信息安全管理規(guī)范

公司

版本信息

當(dāng)前版本：

最新更新日期：

最新更新作者：

作者：

創(chuàng)建日期：

審批人：

審批日期：

修訂歷史

版本號更新日期修訂作者主要修訂摘要

TableofContents（目錄）

1.公司信息安全要求...........................................................5

1.1信息安全方針..................................................................5

1.2信息安全工作撤U..............................................................................................................5

1.3職責(zé)..........................................................................6

1.4信息資產(chǎn)的分類規(guī)定............................................................6

1.5信息資產(chǎn)的分級（保密級別）規(guī)定...............................................7

1.6現(xiàn)行保密級別與原有保密級別對照表.............................................8

1.7信息標(biāo)識與處置中的角色與職責(zé)..................................................8

1.8信息資產(chǎn)標(biāo)注管理規(guī)定..........................................................9

1.9允許的信息交換方式..........................................................10

1.10信息資產(chǎn)處理和保護要求對應(yīng)表................................................10

1.11口令使用策略.................................................................12

1.12桌面、屏幕清空策略..........................................................13

1.13遠程工作安全策略............................................................14

1.14移動辦公策略.................................................................14

1.15介質(zhì)的申請、使用、掛失、報廢要求............................................15

1.16信息安全事件管理流程........................................................17

1.17電子郵件安全使用規(guī)范........................................................19

1.18設(shè)備報廢信息安全要求........................................................20

1.19用戶注冊與權(quán)限管理策略......................................................20

1.20用戶口令.................................................................21

1.21終端網(wǎng)絡(luò)接入準(zhǔn)則............................................................21

1.22終端使用安全準(zhǔn)則............................................................21

1.23出口防火墻的日常管理規(guī)定....................................................22

1.24局域網(wǎng)的日常管理規(guī)定........................................................23

1.25集線器、交換機、無線AP的日常管理規(guī)定.......................................23

1.公司信息安全要求

1.1信息安全方針

■擁有信息資產(chǎn)，積累、共享并保護信息資產(chǎn)是我們共同的責(zé)任。

■管理與技術(shù)并重，確保公司信息資產(chǎn)的安全,保障公司持續(xù)正常運營。

■履行對客戶知識產(chǎn)權(quán)的保護承諾，保障客戶信息資產(chǎn)的安全，滿足并超越

客戶信息安全需求。

1.2信息安全工作準(zhǔn)則

■保護信息的機密性、完整性和可用性，即確保信息僅供給那些獲得授權(quán)的

人員使用、保護信息及信息處理方法的準(zhǔn)確性和完整性、確保獲得授權(quán)的

人員能及時可靠地使用信息及信息系統(tǒng)；

■公司通過建立有效的信息安全管理體系和必要的技術(shù)手段，保障信息資產(chǎn)

的安全Z降低信息安全風(fēng)險；

■各級信息安全責(zé)任者負(fù)責(zé)所轄區(qū)域的信息安全，通過建立相關(guān)制度及有效

的保護措施，確保公司的信息安全方針得到可靠實施;

■全體員工應(yīng)只訪問或使用獲得授權(quán)的信息系統(tǒng)及其它信息資產(chǎn)，應(yīng)按要求

選擇和保護口令；

■未經(jīng)授權(quán)，任何人不得對公司信息資產(chǎn)進行復(fù)制、利用或用于其它目的；

■應(yīng)及時檢測病毒，防止惡意軟件的攻擊；

■公司擁有為保護信息安全而使用監(jiān)控手段的權(quán)力，任何違反信息安全政策的

員工都將受到相應(yīng)處理;

■通過建立有效和高效的信息安全管理體系，定期評估信息安全風(fēng)險，持續(xù)

改進信息安全管理體系。

1.3職責(zé)

全體員工應(yīng)保護公司信息資產(chǎn)的安全。每個員工必須認(rèn)識到信息資產(chǎn)的價

值，負(fù)責(zé)保護好自己生成、管理或可觸及的涉及的數(shù)據(jù)和信息。員工必須遵守

《信息標(biāo)識與處理程序》，了解信息的保密級別。對于不能確定是否為涉密信息

的內(nèi)容，必須征得相關(guān)管理部門的確認(rèn)才可對外披露。員工必須遵守信息安全

相關(guān)的各項制度和規(guī)定，保證的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)僅用于的各項工作相關(guān)的用

