员工信息安全手册.docx
《员工信息安全手册.docx》由会员分享,可在线阅读,更多相关《员工信息安全手册.docx(11页珍藏版)》请在冰豆网上搜索。
文件编号:
密级,内部公开
文档版本,VI.0
发布日期:
实施日期:
员工信息安全手册
编制:
日期:
年 月
审核:
日期:
年 月
批准:
日期:
年 月
声明:
本文件由“XXX”(以下尚称“XXX”)内部使用,版权属XXX所有.文件信息未经许可,不可任意转
载、链接、转贴或以其他方式复制发布/发表.
修订记录
版本
状态
修改内容
完成时间
修改人
审核人
V1.0
创建
创建文档。
状态分别为:
创建、更新
目录
1目的 1
2范围 I
3职责 1
4术语和定义 I
5管理总则 I
5.1信息安全意识 1
5.2信息保密职责 2
53资产使用职责 2
5.4遵守制度法规 2
5.5知识产权保护 2
6工作环境管理规定 2
7办公电脑使用安全 3
8密码使用安全 3
9病毒防范安全 4
10软件使用安全要求 4
11移动介质安全要求 4
12电子邮件使用安全要求 5
13网络使用安全要求 5
14办公自动化使用安全要求 6
15保密信息使用安全要求 6
16信息安全事件的响应 7
17手册说明 7
1目的
信息安全是XXX一项重要和必要的工作,信息安全涉及到日常工作的方方面面。
为了更好地维护XXX的整体利益,实现信息安全目标,特制定本手册,作为XXX信息安全策略和规章制度中员工行为准则相关内容的集合。
2范围
本手册适用于XXX全体员工。
本手册由信息安全部负责制定、解释和修改。
3职责
角色名称
职贵描述
备注
XXX全体员工
应以木手册为准绳,结合现有信息安全相关规章制度要求,严格遵照执行,确保信息安全目标的实现。
4术语和定义
无。
5管理总则
信息安全部根据公司的实际安全需求结合国家相关法律法规要求、6027001信息安全管理体系要求和行业监管机构要求,制定了信息安全方面的管理规定。
信息安全管理规定会同步发布在0A系统中,全体员工应积极学习和遵守公司各类信息安全管理规定和安全措施,将遵守安全规定融入自己的日常工作行为中。
在工作中,要有强烈的信息安全和保密意识,要有职业的敏感性。
有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。
全体员工应牢记xxx的信息安全方针:
实施信息安全管理,满足公司内部及外部信息安全要求,保证业务连续性。
5.1信息安全意识
员工应枳极主动地提高自身的信息安全意识和知识水平,主动参加信息安全意识培训学习,参与XXX的信息安全保障工作。
在日常工作中如发现可疑的异常情况,或在系统及服务中发现疑似的安全漏洞和技术薄弱点,应及时通知部门信息安全员,或者通过信息安全事件反馈渠道上报。
同时,对于XXX内部信息(如经营战略、员工信息、部门规划、工作计划等)禁止对外散播。
未经证实的情况和信息,禁止对内、对外随意扩散:
已明确要求保密的信息,禁止对外散播。
5.2信息保密职责
员工应自觉遵守与xxx签订的保密协议约定,履行个人义务,维护xxx利益,保护xxx的敏感信息。
5.3资产使用职责
日常工作中,以各种形式存在的信息和用以生产、获取、处理、传递、存储信息的软、硬件设施,以及保障软硬件资产正常运行的各种辅助设备均属于xxx的信息资产,员工在使用这些信息资产的过程中承担相应的保护信息资产的责任。
5.4遵守制度法规
员工在日常工作中应自觉遵守国家法律法规和xxx信息安全相关的各项规章制度,包括但不限于与信息安全相关的管理规定、技术标准、行为准则和实施指南等,应确保自己的行为符合国家相关法律法规的要求,符合xxx信息安全管理的要求。
5.5知识产权保护
所有员工都应该根据知识产权保护相关法律法规以及xxx制度,自觉保护xxx自主知识产权和第三方的知识产权,既不能非授权泄露xxx的自主知识产权保护信息,同事也不能非法使用第三方的自主知识产权。
6.工作环境管理规定
1)员工在日常工作时应佩戴工牌(如已发放),且应妥善保管工牌,禁止伪造或冒用他人的工牌,并禁止将自己的工牌转借他人,工牌一旦遗失应立即向行政部汇报。
2)员工应明确自己所拥有的权限,不得采用任何手段随意出入自己无权进入的区域。
如果确有工作需要,必须严格遵循相关的审批和登记手续,不得伪造虚假登记信息。
3)启用门禁的区域进出时要防止人员尾随,进出后应及时关闭。
