IT公司新員工入職時信息安全保密手冊-范本

1、信息安全保密手冊一、新員工入職信息安全須知新員工入職后，在信息安全方面有哪些注意事項？接受“信息安全與保密意識”培訓(xùn)；每年應(yīng)至少參加一次信息安全網(wǎng)上考試；辦理員工卡；簽署勞動合同（含保密職責(zé)）；根據(jù)部門和崗位的需要簽署保密協(xié)議。員工入職后，需要辦理員工卡，員工卡的意義和用途是什么？工卡是公司員工的身份證明，所有進(jìn)入華為公司的人員，在公司期間一律要正確佩戴相應(yīng)的卡證。 工卡還有考勤、門禁驗證等作用。 工卡不僅關(guān)系到公司形象及安全，還關(guān)系到員工本人的切身利益，一定要妥善保管。公司信息安全方面的規(guī)定都有哪些？在哪里可以查到信息安全的有關(guān)管理規(guī)定？網(wǎng)絡(luò)安全部在參考國際安全標(biāo)準(zhǔn)BS7799和在顧問的幫助

2、下，制訂了一套比較完整的信息安全方面的管理規(guī)定，其中與普通員工關(guān)系密切的有信息保密管理規(guī)定、個人計算機(jī)安全管理規(guī)定、信息交流管理規(guī)定、病毒防治管理規(guī)定、辦公區(qū)域安全管理規(guī)定、網(wǎng)絡(luò)連接管理規(guī)定、信息安全獎懲管理規(guī)定、計算機(jī)物理設(shè)備安全管理規(guī)定、開發(fā)測試環(huán)境管理規(guī)定、供應(yīng)商/合作商接待管理辦法、外部人員信息安全管理規(guī)定、會議信息安全管理規(guī)定和帳號和口令標(biāo)準(zhǔn)等。這些管理規(guī)定都匯總在信息安全策略、標(biāo)準(zhǔn)和管理規(guī)定（即信息安全白皮書）中，并且在不斷的修改和完善之中。在“XXXX”上您可以查到公司信息安全相關(guān)的所有信息，如信息安全方面的規(guī)定、制度、操作手冊、培訓(xùn)膠片、宣傳材料和宣傳案例等。各體系細(xì)化的信息安

3、全管理規(guī)定，可咨詢本體系的信息安全專員。作為一名普通員工，應(yīng)該如何做才能夠符合公司信息安全要求？積極學(xué)習(xí)和遵守公司各類信息安全管理規(guī)定和安全措施，將遵守安全規(guī)定融入自己的日常工作行為中。在工作中，要有強(qiáng)烈的信息安全和保密意識，要有職業(yè)的敏感性。有義務(wù)制止他人違規(guī)行為或積極舉報可能造成泄密、竊密或其他的安全隱患。二、計算機(jī)的安全口令設(shè)置公司規(guī)定的口令設(shè)置最低標(biāo)準(zhǔn)是什么，每次更換口令，都不容易記住新口令，該怎么辦？普通用戶（公司一般員工均為普通用戶）設(shè)置口令的最低標(biāo)準(zhǔn)主要有以下幾條：(1)口令長度不能少于6位且必須包含字母(2)口令至少應(yīng)包含一個數(shù)字字符另外，一個好的口令除了符合口令的最低標(biāo)準(zhǔn)外，

4、最好還應(yīng)包含大小寫字母和特殊的字符。設(shè)置簡單的口令不安全，而復(fù)雜的口令又不容易記住。建議您用自己心中的一句話的拼音或英語語句的首個字母組合作為密碼。如：就“我想去看2008奧運(yùn)會”這一自己心中愿望的話，可以設(shè)置密碼為WXqk2008ayh，或者用其他某段容易記住的字符串，稍加改造作為口令，如一個換過特殊字符的網(wǎng)站地址等，這樣的口令非常好記，也非常難猜。如果沒有設(shè)置口令會帶來哪些危害？對系統(tǒng)不設(shè)口令就像銀行存折沒有密碼一樣，是非常危險的。(1)如果不設(shè)開機(jī)口令，那么他人可輕松啟動或重新啟動系統(tǒng)，從而操作您的計算機(jī)，還可通過在CMOS中給機(jī)器設(shè)置開機(jī)口令，讓您無法使用計算機(jī)；(2) 便攜機(jī)若不設(shè)硬

5、盤口令，那么只要將您的硬盤接到別的計算機(jī)中，硬盤上所有資料就會一覽無余的呈現(xiàn)出來；(3)如果不設(shè)屏幕保護(hù)口令，當(dāng)您離開時，其他人可以輕易的進(jìn)入、使用您的計算機(jī)，將您的文件刪除或發(fā)送出去；(4)共享文件夾時如果不設(shè)口令，任何能夠和您計算機(jī)相連的人不需授權(quán)，均可拿走你共享的資料。軟件安裝為了保證計算機(jī)安全，在第一次使用計算機(jī)時有哪幾項安全措施需要立即完成？(1)需要首先加入公司China域，登陸網(wǎng)址http:/XXXX.com/下載加入域的工具XX.exe。(2)需要立即安裝操作系統(tǒng)的安全補(bǔ)丁，可以從各地文件服務(wù)器指定路徑下載，如總部路徑為X。(3)需要立即安裝Symantec防病毒軟件，可以從各

6、地文件服務(wù)器指定路徑下載，如總部路徑為X。(4)需要馬上設(shè)定屏幕保護(hù)程序，并啟用密碼保護(hù)， 注意等待時間不能大于10分鐘。(5) 設(shè)置開機(jī)口令，操作系統(tǒng)（administrator）口令，如果是便攜機(jī)還應(yīng)設(shè)置硬盤口令。(6)設(shè)置Notes郵箱10分鐘內(nèi)自動鎖定。(7) 需安裝SPES、ACC，可登陸網(wǎng)址http:/XX.com/下載安裝最新版SPES客戶端軟件；可登陸http:/XX.com/下載安裝最新版ACC客戶端軟件。以上措施完成后，請運(yùn)行ACC進(jìn)行自檢，保證沒有紅色違規(guī)項。如有疑惑，可以咨詢IT hotline（Tel：X）什么是非標(biāo)準(zhǔn)軟件？要使用非標(biāo)準(zhǔn)軟件，應(yīng)如何申請？非標(biāo)軟件是針對