途，不得濫用。

1.4信息資產(chǎn)的分類規(guī)定

公司的信息資產(chǎn)分為電子數(shù)據(jù)、軟件、硬件、實體信息、服務(wù)五大類。

類別說明

電子數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)等各

種電子化的數(shù)據(jù)資料、項目文檔、管理文檔、運行管理規(guī)程、計

戈人報告、用戶手冊、作業(yè)指導(dǎo)書等各種電子化的數(shù)據(jù)資料。

軟件包括系統(tǒng)軟件、應(yīng)用軟件、共享軟件

系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等；

應(yīng)用軟件：外部購買的應(yīng)用軟件，辦公軟件等；

共享軟件：各種共享源代碼、共享可執(zhí)行程序等。

硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等

計算機設(shè)備：大型機、服務(wù)器、工作站、臺式計算機、移動計算

機等

存儲設(shè)備：磁帶機、磁盤陣列、工控機等

移動存儲設(shè)備：磁帶、光盤、軟盤、u盤、移動硬盤等

傳輸線路：光纖、雙絞線等

基礎(chǔ)保障設(shè)備：（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、

門禁、消防設(shè)施等，如對基礎(chǔ)設(shè)施使用屬于租用形式，請將其識別

到服務(wù)類別中。

安全保障設(shè)備：硬件防火墻、入侵檢測系統(tǒng)、身份驗證等

其他電子設(shè)備：打印機、復(fù)印機、掃描儀、傳真機等

實體信息紙制的各種文件、合同、傳真、會議紀(jì)要、財務(wù)報表、證書、電

報、發(fā)展計劃以及各類其他材質(zhì)的證書獎牌等。

服務(wù)通過各種協(xié)議方式固化下來的服務(wù)活動、如物業(yè)、第三方、供應(yīng)

商、提供檢修服務(wù)的提供方等。

1.5信息資產(chǎn)的分級（保密級別）規(guī)定

信息資產(chǎn)分為：一般、內(nèi)部公開、企業(yè)秘密、企業(yè)機密4個保密級別。

保密級別名稱說明

1一般性信息，可以公開的信息、信息處理設(shè)備和系統(tǒng)

資源。

2內(nèi)部公非敏感但僅限公司內(nèi)部使用的信息、信息處理設(shè)備和

開系統(tǒng)資源。

3企業(yè)秘敏感的信息、信息處理設(shè)備和系統(tǒng)資源，只給必須知

密道者。

4企業(yè)機敏感的信息、信息處理設(shè)備和系統(tǒng)資源，僅適用極少

密數(shù)必須知道的人。

1.6現(xiàn)行保密級別與原有保密級別對照表

保密級別與公司原有的保密級別的對照表如下：

現(xiàn)行的保密級別與之相當(dāng)?shù)脑斜Ｃ芗墑e

一般一般

內(nèi)部公開秘密

企業(yè)秘密機密

企業(yè)機密絕密

1.7信息標(biāo)識與處置中的角色與職責(zé)

角色職責(zé)

責(zé)任人：信息資產(chǎn)的創(chuàng)建者，或■理解和各種信息訪問活動相關(guān)的安全風(fēng)

者主要用戶所在組織、單位或部險；

門的負(fù)責(zé)人。信息資產(chǎn)責(zé)任人對■根據(jù)公司信息密級劃分標(biāo)準(zhǔn)來確定所屬信

所屬信息資產(chǎn)負(fù)直接責(zé)任。息資產(chǎn)的級§!!;

■根據(jù)公司相關(guān)策略確定并檢查信息訪問權(quán)

