ITITWI0010员工信息安全培训手册.docx

1、ITITWI0010员工信息安全培训手册修 改 记 录NO修订版本修改内容摘要修改人修改日期生效日期11.0新发行梁继清2011-11-012011-12-092345678910111213141516171819202122232425(一)员工信息安全须知1.员工入职后，需要办理员工卡，员工卡的意义和用途是什么？答：工卡是公司员工的身份证明，所有进入xx公司的人员，在公司期间一律要正确佩戴相应的卡证。 工卡还有考勤、门禁验证等作用。 工卡不仅关系到公司形象及安全，还关系到员工本人的切身利益，一定要妥善保管。2.公司信息安全方面的规定都有哪些？在哪里可以查到信息安全的有关管理规定？答：信息

2、安全部在参考国际安全标准ISO27001，制订了一套比较完整的信息安全方面的管理规定，其中与普通员工关系密切的有计算机及周边设备管理制度、信息资产分类分级管理程序、信息系统运行维护管理办法、电子邮件管理办法、信息系统权限分配管理办法、数据准确管理办法、上网行为安全管理办法、IT 服务投诉与建议管理办法、网络运行安全管理办法、信息安全奖惩管理办法等。这些管理规定都引自于信息安全管理手册、信息安全策略、信息安全目标并且在不断的修改和完善之中。在“OA”上您可以查到公司信息安全相关的所有信息，如信息安全方面的规定、制度、操作手册、培训胶片、宣传材料和宣传案例等。各部门细化的信息安全管理规定，可咨询本

3、部门的信息安全专员。(二)计算机的安全口令设置1.公司规定的口令设置最低标准是什么，每次更换口令，都不容易记住新口令，该怎么办？答：普通用户（公司一般员工均为普通用户）设置口令的最低标准主要有以下几条：(1)口令长度不能少于6位且必须包含字母(2)口令至少应包含一个数字字符另外，一个好的口令除了符合口令的最低标准外，最好还应包含大小写字母和特殊的字符。设置简单的口令不安全，而复杂的口令又不容易记住。建议您用自己心中的一句话的拼音或英语语句的首个字母组合作为密码。如：就“我想去看2008奥运会”这一自己心中愿望的话，可以设置密码为WXqk2008ayh，或者用其他某段容易记住的字符串，稍加改造作

4、为口令，如一个换过特殊字符的网站地址等，这样的口令非常好记，也非常难猜。2.如果没有设置口令会带来哪些危害？答：对系统不设口令就像银行存折没有密码一样，是非常危险的。(1)如果不设开机口令，那么他人可轻松启动或重新启动系统，从而操作您的计算机，还可通过在CMOS中给机器设置开机口令，让您无法使用计算机；(2)便携机若不设硬盘口令，那么只要将您的硬盘接到别的计算机中，硬盘上所有资料就会一览无余的呈现出来；(3)如果不设屏幕保护口令，当您离开时，其他人可以轻易的进入、使用您的计算机，将您的文件删除或发送出去；(4) 共享文件夹时如果不设口令，任何能够和您计算机相连的人不需授权，均可拿走你共享的资料

5、。软件安装1. 为了保证计算机安全，在第一次使用计算机时有哪几项安全措施需要立即完成？答：需完成以下工作：(1)需要首先确认你的电脑安装了xx安全助手，获得准入认证后才能顺利进入公司内部网络。(2)需要立即安装操作系统的安全补丁，可以文件共享服务器指定路径下载，如总部路径为192.168.1.3各类软件、补丁程序补丁。(3)需要立即安装Trend防病毒软件。 (4)需要马上设定屏幕保护程序，并启用密码保护， 注意等待时间不能大于10分钟。(5) 设置开机口令，操作系统（administrator）口令，如果是便携机还应设置硬盘口令。如有疑惑，可以咨询报修 hotline：28852. 什么是非