4)禁止携带任何危险品、可燃品或其它可能影响人员和设备安全的物品进入办公场所,如有特殊需要必须得到相关人员的批准。
5)访客来访,应佩戴访客标识并由授权人员全程陪同外来人员,按照规定登记并获得许可后方可进入。
各责任部门应确保访客记录信息完整(包括但不限于姓名、单位、携带设备,被访人员、访问目的、进入时间、离开时间、访客签字)保存六个月以上。
6)未经允许,严禁在办公区域内进行摄影、摄像、录音等记录日常办公行为的活动。
7.办公电脑使用安全
员工应使用公司配置的桌面计算机设备,禁止员工在未经批准或授权的情况下私自改动办公设备硬件或使用他人设备。
员工不得随意改动或移动办公区域内的电源、空调、机柜、终端、服务器、收发器和布线系统等设备。
不得私自打开被封闭的USB端口。
当所使用的硬件设备发生故障时,员工应及时通知责任部门解决,不应擅自拆卸。
不得在工作时间内利用个人电脑处理与工作无关的信息。
员工下班时,应将办公设备电源开关置于关断位置。
员工应保护设备不受震动。
不得连续开关电源。
硬件设备在外借、维修或报废(弃用)时,需对机内的保密数据信息进行数据删除等脱敏处理,防止泄密。
重要文件和数据要经常备份,备份介质要妥善保存,防止泄密。
无人值守设备的责任人应采取合理的安全措施保护该设备,以避免未授权使用和入侵。
员工离开座位或办公PC时,应及时锁屏。
员工应根据情况设置进入屏幕保护的时间和密码。
通常设定进入屏幕保护的等待时间不应超过5分钟。
未经审批,严禁私自携带办公设备离场。
因办公需要的设备离场或转移需进行申请、审批、并做好记录,记录中包括处理人和资产使用人的处理信息、带出时间及返还时间。
员工在外出出差、酒店房间、顾客及客户场所、乘坐交通工具等办公场所时,不得使用笔记本电脑处于无人看管状态;若物理锁定可用,则在不使用时锁定。
员工在公共场所使用电脑的过程中需防止信息泄密,避免电脑屏幕被偷看或偷拍,离开座位时必须立即锁定电脑屏幕,防止他人未经授权使用。
8.密码使用安全
员工使用的设备和系统应设置密码保护,如开机密码、登录密码、屏幕保护密码。
员工在使用新的或经过密码重置过的系统或终端时,必须在第一时间对初始、默认或重置密码进行更改。
员工必须严格按照所使用系统或终端的具体要求定期更改自己的密码,在没有明确规定的情况下应保证至少每3个月更换一次密码。
员工在设定系统或网络登录密码时,应根据密码策略的要求选择长度不少于8位的密码,密码应是具有一定复杂度的字母、数字和符号的组合,且不应是连续的数字或字母,每隔90天更改一次密码。
员工应避免办公系统或网络的密码与私人密码雷同,避免在多个系统中设置相同的密码,以防密码被非法获取后造成连锁影响。
账号所有者承担使用该账号所产生的一切责任和后果,禁止将账号给未授权者使用。
禁止员工对终端系统开机登录启用任何形式的“自动保存密码”功能。
在非个人专用计算机上禁止使用“自动保存密码”功能或使用自动密码输入程序登录应用系统。
员工应妥善保管自己的密码,不要将密码写在纸上或是存放在电子文档中。
发现自己的口令被人非法获取时,应立即修改口令,并报告部门信息安全员。
9.病毒防范安全
员工办公电脑必须安装和使用公司统一部署的企业级防病毒软件。
不得随意卸载或删除防病毒软件。
禁止修改安全软件客户端程序的参数配置。
要及时安装操作系统补丁和防病毒软件升级包。
必须定期查杀病毒,不得关闭防病毒软件的自动查毒进程。
若遇防病毒软件无法清除的病毒时,应及时报告部门信息安全员和IT管理员。
积极防御恶意软件对信息和系统的破坏,发现异常及时报告。
打开外网发来的邮件附件时,先查杀病毒。
10.软件使用安全要求
员工办公终端安装的软件必须是公司规定的合法软件。
不得私自下载与工作无关软件。
不得随意更改个人电脑中所安装的操作系统。
个人电脑上不得安装与工作无关的软件。
禁止对软件进行非授权的复制、分发、使用及反编译。
不得随意篡改或删除服务器上的程序和数据。
不得随意使用或试用可能危害公司网络环境的带有攻击性的软件。
不得传播和发送恶意软件。
11.移动介质安全要求
未经批准不得在服务器区内使用未经授权的任何移动介质。
未经批准不得将任何移动介质带入机房。
如工作需要,应申请专用的移动介质,且保存审批、使用、杀毒和数据销毁记录。
不得在个人电脑上使用来历不明或未经杀毒的移动介质。
不得将存储有公司敏感信息的移动介质转借给他人。
