員工信息行為規(guī)范(試行)

1、Q/SRI中國北車集團(tuán)四方車輛研究所 發(fā)布2006-06-30實施2006-05-30發(fā)布員工信息行為管理規(guī)范 （試行） Q/SRIG-25-01-2006中國北車集團(tuán)四方車輛研究所企業(yè)標(biāo)準(zhǔn)門人 前 言為了能夠確保企業(yè)的信息資產(chǎn)得到合理使用，根據(jù)國家的法律法規(guī)，結(jié)合本企業(yè)具體情況，制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)由信息部提出。本標(biāo)準(zhǔn)由信息部歸口。本標(biāo)準(zhǔn)起草單位：信息部。 本標(biāo)準(zhǔn)起草人：王洪軍。 員工信息行為管理規(guī)范1 范圍 本標(biāo)準(zhǔn)規(guī)定了企業(yè)員工在使用計算機、計算機網(wǎng)絡(luò)時應(yīng)遵循的管理規(guī)范；防止計算機系統(tǒng)感染有害代碼的辦法；規(guī)定了員工保護(hù)保密信息的責(zé)任，并列出了可能遇到的情況下的安全要求。本標(biāo)準(zhǔn)適用于本企業(yè)（包

2、括下屬企業(yè)）所有員工，以及其他授權(quán)使用企業(yè)內(nèi)部資源的人員。 本標(biāo)準(zhǔn)所指信息行為包括對信息和利用信息過程所涉及的有關(guān)設(shè)備（主要指計算機）和計算機網(wǎng)絡(luò)的使用。2 總則企業(yè)的資產(chǎn)種類眾多，既包括有形資產(chǎn)也包括極具價值的信息資產(chǎn)。這些資產(chǎn)的遺失、失竊或被妄用，均會危害到企業(yè)的利益乃至生存，妥善保護(hù)這些信息資產(chǎn)十分重要。因此企業(yè)的員工有責(zé)任保護(hù)企業(yè)交給員工保管和使用的資產(chǎn)，并協(xié)助保護(hù)企業(yè)的其他資產(chǎn)。為此，員工應(yīng)對企業(yè)的安全策略、標(biāo)準(zhǔn)、流程有充分了解。員工應(yīng)對足以導(dǎo)致企業(yè)信息資產(chǎn)損失、不當(dāng)使用或失竊的狀況有所警覺，如發(fā)現(xiàn)上述情況，應(yīng)立即向主管部門或上級領(lǐng)導(dǎo)報告。3 計算機及其相關(guān)設(shè)備的安全保護(hù)3.1 員工

3、應(yīng)保護(hù)使用的單位（本所產(chǎn)權(quán)）的計算機、計算機網(wǎng)絡(luò)及相關(guān)設(shè)備 每個員工有責(zé)任保護(hù)企業(yè)的計算機、計算機網(wǎng)絡(luò)及相關(guān)設(shè)備，以及包含的信息。這些設(shè)備由專人負(fù)責(zé)維護(hù)，出現(xiàn)問題應(yīng)及時通知信息部或保障事業(yè)部的相關(guān)技術(shù)人員進(jìn)行處理，使用人員不得擅自拆卸或維修。 在所有個人計算機上應(yīng)激活下列安全控制：a） 員工的計算機的BIOS中設(shè)置開機密碼；b） 如果員工的便攜電腦的BIOS中支持硬盤密碼，應(yīng)當(dāng)設(shè)置硬盤密碼；c） 給計算機設(shè)置屏幕保護(hù)密碼，并能在15分鐘內(nèi)自動激活；d） 將在個人計算機中的包含有企業(yè)機密信息加密， 包括郵件、存檔文件； e） 存儲在便攜電腦中的包含有企業(yè)機密信息的文件，應(yīng)加密存放。3.2 當(dāng)員工

4、離開辦公室或工作區(qū)域 對于能上鎖的辦公室或工作區(qū)域，最后一個離開的員工應(yīng)鎖上辦公室或工作區(qū)域。 對于不能上鎖的辦公室或工作區(qū)域：a) 員工離開時，激活屏幕保護(hù)密碼；b) 妥善包管所有包含有企業(yè)機密內(nèi)容的文件，如鎖進(jìn)文件柜；c) 在每天工作結(jié)束時，將員工的便攜電腦妥善包管，如鎖入文件柜；d) 在每天工作結(jié)束時，將員工的臺式計算機關(guān)機。3.3 當(dāng)員工出差或在辦公室之外的地方工作時 要盡可能將便攜電腦置于員工的控制之下。 當(dāng)乘飛機或其他交通工具時，禁止將便攜電腦放在托運的行李中。 便攜電腦不應(yīng)長時間留在無人的交通工具上，例如單位的交通車、私人車輛等。 如果員工必須將便攜電腦留在無人的交通工具上，應(yīng)考

