公司信息安全策略范例.doc

1、.第一章總則第一條 為了提高員工信息安全防范意識(shí)和操作技能，保障公司信息安全，根據(jù)公司信息安全管理制度的要求，制定本守則。第二條 公司全體員工須遵守公司信息安全制度和本守則，共同維護(hù)和保障公司信息安全，確保公司各項(xiàng)業(yè)務(wù)正常開展。第三條 本守則遵循 “信息安全，人人有責(zé) ”、 “誰使用，誰負(fù)責(zé) ”的原則。公司全體員工人人行動(dòng)起來，積極學(xué)習(xí)信息安全知識(shí)，提高防范意識(shí)和操作技能，自覺遵守信息安全制度，共同保障公司信息系統(tǒng)的安全運(yùn)行。第四條 本守則是對(duì)員工日常操作公司信息系統(tǒng)的基本要求，在公司信息安全制度高于本守則要求或發(fā)生沖突時(shí)，應(yīng)以公司信息安全制度為準(zhǔn)。第二章口令使用第五條 安全優(yōu)質(zhì)的用戶口令是保

2、障信息安全的第一步。員工應(yīng)為個(gè)人使用電腦設(shè)置好開機(jī)、屏幕保護(hù)口令，為各類帳戶設(shè)置好登錄口令，口令設(shè)置遵循以下基本原則：1) 在信息系統(tǒng)可支持情況下，一般用戶口令長(zhǎng)度 8 位以上，并由字母、數(shù)字混合構(gòu)成，重要系統(tǒng)管理員口令長(zhǎng)度 12 位以上，并由字母、數(shù)字、特殊字符混合構(gòu)成；2) 要便于自己記憶；3) 不使用別人容易利用個(gè)人相關(guān)信息猜測(cè)的信息。例如用戶名、姓名（拼音名稱、英文名稱）、生日、電話號(hào)碼、身份證號(hào)碼以及其它系統(tǒng)已使用的口令等；4) 避免使用連續(xù)的相同數(shù)字，或者全是數(shù)字或全是字母的字符組。5) 不使用字典中完整單詞，避免字典攻擊；6) 不同安全等級(jí)、不同應(yīng)用用途的用戶應(yīng)設(shè)置不同口令。例如

3、：業(yè)務(wù)用戶和非業(yè)務(wù)用戶、公司內(nèi)部用戶和普通上網(wǎng)用戶等應(yīng)分別設(shè)置不同口令；第六條 注意口令保密。不得將個(gè)人用戶口令泄露給他人，也不得打聽或猜測(cè)他人用戶口令。避免將口令記錄在他人可能容易獲取的地方，例如筆記本、紙條、電子文件等；避免在自動(dòng)登錄過程中以不安全的方式保存口令。第七條 新用戶在第一次登錄時(shí)應(yīng)修改其臨時(shí)設(shè)置的口令；設(shè)置缺省口令的新用戶，用戶生效后及時(shí)登錄并修改口令。第八條 定期修改口令。業(yè)務(wù)終端登錄用戶和業(yè)務(wù)類用戶每季度至少修改一次，重要用戶根據(jù)其他制度要求增加修改頻率。 普通辦公終端登錄用戶和辦公類用戶半年至少修改一次。避免重復(fù)使用舊口令。第三章病毒防范第九條 計(jì)算機(jī)病毒及木馬等惡意程序

4、能導(dǎo)致系統(tǒng)破壞、數(shù)據(jù)泄露、網(wǎng)絡(luò)中斷等嚴(yán)重安全事件發(fā)生， 是信息系統(tǒng)的最大安全威脅之一。員工應(yīng)配合作好個(gè)人辦公機(jī)及個(gè)人業(yè)務(wù)終端等的病毒防范工作。第十條員工應(yīng)檢查確認(rèn)個(gè)人所用電腦已安裝好防病毒軟件，如未安裝應(yīng)及時(shí)聯(lián)系信息安全管理員安裝或信息安全管理員指導(dǎo)下自行安裝。 除安裝建議上互聯(lián)網(wǎng)電腦安裝安全防護(hù)軟件，例如瑞星卡卡安全助手、 360 安全衛(wèi)士等。第十一條 個(gè)人所用電腦應(yīng)開啟防病毒軟件及相應(yīng)安全防護(hù)軟件的實(shí)時(shí)防護(hù)功能，如未開啟應(yīng)及時(shí)聯(lián)系信息安全管理員處理或信息安全管理員指導(dǎo)下自行處理。1 / 4.第十二條 防病毒軟件及相應(yīng)安全防護(hù)軟件升級(jí)周期為辦公機(jī)實(shí)時(shí)升級(jí)、業(yè)務(wù)終端每周至少升級(jí)一次，員工應(yīng)檢查