6、标准软件？要使用非标准软件，应如何申请？ 答：非标准软件就是没有取得合法授权或者公司禁止安装使用的软件，非标准软件在公司的共享服务器上一般不会提供下载。因特殊工作原因需要使用非标准软件的情况，需要提IT服务申请流程，待信息安全部批准后方可由网络管理员上门安装使用。3. 我自己购买了一套软件，想安装在公司的计算机上，不知是否可以？答：不可以。常用办公软件在公司文件服务器上都有相应的安装软件，比如IE、Foxmail、Office 等等，需要安装时可直接连到文件服务器上安装。不要安装自己购买的软件，因为：(1)存在版权问题；(2)购买的软件未经公司测试，不能保证可靠稳定运行和正常维护；(3)更为严

7、重的是，还可能因购买的软件中带有木马、病毒程序、软件留有后门等给公司网络安全带来隐患。计算机维修/使用1.计算机发生故障需要修理时，应该注意哪些事项?答：员工应该要求维修人员尽量在公司内完成维修，并且监督整个维修过程。当需要将计算机带出公司维修时，为了防止泄密，一定要记得拆卸下硬盘，并存放在公司内的保密柜等安全的地方。2.计算机使用方面应注意哪些事项？答：需注意如下：(1) 不能在办公区拨号上网。(2) 私自转借计算机可能造成泄密隐患，因此未经批准，员工不得转借计算机。(3) 对特殊存储设备及其介质（如USB）的使用，需要走申请流程。(4) 私自使用计算机进行刻录、扫描存在较大信息安全隐患，因

8、此，刻录和扫描的需求须经审批后，由专人负责操作。(5) 公司配置给您的机器是公司的标准配置，未经批准，不得私自安装任何标准配置外的配件。网络配置和使用1.现在，也许你开始需要连入公司网络了。首先需要配置好网络，这时安全方面需要注意什么呢？答：个人计算机的IP地址应由信息安全部网络管理员分配，固定使用，不能擅自改变IP地址，否则可能引起网络冲突，影响公司网络的安全运行。公司的网络标准协议为TCP/IP。公司办公网络不得启动除公司标准协议外的任何其他网络协议，如SPX/IPX、NETBIOS等。禁止普通员工在公司办公网络安装启动DNS、Wins、DHCP等网络服务。如果您的操作系统是WINDOWS

9、 SERVER或Unix等服务器操作系统，可要非常小心这一点呀！2.网络设置好后，你就需要给您的计算机起一个名字，注意，可不能随便起，您知道计算机的命名规则吗？答：公司的计算机非常多，为了便于管理和维护，公司要求计算机命名方式为：您的姓名拼音字母 +工号。如果您管理多台计算机，请在工号后加-1、 -2 、-3、 -4 .3.个人能够设置等网络服务吗，为什么？答：未经批准，不得私自设置以及BBS、NEWS、DNS、Wins、DHCP等各种形式的网络服务，更不能在公司网络上运行任何攻击或破坏网络服务的软件。因为设置这类服务会对网络正常运行造成不良影响。如确实业务需要，不接入公司大网（如，仅在实验室

10、小网使用）同时需要向信息安全部提交服务申请。(三)人员安全人员安全-普通员工的职责1.作为普通员工，我在信息安全中的职责是什么？答：积极学习和遵守公司各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中。在工作中，要有强烈的信息安全和保密意识，要有职业的敏感性。有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他安全隐患的行为。2.对于信息安全方面问题，应该向谁咨询或反馈？答：您可以向直接向部门主管，信息安全专员咨询或反馈；还可以通过公司的报修热线（电话: 内线：2885，外线：5）或故障报修流程咨询或反馈。人员安全管理者的职责1.作为管理者，我在信息安全中的责任有哪些？