防止高温、潮湿、磁场、强光、辐射对移动介质的影响。
移动介质在移交、维修、更换、报废前,要先清除其上存储的信息,并保证不被复原。
12.电子邮件使用安全要求
遵守国家有关法律法规,不得发送和传播损害国家、公司和他人利益的信息。
对来历不明、特别是带有可执行文件附件的邮件,在无法确认时不要随意打开,应直接删除。
定期清理过期邮件,重要的电子邮件信息须在部门配置库中保存。
不得打开和偷看他人邮件,如误收或误发邮件,应第一时间通知发送者或者接受者,并删除邮件。
未经批准,禁止在公司内群发邮件。
邮箱启动后必须保管在个人电脑中,禁止以任何形式与他人共享。
邮箱账号一旦开通,应及时更新口令。
不准采用匿名方式发送电子邮件,发送邮件前要确认收件人地址。
不得明文发送机密级信息,可将信息加口令后再传送,口令单独传送。
使用中如发现包含病毒的邮件或者邮件系统存在安全漏洞,应及时报告邮箱管理员。
13.网络使用安全要求
应严格遵守xxx对于内部网络的统一配置和管理。
禁止私自变更办公计算机的IP地址。
未经允许不得以任何方式向外部机构或人员提供内部网络结构、配置等重要信息。
禁止员工将未授权的无线网络接入点联入xxx内网,将未授权的无线设备接入xxx办公无线网络;无线设备接入必须由系统运维部统一进行配置。
严禁员工利用xxx提供的互联网访问途径从事任何违反国家法律法规,损坏国家利益和他人合法权益的活动。
严禁员工利用xxx提供的互联网访问途径从事可能影响网络安全的活动。
根据xxx统一规定,禁止员工在非办公场所远程访问xxx服务网络,如有特殊需要应事先得到相应的审批授权,使用VPN等方式经身份认证和数据加密访问xxx服务网络,同时应在使用完毕后及时断开网络连接,避免连接通道被他人盗用。
14.办公自动化使用安全要求
员工应及时处理各类电子文件,跟踪经办文件运转情况,并根据系统提示及时处理待办工作,包括工作发起人及时关闭已经完成的工作等。
员工作为各操作环节的执行人应严格按照权限和职责办事,不得发送未按规定程序批准的文件和无关信息。
办公自动化系统版权属于xxx所有,所有员工有责任做好有关办公自动化系统的信息保密工作,严禁任何人员未经审批擅自对外提供仅限内部流转的信息资料。
首次登陆办公自动化系统后,用户应立即修改密码。
禁止员工在任何未经允许的情况下同意他人使用自己的用户账号登录系统进行操作。
当员工长时间离岗(离岗时间在3个工作日及以上)时,应在办公自动化系统中做好岗位授权、权限交接和账号注销工作。
员工在使用办公自动化系统发送各种公告信息、通知和文件时应确保其内容的准确性,严禁利用办公自动化系统制造虚假文件和信息。
员工不应制作、流转、运行与工作无关的文件。
员工在系统使用过程中一旦收到存在上述情况的文件和信息时应立即停止流转,并及时通知相应的管理部门和人员。
员工在使用办公自动化系统流转电子文档时(如收文处理完成后发送、收文传阅等功能)应严格按照该文档的处理流程发送到指定的下一接收人手中,不得任意更改发送的范围和发送对象。
员工在使用附件功能时,在非必需情况下不得在附件域中添加过大的附件。
员工应确保所添加附件的安全性,禁止将任何可能带有病毒或对系统造成破坏的文件作为附件在办公自动化系统上流转,包括各种从非正规渠道获得的信息资源、可疑邮件的附件以及来历不明存储介质中的文件。
15.保密信息使用安全要求
严格遵守保密管理的要求,坚持“谁上网谁负责”、“涉密不上网,上网不涉密”的原则。
遵守国家机密信息保护的相关法律法规。
办公桌面禁止摆放带有保密信息的文件或资料。
含有保密信息的文件使用完后应保存在枷锁的抽屉或橱柜中。
未经批准不得私自将保密文档带出工作区。
不得私下传播或谈论公司需保密的消息和事件。
不探听、不保留自己职责外的保密信息。
对重要的信息数据要做好备份并定期检查。
载有重要保密信息的介质在不再使用时要彻底销毁,使其不可再复原。
16.信息安全事件的响应
发现系统异常、网络速度大幅下降、口令被篡改等可疑情况时,应及时报告部门信息安全员,通知IT管理员,或者直接通过钉钉、xxx服务平台反馈。
员工应事先熟悉信息安全事件响应流程,了解自身在其中承担的角色,并在信息安全事件发生后自觉按要求履行应尽的职责。
员工应当从信息安全事件中认真学习,吸取经验教训。
17.手册说明
各部门可根据本手册规定制定相应的实施方案。
本手册由xxx信息安全部负责制定、解释和修改。
升级会员 