限；

■針對所屬信息資產(chǎn)提出恰當(dāng)?shù)谋Ｗo措施。

保管者：受信息資產(chǎn)責(zé)任人■根據(jù)公司相關(guān)策略和信息資產(chǎn)責(zé)任人的要

委托，對信息資產(chǎn)進行日常求，負(fù)責(zé)信息資產(chǎn)的維護操作和日常管理

的管理，維護已經(jīng)建立的保事務(wù)；

護措施。資產(chǎn)保管者通常是■負(fù)責(zé)具體設(shè)置信息訪問權(quán)限；

公司或部門的IT管理者或者■負(fù)責(zé)所管理的信息資產(chǎn)的安全控制；

代表(例如系統(tǒng)管理員)?！霾渴鹎‘?dāng)?shù)陌踩珯C制，進行備份和恢復(fù)操

作；

■按照信息資產(chǎn)責(zé)任人的要求實施其他控

制。

用戶：信息資產(chǎn)的使用者，除了■向信息責(zé)任人申請信息訪問；

公司內(nèi)部員工，也可能是因為業(yè)■按照公司信息安全策略要求正當(dāng)訪問信

務(wù)需要而訪1可公司信息的客戶息，禁止非授權(quán)訪問；

或第三方組織。■向相關(guān)組織報告隱患、故障或者違規(guī)事

件。

1.8信息資產(chǎn)標(biāo)注管理規(guī)定

(1)公司所屬的各類信息資產(chǎn)，無論其存在形式是電子、紙質(zhì)還是磁盤等，

都應(yīng)在顯著位置標(biāo)注其保密級別。

(2)一般電子或紙質(zhì)文檔應(yīng)在該文檔頁眉的右上角或頁腳上標(biāo)注其保密級別

或在文件封面打上保密章，磁盤等介質(zhì)應(yīng)在其表面非數(shù)據(jù)區(qū)予以標(biāo)注其

保密級別。

(3)如果某存儲介質(zhì)中包含各個級別的信息，作為整體考慮，該存儲介質(zhì)的

保密級別標(biāo)注應(yīng)以最高為準(zhǔn)。

(4)如果沒有明顯的保密級別標(biāo)注，該信息資產(chǎn)以〃一般〃級別看待。

(5)對于對外公開的信息，需要得到相關(guān)責(zé)任人的核準(zhǔn),并由對外信息發(fā)布

部門統(tǒng)一處理。

(6)如需在信息資產(chǎn)上表述保密聲明，可采用以下兩種表述方式：

表述方式一：“保密聲明：公司資產(chǎn)，注意保密。"

表述方式二："保密聲明：本文檔受國家相關(guān)法律和公司制度保護，不

得擅自復(fù)制或擴散。"

1.9允許的信息交換方式

公司允許的信息交換方式有：郵件、視頻、電話、網(wǎng)站內(nèi)容發(fā)布、文件共

享、傳真、光盤、磁盤、磁帶和紙張。

1.10信息費產(chǎn)處理和保護要求對應(yīng)表

企業(yè)機密企業(yè)秘密內(nèi)部公開一般

授需得到責(zé)任人和需得到相關(guān)責(zé)任需得到責(zé)無特別

權(quán)公司管理層批準(zhǔn)人及部門領(lǐng)導(dǎo)批港任人批準(zhǔn)要求

只能被得到授權(quán)只能被公司內(nèi)部可以被公任何公

的公司極少數(shù)核心或外部得到明確授司內(nèi)部或外司員工或

訪

人員訪問權(quán)的人員訪問，訪部因為業(yè)務(wù)外部人員

問

問者應(yīng)該簽署保密需要的人員都可以訪

協(xié)議訪問問

電子類的應(yīng)該加電子類的應(yīng)該妥電子類的以恰當(dāng)

密存儲在安全的計善保存在設(shè)有安全應(yīng)該妥善保方式保

算機系統(tǒng)內(nèi)；硬拷控制的計算機系統(tǒng)管，可以進存，避免

貝應(yīng)該鎖在安全的內(nèi)（建議進行信息加行加密;紙被非授權(quán)

存

保險柜內(nèi)；禁止以密）；硬拷貝應(yīng)該妥質(zhì)不應(yīng)放在人員看

儲

其他形式存儲或顯善保管，嚴(yán)禁擺放桌面至II；存儲

示在桌面；使用白板有信息的

展示后應(yīng)立即擦除介質(zhì)避免

丟失

得到相關(guān)責(zé)任人須經(jīng)相關(guān)責(zé)任人經(jīng)相關(guān)責(zé)內(nèi)部復(fù)

復(fù)及公司管理層批批準(zhǔn)，并讓專人操任人批準(zhǔn)制無限制

制準(zhǔn)；需要登記作或監(jiān)督實施，需

要登記

禁止打?。ɑ蛟陧毥?jīng)相關(guān)責(zé)任人經(jīng)相關(guān)責(zé)無限

授權(quán)情況卜專人負(fù)許可，打印件標(biāo)注任人許可，制，打印

打

責(zé)打印，不得打印密級并妥善管理，打印件標(biāo)注件標(biāo)注密

印

到無人值守機）不得打印到無人值密級并妥善級

守機管理

禁止郵件直接發(fā)須經(jīng)相關(guān)責(zé)任人經(jīng)相關(guān)責(zé)無限制

送，經(jīng)授權(quán)后做電許可，郵件發(fā)送應(yīng)任人許可

郵

子簽名和加密控做加密控制，保留

件

制，經(jīng)安全的途徑記錄

發(fā)送，保留記錄

禁止傳真須經(jīng)相關(guān)責(zé)任人經(jīng)相關(guān)責(zé)無限制

傳

許可后專人負(fù)責(zé)傳任人許可

真

真

快經(jīng)授權(quán)后采取妥紹受權(quán)后，由簽經(jīng)授權(quán)無限制

遞善的保護措施，由署了特定安全協(xié)議后，由簽署

專人快遞的專門的快遞公司J方At?女士

快遞協(xié)議的專門

的快遞公司

快遞

經(jīng)相關(guān)責(zé)任人和經(jīng)相關(guān)責(zé)任人批經(jīng)授權(quán)無限制

公司管理層批準(zhǔn)準(zhǔn)后，密封分發(fā)，后，以內(nèi)部

內(nèi)部分后，密封分發(fā)，或或以允許的電子分郵件形式發(fā)