11、答：各级部门的一把手是本部门信息安全的第一责任人。负责信息安全管理规定在本部门的推行和落实。对本部门人员的违规事件承担领导责任。2.各级主管应负责本部门哪些与信息安全相关的活动？答：各级主管应负责本部门所有与信息安全相关的活动。具体有：确定各个资产、各个系统的管理员，使该管理员对该资产、系统的安全负责；在本部门内对员工进行培训、教育和宣传，使本部门每个员工都遵守公司的信息安全策略、标准和管理规定，报告信息安全隐患、漏洞或事故，树立主动保护公司信息资产的意识。员工出差1.在出差时，若需携带保密资料，应注意哪些事项？答：应注意如下事项：(1) 非因公外出时绝对不能携带绝密资料。(2) 因公外出只允

12、许携带工作相关文档，携带外出的保密资料需首先通过审批，在离开公司时出示经过审批的有效凭证；(3) 出差前请确认出差目的地的网络情况，如果完全无法接入网络，请确认便携机上的Office文档在本机上能正常使用。(4) 绝密级别的资料在出差期间必须随身携带，妥善保管；(5) 一般情况下，乘坐飞机、火车等公共交通工具时，含有保密信息的便携机等移动存储设备需随身携带，不能托运（但若与当地法律法规冲突，则以当地法律法规为准）；(6) 从酒店外出时，如确实无法随身携带，应将便携机、保密文件存放在保密柜中，不要交酒店前台保管；(7) 应做好访问控制的设置，如给便携机设置开机、屏保和硬盘口令等。岗位调动1.由于

13、工作需要，在进行工作交接时，应注意哪些信息安全问题？答：进行交接时，应注意做好以下几方面的工作：(1)保密信息的移交和清理；(2)应用系统帐号与权限的移交和清理；(3)归还办公室、机房等的钥匙。2.员工调动部门后，如何处理与新岗位工作职责无关的文档？答：在工作交接完毕后，应及时、彻底地删除或销毁您仍持有的所有与新岗位工作无关的文档，删除或销毁的方式必须符合公司规定，如要使用碎纸机销毁含保密信息的纸件，而不能直接扔垃圾箱或用手撕毁等。 如在新岗位需继续保留原岗位保密信息，一定要经过保密信息所有人批准。(四)信息安全奖惩规定1.信息安全奖励分为几个等级？具体的奖励办法是什么？答：根据对公司信息安全

14、的贡献大小，共分为三个等级。 一等奖： 举报泄密、窃密或其他严重损害公司利益事件的人员，根据具体情况给予2000元以上的奖励，并记入关键事件库。对举报人员只奖励，不公布。 二等奖： 勇于制止他人违规行为或及时向信息安全部反馈可能造成泄密、窃密或其他安全隐患的人员，给予500-1000 元的奖励，并记入关键事件库。 三等奖： 长期遵守信息安全管理规定的，在信息安全管理中一贯良好的部门或个人给予100-500元奖励，并记入关键事件库。 2.信息安全违规可分为哪几个等级？答：对于触犯国家法律的，公司会移交国家司法机关依法处理。此外，则根据违规行为的后果、性质以及违规人的主观意愿，将违规行为分为如下四

15、个等级：一级：有意盗窃、泄露公司保密信息，或有意违反信息安全管理规定，性质严重造成重大损失。二级：有意违反信息安全管理规定，性质严重或造成损失。三级：无意违反信息安全管理规定，造成公司损失；或者有意违反信息安全管理规定，但性质不严重且没有造成严重损失。四级：违反信息安全管理规定，性质较轻，没有造成公司损失。常见违规行为（1）常见四级违规a)未经批准，安装非标准软件b)未经批准，拷贝、保存工作无关的文档资料等c)未经批准，在公司办公区域摄像、摄影d)发送与工作无关文件(人数少,性质不严重)e)没有安装、运行公司规定的防病毒软件，或未设置集中管理f)没有设置屏保口令、开机口令、共享口令、硬盘口令（