5、確認(rèn)是否及時(shí)升級(jí)，每周至少檢查一次，如未及時(shí)升級(jí)應(yīng)及時(shí)聯(lián)系信息安全管理員處理或信息安全管理員指導(dǎo)下自行處理。第十三條 員工個(gè)人所用電腦每周至少進(jìn)行一次病毒全面查殺，防病毒軟件一般設(shè)置為定期自動(dòng)查殺，如未設(shè)置，也可手動(dòng)進(jìn)行查殺。第十四條 個(gè)人所用電腦上發(fā)現(xiàn)病毒時(shí)，應(yīng)及時(shí)將情況報(bào)告信息安全管理員。業(yè)務(wù)終端上發(fā)現(xiàn)病毒時(shí)， 應(yīng)立即斷開網(wǎng)絡(luò)， 全面查殺并經(jīng)信息安全管理員確認(rèn)后方可再次連入網(wǎng)絡(luò)。第十五條在使用 U 盤、光盤、軟盤等移動(dòng)介質(zhì)前，一定要先進(jìn)行病毒檢查；在業(yè)務(wù)終端上使用的 U 盤等應(yīng)作到專用； 盡量減少在業(yè)務(wù)終端上使用移動(dòng)介質(zhì)； 不明來歷的移動(dòng)介質(zhì)應(yīng)謹(jǐn)慎使用。第十六條員工不得制造、傳播計(jì)算機(jī)病毒

6、。第十七條 員工發(fā)現(xiàn)防病毒軟件不能有效清除病毒時(shí)，應(yīng)立即向本部門信息安全管理人員或信息技術(shù)中心報(bào)告，在問題處理前禁止使用感染病毒的文件。第四章上互聯(lián)網(wǎng)第十八條 互聯(lián)網(wǎng)是一個(gè)開放的網(wǎng)絡(luò)環(huán)境，上網(wǎng)時(shí)可能受到惡意網(wǎng)站或者黑客的攻擊，導(dǎo)致系統(tǒng)感染病毒、系統(tǒng)被破壞、數(shù)據(jù)泄露等安全事件發(fā)生。第十九條 員工上網(wǎng)過程中應(yīng)遵守國(guó)家法律法規(guī)，不得利用公司網(wǎng)絡(luò)制作、復(fù)制、查閱、傳播違反國(guó)家法律法規(guī)的有害信息。第二十條員工不得利用公司上網(wǎng)資源下載與工作無關(guān)的文件。第二十一條員工要養(yǎng)成良好的上網(wǎng)安全操作習(xí)慣：1) 上網(wǎng)前確認(rèn)已開啟防病毒軟件和安全防護(hù)軟件的實(shí)時(shí)監(jiān)控功能；2) 不訪問與工作無關(guān)的網(wǎng)站，特別是游戲、淫穢、反

7、動(dòng)等類型的網(wǎng)站；3) 安全軟件提示發(fā)現(xiàn)病毒或惡意程序停止訪問該網(wǎng)站。4) 不要輕易點(diǎn)擊通過 QQ、MSN、郵件等傳過來的網(wǎng)址。5) 上網(wǎng)過程中被自動(dòng)提示安裝軟件或修改配置時(shí)，除非能確認(rèn)為實(shí)際需要外，一般都選擇 “否”。第二十二條 上網(wǎng)注冊(cè)帳戶時(shí)，用戶名密碼不要與公司內(nèi)部用戶名密碼相同或有關(guān)聯(lián)。除非必要，一般不提供真實(shí)姓名和聯(lián)系方式，不將公司郵箱提供作為聯(lián)系郵箱。第二十三條 避免在網(wǎng)吧等公用上網(wǎng)電腦登錄公司 OA等內(nèi)部系統(tǒng)，如不可避免時(shí)，則注意不使用 “記住密碼 ”功能，使用完后正常退出用戶， 并及時(shí)在公司電腦上修改用戶口令。第二十四條 嚴(yán)禁通過遠(yuǎn)程控制方式從互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)遠(yuǎn)程操作公司電腦

8、，如因工作需要時(shí)，須信息安全管理員報(bào)信息技術(shù)中心審批同意，并作好過程監(jiān)控和記錄。第五章電子郵件第二十五條 電子郵件已成為常用的通信方式，但電子郵件導(dǎo)致病毒傳播、數(shù)據(jù)泄露，垃圾郵件消耗系統(tǒng)資源、 降低工作效率等安全問題日益嚴(yán)重，員工在使用電子郵件時(shí)應(yīng)作好相應(yīng)安全防范工作。第二十六條根據(jù)用途和數(shù)據(jù)安全等因素建立郵箱分類使用策略：1) 收發(fā)公司業(yè)務(wù)數(shù)據(jù)時(shí)使用公司內(nèi)部OA郵箱；2) 公務(wù)處理和私人郵箱分開；2 / 4.3) 網(wǎng)站注冊(cè)用戶時(shí)提供不重要的郵箱作為聯(lián)系郵箱等，第二十七條 為經(jīng)常使用的郵箱和重要郵箱設(shè)置優(yōu)質(zhì)的密碼，并定期修改，建議每季度修改一次。不同用途的郵箱設(shè)置不同的密碼。第二十八條防范電子

9、郵件傳播病毒的基本要求：1) 在收發(fā)電子郵件前，應(yīng)確認(rèn)防病毒軟件實(shí)時(shí)監(jiān)控功能已開啟；2) 對(duì)每次收到的電子郵件，使用前均檢查病毒；3) 在收到來自公司內(nèi)部員工發(fā)來的含有病毒的郵件，除自己進(jìn)行殺毒外，還應(yīng)及時(shí)通知對(duì)方殺毒；4) 不打開可疑郵件、垃圾郵件、不明來源郵件等提供的附件或網(wǎng)址，對(duì)這類郵件直接刪除；第二十九條 防范垃圾郵件的基本要求：1) 經(jīng)常使用的郵箱，尤其是公司內(nèi)部郵箱，應(yīng)盡量避免在互聯(lián)網(wǎng)上公開。例如：網(wǎng)上調(diào)查表填寫、網(wǎng)站用戶注冊(cè)、 BBS論壇中。2) 不要回復(fù)可疑郵件、垃圾郵件、不明來源郵件。第三十條 防范數(shù)據(jù)泄露的基本要求：1) 收發(fā)公司業(yè)務(wù)相關(guān)的郵件時(shí)，必須使用公司內(nèi)部郵箱，并盡

10、量要求對(duì)方使用對(duì)方公司內(nèi)部郵箱。2) 發(fā)送敏感數(shù)據(jù)時(shí)，應(yīng)采用加密郵件方式發(fā)送。3) 不要在免費(fèi)郵箱上保存敏感數(shù)據(jù)。第六章網(wǎng)絡(luò)使用第三十一條未經(jīng)允許員工不得私自更改個(gè)人所用電腦的IP 地址、系統(tǒng)服務(wù)、網(wǎng)絡(luò)協(xié)議、通信端口限制等網(wǎng)絡(luò)參數(shù)。第三十二條公司的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議為TCP/IP，未經(jīng)允許不得啟用任何其它網(wǎng)絡(luò)協(xié)議，如SPX/IPX， NETBIOS等。第三十三條 未經(jīng)批準(zhǔn)員工不得在公司內(nèi)部系統(tǒng)上私自撥號(hào)上網(wǎng)；對(duì)經(jīng)批準(zhǔn)可以撥號(hào)上網(wǎng)的，確認(rèn)使用的計(jì)算機(jī)與公司網(wǎng)絡(luò)斷開后才可與外部網(wǎng)絡(luò)連接。第三十四條 員工不得在公司內(nèi)部系統(tǒng)上私自建立遠(yuǎn)程撥號(hào)服務(wù)、遠(yuǎn)程控制服務(wù)或其他遠(yuǎn)程接入服務(wù)。第三十五條 注意遠(yuǎn)程撥入用戶

11、、遠(yuǎn)程 VPN帳戶的安全保密，員工不得將撥入號(hào)碼、用戶密碼等泄露給他人。第三十六條 員工不得私自通過雙網(wǎng)卡方式讓個(gè)人電腦跨接在不同安全等級(jí)的網(wǎng)絡(luò)區(qū)域。第三十七條 員工不得私自更改到網(wǎng)絡(luò)設(shè)備的連接，需要變動(dòng)時(shí)應(yīng)提出申請(qǐng)，由網(wǎng)絡(luò)管理員負(fù)責(zé)更改；不得將上網(wǎng)辦公電腦接入業(yè)務(wù)網(wǎng)絡(luò)或?qū)I(yè)務(wù)網(wǎng)終端接入辦公網(wǎng)。第三十八條 嚴(yán)禁私自讓外來人員電腦接入公司網(wǎng)絡(luò)。如因工作需要，須經(jīng)審批后在網(wǎng)絡(luò)管理人員指導(dǎo)下接入可供外來人員使用的網(wǎng)絡(luò)區(qū)域。第三十九條 員工與工作相關(guān)的筆記本電腦、 PDA設(shè)備通過無線方式接入公司網(wǎng)絡(luò)時(shí)， 須經(jīng)網(wǎng)絡(luò)管理員和相關(guān)部門負(fù)責(zé)人批準(zhǔn)同意，并按網(wǎng)絡(luò)管理員要求作好登錄認(rèn)證、傳輸加密等安全設(shè)置。第七章

12、數(shù)據(jù)和文件安全3 / 4.第四十條公司業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、重要文件、技術(shù)文檔等均屬于公司信息資產(chǎn)，員工應(yīng)注意保護(hù)，防止數(shù)據(jù)泄露，更不得利用網(wǎng)絡(luò)、計(jì)算機(jī)收集、泄漏公司機(jī)密信息；第四十一條個(gè)人所用電腦上一般不保存公司機(jī)密數(shù)據(jù)，如確需保存時(shí)，應(yīng)采取適當(dāng)?shù)募用艽胧?，并妥善存放，使用完后及時(shí)刪除。第四十二條個(gè)人辦公機(jī)上的文件資料應(yīng)妥善保存。建立適當(dāng)?shù)臄?shù)據(jù)存放目錄，重要文件資料建議加密保存，定期清空回收站、相關(guān)通信軟件接收目錄等。第四十三條刪除敏感數(shù)據(jù)時(shí)，要求使用不可恢復(fù)的刪除工具進(jìn)行刪除。第四十四條業(yè)務(wù)終端應(yīng)通過技術(shù)手段，嚴(yán)格控制U 盤、光盤、軟盤等移動(dòng)介質(zhì)的使用。第四十五條移動(dòng)移動(dòng)電腦上如保存有公司敏

13、感數(shù)據(jù)時(shí)，應(yīng)對(duì)數(shù)據(jù)采取加密存放措施。第四十六條嚴(yán)禁私自拷貝業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)等帶離工作場(chǎng)所，如因工作需要時(shí)，須經(jīng)過部門負(fù)責(zé)人審批同意。第八章 系統(tǒng)使用第四十七條員工不得私自開啟計(jì)算機(jī)機(jī)箱， 不得私自裝配并使用可讀寫光驅(qū)、磁帶機(jī)、磁光盤機(jī)和USB硬盤等外置存儲(chǔ)設(shè)備。第四十八條員工不得將公司配備的個(gè)人工作用筆記本電腦借給他人使用。第四十九條員工不得安裝使用黑客工具軟件，不得安裝影響或破壞公司網(wǎng)絡(luò)運(yùn)行的軟件。第五十條員工不得私自在公司內(nèi)部系統(tǒng)中設(shè)立網(wǎng)站、論壇、游戲等服務(wù)站點(diǎn)。第五十一條員工不應(yīng)使用未經(jīng)公司許可的軟件，特別是沒有正式版權(quán)的軟件。第五十二條業(yè)務(wù)終端上嚴(yán)禁安裝與業(yè)務(wù)無關(guān)的軟件。個(gè)人辦公電腦上嚴(yán)禁安裝與工作無關(guān)的軟件。第五十三條個(gè)人所用電腦均應(yīng)設(shè)置自動(dòng)鎖屏狀態(tài)，建議自動(dòng)鎖屏?xí)r間設(shè)置為10 分鐘。員工離開座位時(shí)應(yīng)設(shè)置電腦為退出狀態(tài)或鎖屏狀態(tài)。第五十四條登錄相關(guān)應(yīng)用系統(tǒng)， 在使用完畢后應(yīng)及時(shí)退出。 需持續(xù)辦理業(yè)務(wù)的終端 （如柜臺(tái)終端），應(yīng)根據(jù)業(yè)務(wù)辦理情況設(shè)置合適的應(yīng)用程序自動(dòng)鎖定時(shí)間，建議為5 分鐘。第五十五條無人值守的終端，操作人員離開時(shí)應(yīng)設(shè)置為鎖屏狀態(tài)或其他防護(hù)措施。第五十六條下班時(shí)個(gè)人所用電腦應(yīng)關(guān)閉，辦公桌上敏感資料、插在電腦上的硬件密鑰等應(yīng)鎖存。第五十七條更換工作崗位時(shí)，