發(fā)以允許的電子分發(fā)發(fā)形式進行安全的放，或直接

形式進行安全的分分發(fā)進行硬拷貝

發(fā)分發(fā)

經(jīng)相關(guān)責(zé)任人和經(jīng)相關(guān)責(zé)任人批經(jīng)授權(quán)經(jīng)授權(quán)

公司管理層批準(zhǔn)后準(zhǔn)后分發(fā)，需簽署后,以郵件后，以允

^^卜分分發(fā)，需要簽署特保密協(xié)議，需要進或者快遞方許的分發(fā)

發(fā)定的保密協(xié)議，需行登記式分發(fā)，建方式分發(fā)

要進行登記議簽署保密

協(xié)議

碎紙機；徹底銷碎紙機；徹底捎保存件標(biāo)電子記

毀介質(zhì)；電子記錄毀介質(zhì)；電子記錄明作廢；電錄定期消

處

定期消除；進行檢定期消除；進行檢子記錄定期除，介質(zhì)

理

查確認(rèn)查確認(rèn)消除；介質(zhì)銷毀

銷毀

直接責(zé)任人應(yīng)有跟蹤文件復(fù)制、無要求不建議

記錄跟收件人、復(fù)制者、保存、瀏覽、銷毀跟蹤

蹤保存者、瀏覽者、過程，應(yīng)有記錄

銷毀者的日志記錄

1.11口令使用策略

全體員工在挑選和使用口令時，應(yīng):

(1)保證口令的機密。

(2)除非能安全保存，避免將口令記錄在紙上,

(3)只要有跡象表明系統(tǒng)或口令可能遭到破壞，應(yīng)立即更改口令。

(4)選用高質(zhì)量的口令，最少要有6個字符，另外：

A.口令應(yīng)由字母加數(shù)字組成;

