的经理控制。
6.6.4 所有应用软件、操作系统、数据库的管理员账户包含附录 B 财
务流程的重大应用中的管理账户都应该分别创建,不得使用
同一账户。
6.7 承包商访问权
6.7.1 负责承包商事务的部门经理应审批承包商访问赤峰黄金集团
网络的请求,并向信息技术部发送相应的《数据访问申请表》。
在授予承包商相应的访问权之前,信息技术部将检查承包商
的计算机是否已安装足够的杀毒软件和最新的安全补丁,并
检查其签名文件的日期是否最新。除非具备上述条件,否则任
何访问都将被拒绝。
6.7.2 负责承包商事务的部门经理必须保证承包商在未经批准的情
况下不会访问赤峰黄金的网络。 (参见“10.0 违规上报”) 一旦
核实这种访问已经发生,应通知信息技术部,信息技术部将立
即终止承包商的此类连接,并依据《关于不合规的信息技术政
策》对此类未经授权的访问进行上报。
7.0 网络安全
�7.1 密码管理
7.1.1 选择密码
用户应该选择不易被猜到的密码。密码不能在字典里被查到
而且也不要包括私人信息。
7.1.2 在应用程序和软件权限之内,密码制度应该如下设定:
7.1.2.1 在设置新用户时给与默认密码。默认密码需要在用户
第一次登陆时换为新的密码。密码最少要有 6 位字符。
密码不能和前五次用过的密码相同而且必须得在每
181 天更换一次。密码的更换最少要设置在 45 天。登
陆账号时发生五次登陆错误及失败后被自动锁死,必
须等 30 分钟后输入正确密码才可以开锁。
7.1.2.2 对于附录 A 财务流程的重大应用程序的用户而言,
其密码最低应包含 6 位字符,且应为数字和字母的组
合。禁止同一密码被再次使用。此类用户应至少每
121 天更换一次密码。如果 5 次登陆失败,登陆账号
将会被自动锁死,且只有财务流程的重大应用中的管
理员才能打开锁死状态。如果用户忘记了需要变更/重
设的密码,其部门经理应向财务流程的重大应用中的
管理员发送一封电子邮件,以提出相关请求。
7.1.2.3 如果用户怀疑其他人知道他/她的密码时,他/她必须
马上更改密码。
7.2 用户不能够向包括信息技术部的工作人员在内的任何人透漏他/她的
密码。如果用户发现他/她的密码被盗窃以后,必须马上通知信息技术
部经理。用户不准在计算机文件或计算机程序里保存密码,除非密码
用了认可的软件加密。用户不准把密码写下来。
7.3 用户在离开他们的座位时一定要确保他们把计算机注销了或加锁以
防其他人进入他们的计算机。
7.4 信息技术部经理定期审查没有活动的账户。 所有在 60 天内没有任何
活动的账户将被暂停使用。
�7.5 当用户从长假后返回赤峰黄金集团时(例如:大于 60 天),必须得由
他们的直接上司联络信息技术部得到批准后才可以恢复用户的使用
权。
7.6 远程访问
7.6.1 硬件批准
在使用远程访问赤峰黄金集团计算机网络时, 所使用的硬件
必须得得到信息技术部的许可。所有的设备必须依照信息技
术安全操作制度指导的规定设置并保护。用户有责任确保在
硬件上的配置没有未经过信息技术部的允许而进行的改动。
7.6.2 远程访问的许可
远程访问赤峰黄金集团网络的许可只发给有合理商业要求的
客户。用户的直接上司必须帮用户从信息技术部申请远程访
问赤峰黄金集团网络的许可。
所有进行远程访问的用户必须遵守远程访问的使用规定。并
且在得到远程访问使用权之前就应参加过远程访问培训。
7.6.3 远程访问的鉴定
在远程访问必需使用 SecureID 或电子证书(例如:CISCO
VPN 证书)。除此之外其他远程访问方法将不会被批准。
7.6.4 机密信息的处理
电子机密信息不能够在不安全的情况下离开赤峰黄金集团办
公室。 如果需要把机密信息从赤峰黄金集团的办公室移出,
这些信息必须用信息技术部批准的的加密软件保护。 所有通
过公共网络传输的电子机密信息必须用信息技术部批准的加
密软件保护。
7.7 防火墙的安全
所有在赤峰黄金集团的内部网络和互联网或其它可公开访问的计算
机网络之间的连接必须用防火墙来确保安全。如果某些程序需要在防
火墙上开放一些端口,那么这些端口必须是安全的,并应获得信息技
术经理的批准。如果这些程序需要使用的端口的安全性得不到保障,
� 在任何情况下都不得打开防火墙或对其设置进行重新设定。
8.0 工作站和局域网的控制
8.1 工作站的信息安全
