分公司信息安全宣導(dǎo)

1、貴州分公司貴州分公司 電腦室電腦室 2015 2015年年1010月月分公司信息安全宣導(dǎo)分公司信息安全宣導(dǎo) 公司員工有責(zé)任記住并保管好自己的密碼口令，口令設(shè)置需應(yīng)滿足一定的復(fù)雜度要求，口令長(zhǎng)度應(yīng)超過(guò)8個(gè)字符而且包含特殊字符、數(shù)字和大小寫(xiě)字母，為保證口令安全還需要定期更改密碼口令，變更頻率為三個(gè)月到半年，切勿使用公司默認(rèn)口令密碼作為自己的賬號(hào)口令。在獲得授權(quán)的前提下，IT管理部門有權(quán)進(jìn)行口令鎖定、解鎖和重置操作。 對(duì)電子郵件的不當(dāng)使用可能會(huì)帶來(lái)法律風(fēng)險(xiǎn)，公司員工在使用電子郵件時(shí)不要發(fā)送或轉(zhuǎn)發(fā)含有非法內(nèi)容的信息，在沒(méi)有得到發(fā)送人許可的情況下，不得轉(zhuǎn)發(fā)收到的包含敏感信息的郵件；偽造虛假郵件或者使用他

2、人賬號(hào)發(fā)送郵件的行為是不被允許的。用作個(gè)人用途的電子郵件不應(yīng)干擾工作，根據(jù)相關(guān)制度的規(guī)定，公司員工需要避免通過(guò)電子郵件發(fā)送機(jī)密信息，確因工作需要，一定要采取必要的加密保護(hù)措施，不要參與所謂的郵件接龍活動(dòng)，即轉(zhuǎn)發(fā)型郵件，這類郵件存在很大的安全隱患。公司郵箱不得在互聯(lián)網(wǎng)上作為聯(lián)絡(luò)方式進(jìn)行注冊(cè)，以避免被互聯(lián)網(wǎng)人員惡意利用。 公司員工應(yīng)重視重要信息的保密。公司的重要信息包括客戶信息、業(yè)務(wù)支持類信息、管理經(jīng)營(yíng)類信息、內(nèi)部員工信息等等。重要信息在存儲(chǔ)和傳播過(guò)程中應(yīng)注意加密處理，比如使用專業(yè)的加密軟件、打包成加密的壓縮包等。對(duì)不再使用的重要信息介質(zhì)，比如光盤，移動(dòng)硬盤，U盤等要經(jīng)過(guò)信息技術(shù)部進(jìn)行報(bào)廢處理。

3、公司員工應(yīng)注意信息的交換與備份。公司重要信息應(yīng)避免通過(guò)微信、QQ等，經(jīng)互聯(lián)網(wǎng)傳輸。因?yàn)楣ぷ餍枰?，?yīng)該通過(guò)必要的審批流程并使用加密軟件加密后進(jìn)行傳輸。重要信息應(yīng)該避免通過(guò)設(shè)置文件的共享屬性的方式實(shí)現(xiàn)傳輸，可以經(jīng)加密后用內(nèi)網(wǎng)郵箱傳輸。如果文件較大，可以通過(guò)公共硬盤中轉(zhuǎn)發(fā)送。 公司員工應(yīng)注意軟件應(yīng)用安全。IT相關(guān)軟件由信息技術(shù)部負(fù)責(zé)采購(gòu)，并對(duì)新購(gòu)軟件及軟件授權(quán)做登記注冊(cè)、保存。個(gè)人不得在公司電腦上私自安裝未經(jīng)信息技術(shù)部授權(quán)和安全檢測(cè)的軟件，即軟件安裝之前應(yīng)確保其無(wú)惡意插件、病毒、和授權(quán)的合法。軟件使用到期后，應(yīng)及時(shí)卸載軟件。 公司員工應(yīng)注意計(jì)算機(jī)及網(wǎng)絡(luò)訪問(wèn)安全。入網(wǎng)計(jì)算機(jī)或移動(dòng)設(shè)備應(yīng)該通過(guò)公司網(wǎng)絡(luò)準(zhǔn)

4、入系統(tǒng)的審核。員工應(yīng)使用唯一授權(quán)的用戶名來(lái)登錄網(wǎng)絡(luò)。持有USB證書(shū)的用戶應(yīng)妥善保管好已被認(rèn)證授權(quán)的U盤，遺失或損壞時(shí)及時(shí)通知管理員。公司各部門應(yīng)按照管理規(guī)定制定并落實(shí)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限，員工身份發(fā)生變化時(shí)應(yīng)及時(shí)進(jìn)行系統(tǒng)權(quán)限變更。 公司員工應(yīng)注意人員及第三方安全管理。根據(jù)員工工作所需，公司各部門應(yīng)評(píng)估員工的培訓(xùn)需求，對(duì)所有員工應(yīng)該根據(jù)工作需要安排恰當(dāng)?shù)陌踩嘤?xùn)和指導(dǎo)。通過(guò)相關(guān)行為規(guī)定等制度，建立起員工的安全意識(shí)，并將信息安全意識(shí)深入其工作中。 公司各部門與第三方機(jī)構(gòu)簽署協(xié)議時(shí)應(yīng)包含安全要求，必要時(shí)需要簽署不擴(kuò)散協(xié)議，負(fù)責(zé)第三方訪問(wèn)的人員需接受必要的安全意識(shí)培訓(xùn)。第三方人員需要訪問(wèn)敏感信息時(shí)

5、，需要通過(guò)檢查和批準(zhǔn)，其訪問(wèn)權(quán)限也會(huì)受到限制。訪問(wèn)所使用的工具必須經(jīng)過(guò)信息技術(shù)部的檢查，其訪問(wèn)也需要經(jīng)過(guò)認(rèn)證。 公司員工應(yīng)注意移動(dòng)計(jì)算與遠(yuǎn)程辦公的安全。所有連接辦公網(wǎng)絡(luò)的移動(dòng)設(shè)備，要按照指定PC安全標(biāo)準(zhǔn)來(lái)配置，必須符合補(bǔ)丁和防病毒管理規(guī)定。信息技術(shù)部可協(xié)助員工部署必要的防信息泄露措施，比如安裝防火墻、防病毒軟件，設(shè)置訪問(wèn)控制等?？诹睢D或其他賬戶信息不能以明文保存在移動(dòng)硬盤，光盤，U盤等移動(dòng)介質(zhì)上，涉及敏感信息的文件材料應(yīng)加密保護(hù)。若筆記本電腦遺失應(yīng)按照相應(yīng)管理制度執(zhí)行安全響應(yīng)措施，首要措施是向信息技術(shù)部進(jìn)行反饋。外出辦公時(shí)應(yīng)避免在公共區(qū)域討論敏感信息，或因?yàn)樗送ㄟ^(guò)肩膀窺視等方法獲取筆記本

6、電腦信息。 公司員工在工作中使用過(guò)的含有敏感信息的紙質(zhì)文件不能隨意放置或丟棄，廢棄的文件需要用碎紙機(jī)粉碎，如有需要將廢棄或需要修理的磁性介質(zhì)（如優(yōu)盤，硬盤等）轉(zhuǎn)交他人時(shí)，要先經(jīng)過(guò)信息技術(shù)部的消磁處理。 公司所有員工所使用的計(jì)算機(jī)都應(yīng)部署公司指定的防病毒軟件，而且防病毒軟件一定要持續(xù)更新，計(jì)算機(jī)一旦感染病毒就必須從網(wǎng)絡(luò)中隔離直至清除病毒為止。意圖在公司內(nèi)部網(wǎng)絡(luò)創(chuàng)建或者分發(fā)惡意代碼都是違反國(guó)家法律和公司安全管理制度的行為，一旦發(fā)生任何病毒傳播事件，相關(guān)人員一定要及時(shí)向信息技術(shù)部匯報(bào)從而做出及時(shí)反饋與解決，將影響降到最低。 移動(dòng)存儲(chǔ)介質(zhì)包括U盤、移動(dòng)硬盤、軟盤、光盤、存儲(chǔ)卡等等，在公司系統(tǒng)內(nèi)，移動(dòng)存

7、儲(chǔ)介質(zhì)的使用要遵守終端安全管理規(guī)定，只有被授權(quán)注冊(cè)過(guò)的移動(dòng)介質(zhì)才可以在計(jì)算機(jī)上使用，而使用的過(guò)程會(huì)被全程記錄。如果移動(dòng)介質(zhì)在公司外部使用過(guò)，再將其接入公司電腦前要經(jīng)過(guò)防病毒軟件的安全檢查。外包人員及其他第三方人員在公司內(nèi)是不允許使用移動(dòng)存儲(chǔ)介質(zhì)的。無(wú)論是在任何情況下，任何移動(dòng)存儲(chǔ)介質(zhì)的傳輸和存儲(chǔ)都需要采取加密措施進(jìn)行保護(hù)。 社會(huì)工程學(xué)是指通過(guò)對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益或想要的信息數(shù)據(jù)的手法，危險(xiǎn)性極高，危害很大，公司員工在工作生活中不要輕易泄露敏感信息，例如口令和賬號(hào)等等，需要注意的是，公司管理員不會(huì)以任何形式向你索取賬號(hào)和口令。在相信任何人之前，應(yīng)先確認(rèn)其真實(shí)的身份。法律對(duì)信息安有明確的規(guī)定，刑法第285條規(guī)定“違反國(guó)家規(guī)定，侵入國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的，處三年以下有期徒刑或者拘役。 違法國(guó)家規(guī)定，侵入前款規(guī)定以外的計(jì)算機(jī)信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、處理或者傳輸?shù)臄?shù)據(jù)，或者對(duì)該計(jì)算機(jī)信息系統(tǒng)實(shí)施非法控制，情節(jié)嚴(yán)重的，處三年以下有期徒刑或者拘役，并處或單處罰金；情節(jié)特別嚴(yán)重的，處三年以上七年以下有期徒刑，并處罰金。” “提供專門用于侵入、非法控制計(jì)算機(jī)信息系統(tǒng)的程序、