16、便携机）、Administrator口令g)接待客人时，未按规定进行陪同（2） 常见三级违规a.未经批准，访问游戏站点b.未经批准，拨号上Internet网c.无意启动DHCP服务，影响公司网络正常运行d.未经批准，转借信息系统帐号e.未经批准，使用特殊存储设备f.持有与本岗位无关的保密文档g.非正当渠道获取或传递保密文档h.未经批准，私自将公司保密文档或信息授予XX的任何其他人员（包括公司人员和非公司人员）i.系统管理员未按公司规定设置相关系统的安全配置标准（3） 常见二级违规a.发送与工作无关连环邮件b.访问不健康网站c.系统管理员未经正常流程，私自授予系统权限d.在公告栏发布与工作无关内

17、容或造成泄密e.未经允许，在各种媒体、公众场合发表与公司有关的评论或言论f.未经批准，私自转借个人计算机g.私自刻录文档h.盗用他人帐号i.非法收集大量与本岗位工作无关保密文档（4） 常见一级违规a.未经批准，系统管理员查看、传播公司业务敏感数据b.编制或运行黑客程序c.编制或传播病毒程序d.攻击公司网络和信息系统e.窃取、盗卖公司保密信息3.访问保密信息有哪些基本原则？如何理解这些原则？有三项基本原则：最小授权原则、审批受控原则、工作相关原则。(1)最小授权原则：就是授予的权限刚好满足员工的工作需要。(2)审批受控原则：就是要严格控制信息的传递过程和扩散范围，保证做到“先审批，再获取；先登记

18、，再传递”。(3)工作相关原则：要求每一位员工只能查阅与本人工作有关的文档，严禁员工私自收集、保存与自己工作无关的文档。4.对公司来说，哪些信息属保密信息？ 答：公司对于信息从保密性的维度分为两大类：公开信息和保密信息，既包括公司内部业务运作过程中产生的信息，也包括客户、供应商、国家政府机关等相关方提供给公司的信息。(1)公开信息指可对公司外公开发布的信息，如：公司对外的相关宣传资料、产品介绍资料等。(2)保密信息指仅可在一定范围内发布的信息，如果泄漏，可能给公司或相关方造成损失和不良影响。5.xx公司的保密信息是怎样进行密级划分的？答：保密信息根据其价值、内容的敏感程度、影响及发放范围不同，

19、划分为绝密、机密、秘密、内控、公开五个级别。“绝密”信息是指包含公司最重要和最敏感的信息，关系公司未来发展的前途和命运，对公司根本利益有着决定性影响的保密信息。例如公司的年度预算方案、服务销售费用预算等文件。“机密”信息是指包含公司的重要秘密，其泄露会使公司的安全和利益遭受严重损害的保密信息。例如，客户投资计划、第三方咨询报告、未发布的任命文件等。“秘密”信息是指包含公司一般性信息，其泄露会使公司的安全和利益受到损害的保密信息。例如，供应商选择评估标准、部门审计报告、部门招聘计划等文件。“内控”信息是指仅在公司内部或在公司某一部门内部公开，向外扩散有可能对公司的利益造成损害的保密信息。例如，用

20、户操作手册、已发布的任命文件、一般部门的例会纪要、友商公开信息等。公开：指可对社会公开的信息，公用的信息处理设备和系统资源。6.谁是“信息所有人”？答：公司按信息密级划分的信息所有人分别如下：1)绝密信息所有人是信息所属一级部门及以上主管（副总经理以上）；2)机密信息所有人是信息所属二级部门及以上主管（副总监以上）；3)内控、秘密信息所有人是信息所属三级部门及以上主管（主管、副经理、经理）。4)公开信息所有人是信息拟制者。(五)密级的标识和分类1.什么时候需要确定文档的密级标识？答：当您初步完成一篇文档，并准备将文档传递给主管或同事进行评审、修订时，这时就应确定文档的密级。初步确定文档密级时，

21、您可以先参考“信息资产分级分类管理程序”数据库中对同类文档的密级分类，可以根据同类文档的密级分类来初步确定文档的密级。如新拟制的文档在该数据库中找不到同类的文档供参考，您可根据文档涉及内容的价值、敏感程度确定一个初步的密级。保密文档由拟制人初步判定其密级后，提交相应信息所有人进行密级确认。2.在日常工作中如何标识文档密级？答：(1) 对于Office文档，公司要求每位员工都使用公司提供的模板创建文档，创建后根据内容在页眉处添加正确的密级。(2) 对于打印资料，每一页都需要有明确的密级标识；(3) 对于装订的硬拷贝资料，需至少在开启前页、标题页和尾页上放置资料密级标签；(4) 对于印刷的、手写的

22、保密敏感信息需要在其某个醒目地方设置保密标签；(5) 电子文档和纸件文档，均需注明“xx机密，未经许可不得扩散”或类似字样。(六)文档的使用和交流1.公司内部文档传递中有哪些保密要求和注意事项？ 答：具体请参考信息资产分级分类管理程序中的信息资产的访问权限内容2.我可以将经过正常授权获得的保密文档提供给其他同事吗？答：不可以。公司规定，未经信息所有人批准，员工无权将自己所获得的保密信息再授权或提供给他人。因为经过授权后，您是信息的合法使用人，而不是信息所有人。经授权获得保密信息的人员也不能私下与他人交流该保密信息。3.对不用的保密信息应如何销毁？答：对作废的、或者已无权再接触的保密信息要删除和

23、销毁，删除和销毁原始保密信息应征得相应主管同意。对纸件、电子件、存储有保密信息的存储介质销毁时的注意事项如下：(1) 纸件：含保密信息的纸件必须用碎纸机销毁，而不能直接扔垃圾箱或用手撕毁；含秘密级以上信息的纸件不能重复使用。(2) 电子件：删除后注意清空垃圾箱。(3) 存储有保密信息的存储介质：存储有保密信息的存储介质作废时，应采取不能恢复的物理性销毁：如将硬盘送到我司指定地方进行碾轧或消磁等；在计算机转移给公司其他员工前，要对硬盘进行格式化；在计算机转移到公司之外（如超过规定使用年限的便携机报废）前，要拆下硬盘或对硬盘进行低级格式化。(七)应用系统使用1.我是否可以发送群组邮件？如果业务需要

24、向多人发送邮件，我应如何做？答：按照公司规定，未经批准，员工不可以使用群组发送邮件。在特殊情况下，由于工作需要发送群组邮件，员工必须首先确定群组的每个人都是自己要发送邮件的接收人，然后经过部门主管批准，才可以使用群组发送邮件。具体要求可参考电子邮件管理规定。2.使用Email发送保密邮件时，应该采取什么安全措施？答：在发送秘密级以上信息时，为了防止泄密，员工必须采取邮件加密发送的方式，密码以短信或电话方式告知对方，并设置回执（可以从自己收到的回执查看接收并阅读邮件的人）。3.现在Email上的病毒越来越多，我应该采取哪些措施来预防呢？答：在收到来历不明的邮件时，请不要打开，直接删除即可。 因为

25、目前大多数病毒和黑客软件就是通过邮件传播的。一些病毒程序，甚至你没有打开邮件内容，只要把焦点移到邮件标题上就会执行，因此，请记住不要设置“自动预览/预览窗口”的功能。取消的方法是，在Outlook的“视图”菜单中点击“自动预览”取消此功能。4.我经常收到一些广告邮件、无聊的垃圾邮件，如何防范垃圾邮件呢？答：由于外面有人专门收集Email地址出售，所以您的Email地址可能被列入其他人的邮件列表，经常会收到别人发的广告邮件和其它垃圾邮件。为避免接收到这些垃圾邮件，用户可以在客户端设置禁止接收特定内容的Email（目前服务器端可以过滤部分垃圾邮件）。方法如下：在Outlook中，先选中不想再接收发