8.1.1 使用权控制
用户在离开他们的座位时一定要确保他们把计算机访问权限
注销了或锁住了以防其他人进入他们的计算机。
作为一个补助的控制,所有的工作站的屏幕要设置在 15 分钟
如果没有任何活动时自动锁住屏幕并且需要重新输入密码才
可以登陆。
8.1.2 杀毒软件
所有的工作站都必须配有实时杀毒软件。
赤峰黄金集团的用户有责任确保实时杀毒软件的设置没有被
修改过。 当用户发现病毒时,用户必须马上停止所有的操作
并断开网络,马上通知信息技术部。
在一般用户工作站的杀毒软件设置是不可改变的,只有信息
技术部人员才可以改变设置。
8.1.3 标准应用软件
赤峰黄金集团有一个许可软件名单。在上面列出了在每一个
员工的计算机上可以装上哪一些软件。用户不可以装载在这
个名单之外的软件,除非信息技术部已经对该软件进行测试,
而且该软件也符合赤峰黄金集团的标准商务程序, 没有经过
批准的软件将会在没有被通知的情况下删除。不符合制度的
行为和状况将被报告。(参看“11.0 报告违反制度的状况”条
目)。
8.1.4 硬件的变动
在没有告知并得到信息技术部批准前,用户不可以对赤峰黄
金集团所提供的计算机设备加以修改。
8.2 局域网的控制
8.2.1 活动网络端口
� 如果能够通过赤峰黄金集团网络连接到公共场所(不限于公
司大堂,公司食堂和公共会议室)的活动网络端口必须被马上
禁止。
8.2.2 在网络上安装设备
只有赤峰黄金集团设置的设备才允许连接到赤峰黄金集团的
网络。
9.0 基本安全控制
9.1 进入数据中心和其他敏感地区只限制于经过许可的员工。
9.1.1 用户访问名单每半年被管理部审查一次以确保用户有合理的
商务访问原因。
9.1.2 如果有多余的钥匙,它们必须被锁在行政部办公室。在需要的
情况下人事部的钥匙可以借给忘记带钥匙的人、合同员工和
紧急人员(例如:消防队,厂区防卫)。
9.1.3 当多余的钥匙被发放或使用的时候,必须通知信息技术部经
理。
9.1.4 一个访问记录必须得保存在服务器所在的屋子里。 除了信息
技术部的人员之外,访问纪录上需记录访问者的名字、访问日
期和时间。
9.1.5 管理部门每一个月要审查访问记录, 察看有没有不正常的访
问。如果因为系统上的限制上而没有访问记录(例如:用钥匙
进入而不是刷卡进入)。来宾记录将会成为主要证据。
10.0 信息技术部的服务
10.1 电子邮件
10.1.1 共享和转发电子邮件
指定给个人的电子帐户和用户身份只是给个人用的不得和其
他人共享。如果用户需要度假或者在长时间内不需用查询他
们的电子邮件,他们的电子邮件将会被转发到另外一个内部
用户。把机密信息转发到赤峰黄金集团之外是不被允许的。
如果在电子邮件内包括机密信息,用户不能够把邮件转发给
� 其他人。除非邮件接收人有权阅读该信息或者得到寄出邮件
的初始人的许可。
10.1.2 保密信息
如果用户需要把保密信息发给外界,用户必须得用信息技术
部许可的加密软件加密邮件。内部邮件因受访问权限控制的
保护,所以不需要加密。
10.1.3 附件储存
用户有责任保存将来可能使用的重要附件。 电子邮件系统的
功能不是用来储存附件的。用户必须得把附件储存在网络驱
动器上以便保存。
10.1.4 电子邮件内容
用户的电子邮件里不能包括亵渎,淫秽或贬损的言语与文字。
10.1.5 使用被公司认可的电子邮件系统
用户必须用经过批准的电子邮件(例如:MS Outlook)。 用
户们不能用他们的私人电子邮箱或第三方的电子邮箱接收或
这发送赤峰黄金集团的电子邮件。 用户们不能使用在网上的
电子邮箱(例如:Yahoo, Hotmail 等等)接收或这发送赤峰黄
金集团的电子邮件。
10.1.6 发件者的确定
无论来源于何处的电子邮件,当用户打开的时候一定要谨慎。
所有的附件将会被批准的杀毒软件扫描。 用户不得打开来
路不明的电子邮件或者附件。
10.2 合理的使用网络
10.2.1 商务使用
提供给赤峰黄金集团员工的互联网使用权只能用于赤峰黄金
集团的商务事宜。
10.2.2 信息的可靠性
� 从互联网上得到的信息是可疑的,必须从其它的来源进行信
息的核对。赤峰黄金集团不应该相信互联网上的人的身份,除
非这个人的身份能被信息技术部的数码证书或数码签名认证。
10.2.3 下载软件
赤峰黄金集团的员工不可以从互联网上下载没有经过许可的