B.口令不應(yīng)采用如姓名、電話號碼、牛日等容易猜出或破解的信息。

(5)每三個月更改或根據(jù)訪問次數(shù)更改口令(特別是特權(quán)用戶)，避免再次使

用或循環(huán)使用舊口令。

(6)首次登錄時，應(yīng)立即更改臨時口令。

(7)不得共享個人用戶口令。

1.12桌面、屏幕清空策略

為了降低在正常工作時間以外對信息進行未經(jīng)授權(quán)訪問所帶來的風(fēng)險、損

失和損害，員工應(yīng)：

(1)在閑置或工作時間之外將紙張或計算機存儲介質(zhì)儲存在合適的柜子或其

它形式的安全設(shè)備中。

(2)當(dāng)辦公室無人時將關(guān)鍵業(yè)務(wù)信息放置到安全地點(比如防火的保險箱或柜

子中)。

(3)在無人使用時，將個人計算機、計算機終端和打印機、復(fù)印機設(shè)為鎖定

狀態(tài)。

(4)為個人計算機、計算機終端設(shè)定密碼，同時設(shè)定屏保時間(<=15分

鐘)。

(5)在打印保密級別為企業(yè)機密、企業(yè)秘密的信息后，應(yīng)立刻從打印機中清

除相關(guān)痕跡，并有效保護打印出來的信息內(nèi)容。

3遠程工作安全策略

必須保護好遠程工作場所防止盜竊設(shè)備和信息、未經(jīng)授權(quán)公開信息、對公

司內(nèi)部系統(tǒng)進行遠程非法訪問或濫用設(shè)備等行為c員工應(yīng)：

(1)保障物理安全。

(2)對家人和客人使用設(shè)備進行限制。如果必須要使用，應(yīng)在旁邊進行監(jiān)督

和控制，確保關(guān)鍵業(yè)務(wù)信息的安全。

(3)遠程工作活動結(jié)束時，權(quán)限以及設(shè)備及時收回。

(4)網(wǎng)絡(luò)遠程登錄終端的撥號密碼即VPN帳號僅限本人使用，不允許他人使

用。

(5)進入公司或客戶的信息系統(tǒng)工作完畢后，必須立即退出系統(tǒng)。

1.14移動辦公策略

使用移動辦公設(shè)備(如筆記本電腦)時，員工尤其應(yīng)該注意保證業(yè)務(wù)信息不

受損壞、非法訪問或泄密：

(1)移動辦公設(shè)備需要帶出公司工作場所時，應(yīng)進行登記。

(2)在公共場所使用移動辦公設(shè)備時，必須注意防范被未經(jīng)授權(quán)的人員窺

視。

(3)應(yīng)實時更新用于防范惡意軟件的程序。

(4)應(yīng)對信息進行方便快捷的備份。

(5)備份的信息應(yīng)該予以適當(dāng)?shù)谋Ｗo以防信息被盜或丟失。

(6)使用移動辦公設(shè)備通過公共網(wǎng)對公司商務(wù)信息進行遠程訪問時必須進行

身份識別和VPN訪問控制。

(7)防止移動辦公設(shè)備被盜。

(8)防止保密級別為企業(yè)秘密級以上的信息所在的移動辦公設(shè)備無人看管。

1.15介質(zhì)的申請、使用.掛失、報廢要求

(1)介質(zhì)的申請:

序號責(zé)任者任務(wù)相關(guān)文件或記錄

1資產(chǎn)管理員按照公司的固定資產(chǎn)或《固定資產(chǎn)管理制度》

消耗資材申領(lǐng)方式向公

《計算機維護消耗資材管

司申領(lǐng)介質(zhì)。

理辦法》

2資產(chǎn)管理員從公司領(lǐng)取介質(zhì)并登記《介質(zhì)登記表》

到《介質(zhì)登記表》中C

3資產(chǎn)管理員如通過設(shè)備管理，需通參見使用說明

過usb使用的移動存儲

介質(zhì)在中注冊。

4資產(chǎn)管理員在《介質(zhì)登記表》中登《介質(zhì)登記表》

記發(fā)放時間，使用人等

信息后發(fā)放介質(zhì)。

(2)介質(zhì)的使用：

A.如安裝了設(shè)備，所有工作中使用的USB存儲介質(zhì)都應(yīng)在中進行注

冊。

B.如果確認(rèn)介質(zhì)中的內(nèi)容不再需要，應(yīng)立即將其以可靠方式清除。

C.如果數(shù)據(jù)需要保存，則使用人應(yīng)該保存在有良好安全措施的個人計

算機和服務(wù)器上，而不應(yīng)該放在計算機活動介質(zhì)中。

D.所有的備份介質(zhì)都應(yīng)存放在安全可靠的地方，并符合生產(chǎn)廠家說明

書的安全要求。

(3)介質(zhì)的掛失：

序號責(zé)任者任務(wù)相關(guān)文件或記錄

1使用者使用人立即向資產(chǎn)管理員申報掛失

2資產(chǎn)管理員如果是通過usb使用的移動存儲介

質(zhì)被掛失且在上注冊過，則應(yīng)在上

進行注銷。

3資產(chǎn)管理在介質(zhì)登記表中登記掛失《介質(zhì)登記表》

員

(4)介質(zhì)的報廢:

序號責(zé)任者任務(wù)相關(guān)文件或記錄

1使用者1)、書面文件用碎紙機粉碎

2)、其他介質(zhì)報廢，使用人向

資產(chǎn)管理員申請介質(zhì)報廢。

2資產(chǎn)管理如果是通過usb使用的移動存

員儲介質(zhì)且在上注冊過，則應(yīng)在上進

行注銷。

3資產(chǎn)管理按照公司的固定資產(chǎn)和消耗資《固定資產(chǎn)管理制

員材的報廢流程實施。度》

《計算機維護消耗

資材管理辦法》

4資產(chǎn)管理在介質(zhì)清單中登記已報廢《1介質(zhì)登記表》

員

146信息安全事件管理流程

(1)發(fā)現(xiàn)

A.公司全體員工都有責(zé)任和義務(wù)將已發(fā)現(xiàn)的或可疑的事件、故障和薄

弱點及時報告給相關(guān)部門或人員。

B.任何企圖阻攔、干擾、報復(fù)事件報告者的行為都被視為違反公司策

略。

(2)報告

A.對于部門范圍內(nèi)的信息安全事件，當(dāng)事人可直接向部門負(fù)責(zé)人報告,

并按照本部門規(guī)范進行處理。事件處理者需填寫附錄中的《信息安

全事件報告處理記錄單》，每月將相關(guān)記錄上交過程管理部。

B.除部門內(nèi)可以自行處理的信息安全事件外，其余信息安全事件必須

統(tǒng)一上報給客服記錄。

(3)響應(yīng)