26、件人发送的邮件，然后选择菜单“动作”，在选项“垃圾邮件”中选择“将发件人添加到阻止发件人名单”即可。也可以转发垃圾邮件到antispam，由系统拦截。方法如下：(1) Microsoft Outlook Express用户a. 选中收到的垃圾邮件。b. 单击右键，选择做为附件转发，您将会主题栏下看到一件附件。c. 填写收件人：antispam。d. 发送邮件。如果提示主题为空，点击“确定”即可。(2) Foxmail用户在Foxmail中选中（可以按住Ctrl键多选）垃圾邮件，将其拖至桌面或一个文件夹， 这些垃圾邮件会以一封一封邮件文件的形式保存的。然后，将这些保存的垃圾邮件作为附件发送到an

27、tispam。(3)Outlook 反馈方式（以下方法才可以保留邮件头，有效更新规则）：a、在桌面新建一个Spam文件夹；b、请您使用Ctrl选中多个垃圾邮件后，拖到Spam文件夹中；c、将这些spam文件夹打包成压缩包文件 spam.rar ；d、将spam.rar作为附件通过Outlook反馈到antispam。5.岗位变化后，能否继续使用以前申请的上网权限？答：不能。必须根据新的岗位需求重新申请相应权限。6.访问外部网站应注意哪些问题？答：公司为部分员工开通上网权限，目的是为员工从网上收集对工作有用资料、了解与工作有关的行业信息等提供方便。 在访问过程中，应注意：不能利用网络访问与工作无

28、关的网站和内容，更不能从网上下载游戏、黑客工具等内容。特别强调一点，不要通过网络访问个人外部邮箱。7.我能否在公司内登录到外网邮箱（如网易、SOHU等）收发邮件？答：公司禁止员工访问公司以外的邮箱。(八)物理安全环境安全1.下班离开前做好“五关”，我想知道“五关”具体是指什么?答：五关是指：关门、关窗、关空调、关灯、关计算机，做好“五关”是保证办公环境安全的基本要求之一。办公安全2.在办公桌面安全上我应该注意什么？答：下班或离开办公桌10分钟以上，应关闭或锁定计算机。桌面上不能放有秘密级以上文件。秘密级以上文件应放在带锁抽屉或保密柜内。会议安全3.在公司内部开会，需要注意哪些安全问题？答：(1

29、)开会前，需要确保选取的会议室和开会内容的安全级相匹配。例如：召开部门例会，可以选取部门公用会议室。(2)会议结束后，要带走相关的会议资料，同时清理会议室场所（包括相关机器设备上的电子件材料、白板上的板书信息、纸件材料等），保证会议信息的保密不泄漏和会议室使用后的整洁。4.什么情况下允许在公司外部开会？审批流程以及注意事项是什么？答：如果是特别保密或敏感的会议建议在公司内的会议室召开。特殊情况下（比如时间和空间条件限制、会议与会者的情况限制等）才可以在公司外部场所召开会议，召开之前需要得到会议组织部门领导的批准。相关的注意事项是：(1)会议召集人负责会议的信息安全。在会议前就应明确与会者名单；

30、开会时确定与会者的身份及其参会资格，比如，要求与会者佩戴工卡并核对签到等；会议期间，会场的出入口应有专人看守；确认除主入口外，其他入口已经关闭或是有专人看守。(2)每位与会者应自觉将会议资料保管好，不得在离开会议现场时随意将其放置在桌面上或是在人离开后放置在宾馆房间里，更不能将保密资料随手丢到酒店的垃圾筐内。(3) 如果需要录音、录相或者拍照等，需要经过会议组织部门领导批准。(九)网络安全网络连接安全1.所有计算机都必须安装xx安全助手才能接入公司网络吗？Unix平台的机器怎么办？ 答：所有需要接入公司网络访问公司应用的Windows平台的客户端设备都需要安装xx安全助手，包括但不限于公司内部人员管理的客户端设备、外包人员使用设备、供应商提供测试设备、顾问或临时来访人员使用设备。非Windows平台的设备