软件。(8.1.3 标准应用软件)。禁止下载非商务时用的软件
如音乐,录影和照片。 员工可以从互联网上下载文件,在执
行他们之前必须进行扫描病毒。
10.2.4 发送安全信息
赤峰黄金集团不可以传输敏感的信息如信用卡卡号,电话卡
号码,密码或用户帐号除非这些信息在互联网上是加密的。
11.0 报告违反制度的状况
11.1 用户们必须及时向信息技术部的经理举报以下这几项不符合制度的
状况。这样信息技术部的经理可以做出进一步的调查和评估:
严重的信息的漏洞。
违背制度。
遗失或者被盗窃的电子数据。
机密信息的泄漏。
11.2 违反制度的状况
11.2.1 当员工没有按照信息技术安全操作制度指导文件里的制度行
事,他/她违反了制度。
11.2.2 影响
11.2.2.1 当发生员工违反制度的情况,这个情况必须由总经
理立即报告给负责处理违反制度情况的经理。负责
处理违反制度情况的经理有责任立即纠正任何违
反制度的状况。
11.2.2.2 如果违反制度的状况在 11.2.2.1 里没有得到解决,
状况将会由总经理向公司的的运营副总裁报告。
�附录 A:新用户创建申请表 New User Access Request Form & Setup Checklist
第一部分-需求(由人力资源部门完成)Section 1 - Request (To be completed by Human Resources)
人员姓名及员工编 主管经理姓名 Hiring 员工类别 Employment Type
码 Name and Manager’s
全职 Permanent:
Register Number Name
财务系统账户
职务 Position Title 是 否 临时 Temporary:
Finance U8 account:
部门/成本中心 入职日期 Start Date 终止日期 End
Dept/Cost Center (Mmm/DD/YY) Date (Mmm/DD/YY)
隶属于哪一个邮件通讯组 List email Group: (Please pick the appropriate email group)
All All
All Beijing All Jilong
All China Staff Shanghai HongKong
Staff Mining
Staff Staff
All Chifeng
All Chifeng all
All Wulong Mining Hanfeng all
Guangyuan Executive
Mining Managers
Chifeng all
Superintendents
人力资源签字 Human Resources (HR)
姓名 Name
签字 Signature
日期 Date
第二部分-需求(由部门经理完成)Section 2 - Request (To be completed by Associate’s Department Manager)
采购需求 PURCHASING REQUIREMENTS
部门经理需要提交采购申请至少提前 3 周,说明所需电脑类型显示器类型和非标准软件需求。
The Hiring Manager must submit a Purchase Requisition at least 3 weeks prior to start date for new PC, monitor, and/or
non-standard software
信息技术部完成设备订
台式机 购 计算机标识 PC inventory #
笔记本 If YES, then info to be 外置显示器 Monitor 外置键盘 Keyboard
completed by IT
其他特殊硬件需求:Comments (Special Hardware Requests etc.):
标准应用程序 Standard Applications
部门经理可以增加其他软件需求,请在其他项内添加
The hiring manager may specify additional software to be installed. Any additions must be reflected in the Purchase
Requisition.