A.客服對信息安全事件做出最初響應(yīng)，將技術(shù)方面的信息安全事件交

給系統(tǒng)服務(wù)部組織處理，將管理方面的信息安全事件交給過程管理

部組織相關(guān)部門進行處理。

B.需要做進一步調(diào)查的信息安全事件，當(dāng)其影響范圍涉及整個公司或

影響程度嚴(yán)重妨礙了公司的正常運營時，報告給信息安全管理委員

會。

C.事件響應(yīng)及處理者在處理安全事件時應(yīng)考慮以下優(yōu)先次序：

■保護人員的生命與安全

■保護敏感的設(shè)備和資料

■保護重要的數(shù)據(jù)資源

■防止系統(tǒng)被損壞

■將公司遭受的損失降至最小

D.如果發(fā)生違法事件，事件相關(guān)涉及部門要采集并保存有效證據(jù)，上

交過程管理部報告給公司最高管理者決策，由法務(wù)部向外部法律機

構(gòu)報告。必要時，法務(wù)部可以尋求外部專家的支持。

(4)評價/調(diào)查

安全事件或故障發(fā)生之后，事件處理者要對事件或故障的類型、嚴(yán)重程

度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責(zé)任人進行調(diào)查確認(rèn)，形成事件或故障

評價資料。

(5)懲戒

A.要根據(jù)事件的嚴(yán)重程度、造成的損失、產(chǎn)生的原因?qū)`規(guī)者進行

教育或者處罰。

B.懲戒手段可包括通報批評、行政警告、經(jīng)濟處罰、調(diào)離崗位、依

據(jù)合同給予辭退，對于觸犯刑律者可交司法機關(guān)處理。

C.具體處罰標(biāo)準(zhǔn)參見《信息安全管理職責(zé)程序》。

(6)公告

A.事件的調(diào)查結(jié)果要反饋給當(dāng)事部門領(lǐng)導(dǎo)。

B.當(dāng)事部門可組織相關(guān)的人員進行學(xué)習(xí)和培訓(xùn)。

1.17電子郵件安全使用規(guī)范

(1)公司電子郵件系統(tǒng)禁止用于創(chuàng)建與分發(fā)任何含有破壞性、歧視性的信息,

包括對種族、性別、殘疾人、年齡、職業(yè)、性取向、宗教信仰、政治信

念、國籍等方面的攻擊性語言。公司的員工如果接收到任何含有此類信

息的郵件，應(yīng)立即向主管領(lǐng)導(dǎo)進行匯報。

(2)禁止使用公司帳號發(fā)送連鎖信。禁止使用公司電子郵件帳號發(fā)送病毒或

惡意代碼警告由3件.這些規(guī)則也適用于當(dāng)公司員工接收到這類電子郵件

并進行轉(zhuǎn)發(fā)的情況。

(3)使用的郵件軟件客戶端要及時升級，減少由于軟件的漏洞而受到外部攻

擊，避免因此而導(dǎo)致的郵件丟失和系統(tǒng)中毒。

(4)郵件必須有標(biāo)題，盡量以文本方式瀏覽郵件。

(5)陌生人的郵件附件盡量不要打開，禁止撰寫、發(fā)送、轉(zhuǎn)發(fā)各種垃圾郵件,

禁止在未經(jīng)授權(quán)的情況下利用他人的計算機系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件。

(6)禁止使用工作郵箱從事任何非法活動及其與工作無關(guān)的郵件。

(7)為了保證郵件安全禁止使用自動轉(zhuǎn)發(fā)功能c

(8)公司業(yè)務(wù)信息郵件必須使用公司規(guī)定的業(yè)務(wù)專用郵箱發(fā)送，除了業(yè)務(wù)相

關(guān)郵件禁止使用業(yè)務(wù)郵箱發(fā)送其他郵件。

(9)郵件必須主題明確，能夠通過郵件主題判斷業(yè)務(wù)類別。

(10)做好郵件的病毒防護工作。發(fā)送郵件應(yīng)該注意郵件的保密,避免泄漏公

司機密。

(11)所有員工都要嚴(yán)格遵守《電子郵件安全使用規(guī)范》的相關(guān)規(guī)定，員工之

間應(yīng)互相監(jiān)督，及時制止違反規(guī)定的人員,對于使用公司郵箱傳播反動

言論、從事任何與法律或公司制度相違活動的人員將禁用或者注銷其郵

箱，并根據(jù)情節(jié)嚴(yán)重給予相應(yīng)處罰或提交司法機關(guān)處理。

8設(shè)備報廢信息安全要求

報廢設(shè)備上交前，使用者自己負(fù)責(zé)將設(shè)備介質(zhì)中的信息進行備份，機電一

體化產(chǎn)品事業(yè)部負(fù)責(zé)將設(shè)備介質(zhì)中的所有信息清除掉，以防信息泄漏。

1.19用戶注冊與權(quán)限管理策略

對任何多用戶使用的信息系統(tǒng)和服務(wù)設(shè)施進行訪問，應(yīng)：

(1)使用唯一的用戶名，以便將用戶與其操作聯(lián)系起來，使用戶對其操作負(fù)

責(zé)。只有因工作需要才允許使用組用戶名C

(2)添加新用戶或用戶權(quán)限變更時應(yīng)有書面申請并經(jīng)過審批。

(3)系統(tǒng)管理員對新注冊用戶進行授權(quán)。

(4)應(yīng)記錄所有注冊用戶。

(5)用戶因工作變更或離開組織時，應(yīng)立即取消其訪問權(quán)限。

(6)系統(tǒng)權(quán)限管理的責(zé)任人應(yīng)定期組織檢查并刪除多余的用戶名和賬戶，并

對用戶的訪問權(quán)限進行定期評審或在變動后進行評審。

(7)系統(tǒng)權(quán)限管理的責(zé)任人需要嚴(yán)格控制特權(quán)的分配和使用，要對特權(quán)的分

配和使用情況進行評審，確保沒有非法授予用戶特權(quán)，以保證對數(shù)據(jù)和

信息服務(wù)的訪問進行了有效的控制。

1.20用戶口令管理

在進行信息系統(tǒng)的口令管理，應(yīng)：

(1)用戶需要自己維護口令，系統(tǒng)僅在開始時提供一個安全的臨時口令，用

戶需要立即更改臨時口令。用戶忘記口令時，必須在對該用戶進行適當(dāng)

的身份核實后才能向其提供臨時口令。

(2)在向用戶提供臨時口令時必須確保其安全，避免使用第三方或無保護的

(明文)電子郵件，用戶應(yīng)對收到的口令予以確認(rèn)。

(3)不允許在計算機系統(tǒng)上以無保護的形式存儲口令。

(4)保證個人口令安全，確保工作組口令僅在本組成員間共享。

1.21終端網(wǎng)絡(luò)接入準(zhǔn)則

公司網(wǎng)絡(luò)覆蓋范圍內(nèi)使用的每臺計算機，員工均應(yīng)安裝公司規(guī)定的防毒軟

件，不得私自使用其他防毒軟件。

1.22終端使用安全準(zhǔn)則

(1)每臺計算機應(yīng)開啟實時監(jiān)控功能，定期進行計算機病毒檢測，并及時對

防毒軟件或病毒特征庫進行升級更新。

(2)每臺計算機應(yīng)定期連接公司網(wǎng)絡(luò)并從病毒服務(wù)器獲得防病毒軟件的最新

定義碼及掃描引擎。

(3)為防止計算機使用人員私自卸載客戶端及信息安全客戶端，卸載密碼和

工具由系統(tǒng)服務(wù)事業(yè)部統(tǒng)一管理。

(4)公司不定期組織相關(guān)部門對客戶端及信息安全客戶端安裝情況進行油查。

抽查情況將通報各相關(guān)部門并列入年度的績效考核。

(5)計算機使用人員在安裝、使用客戶端及信息安全客戶端中遇到技術(shù)問題，

可通過撥打客戶服務(wù)熱線尋求技術(shù)支持。

(6)為防止惡意代碼的侵?jǐn)_，每臺計算機必須按《訪問控制管理程序》第5.2.1

節(jié)的要求設(shè)置管理員口令；網(wǎng)絡(luò)共享文件必須設(shè)置密碼和只讀權(quán)限。

(7)任何部門和個人不得制作、復(fù)制、傳播計算機病毒，任何部門和個人負(fù)

有清除或防治計算機病毒的義務(wù)。

(8)不使用來路不明或含有盜版軟件的軟盤與光盤，不隨意安裝執(zhí)行從網(wǎng)絡(luò)

上下載的各種程序。當(dāng)需要從計算機信息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或者購

置、維修、借入計算機設(shè)備時,應(yīng)當(dāng)進行計算機病毒檢測。

(9)使用電子郵件,對來路不明的郵件(特別是含有附件的郵件)，收到后不

要打開，直接刪除并清空廢件箱。

1.23出口防火墻的日常管理規(guī)定

(1)為公司的出口防火墻設(shè)置只讀權(quán)限,便于監(jiān)視進出本公司的所有訪問。

(2)對防火墻的接口IP地址、用戶名、口令及配置文件信息進行嚴(yán)格管理。

(3)除授權(quán)人員外，禁止任何人員物理接觸防火墻；對防火墻的遠程管理僅

限于指定IP地址、指定管理方式、指定用戶、指定用戶的管理權(quán)限。

(4)嚴(yán)禁連接公司網(wǎng)絡(luò)的任］可單位和人員以任何形式對防火墻進行攻擊。

(5)集中收集、存儲防火墻報警日志，定期檢查防火墻安全記錄，優(yōu)化防火

墻訪問規(guī)則，杜絕安全漏洞。

(6)定期使用安全評估系統(tǒng)檢查防火墻的各項服務(wù)是否有漏洞。

(7)部門如有公司出口防火墻的變更需求，必須通過公司審批，備案在冊，

由系統(tǒng)服務(wù)部統(tǒng)一操作。

1.24局域網(wǎng)的曰常管理規(guī)定

各部門不得將私巨構(gòu)建的局域網(wǎng)接入公司網(wǎng)絡(luò)。如需接入必須通過公司審

批，備案在冊，由系統(tǒng)服務(wù)部統(tǒng)一操作。

員工在辦公區(qū)域只能通過公司內(nèi)網(wǎng)聯(lián)入互聯(lián)網(wǎng)。

1.25集線器、交換機.無線AP的日常管理規(guī)定

(1)各部門不得私自使用網(wǎng)絡(luò)訪問設(shè)備。

(2)禁止使用路由器及無線路由設(shè)備。

(3)如需使用集線器、交換機、無線AP,必須通過公司審批，備案在冊。

(4)無線AP必須設(shè)置符合安全要求的密碼(具體要求參見管理文件《訪問控

制管理程序》中5.2.1的要求)，只有被授權(quán)人員方可使用無線網(wǎng)絡(luò)。

(5)公司定期檢查集線器、交換機、無線AP的登記和使用情況。

1.26網(wǎng)絡(luò)專線的日常管理規(guī)定

(1)各部門不得私自搭建網(wǎng)絡(luò)專線。如需使用網(wǎng)絡(luò)專線必須通過公司審批，

備案在冊。

(2)公司定期檢查網(wǎng)絡(luò)專線的登記和使用情況,

1.27信息安全懲戒

(1)全體員工(含臨時員工、派遣員工、實習(xí)員工、常駐外包員工)均應(yīng)遵守

所有與信息安全相關(guān)的管理規(guī)定，不允許任何部門或人員有損害公司信

息安全的行為。

(2)對違反信息安全管理規(guī)定，并造成嚴(yán)重后果的部門或員工，由公司信息

安全管理委員會授權(quán)實施懲戒。

(3)懲戒手段包括通告、行政警告、經(jīng)濟處罰、調(diào)離崗位、依據(jù)合同予以辭

退，對于觸犯刑律者移交司法機關(guān)處理。

(4)對于的合同承包商和外部用戶，如果違反了信息安全管理規(guī)定，公司信

息安全委員會有權(quán)建議公司中止與他們的合同和協(xié)議。

2.信息安全知識

2.1什么是信息？

是來自任何來源的知識。

在ISO27001的標(biāo)準(zhǔn)里：

＞信息是一種資產(chǎn)，就象其它重要的企業(yè)資產(chǎn)一樣，

＞信息資產(chǎn)對組織具有價值，因而需要受到妥善的保護。

＞信息是有生命周期的。

安全保護應(yīng)兼顧到從其創(chuàng)建或誕生，到被使用或操作，到存儲，再到被傳遞，直至其

生命期結(jié)束而被銷毀或丟棄。

2.2什么是信息安全？

信息安全的目的是，保護信息不受各種威脅，以確保業(yè)務(wù)連續(xù)，將企業(yè)損失降至最

低,★鉞資收益與商業(yè)機會最大化。

信息安全的任務(wù)是，要采取措施（技術(shù)手段及有效管理）讓這些信息資產(chǎn)免遭威脅，

或者將威脅帶來的后果降到最低程度，以此維護組織的正常運作。

2.3信息安全的三要素

■機密性

編號：

曲間：2021年X月X日書山有路勤為徑，學(xué)海無涯苦作舟頁碼：第26頁共30頁

■完整性

■可用性

注：

1）、機密性：信息不可用或不被泄漏給未授權(quán)的個人、實體或過程的特性,確保只有

獲得授權(quán)的使用者才能使用信息。

2）、完整性：保護資產(chǎn)的精確與完整的特性，確保信息在存儲、使用、傳輸?shù)倪^程中

不會被未授權(quán)用戶篡改，同時還要防止授權(quán)用戶對系統(tǒng)及信息進行不恰當(dāng)?shù)拇鄹模?/p>

保持信息內(nèi)、外部表示的一致性。

3）、可用性：需要時，授權(quán)實體可以訪問和使用的特性，確保授權(quán)用戶或?qū)嶓w對信息

及資源的正常使用不會被異常拒絕,允許其可靠而及時地訪問信息及資源。

2.4什么是信息安全管理體系？

信息安全管理體系是協(xié)調(diào)的活動以指揮和控制：

■一組被分配職責(zé)和權(quán)限及關(guān)系的人和設(shè)備；

■保護信息的機密性、完整性和可用性；

■此外