《员工信息安全管理条例.docx》由会员分享,可在线阅读,更多相关《员工信息安全管理条例.docx(6页珍藏版)》请在优知文库上搜索。
1、员工信息安全管理条例导言1.1目的为加强员工日常信息安全意识,贯彻公司信息安全要求,特制定本条例。1.2范围此条例面向本公司全体人员,包括部分外来人员也需遵守本条例中的部分章节。2主要内容2.1 人员信息安全管理1 .对于新增的关键岗位,对前来应聘或者选拔的任用候选人,需要进行岗位背景调查;2 .对于外借人员需要和其公司签订安全保密协议:对于本公司的关键员工要签订员工保密协议书;3 .员工及外来人员进入公司,都必须凭借书面的审批程序来申请相关的IT资源和总务资源。申请的资源以可以满足工作需要的最小限度为原则;4 .外借人员/实习生原则上不能够自带设备进入公司,如果进入,需要更严格的审批权限;5
2、 .在员工离职时,所有的访问权应该立即收回,包括计算机设备、领用的U盘、门禁卡、钥匙等;并需撤销其原先拥有的活动帐户和数据资源,包括管理平台的登录帐户、电脑里的数据资料。2.2 区域访问控制管理1 .公司内部划分不同的区域,这些区域的进出由门锁控制;机房为公司的敏感重地,除机房维护人员之外,不得有闲杂人员随意进入,进出需有授权和登记;2 .在员工调离部门或更换行政事业部应立即变更门禁系统权限并归还所有门锁钥匙;3 .来访者需在公司员工的陪同下,在经批准的区域内进行业务活动;员工不得引领和允许来访者进入未经批准的办公区、机房或其它机要区域,公司内所有员工有权拒绝或制止来访者进入未经批准的区域;4
3、 .以下情况公司员工可以陪同来访者在需要的办公区域开展业务:a)经公司领导或部门经理批准的参观活动;b)必要的仪器设备现场安装、维修、调测;c)来访者因业务需要,并经该区域负责人批准后:5 .所有人员进入机房应经过机房管理员许可,并对人员及所带物品进行登记,人员在机房内的操作必须在机房管理员的陪同下进行。2. 3综合管理部环境管理1 .有效执行清空桌面策略,日常工作中,敏感性的电子文档,不能存放于电脑桌面;2 .所有计算机应设置屏幕保护程序,并设置屏保密码,屏保的响应时间建议在3分钟以下,员工离开工位后应将计算机锁屏;3,员工离开工位后桌面上不能有密级文档;密级文档应放在带锁的抽屉或保密柜内;
4、4 .存放密级文件的抽屉或文件柜必须上锁,员工离开时需检查是否已上锁;5 .当独立行政事业部无人时,房间需锁上;6 .员工应妥善保管好归属个人或由个人代管的贵重物品,下班后必须把贵重物品存放在带锁的柜子内;7 .己作废的密级文件应及时用碎纸机销毁,不得随意丢弃;8 .不应该将任何敏感资料放置在移动计算机和存储介质上;9 .应及时取走打印机、复印机、传真机上的个人文件;10 .会议结束后,应及时擦除残留在白板上的信息。2.4IT系统使用管理1. 员工不得私自拆卸计算机机箱,计算机的维护工作由指定的IT管理员执行;2. 有保密要求的计算机不允许连接任何外接设备,如:U盘、移动硬盘、光驱、软驱、打印
5、机等;3. 员工不应利用公司计算机进行与工作无关的活动;4. 员工不得滥用公司的网络资源,不得进行大容量的下载,尤其是不得利用公司网络下载电影等资料,如一经发现,进行联机断网处理;5. 员工不应在公司计算机上安装非标准软件或未经授权的软件;6. 未经信息安全管理委员会授权,严禁任何人在计算机上安装和使用监听、扫描、破解、攻击等工具软件,如:Sinffe八冰河、瑞士军刀、NmaP等;7. 对于本机上的密级文件,应采取适当的加密措施,妥善存放,发送密级文件之前需遵守相关部门要求进行加密。文档和资料的传输建议采用PDF格式;8. 员工在工作中用到的重要文件和资料,请尽量放在服务器上,并严格按照要求妥
6、善存储在服务器相应的目录位置上,IT管理员会定期备份以防数据丢失。9. 对于其他工作需要的文件和资料,如不方便放在服务器上或因空间问题无法存储在服务器上的文件,应保存在除本地电脑除C盘(包括我的文档和桌面)以外的其他硬盘分区,这样可以尽量避免因电脑操作系统损坏重新安装电脑而造成资料的丢失。10. 禁止将非工作性质文件放置在服务器上,如游戏、视频资料等。11. 未经公司相关部门授权,严禁任何人进行扫描、口令猜测、注入、劫持、溢出等危害信息安全的活动;12. 每位员工要定期备份电子邮件,将重要的电子邮件拷贝到硬盘上,日后发生争执时可调出来查看。定期将邮箱不用邮件删除,以免因邮箱空间不够,造成无法发
7、送和接收电子邮件的情况发生;13. 密级文件不能通过电子邮件传送,如需发送,经密级文件的责任人授权后,邮件应采用不低于128位的加密算法对电子邮件加密后再发送;14. 员工不应该通过QQ,MSN等IM软件传送公司的文件、资料及工作成果;15. 员工不应该访问InIemet上的与工作无关内容,应遵守公司Internet使用规定;16. 公司内部的联网设备,全部通过路由器策略绑定TP与MAC,新设备的联网需至IT管理员处填写用户授权申请表,在经过审批后由IT管理员进行联网操作设置。2. 5防病毒管理1. 公司所有服务器和办公计算机都必须安装防病毒软件;公司使用360杀毒软件,使用者需及时更新防病毒
8、代码库,并定期进行病毒扫描。2. 笔记本电脑和重要计算机需要安装360安全卫士等软件,及时更新并定期扫描。3. 360安全卫士需到打开主动防御功能,包括网页防火墙、漏洞防火墙、U盘防火墙、进程防火墙、注册表防火墙等功能。4. 必须使用可信来源的软件,软件安装之前需要进行恶意代码和隐蔽通道测试。5. 对所有的电子邮件附件等外来电子文件进行病毒扫描,不随意打开来历不明的邮件附件。6. 员工一旦发现或怀疑有病毒感染,必须马上断开网络并进行全盘扫描,并立即通知公司IT管理员进行处理。2.6 密码/口令管理1 .密码要求至少要求6位,管理员和服务器的密码要求在8位以上,采用字母、数字和字符的三元组合;2
9、 .不能使用弱密码,不能使用符合以下规则的缺陷密码:字母和数字顺序、字符的重复、单词、标准姓名、生日、车牌号、电话号码;3 .密码应保持私密性,不能将密码共享、编码到程序中或写在纸上;4 .密码要求一季度要改变一次,一年内不得使用重复的密码。2.7 介质管理1 .不得将载有重要信息的存储介质随意存放,未经安全责任人授权,不得带出公司;2 .公司不得擅自使用私人自带设备。外来人员不经过批准不得带入移动设备和介质;3 .如果介质上的内容不再需要,应当立即清除。对于存放有重要信息的存储介质,在销毁时,保证措施到位,避免不必要的泄露;4 .公司内的移动设备读取和光盘刻录限制在指定计算机上,并需要进行登
10、记;5 .公用移动设备和介质,借用需要审批流程,使用完毕后及时归还,归还前要进行信息删除处理。6 .介质的领用需要进行登记,至行政事业部处领取移动介质,并登记在可移动介质授权使用登记表中,归还时需确认已清空介质中的数据。2. 8供应商/合作商管理1 .所有公司员工应自觉遵守公司保密制度,不得向供应商/合作商透露业务范围之外的有关公司技术、商务情况;不随意承诺,不在授权范围之外行事;已经承诺和双方达成意向的事宜应作正式记录;2 .如因业务需要须向供应商/合作商提供公司密级信息的文件、资料或实物的,接待人应当在获得文件、资料或实物的保管人批准并授权,并在与供应商/合作商签订保密协议后再提供,提供时
11、应开具清单由供应商/合作商签收;3 .未经信息安全管理委员会或部门负责人批准,供应商/合作商不得在办公场所内摄影、拍照。29客户现场信息安全1 .在客户现场工作的公司员工除严格遵守公司信息安全条例,还必须遵守客户方的信息安全要求,在客户允许的权限内工作,经客户允许方可进入客户办公区;2 .自客户处获取的书面材料统一进行登记,由项目负责人进行妥善保管,如需归还的,在使用完毕后及时将材料返还客户;3 .从客户处获取的电子文档也由指定的管理员进行保管,使用完毕将材料销毁处理;4 .从客户处获取到的业务相关的制度和操作规程不能外泄,实施经理使用完毕将材料返还客户或销毁处理,不能拷贝或复印;5 .如需要打印或传真文件,首先向项目负责人申请,在得到客户书面签字或电子邮件许可后进行:6 .测试环境、开发环境和生产环境严格地分离,普通开发人员不得访问生产环境。7 .未经客户许可,不得将移动硬盘或U盘等移动存储设备带到客户现场,笔记本电脑未经客户书面或邮件允许不得带出现场。8 .在客户现场需要登陆互联网的,需要向客户提交申请,得到书面或邮件确认后方可上网,严禁通过QQ、微信或其它即时聊天工具传递客户资料或项目资料;9 .由项目经理或部门信息安全员对项目组进行客户现场信息安全培训,并由部门信息安全员定期对客户现场办公的项目组进行信息安全审计。
免费区 