7、標(biāo)準(zhǔn)軟件來定義的，對于公司普通員工來說，凡是IT桌面標(biāo)準(zhǔn)、研發(fā)工具標(biāo)準(zhǔn)之外的軟件均屬于非標(biāo)軟件，如游戲、不含在IT及研發(fā)標(biāo)準(zhǔn)內(nèi)的免費(fèi)或自由軟件、影響網(wǎng)絡(luò)安全的工具軟件等等。原則上非標(biāo)軟件不可以隨便使用，若工作有需要，必須填寫“IT資產(chǎn)申請”電子流，經(jīng)審批后使用。對于涉及安全的工具軟件，還需填寫“X”中的“網(wǎng)絡(luò)安全軟件申請”電子流。我自己購買了一套軟件，想安裝在公司的計算機(jī)上，不知是否可以？不可以。常用辦公軟件在公司文件服務(wù)器上都有相應(yīng)的安裝軟件，比如IE、Lotus Notes、Office 等等，需要安裝時可直接連到辦公所在地文件服務(wù)器上安裝。不要安裝自己購買的軟件，因為：(1)存在版權(quán)問題

8、；(2)購買的軟件未經(jīng)公司測試，不能保證可靠穩(wěn)定運(yùn)行和正常維護(hù)；(3)更為嚴(yán)重的是，還可能因購買的軟件中帶有木馬、病毒程序、軟件留有后門等給公司網(wǎng)絡(luò)安全帶來隱患。計算機(jī)維修/使用計算機(jī)發(fā)生故障需要修理時，應(yīng)該注意哪些事項?員工應(yīng)該要求維修人員盡量在公司內(nèi)進(jìn)行維修，并且監(jiān)督整個維修過程。當(dāng)維修人員需要將計算機(jī)帶出公司維修時，為了防止泄密，一定要記得拆卸下硬盤，并存放在公司內(nèi)的保密柜等安全的地方。計算機(jī)使用方面應(yīng)注意哪些事項？(1)只有在因工作需要進(jìn)行遠(yuǎn)程數(shù)據(jù)維護(hù)的時候，在保證物理上與公司的內(nèi)部網(wǎng)絡(luò)斷開的情況下，經(jīng)過部門二級主管和網(wǎng)絡(luò)安全部批準(zhǔn)后才能在辦公區(qū)撥號上網(wǎng)。(2)私自轉(zhuǎn)借計算機(jī)可能造成泄

9、密隱患，因此未經(jīng)批準(zhǔn)，員工不得轉(zhuǎn)借計算機(jī)。(3)對特殊存儲設(shè)備及其介質(zhì)（如USB）的使用，需要走“IS Authority Application”電子流申請。(4)私自使用計算機(jī)進(jìn)行刻錄、掃描存在較大信息安全隱患，因此，刻錄和掃描的需求須經(jīng)審批后，由專人負(fù)責(zé)操作。(5)公司配置給您的機(jī)器是公司的標(biāo)準(zhǔn)配置，未經(jīng)批準(zhǔn)，不得私自安裝任何標(biāo)準(zhǔn)配置外的配件。網(wǎng)絡(luò)配置和使用現(xiàn)在，也許你開始需要連入公司網(wǎng)絡(luò)了。首先需要配置好網(wǎng)絡(luò)，這時安全方面需要注意什么呢？個人計算機(jī)的IP地址應(yīng)設(shè)置為自動獲取方式，不能擅自配置固定IP地址，否則可能引起網(wǎng)絡(luò)沖突，影響公司網(wǎng)絡(luò)的安全運(yùn)行。公司的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議為TCP/IP。公

10、司辦公網(wǎng)絡(luò)不得啟動除公司標(biāo)準(zhǔn)協(xié)議外的任何其他網(wǎng)絡(luò)協(xié)議，如SPX/IPX、NETBIOS等。禁止普通員工在公司辦公網(wǎng)絡(luò)嚴(yán)禁安裝啟動DNS、Wins、DHCP等網(wǎng)絡(luò)服務(wù)。如果您的操作系統(tǒng)是WINDOWS SERVER或Unix等服務(wù)器操作系統(tǒng)，可要非常小心這一點呀！網(wǎng)絡(luò)設(shè)置好后，你就需要給您的計算機(jī)起一個名字，注意，可不能隨便起，您知道計算機(jī)的命名規(guī)則嗎？公司的計算機(jī)非常多，為了便于管理和維護(hù)，公司要求計算機(jī)命名方式為：您的姓的第一位拼音字母 +工號。如果您管理多臺計算機(jī)，請在工號后加A、 B 、C、 D .個人能夠設(shè)置FTP、Wins等網(wǎng)絡(luò)服務(wù)嗎，為什么？未經(jīng)批準(zhǔn)，不得私自設(shè)置WWW、FTP以及

11、BBS、NEWS、DNS、Wins、DHCP等各種形式的網(wǎng)絡(luò)服務(wù)，更不能在公司網(wǎng)絡(luò)上運(yùn)行任何攻擊或破壞網(wǎng)絡(luò)服務(wù)的軟件。因為設(shè)置這類服務(wù)會對網(wǎng)絡(luò)正常運(yùn)行造成不良影響。如確實業(yè)務(wù)需要，不接入公司大網(wǎng)（如，僅在實驗室小網(wǎng)使用）同時不需要IT協(xié)助的服務(wù)申請，提交“IS Authority Application”電子流進(jìn)行申請，其余服務(wù)的申請通過IT requirment流程申請。三、人員安全普通員工的職責(zé)作為普通員工，我在信息安全中的職責(zé)是什么？積極學(xué)習(xí)和遵守公司各類信息安全管理規(guī)定和安全措施，將遵守安全規(guī)定融入自己的日常工作行為中。在工作中，要有強(qiáng)烈的信息安全和保密意識，要有職業(yè)的敏感性。有義務(wù)制

12、止他人違規(guī)行為或積極舉報可能造成泄密、竊密或其他安全隱患的行為。對于信息安全方面問題，應(yīng)該向誰咨詢或反饋？您可以向直接向部門主管，信息安全專員咨詢或反饋；還可以通過公司的IT熱線（X）或信息安全問題受理電子流咨詢或反饋。管理者的責(zé)任作為管理者，我在信息安全中的責(zé)任有哪些？各級部門的一把手是本部門信息安全的第一責(zé)任人。負(fù)責(zé)信息安全管理規(guī)定在本部門的推行和落實。對本部門人員的違規(guī)事件承擔(dān)領(lǐng)導(dǎo)責(zé)任。各級主管應(yīng)負(fù)責(zé)本部門哪些與信息安全相關(guān)的活動？各級主管應(yīng)負(fù)責(zé)本部門所有與信息安全相關(guān)的活動。具體有：確定各個資產(chǎn)、各個系統(tǒng)的管理員，使該管理員對該資產(chǎn)、系統(tǒng)的安全負(fù)責(zé)；在本部門內(nèi)對員工進(jìn)行培訓(xùn)、教育和宣傳

13、，使本部門每個員工都遵守公司的信息安全策略、標(biāo)準(zhǔn)和管理規(guī)定，報告信息安全隱患、漏洞或事故，樹立主動保護(hù)公司信息資產(chǎn)的意識。員工出差在出差時，若需攜帶保密資料，應(yīng)注意哪些事項？應(yīng)注意如下事項：(1)非因公外出時絕對不能攜帶絕密資料。(2)因公外出只允許攜帶工作相關(guān)文檔，攜帶外出的保密資料需首先通過審批，在離開公司時出示經(jīng)過審批的有效憑證；(3)出差前請確認(rèn)出差目的地的網(wǎng)絡(luò)情況，如果完全無法接入網(wǎng)絡(luò)，請確認(rèn)便攜機(jī)上使用RMS加密的Office文檔至少在本機(jī)上打開過一次。(4)絕密級別的資料在出差期間必須隨身攜帶，妥善保管；(5)一般情況下，乘坐飛機(jī)、火車等公共交通工具時，含有保密信息的便攜機(jī)等移動

14、存儲設(shè)備需隨身攜帶，不能托運(yùn)（但若與當(dāng)?shù)胤煞ㄒ?guī)沖突，則以當(dāng)?shù)胤煞ㄒ?guī)為準(zhǔn)）；(6)從酒店外出時，如確實無法隨身攜帶，應(yīng)將便攜機(jī)、保密文件存放在保密柜中，不要交酒店前臺保管；(7)應(yīng)做好訪問控制的設(shè)置，如給便攜機(jī)設(shè)置開機(jī)、屏保和硬盤口令等。崗位調(diào)動由于工作需要，在進(jìn)行工作交接時，應(yīng)注意哪些信息安全問題？進(jìn)行交接時，應(yīng)注意做好以下幾方面的工作：(1)保密信息的移交和清理；(2)應(yīng)用系統(tǒng)帳號與權(quán)限的移交和清理；(3)歸還辦公室、機(jī)房等的鑰匙。員工調(diào)動部門后，如何處理與新崗位工作職責(zé)無關(guān)的文檔？在工作交接完畢后，應(yīng)及時、徹底地刪除或銷毀您仍持有的所有與新崗位工作無關(guān)的文檔，刪除或銷毀的方式必須符合公

15、司規(guī)定，如要使用碎紙機(jī)銷毀含保密信息的紙件，而不能直接扔垃圾箱或用手撕毀等。 如在新崗位需繼續(xù)保留原崗位保密信息，一定要經(jīng)過保密信息所有人批準(zhǔn)。信息安全獎懲規(guī)定信息安全獎勵分為幾個等級？具體的獎勵辦法是什么？根據(jù)對公司信息安全的貢獻(xiàn)大小，共分為三個等級。一等獎： 舉報泄密、竊密或其他嚴(yán)重?fù)p害公司利益事件的人員，根據(jù)具體情況給予2000元以上的獎勵，并記入關(guān)鍵事件庫。對舉報人員只獎勵，不公布。二等獎： 勇于制止他人違規(guī)行為或及時向信息安全部反饋可能造成泄密、竊密或其他安全隱患的人員，給予500-1000 元的獎勵，并記入關(guān)鍵事件庫。三等獎： 長期遵守信息安全管理規(guī)定的，在信息安全管理中一貫良好的

16、部門或個人給予100-500元獎勵，并記入關(guān)鍵事件庫。信息安全違規(guī)可分為哪幾個等級？對于觸犯國家法律的，公司會移交國家司法機(jī)關(guān)依法處理。此外，則根據(jù)違規(guī)行為的后果、性質(zhì)以及違規(guī)人的主觀意愿，將違規(guī)行為分為如下四個等級：一級：有意盜竊、泄露公司保密信息，或有意違反信息安全管理規(guī)定，性質(zhì)嚴(yán)重造成重大損失。二級：有意違反信息安全管理規(guī)定，性質(zhì)嚴(yán)重或造成損失。三級：無意違反信息安全管理規(guī)定，造成公司損失；或者有意違反信息安全管理規(guī)定，但性質(zhì)不嚴(yán)重且沒有造成嚴(yán)重?fù)p失。四級：違反信息安全管理規(guī)定，性質(zhì)較輕，沒有造成公司損失。常見違規(guī)行為（1）常見四級違規(guī)未經(jīng)批準(zhǔn)，安裝非標(biāo)準(zhǔn)軟件未經(jīng)批準(zhǔn)，拷貝、保存工作無關(guān)

17、的文檔資料等未經(jīng)批準(zhǔn)，在公司辦公區(qū)域攝像、攝影發(fā)送與工作無關(guān)文件(人數(shù)少,性質(zhì)不嚴(yán)重)沒有安裝、運(yùn)行公司規(guī)定的防病毒軟件，或未設(shè)置集中管理沒有設(shè)置屏?？诹?、開機(jī)口令、共享口令、硬盤口令（便攜機(jī)）、Administrator口令接待客人時，未按規(guī)定進(jìn)行陪同（2） 常見三級違規(guī)未經(jīng)批準(zhǔn)，訪問游戲站點未經(jīng)批準(zhǔn)，撥號上Internet網(wǎng)無意啟動DHCP服務(wù)，影響公司網(wǎng)絡(luò)正常運(yùn)行未經(jīng)批準(zhǔn)，轉(zhuǎn)借信息系統(tǒng)帳號未經(jīng)批準(zhǔn)，使用特殊存儲設(shè)備持有與本崗位無關(guān)的保密文檔非正當(dāng)渠道獲取或傳遞保密文檔未經(jīng)批準(zhǔn)，私自將公司保密文檔或信息授予未經(jīng)授權(quán)的任何其他人員（包括公司人員和非公司人員）系統(tǒng)管理員未按公司規(guī)定設(shè)置相關(guān)系統(tǒng)

18、的安全配置標(biāo)準(zhǔn)（3） 常見二級違規(guī)發(fā)送與工作無關(guān)連環(huán)郵件訪問不健康網(wǎng)站系統(tǒng)管理員未經(jīng)正常流程，私自授予系統(tǒng)權(quán)限在公告欄發(fā)布與工作無關(guān)內(nèi)容或造成泄密未經(jīng)允許，在各種媒體、公眾場合發(fā)表與公司有關(guān)的評論或言論未經(jīng)批準(zhǔn)，私自轉(zhuǎn)借個人計算機(jī)私自刻錄文檔盜用他人帳號非法收集大量與本崗位工作無關(guān)保密文檔（4） 常見一級違規(guī)未經(jīng)批準(zhǔn)，系統(tǒng)管理員查看、傳播公司業(yè)務(wù)敏感數(shù)據(jù)編制或運(yùn)行黑客程序編制或傳播病毒程序攻擊公司網(wǎng)絡(luò)和信息系統(tǒng)竊取、盜賣公司保密信息四、文檔保密信息保密相關(guān)的基本原則和定義訪問保密信息有哪些基本原則？如何理解這些原則？有三項基本原則：最小授權(quán)原則、審批受控原則、工作相關(guān)原則。(1)最小授權(quán)原則：

19、就是授予的權(quán)限剛好滿足員工的工作需要。(2)審批受控原則：就是要嚴(yán)格控制信息的傳遞過程和擴(kuò)散范圍，保證做到“先審批，再獲取；先登記，再傳遞”。(3)工作相關(guān)原則：要求每一位員工只能查閱與本人工作有關(guān)的文檔，嚴(yán)禁員工私自收集、保存與自己工作無關(guān)的文檔。對公司來說，哪些信息屬保密信息？公司對于信息從保密性的維度分為兩大類：公開信息和保密信息，既包括公司內(nèi)部業(yè)務(wù)運(yùn)作過程中產(chǎn)生的信息，也包括客戶、供應(yīng)商、國家政府機(jī)關(guān)等相關(guān)方提供給公司的信息。(1)公開信息指可對公司外公開發(fā)布的信息，如：公司對外的相關(guān)宣傳資料、產(chǎn)品介紹資料等。(2)保密信息指僅可在一定范圍內(nèi)發(fā)布的信息，如果泄漏，可能給公司或相關(guān)方造成

20、損失和不良影響。華為公司的保密信息是怎樣進(jìn)行密級劃分的？保密信息根據(jù)其價值、內(nèi)容的敏感程度、影響及發(fā)放范圍不同，劃分為絕密、機(jī)密、秘密、內(nèi)部公開等四個級別?！敖^密”信息是指包含公司最重要和最敏感的信息，關(guān)系公司未來發(fā)展的前途和命運(yùn)，對公司根本利益有著決定性影響的保密信息。例如公司的年度預(yù)算方案、服務(wù)銷售費(fèi)用預(yù)算等文件?！皺C(jī)密”信息是指包含公司的重要秘密，其泄露會使公司的安全和利益遭受嚴(yán)重?fù)p害的保密信息。例如，客戶投資計劃、第三方咨詢報告、未發(fā)布的任命文件等?！懊孛堋毙畔⑹侵赴疽话阈孕畔?，其泄露會使公司的安全和利益受到損害的保密信息。例如，供應(yīng)商選擇評估標(biāo)準(zhǔn)、部門審計報告、部門招聘計劃等文

21、件?！皟?nèi)部公開”信息是指僅在公司內(nèi)部或在公司某一部門內(nèi)部公開，向外擴(kuò)散有可能對公司的利益造成損害的保密信息。例如，用戶操作手冊、已發(fā)布的任命文件、一般部門的例會紀(jì)要、友商公開信息等。誰是“信息所有人”？公司按信息密級劃分的信息所有人分別如下：絕密信息所有人是信息所屬一級部門及以上主管；機(jī)密信息所有人是信息所屬二級部門及以上主管；內(nèi)部公開、秘密信息所有人是信息所屬三級部門及以上主管。密級的標(biāo)識和分類什么時候需要確定文檔的密級標(biāo)識？當(dāng)您初步完成一篇文檔，并準(zhǔn)備將文檔傳遞給主管或同事進(jìn)行評審、修訂時，這時就應(yīng)確定文檔的密級。初步確定文檔密級時，您可以先參考“信息資產(chǎn)密級管理”數(shù)據(jù)庫中對同類文檔的密級

22、分類，可以根據(jù)同類文檔的密級分類來初步確定文檔的密級。如新擬制的文檔在該數(shù)據(jù)庫中找不到同類的文檔供參考，您可根據(jù)文檔涉及內(nèi)容的價值、敏感程度確定一個初步的密級。保密文檔由擬制人初步判定其密級后，提交相應(yīng)信息所有人進(jìn)行密級確認(rèn)。關(guān)于信息所有人的定義，請參考4.1.4節(jié)。在日常工作中如何標(biāo)識文檔密級？(1)對于Office文檔，公司要求每位員工都使用公司提供的模板創(chuàng)建文檔，創(chuàng)建后根據(jù)內(nèi)容在頁眉處添加正確的密級。(2)對于打印資料，每一頁都需要有明確的密級標(biāo)識；(3)對于裝訂的硬拷貝資料，需至少在開啟前頁、標(biāo)題頁和尾頁上放置資料密級標(biāo)簽；(4)對于印刷的、手寫的保密敏感信息需要在其某個醒目地方設(shè)置保

23、密標(biāo)簽；(5)電子文檔和紙件文檔，均需注明“華為機(jī)密，未經(jīng)許可不得擴(kuò)散”或類似字樣。文檔的使用和交流公司內(nèi)部文檔傳遞中有哪些保密要求和注意事項？公司規(guī)定，公司內(nèi)部的所有絕密、機(jī)密和秘密級文檔是要求加密的。對于內(nèi)部公開級文檔，各業(yè)務(wù)部門可根據(jù)實際業(yè)務(wù)情況決定是否需要加密。對于Office類保密文檔，需要使用RMS進(jìn)行加密，在無法使用RMS加密的情況下，需使用WinRar壓縮加密，機(jī)密以上文檔必須采用雙重加密（文檔本身加密+WinRar壓縮加密），兩個密碼不能相同，密碼設(shè)置須符合公司帳號和口令標(biāo)準(zhǔn)（特別對于銷售與服務(wù)體系，密碼位數(shù)必須大于10位，且由特殊字符、大小寫字母、數(shù)字混合組成。另外，密碼第

24、一位須為特殊字符。所設(shè)定的密碼禁止使用短信或郵件傳遞，僅允許通過電話語音通知）。非Office類的保密文檔，需使用其它方式進(jìn)行加密，例如winrar等。所設(shè)定的密碼禁止使用短信或郵件傳遞，只能通過電話語音通知。傳送含保密信息的紙件時，一定要用質(zhì)量好的信封等進(jìn)行封裝，并且只能發(fā)給收件人本人或其機(jī)要秘書，同時做好傳送記錄。另外，不能使用手機(jī)短信發(fā)送機(jī)密或機(jī)密級以上的保密信息。我可以將經(jīng)過正常授權(quán)獲得的保密文檔提供給其他同事嗎？不可以。公司規(guī)定，未經(jīng)信息所有人批準(zhǔn)，員工無權(quán)將自己所獲得的保密信息再授權(quán)或提供給他人。因為經(jīng)過授權(quán)后，您是信息的合法使用人，而不是信息所有人。經(jīng)授權(quán)獲得保密信息的人員也不能

25、私下與他人交流該保密信息。對不用的保密信息應(yīng)如何銷毀？對作廢的、或者已無權(quán)再接觸的保密信息要刪除和銷毀，刪除和銷毀原始保密信息應(yīng)征得相應(yīng)主管同意。對紙件、電子件、存儲有保密信息的存儲介質(zhì)銷毀時的注意事項如下：(1)紙件：含保密信息的紙件必須用碎紙機(jī)銷毀，而不能直接扔垃圾箱或用手撕毀；含秘密級以上信息的紙件不能重復(fù)使用。(2)電子件：刪除后注意清空垃圾箱。(3)存儲有保密信息的存儲介質(zhì)：存儲有保密信息的存儲介質(zhì)作廢時，應(yīng)采取不能恢復(fù)的物理性銷毀：如將硬盤送到我司指定地方進(jìn)行碾軋或消磁等；在計算機(jī)轉(zhuǎn)移給公司其他員工前，要對硬盤進(jìn)行格式化；在計算機(jī)轉(zhuǎn)移到公司之外（如超過規(guī)定使用年限的便攜機(jī)轉(zhuǎn)移給個人

26、）前，要對硬盤進(jìn)行低級格式化。員工調(diào)動部門后，如何處理與新崗位工作職責(zé)無關(guān)的文檔？在工作交接完畢后，應(yīng)及時、徹底地刪除或銷毀您仍持有的所有與新崗位工作無關(guān)的文檔，刪除或銷毀的方式必須符合公司規(guī)定，如要使用碎紙機(jī)銷毀含保密信息的紙件，而不能直接扔垃圾箱或用手撕毀等。 如在新崗位需繼續(xù)保留原崗位保密信息，一定要經(jīng)過保密信息所有人批準(zhǔn)。五、應(yīng)用系統(tǒng)使用Notes/Email/Proxy系統(tǒng)我要用Notes發(fā)送秘密級以上（含秘密）郵件，需要采取哪些安全措施？在發(fā)送秘密級以上信息時，為了防止泄密，員工必須采取郵件加密發(fā)送的方式，并設(shè)置回執(zhí)（可以從自己收到的回執(zhí)查看接收并閱讀郵件的人）。我是否可以發(fā)送群組

27、郵件？如果業(yè)務(wù)需要向多人發(fā)送郵件，我應(yīng)如何做？按照公司規(guī)定，未經(jīng)批準(zhǔn)，員工不可以使用群組發(fā)送郵件。在特殊情況下，由于工作需要發(fā)送群組郵件，員工必須首先確定群組的每個人都是自己要發(fā)送郵件的接收人，然后經(jīng)過部門主管批準(zhǔn)，才可以使用群組發(fā)送郵件。具體要求可參考Notes 群組管理規(guī)定。使用Email發(fā)送保密郵件時，應(yīng)該采取什么安全措施？發(fā)往公司內(nèi)部的Email保密郵件及其Office文檔類保密附件，須使用RMS加密。發(fā)給公司外部人員的郵件，如客戶、供應(yīng)商等，可以不用RMS加密，但須使用其它方式加密，如Winrar或Office自帶的加密功能，密碼可單獨通過電話等方式通知?，F(xiàn)在Email上的病毒越來越

28、多，我應(yīng)該采取哪些措施來預(yù)防呢？在收到來歷不明的郵件時，請不要打開，直接刪除即可。 因為目前大多數(shù)病毒和黑客軟件就是通過郵件傳播的。一些病毒程序，甚至你沒有打開郵件內(nèi)容，只要把焦點移到郵件標(biāo)題上就會執(zhí)行，因此，請記住不要設(shè)置“自動預(yù)覽/預(yù)覽窗口”的功能。取消的方法是，在Outlook的“視圖”菜單中點擊“自動預(yù)覽”取消此功能。我經(jīng)常收到一些廣告郵件、無聊的垃圾郵件，如何防范垃圾郵件呢？由于外面有人專門收集Email地址出售，所以您的Email地址可能被列入其他人的郵件列表，經(jīng)常會收到別人發(fā)的廣告郵件和其它垃圾郵件。為避免接收到這些垃圾郵件，用戶可以在客戶端設(shè)置禁止接收特定內(nèi)容的Email（目前

29、服務(wù)器端可以過濾部分垃圾郵件）。方法如下：在Outlook中，先選中不想再接收發(fā)件人發(fā)送的郵件，然后選擇菜單“動作”，在選項“垃圾郵件”中選擇“將發(fā)件人添加到阻止發(fā)件人名單”即可。也可以轉(zhuǎn)發(fā)垃圾郵件到XXXX.com，由系統(tǒng)攔截。方法如下：(1) Microsoft Outlook Express用戶a. 選中收到的垃圾郵件。b. 單擊右鍵，選擇做為附件轉(zhuǎn)發(fā)，您將會主題欄下看到一件附件。c. 填寫收件人：X。d. 發(fā)送郵件。如果提示主題為空，點擊“確定”即可。(2) Foxmail用戶在Foxmail中選中（可以按住Ctrl鍵多選）垃圾郵件，將其拖至桌面或一個文件夾， 這些垃圾郵件會以一封一封

30、郵件文件的形式保存的。然后，將這些保存的垃圾郵件作為附件發(fā)送到XXXX.com。(3)Outlook 反饋方式（以下方法才可以保留郵件頭，有效更新規(guī)則）：a、在桌面新建一個Spam文件夾；b、請您使用Ctrl選中多個垃圾郵件后，拖到Spam文件夾中；c、將這些spam文件夾打包成壓縮包文件 spam.rar ；d、將spam.rar作為附件通過Outlook反饋到XXXX.com。崗位變化后，能否繼續(xù)使用以前申請的Proxy帳號？通過郵件征得新部門主管（同申請時審批者級別）同意后，方可繼續(xù)使用以前申請的Proxy帳號。訪問外部網(wǎng)站應(yīng)注意哪些問題？公司為部分員工開通Proxy權(quán)限，目的是為員工從

31、網(wǎng)上收集對工作有用資料、了解與工作有關(guān)的行業(yè)信息等提供方便。在訪問過程中，應(yīng)注意：不能利用Proxy訪問與工作無關(guān)的網(wǎng)站和內(nèi)容，更不能從網(wǎng)上下載游戲、黑客工具等內(nèi)容。特別強(qiáng)調(diào)一點，不要通過Proxy訪問個人外部郵箱。我能否在公司內(nèi)登錄到外網(wǎng)郵箱（如XX等）收發(fā)郵件？公司禁止員工訪問公司以外的郵箱。七、物理安全環(huán)境安全秘書告訴我下班離開前做好“五關(guān)”，我想知道“五關(guān)”具體是指什么?五關(guān)是指：關(guān)門、關(guān)窗、關(guān)空調(diào)、關(guān)燈、關(guān)計算機(jī)，做好“五關(guān)”是保證辦公環(huán)境安全的基本要求之一。辦公安全在辦公桌面安全上我應(yīng)該注意什么？下班或離開辦公桌10分鐘以上，應(yīng)關(guān)閉或鎖定計算機(jī)。桌面上不能放有秘密級以上文件。秘密級

32、以上文件應(yīng)放在帶鎖抽屜或保密柜內(nèi)。會議安全在公司內(nèi)部開會，需要注意哪些安全問題？(1)開會前，需要確保選取的會議室和開會內(nèi)容的安全級相匹配。例如：召開部門例會，可以選取部門公用會議室。(2)會議結(jié)束后，要帶走相關(guān)的會議資料，同時清理會議室場所（包括相關(guān)機(jī)器設(shè)備上的電子件材料、白板上的板書信息、紙件材料等），保證會議信息的保密不泄漏和會議室使用后的整潔。什么情況下允許在公司外部開會？審批流程以及注意事項是什么？如果是特別保密或敏感的會議建議在公司內(nèi)的會議室召開。特殊情況下（比如時間和空間條件限制、會議與會者的情況限制等）才可以在公司外部場所召開會議，召開之前需要得到會議組織部門領(lǐng)導(dǎo)的批準(zhǔn)。相關(guān)的

33、注意事項是：(1)會議召集人負(fù)責(zé)會議的信息安全。在會議前就應(yīng)明確與會者名單；開會時確定與會者的身份及其參會資格，比如，要求與會者佩戴工卡并核對簽到等；會議期間，會場的出入口應(yīng)有專人看守；確認(rèn)除主入口外，其他入口已經(jīng)關(guān)閉或是有專人看守。(2)每位與會者應(yīng)自覺將會議資料保管好，不得在離開會議現(xiàn)場時隨意將其放置在桌面上或是在人離開后放置在賓館房間里，更不能將保密資料隨手丟到酒店的垃圾筐內(nèi)。(3)如果需要錄音、錄相或者拍照等，需要經(jīng)過會議組織部門領(lǐng)導(dǎo)批準(zhǔn)。對于電話會議，還需要注意什么？(1)召開電話會議時，電話會議的會議ID和密碼等信息，一般情況下需要通過公司的信息系統(tǒng)（Notes系統(tǒng)、Email系統(tǒng)

34、等）發(fā)送，不能通過手機(jī)短信方式發(fā)送。如果情況比較緊急或特殊，請通過點對點的電話方式告知。電話會議接入信息只能發(fā)送給相關(guān)的與會人員。(2)接入電話會議的人員，應(yīng)到專用會議室接入會議系統(tǒng)； 如條件限制需在開放辦公區(qū)接入電話會議，應(yīng)注意不要啟用電話的免提功能。(3)特別地，對于銷售與服務(wù)體系，機(jī)密級以上的電話會議要求使用主叫呼出的安全電話會議系統(tǒng)（接入碼X）。使用其他2個系統(tǒng)（X和X）時，電話會議的會議ID和密碼等信息，必須分不同的方式發(fā)送，密碼只能通過電話語音通知，不能采用手機(jī)短信方式發(fā)送；或可以采用附件方式通過郵件發(fā)送，附件必須為OFFICE文檔的RMS授權(quán)加密方式。如果情況比較緊急或特殊，可通

35、過點對點的電話方式告知。網(wǎng)絡(luò)安全網(wǎng)絡(luò)連接安全所有計算機(jī)都必須安裝SPES才能接入公司網(wǎng)絡(luò)嗎？Unix平臺的機(jī)器怎么辦？所有需要接入公司網(wǎng)絡(luò)訪問公司應(yīng)用的Windows平臺的客戶端設(shè)備都需要安裝SPES，包括但不限于公司內(nèi)部人員管理的客戶端設(shè)備、外包人員使用設(shè)備、供應(yīng)商提供測試設(shè)備、顧問或臨時來訪人員使用設(shè)備。非Windows平臺的設(shè)備不需要安裝，但需要申請固定IP并通過審批才能保證策略實施后正常接入公司網(wǎng)絡(luò)。個人能夠設(shè)置FTP、Wins等網(wǎng)絡(luò)服務(wù)嗎，為什么？未經(jīng)批準(zhǔn)，不得私自設(shè)置WWW、FTP以及BBS、NEWS、DNS、Wins、DHCP等各種形式的網(wǎng)絡(luò)服務(wù)，更不能在公司網(wǎng)絡(luò)上運(yùn)行任何攻擊或

36、破壞網(wǎng)絡(luò)服務(wù)的軟件。因為設(shè)置這類服務(wù)會對網(wǎng)絡(luò)正常運(yùn)行造成不良影響。如確實業(yè)務(wù)需要，不接入公司大網(wǎng)（如，僅在實驗室小網(wǎng)使用）同時不需要IT協(xié)助的服務(wù)申請，提交“IS Authority Application”電子流進(jìn)行申請，其余服務(wù)的申請通過IT requirment流程申請。出差到辦事處，需要在賓館上網(wǎng)，需要注意什么來保證個人便攜機(jī)的安全？對于便攜機(jī)的安全，一般從下面幾個方面防范：(1)安裝和使用公司指定的個人防火墻，在外出差啟動便攜機(jī)時，也要把個人防火墻啟動。個人防火墻策略在通過公司指定的服務(wù)器下載安裝時已經(jīng)配置好，個人不需要也不能改動個人防火墻策略。(2)使用便攜機(jī)收發(fā)電子郵件的附件時，

37、下載和打開前要使用殺毒軟件先殺毒。(3)通過便攜機(jī)訪問公司Email系統(tǒng)時，網(wǎng)址輸入格式推薦使用https代替http。我是全球技術(shù)服務(wù)部工程師，需要填寫研發(fā)的需求承諾電子流，這個電子流放在研發(fā)區(qū)，我不能訪問該如何辦？需要填寫“NC帳號申請”電子流申請NC帳號，然后就可以使用NC服務(wù)器進(jìn)行這類業(yè)務(wù)的操作。是否可以在公司的辦公區(qū)使用無線上網(wǎng)服務(wù)？公司所有辦公區(qū)域目前沒有開通無線上網(wǎng)服務(wù)。所以，在公司相關(guān)辦公區(qū)域不能無線上網(wǎng)，如果有業(yè)務(wù)需要，請使用公司的有線網(wǎng)絡(luò)服務(wù)。我因工作需要通過MODEM、ISDN等連接到外部網(wǎng)絡(luò)，應(yīng)該怎么做？首先需要通過”IS Authority Application”電

38、子流提交申請，獲取MODEM、ISDN等服務(wù)權(quán)限，沒有經(jīng)過批準(zhǔn)不能私自使用MODEM、ISDN等服務(wù)。獲得MODEM、ISDN等網(wǎng)絡(luò)連接批準(zhǔn)后，在與外網(wǎng)連接前需要確保相關(guān)的機(jī)器和公司網(wǎng)絡(luò)是斷開的。因為如果您的計算機(jī)同時連到公司網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，外部網(wǎng)絡(luò)上的人員很可能通過您的機(jī)算計訪問公司內(nèi)部網(wǎng)絡(luò)，這樣會對公司網(wǎng)絡(luò)帶來很大的安全隱患，所以禁止在個人計算機(jī)與內(nèi)部網(wǎng)絡(luò)連接的情況下與外部網(wǎng)絡(luò)通信。如果在出差期間需要通過外網(wǎng)訪問公司的相關(guān)系統(tǒng)和服務(wù)器時（比如Notes、Email等系統(tǒng)），應(yīng)該怎么辦？公司VPN服務(wù)能夠解決此類需求嗎？通過使用VPN網(wǎng)絡(luò)可以滿足此業(yè)務(wù)需求：但出差前你需要提交“Token 管

39、理電子流”申請Token卡并在便攜機(jī)上安裝checkpoint客戶端軟件； 這樣出差時你就可以從外網(wǎng)通過VPN訪問公司資源了。此時您只需要運(yùn)行checkpoint軟件，輸入靜態(tài)密碼和Token卡產(chǎn)生的動態(tài)密碼，通過驗證以后，您就可以像在內(nèi)網(wǎng)上一樣使用公司的相關(guān)應(yīng)用和服務(wù)了。特別提示，公司禁止員工在處理工作郵件時使用公網(wǎng)上提供的免費(fèi)郵箱，在外出差或者公干時也要求員工使用公司提供的郵箱；在訪問公司的Webmail系統(tǒng)時，網(wǎng)址輸入采用https形式，這樣在信息傳遞時增加了一層加密保護(hù)的功能。八、接待、對外合作和信息交流對外接待和陪同誰負(fù)責(zé)外部人員在公司的信息安全管理工作？根據(jù)公司的信息安全管理策略，

40、外部人員所服務(wù)或進(jìn)行合作的接口部門的主管或項目經(jīng)理應(yīng)該總體負(fù)責(zé)外部人員的信息安全管理工作。我被部門指派陪同非公司人員，應(yīng)注意些什么？作為接口人，或說接待人，您引領(lǐng)供應(yīng)商/合作商等人員進(jìn)入特定公司區(qū)域，需經(jīng)主管該區(qū)域的部門負(fù)責(zé)人批準(zhǔn)。供應(yīng)商/合作商在上述區(qū)域活動時，您應(yīng)全程陪同。來訪人員攜帶便攜機(jī)時，如不需要使用，您可協(xié)助其將便攜機(jī)存放于門衛(wèi)處；如需攜帶便攜機(jī)進(jìn)入公司，您應(yīng)注意不讓來訪人員獨自在辦公區(qū)域使用便攜機(jī)。此外您還應(yīng)注意，供應(yīng)商/合作商只能在經(jīng)批準(zhǔn)的辦公區(qū)域進(jìn)行本次業(yè)務(wù)相關(guān)的活動。因工作需要，向公司外人員發(fā)送保密信息有哪些注意事項？(1)向外部提供文檔資料時，應(yīng)遵照信息保密管理規(guī)定，首先

41、獲得接口部門主管許可，然后向信息owner部門申請:(2)發(fā)送的資料要加密，以防止保密信息泄密；發(fā)送絕密、機(jī)密級文件，發(fā)送的方式范圍、對象需經(jīng)過信息所有人審批；(3)保密信息必須加密發(fā)送并設(shè)置回執(zhí)，如：口令、研究報告、開發(fā)信息和其他的敏感數(shù)據(jù)；需事先與接收方簽署保密協(xié)議。信息交流作為接待人員，對外接待交流中需要注意哪些信息安全事項？(1) 接待人員不應(yīng)向供應(yīng)商/合作商透露業(yè)務(wù)范圍之外的公司技術(shù)、商務(wù)情況，不隨意承諾，不在授權(quán)范圍之外行事, 已經(jīng)承諾和雙方達(dá)成意向的事宜應(yīng)當(dāng)做正式記錄。(2) 供應(yīng)商/合作商需要查看公司文檔、資料，按如下優(yōu)先順序提供: 查閱(不借)-紙件借閱-電子檔借閱。(3)

42、向供應(yīng)商/合作商提供含有公司保密信息的文件、資料或?qū)嵨锏?，接待人?yīng)獲得部門主管批準(zhǔn)，并與供應(yīng)商/合作商簽訂保密協(xié)議后再行提供。對外商務(wù)活動中，移動電話的使用有哪些安全注意事項？(1)不能在電梯、汽車、餐廳、酒店大堂等公共場所接聽重要電話，必須接聽時請到相對空曠或不易被竊聽的地方；(2)銷服員工在商談重要的商務(wù)問題時盡可能使用隨機(jī)的固定電話，不能使用本人名片上的移動電話和固定電話，若必須使用移動電話，則必須使用臨時購買的預(yù)付費(fèi)卡。簽署保密協(xié)議哪些情況需要對外簽署保密協(xié)議？華為公司與其他公司或個人之間在合作、雇傭、技術(shù)支持等有可能接觸公司的保密信息時需要簽署保密協(xié)議。對外簽署保密協(xié)議有哪些注意事項

43、？(1)保密協(xié)議應(yīng)首先使用公司模板，可從“法務(wù)之窗”Notes庫獲取。(2)必須簽署原件保密協(xié)議。在緊急情況下可以先簽署復(fù)印件、傳真件，后補(bǔ)簽原件；(3)英文保密協(xié)議一般不需蓋章，只需簽字，中文保密協(xié)議一般需簽字蓋章；(4)蓋章時應(yīng)蓋法人章或保密協(xié)議專用章，不應(yīng)蓋部門章。若與對方的合同中已有保密相關(guān)的內(nèi)容，是否可以不再與對方單獨簽訂保密協(xié)議？合同中有關(guān)保密的內(nèi)容大多是框架性的。實際作業(yè)中信息不同，保密條款中的要求會有所不同，可能需要進(jìn)一步細(xì)化。要根據(jù)具體情況區(qū)分對待，不是說合同里簽了就不用簽了，有些可能是簽附加條款，有些應(yīng)該再簽單獨的保密協(xié)議。簽署保密協(xié)議方面的問題，可咨詢法務(wù)部。九、研發(fā)信息

44、安全研發(fā)網(wǎng)絡(luò)與非研發(fā)網(wǎng)絡(luò)隔離什么是研發(fā)工作區(qū)？研發(fā)工作區(qū)包含哪些區(qū)域？研發(fā)工作區(qū)：有明確的物理邊界，貫徹和實施了研發(fā)信息安全政策的工作區(qū)域。研發(fā)工作區(qū)包括深圳科研中心（F1、F3、F4、F5、中試中心）、華電研發(fā)工作區(qū)、南京研究所研發(fā)工作區(qū)、上海研究所研發(fā)工作區(qū)、北京研究所研發(fā)工作區(qū)、西安研究所研發(fā)工作區(qū)、成都研究所研發(fā)工作區(qū)、杭州研究所研發(fā)工作區(qū)等研發(fā)辦公場地。具體研發(fā)工作區(qū)清單參見網(wǎng)絡(luò)安全部維護(hù)與公布的“X”數(shù)據(jù)庫中的最新研發(fā)工作區(qū)清單。研發(fā)區(qū)和非研發(fā)區(qū)之間不能直接實現(xiàn)文件共享，如果文件共享，怎么辦？分為兩種情況：1）數(shù)據(jù)從研發(fā)傳遞到其他工作區(qū)小于10M的文檔可以通過Notes Mail直

45、接發(fā)送；大于10M的文檔可以在“研發(fā)便攜文檔外出管理”數(shù)據(jù)庫中填寫“公司內(nèi)異地傳輸”申請，審批通過后，通過FTP服務(wù)器進(jìn)行傳送。2）數(shù)據(jù)從非研發(fā)傳遞到研發(fā)區(qū)小于10M的文檔可以通過Notes Mail直接發(fā)送；大于10M的文檔可以通過公司的FTP服務(wù)器進(jìn)行傳送或者通過Bigmail數(shù)據(jù)庫進(jìn)行傳送?？赏ㄟ^“IS Authority Application”中的“（非研發(fā)）FTP帳號申請”電子流申請F(tuán)TP帳號。研發(fā)工作區(qū)的應(yīng)用，公司非研發(fā)區(qū)無法訪問；公司非研發(fā)的應(yīng)用，研發(fā)工作區(qū)無法訪問。如果需要全公司的都需要訪問，這個問題怎么解決？由于研發(fā)工作區(qū)和公司其他工作區(qū)網(wǎng)絡(luò)都可以訪問數(shù)據(jù)中心通用區(qū)，所以全公司訪問的服務(wù)器/應(yīng)用可申請搬遷到數(shù)據(jù)中心。服務(wù)器/應(yīng)用搬遷到通用區(qū)的需求由信息所屬部門通過IT Requirement App