5、慮放在安全的地方。 如果員工必須將便攜電腦留在酒店，應(yīng)妥善保存。 如果員工帶著存有企業(yè)機密資料的便攜介質(zhì)，如磁盤、個人助理（PDA）、筆記本、移動存儲設(shè)備等，應(yīng)根據(jù)上述保護(hù)便攜電腦的標(biāo)準(zhǔn)同樣地保護(hù)這些介質(zhì)。 如果員工的便攜電腦或企業(yè)的機密信息被偷、丟失，應(yīng)即時報告給直屬領(lǐng)導(dǎo)。3.4 個人計算機安全加固員工在個人使用的計算機上，應(yīng)及時安裝操作系統(tǒng)的補丁，加固個人使用的計算機系統(tǒng)。嚴(yán)禁下載、安裝與工作無關(guān)的軟件，停止不必要的服務(wù)。3.5 計算機病毒和其他有害代碼 員工應(yīng)安裝和使用企業(yè)推薦的病毒檢查程序。由企業(yè)配置網(wǎng)絡(luò)版防病毒軟件，實現(xiàn)所有網(wǎng)絡(luò)客戶端殺毒引擎、病毒特征碼的自動升級，用戶應(yīng)開啟實時掃描

6、保護(hù)功能每天定時對計算機查殺病毒。 如果員工發(fā)現(xiàn)未能處理的病毒，應(yīng)及時向保障事業(yè)部匯報。 對外來的存儲設(shè)備在使用之前應(yīng)先查殺病毒檢查通過后方可使用。3.6 個人防火墻 為了保證計算機系統(tǒng)和網(wǎng)絡(luò)的安全，用戶應(yīng)該安裝和啟用個人防火墻程序。3.7 軟件卸載 用戶不應(yīng)隨意卸載企業(yè)統(tǒng)一安裝的軟件尤其是行為管理和殺毒軟件。3.8 網(wǎng)絡(luò)用戶行為管理 企業(yè)將通過集中式網(wǎng)絡(luò)用戶行為管理軟件控制所有網(wǎng)絡(luò)用戶使用的計算機軟硬件資源，設(shè)置策略控制網(wǎng)絡(luò)用戶對計算機所有的外掛設(shè)備的使用，這些設(shè)備包括：USB、串口、并口、RAM盤、硬盤、軟盤、光驅(qū)等設(shè)備，并對網(wǎng)絡(luò)用戶使用的計算機硬件資源和重要文件的關(guān)鍵操作進(jìn)行實時監(jiān)控、動

7、態(tài)統(tǒng)計。對記錄的這些信息收集匯總并刻錄成光盤登記保存。 各部門根據(jù)自己部門的實際情況制定每位員工的使用權(quán)限，報主管領(lǐng)導(dǎo)批準(zhǔn)后，送信息部備案并實施。3.8.3 員工安裝的軟件應(yīng)經(jīng)本部們領(lǐng)導(dǎo)同意報信息部審核備案后方可實施。4 計算機和計算機網(wǎng)絡(luò)使用要求4.1 計算機和網(wǎng)絡(luò)資源管理企業(yè)提供的個人或部門的計算機和網(wǎng)絡(luò)資源是用于執(zhí)行企業(yè)的業(yè)務(wù)，或用于經(jīng)企業(yè)準(zhǔn)許的其他目的。所有使用企業(yè)提供的計算機所新建、存儲或交換的電子文檔，均為企業(yè)的信息資產(chǎn)，置于企業(yè)的監(jiān)護(hù)之中。4.2 IP地址的管理 IP地址的管理是企業(yè)網(wǎng)絡(luò)管理的重要內(nèi)容，網(wǎng)絡(luò)用戶如果私設(shè)IP地址不當(dāng)將會造成整個網(wǎng)絡(luò)癱瘓。因此計算機的IP地址由信息部

8、統(tǒng)一發(fā)放和管理，禁止用戶私自設(shè)置和更改IP地址，禁止用戶私自更改MAC地址。 信息部將建立由用戶名、機器出廠相關(guān)信息、IP地址、MAC地址等信息構(gòu)成計算機IP相關(guān)信息臺帳。4.3 企業(yè)內(nèi)部網(wǎng)絡(luò) 當(dāng)使用企業(yè)內(nèi)部網(wǎng)絡(luò)，從內(nèi)部網(wǎng)絡(luò)連接外部網(wǎng)絡(luò)或者從外部接入內(nèi)部網(wǎng)絡(luò)，應(yīng)遵循以下原則：a） 禁止在網(wǎng)絡(luò)上假裝為其他人；b） 未經(jīng)信息部的允許，不應(yīng)監(jiān)控網(wǎng)絡(luò)流量(如使用SNIFFER或類似設(shè)備) ；c） 未經(jīng)信息部的允許，不應(yīng)針對企業(yè)的網(wǎng)絡(luò)或服務(wù)器運行安全掃描程序；d） 未經(jīng)信息部的允許，不應(yīng)增加網(wǎng)絡(luò)設(shè)備到企業(yè)的網(wǎng)絡(luò)架構(gòu)中(如，有下列功能的設(shè)備: 路由器，撥號接入服務(wù)器，集線器等)；e） 員工不應(yīng)在網(wǎng)絡(luò)上架設(shè)

9、BBS站點或與其類似的信息站點,不應(yīng)私自安裝SERVER，如確需要，應(yīng)報信息部批準(zhǔn)按要求開啟允許的服務(wù)；f） 禁止安裝與工作無關(guān)及對網(wǎng)絡(luò)安全構(gòu)成威脅的軟件（如游戲、黑客、網(wǎng)絡(luò)探測、網(wǎng)絡(luò)廣播軟件等）g) 未經(jīng)信息部的允許，與企業(yè)網(wǎng)絡(luò)連接的計算機不允許通過電話線路或其他通訊鏈路與外部網(wǎng)絡(luò)連接。 網(wǎng)絡(luò)新聞組、論壇： a) 企業(yè)內(nèi)部新聞組、論壇提供企業(yè)內(nèi)的信息共享和討論。b) 如果企業(yè)內(nèi)部新聞組、論壇對所有員工公開，允許企業(yè)的客戶或外部人員參加應(yīng)不涉及企業(yè)的機密信息。c） 訪問論壇應(yīng)當(dāng)遵守國家有關(guān)法律、行政法規(guī)，禁止侮辱他人或者捏造事實誹謗他人。4.4 互聯(lián)網(wǎng) 因為業(yè)務(wù)需要使用互聯(lián)網(wǎng)資源的用戶，需經(jīng)本

10、部門領(lǐng)導(dǎo)同意后報信息部，信息部根據(jù)網(wǎng)絡(luò)帶寬情況和各部門的具體需要審批或做出調(diào)整。任何部門和個人不應(yīng)使用代理工具私自上互聯(lián)網(wǎng)。當(dāng)通過企業(yè)內(nèi)部網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)時，應(yīng)遵循以下準(zhǔn)則：a) 禁止假裝其他人；b) 只使用員工有授權(quán)訪問的服務(wù)；c) 禁止運行攻擊互聯(lián)網(wǎng)或服務(wù)器的安全測試工具/程序；d) 員工不應(yīng)將企業(yè)的個人識別信息（如單位郵件地址、電話、職務(wù)）在公共網(wǎng)站進(jìn)行注冊；e) 禁止使用QQ,ICQ及本企業(yè)的及時通訊軟件；f) 遵循國家的相關(guān)法律法規(guī)。4.5 電子郵件 訪問互聯(lián)網(wǎng)和使用企業(yè)的電子郵件系統(tǒng)應(yīng)該是與企業(yè)業(yè)務(wù)相關(guān)的活動。 禁止使用企業(yè)的計算機散布或回復(fù)連鎖郵件，惡作劇郵件。 如果員工收到連鎖郵

11、件或惡作劇郵件，禁止轉(zhuǎn)發(fā)。 如果員工收到非官方的關(guān)于病毒或有害代碼威脅的電子郵件通知，應(yīng)與信息部或保障事業(yè)部聯(lián)系。 群發(fā)郵件僅可以用于工作目的，不準(zhǔn)許群發(fā)大型郵件。 當(dāng)使用電子郵件通過互聯(lián)網(wǎng)與其他人通訊禁止自動轉(zhuǎn)發(fā)企業(yè)內(nèi)部郵件到互聯(lián)網(wǎng)上。 員工可能收到一些與業(yè)務(wù)無關(guān)的郵件(如廣告或垃圾郵件等)，應(yīng)該及時刪除，不應(yīng)轉(zhuǎn)發(fā)，如有可疑可作為安全事件向信息部匯報。 禁止使用非企業(yè)的電子郵件，如 YAHOO、AOL、HOTMAIL等交換企業(yè)信息。4.6 網(wǎng)絡(luò)視頻通訊如果在企業(yè)內(nèi)部網(wǎng)絡(luò)中使用網(wǎng)絡(luò)視頻通訊或相似的技術(shù)，應(yīng)到直屬領(lǐng)導(dǎo)的批，并報信息部批準(zhǔn)和備案。4.7 外部連接和遠(yuǎn)程訪問 如果員工需要從本企業(yè)內(nèi)部

12、連接到外部系統(tǒng)或網(wǎng)絡(luò)(如互聯(lián)網(wǎng)、業(yè)務(wù)伙伴網(wǎng)絡(luò)等)，應(yīng)經(jīng)本部門領(lǐng)導(dǎo)同意并報信息部批準(zhǔn)和備案。 如果員工需要從外部連接到本企業(yè)的網(wǎng)絡(luò)，應(yīng)經(jīng)本部門領(lǐng)導(dǎo)同意并報信息部批準(zhǔn)和備案，由信息部建立用戶許可或安裝遠(yuǎn)程登陸軟件。 4.8 信息發(fā)布 信息發(fā)布應(yīng)嚴(yán)格執(zhí)行的信息審核制度以保證信息的真實性、完整性、可靠性、準(zhǔn)確性、安全性、保密性。 各部門在內(nèi)部網(wǎng)站上發(fā)布信息應(yīng)與本部門管理范圍和業(yè)務(wù)范圍相一致，原則上不應(yīng)超出本部門管理范圍、業(yè)務(wù)范圍收集和發(fā)布信息。 在電子商務(wù)網(wǎng)站上發(fā)布信息，應(yīng)嚴(yán)格執(zhí)行中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例、公安部計算機網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法等法律法規(guī)和規(guī)定。 嚴(yán)禁員工散發(fā)可能被認(rèn)

13、為不適當(dāng)?shù)?，對他人不尊重或與國家法律相違背的內(nèi)容。4.9 使用網(wǎng)絡(luò)電話、視頻會議系統(tǒng)網(wǎng)絡(luò)電話、視頻會議中涉及討論企業(yè)機密信息，會議的主持人或組織人，在會議全過程中應(yīng)確認(rèn)與會者是否為授權(quán)參與。4.10 文件共享 禁止使用基于互聯(lián)網(wǎng)的PEER-TO-PEER 文件共享服務(wù)， 如NAPSTER、 Kazaa、 BT、eMule、 eDonkey等。 不應(yīng)在員工的個人計算機上配置匿名的FTP， TFTP， HTTP，或其他無需驗證的服務(wù)。 例如: 員工不應(yīng)分配員工的整個硬盤給匿名訪問。 如果員工的移動存儲設(shè)備包含企業(yè)機密的數(shù)據(jù)或程序，不允許使用任何形式的無需驗證的方式來訪問這些設(shè)備。 如果因為業(yè)務(wù)需要

14、，其他人員應(yīng)訪問員工的硬盤或個人計算機中的企業(yè)信息。當(dāng)定義共享功能時，員工應(yīng)設(shè)定用戶權(quán)限、設(shè)定訪問密碼。如果無需共享時，應(yīng)及時取消。4.11 密碼計算機的密碼是驗證員工身份的關(guān)鍵因素，其允許員工訪問企業(yè)的計算機和信息。 為了保護(hù)員工自身和企業(yè)的資源，禁止將員工的身份驗證密碼共享給其他人。任何人不應(yīng)利用任何方式和手段竊取他人用戶名和密碼。 計算機的訪問密碼應(yīng)符合如下條件：a） 至少6個字符長；b） 包含有一個字母字符或其他非字母字符；c） 不把用戶名用作密碼或其中一部分；d） 定期更改密碼。 如果員工訪問不在企業(yè)控制下的計算機系統(tǒng)，禁止選擇在企業(yè)內(nèi)部系統(tǒng)使用的密碼作為外部系統(tǒng)的密碼。4.12 軟

15、件使用許可 對于員工私人安裝在企業(yè)計算機上的大型商用軟件，員工應(yīng)持有有效使用許可證明。 禁止非法拷貝或復(fù)制大型商用軟件，除非在許可證條款上明確允許。 如果員工使用沒有許可證的軟件，個人需要承擔(dān)由此產(chǎn)生的不利后果。4.13 保護(hù)企業(yè)的信息 企業(yè)機密信息指企業(yè)擁有的信息，包括企業(yè)數(shù)據(jù)庫中的信息，其中有許多（但并不是所有）是絕對機密的，也可能享有著作權(quán)、專利權(quán)或其他知識產(chǎn)權(quán)或其他法律上的權(quán)利。機密信息包括：與企業(yè)目前或未來產(chǎn)品、服務(wù)或研究有關(guān)的技術(shù)或科技信息、業(yè)務(wù)或營銷計劃或預(yù)測、營業(yè)收益或其他財務(wù)資料、人事資料，以及軟件等技術(shù)信息、經(jīng)營信息。 對于企業(yè)的機密的信息。員工絕對不能在未經(jīng)企業(yè)授權(quán)的情況下泄露這些信息。保護(hù)企業(yè)機密信息的基本