�Windows 10 professional
Microsoft Outlook Adobe Acrobat Reader
Microsoft Edge
Microsoft Media Player WinZip
Microsoft Office 365 (word, excel,
Antivirus Program 飞书
PP)
其他 Other:
第三部分-完成 Section 3– Completion
IT 部门完成 TO BE COMPLETED by IT Department
邮件地址创建 Email Address:
网络配置 Network Setup:
用户登录名 User Logon ID:
默认密码 Password:
IT 经理确认签字 to be completed by IT Manager
姓名 完成日期
签名 Signature
Name Date completed
�附录 B – 支持财务流程的重要应用软件
商务应用程序 商务部门 管理员
用友 U8 财务部 赵光际
�附录 C
财务账号权限新增及变更审批表
申请人: 使用人: 使用人岗位:
申请日期: 开始时间: 用户名编码:
备注:
□集团总部 □财务部长
□吉隆矿业 □主管会计
□五龙矿业 □成本会计
□同兴选厂 □材料会计
公司名称: 账套角色:
□瀚丰矿业 □固定资产
□赤金丰余 □现金出纳
□赤金地勘 □稽核会计
□库管 仓位名称:
财务分管领导:
申请单位签字:
财务总监: 财务部:
上级单位签字:
系统管理员:
审批流程:
①子公司申请:财务经理(申请人)-财务分管领导-上级单位财务经理-上级单位财务总监结束;
②集团总部申请:财务经理(申请人)-财务分管领导结束
注:申请人为申请单位财务经理,需填写使用人、使用人岗位等信息并勾选使用公司名称、账套角色。
如角色为库管需填写仓库名称。
� 附录 D 数据访问申请表 Access&Building Common File Request Form
1. General Information(For Request User) 基本信息(用户填写)
Username: User Account:
用户姓名 用户账户
Department: Location:
部门 职位
Signature By Manager: Request Date:
部门经理签字 申请日期
2. Access Request(For Request User) 申请文件信息(用户填写)
Fold/File Name:
文件夹/文件名
Fold/File Full Path:
文件夹/文件路径
Request Description: Read Only(只读) Modify(修改)
权限描述
Signature By Target
file Manager
需访问文件所属部门经理签字
Additional Details:
备注
3.IT Operation(IT USE ONLY) IT 操作(IT 填写)
Request Permission None Full Control Modify Read List Folder Contents Read Write Special Permissions
Level:
需求权限等级:
其他详细内容
Additional Details:
操作人 日期
Operated By Date
� 附录 E:账户停用申请表格 Account Suspension/Termination Form
1. 基本信息 General Information
用户名 User Name: 账户名称 User
Account
邮箱地址 E-mail: 部门 Department:
上级主管 所属地 Location:
Supervisor/Manager:
提交人 Requested By: 提交日期 Date
Requested:
邮箱保留时长 0day 5days 10days 20days 30days
The Mail Is Requested For
Keeping For
2.批准 Approvals
人力资源签字批准 批准日期
Signature of HR Approver: Approval Date:
3. 账户移除内容 Account Removal By IT Team
User ID Deleted Disabled N/A Comments
Network/AD Account 账户
OA Account OA 账户
U8 Account 用友 账户
Feishu Account 飞书账户
Other 其他
IT USE ONLY
操作人 Activity Performed By: 日期 Date:
4. 补充说明 Additional Notes
特殊说明
Special Instructions:
IT USE ONLY
补充说明和意见 Additional
Notes/Comments:
�
