公司信息安全策略范例.docx

公司信息安全策略范例第一章总则第一条为了提高员工信息安全防备意识和操作技能，保障公司信息安全，根据公司信息安全管理制度的要求，制定本守则。第二条公司全体员工须遵守公司信息安全制度和本守则，共同维护和保障公司信息安全，确保公司各项业务正常开展。第三条本守则遵循“信息安全，人人有责、“谁使用，谁负责的原则。公司全体员工人人行动起来，积极学习信息安全知识，提高防备意识和操作技能，自觉遵守信息安全制度，共同保障公司信息系统的安全运行。第四条本守则是对员工日常操作公司信息系统的基本要求，在公司信息安全制度高于本守则要求或发生冲突时，应以公司信息安全制度为准。第二章口令使用第五条安全优质的用户口令是保障信息安全的第一步。员工应为个人使用电脑设置好开机、屏幕保护口令，为各类帐户设置好登录口令，口令设置遵循下面基本原则：1)在信息系统可支持情况下，一般用户口令长度8位以上，并由字母、数字混合构成，重要系统管理员口令长度12位以上，并由字母、数字、特殊字符混合构成；2)要便于本人记忆；3)不使用别人容易利用个人相关信息猜想的信息。例如用户名、姓名拼音名称、英文名称、生日、电话号码、身份证号码以及其它系统已使用的口令等；4)避免使用连续的一样数字，或者全是数字或全是字母的字符组。5)不使用字典中完好单词，避免字典攻击；6)不同安全等级、不同应用用处的用户应设置不同口令。例如：业务用户和非业务用户、公司内部用户和普通上网用户等应分别设置不同口令；第六条注意口令保密。不得将个人用户口令泄露给别人，也不得打听或猜想别人用户口令。避免将口令记录在别人可能容易获取的地方，例如笔记本、纸条、电子文件等；避免在自动登录经过中以不安全的方式保存口令。第七条新用户在第一次登录时应修改其临时设置的口令；设置缺省口令的新用户，用户生效后及时登录并修改口令。第八条定期修改口令。业务终端登录用户和业务类用户每季度至少修改一次，重要用户根据其他制度要求增加修改频率。普通办公终端登录用户和办公类用户半年至少修改一次。避免重复使用旧口令。第三章病毒防备第九条计算机病毒及木马等恶意程序能导致系统毁坏、数据泄露、网络中断等严重安全事件发生，是信息系统的最大安全威胁之一。员工应配合作好个人办公机及个人业务终端等的病毒防备工作。第十条员工应检查确认个人所用电脑已安装好防病毒软件，如未安装应及时联络信息安全管理员安装或信息安全管理员指导下自行安装。除安装建议上互联网电脑安装安全防护软件，例如瑞星卡卡安全助手、360安全卫士等。第十一条个人所用电脑应开启防病毒软件及相应安全防护软件的实时防护功能，如未开启应及时联络信息安全管理员处理或信息安全管理员指导下自行处理。第十二条防病毒软件及相应安全防护软件升级周期为办公机实时升级、业务终端每周至少升级一次，员工应检查确认能否及时升级，每周至少检查一次，如未及时升级应及时联络信息安全管理员处理或信息安全管理员指导下自行处理。第十三条员工个人所用电脑每周至少进行一次病毒全面查杀，防病毒软件一般设置为定期自动查杀，如未设置，可以手动进行查杀。第十四条个人所用电脑上发现病毒时，应及时将情况报告信息安全管理员。业务终端上发现病毒时，应立即断开网络，全面查杀并经信息安全管理员确认后方可再次连入网络。第十五条在使用U盘、光盘、软盘等移动介质前，一定要先进行病毒检查；在业务终端上使用的U盘等应作到专用；尽量减少在业务终端上使用移动介质；不明来历的移动介质应慎重使用。第十六条员工不得制造、传播计算机病毒。第十七条员工发现防病毒软件不能有效去除病毒时，应立即向本部门信息安全管理人员或信息技术中心报告，在问题处理前禁止使用感染病毒的文件。第四章上互联网第十八条互联网是一个开放的网络环境，上网时可能遭到恶意网站或者黑客的攻击，导致系统感染病毒、系统被毁坏、数据泄露等安全事件发生。第十九条员工上网经过中应遵守国家法律法规，不得利用公司网络制作、复制、查阅、传播违背国家法律法规的有害信息。第二十条员工不得利用公司上网资源下载与工作无关的文件。第二十一条员工要养成良好的上网安全操作习惯：1)上网前确认已开启防病毒软件和安全防护软件的实时监控功能；2)不访问与工作无关的网站，十分是游戏、淫秽、反动等类型的网站；3)安全软件提示发现病毒或恶意程序停止访问该网站。4)不要轻易点击通过QQ、MSN、邮件等传过来的网址。5)上网经过中被自动提示安装软件或修改配置时，除非能确以为实际需要外，一般都选择“否。第二十二条上网注册帐户时，用户名密码不要与公司内部用户名密码一样或有关联。除非必要，一般不提供真实姓名和联络方式，不将公司邮箱提供作为联络邮箱。第二十三条避免在网吧等公用上网电脑登录公司OA等内部系统，如不可避免时，则注意不使用“记住密码功能，使用完后正常退出用户，并及时在公司电脑上修改用户口令。第二十四条严禁通过远程控制方式从互联网或其他外部网络远程操作公司电脑，如因工作需要时，须信息安全管理员报信息技术中心审批同意，并作好经过监控和记录。第五章电子邮件第二十五条电子邮件已成为常用的通信方式，但电子邮件导致病毒传播、数据泄露，垃圾邮件消耗系统资源、降低工作效率等安全问题日益严重，员工在使用电子邮件时应作好相应安全防备工作。第二十六条根据用处和数据安全等因素建立邮箱分类使用策略：1)收发公司业务数据时使用公司内部OA邮箱；2)公务处理和私人邮箱分开；3)网站注册用户时提供不重要的邮箱作为联络邮箱等，第二十七条为经常使用的邮箱和重要邮箱设置优质的密码，并定期修改，建议每季度修改一次。不同用处的邮箱设置不同的密码。第二十八条防备电子邮件传播病毒的基本要求：1)在收发电子邮件前，应确认防病毒软件实时监控功能已开启；2)对每次收到的电子邮件，使用前均检查病毒；3)在收到来自公司内部员工发来的含有病毒的邮件，除本人进行杀毒外，还应及时通知对方杀毒；4)不打开可疑邮件、垃圾邮件、不明;邮件等提供的附件或网址，对这类邮件直接删除；第二十九条防备垃圾邮件的基本要求：1)经常使用的邮箱，尤其是公司内部邮箱，应尽量避免在互联网上公开。例如：网上调查表填写、网站用户注册、BBS论坛中。2)不要回复可疑邮件、垃圾邮件、不明;邮件。第三十条防备数据泄露的基本要求：1)收发公司业务相关的邮件时，必须使用公司内部邮箱，并尽量要求对方使用对方公司内部邮箱。2)发送敏感数据时，应采用加密邮件方式发送。3)不要在免费邮箱上保存敏感数据。第六章网络使用第三十一条未经允许员工不得私自更改个人所用电脑的IP地址、系统服务、网络协议、通信端口限制等网络参数。第三十二条公司的网络标准协议为TCP/IP，未经允许不得启用任何其它网络协议，如SPX/IPX，NETBIOS等。第三十三条未经批准员工不得在公司内部系统上私自拨号上网；对经批准能够拨号上网的，确认使用的计算机与公司网络断开后才可与外部网络连接。第三十四条员工不得在公司内部系统上私自建立远程拨号服务、远程控制服务或其他远程接入服务。第三十五条注意远程拨入用户、远程VPN帐户的安全保密，员工不得将拨入号码、用户密码等泄露给别人。第三十六条员工不得私自通过双网卡方式让个人电脑跨接在不同安全等级的网络区域。第三十七条员工不得私自更改到网络设备的连接，需要变动时应提出申请，由网络管理员负责更改；不得将上网办公电脑接入业务网络或将业务网终端接入办公网。第三十八条严禁私自让外来人员电脑接入公司网络。如因工作需要，须经审批后在网络管理人员指导下接入可供外来人员使用的网络区域。第三十九条员工与工作相关的笔记本电脑、PDA设备通过无线方式接入公司网络时，须经网络管理员和相关部门负责人批准同意，并按网络管理员要求作好登录认证、传输加密等安全设置。第七章数据和文件安全第四十条公司业务数据、客户数据、重要文件、技术文档等均属于公司信息资产，员工应注意保护，防止数据泄露，更不得利用网络、计算机采集、泄漏公司机密信息；第四十一条个人所用电脑上一般不保存公司机密数据，如确需保存时，应采取适当的加密措施，并妥善存放，使用完后及时删除。第四十二条个人办公机上的文件资料应妥善保存。建立适当的数据存放目录，重要文件资料建议加密保存，定期清空回收站、相关通信软件接收目录等。第四十三条删除敏感数据时，要求使用不可恢复的删除工具进行删除。第四十四条业务终端应通过技术手段，严格控制U盘、光盘、软盘等移动介质的使用。第四十五条移动移动电脑上如保存有公司敏感数据时，应对数据采取加密存放措施。第四十六条严禁私自拷贝业务数据、客户数据等带离工作场所，如因工作需要时，须经过部门负责人审批同意。第八章系统使用第四十七条员工不得私自开启计算机机箱，不得私自装配并使用可读写光驱、磁带机、磁光盘机和USB硬盘等外置存储设备。第四十八条员工不得将公司配备的个人工作用笔记本电脑借给别人使用。第四十九条员工不得安装使用黑客工具软件，不得安装影响或毁坏公司网络运行的软件。第五十条员工不得私自在公司内部系统中设立网站、论坛、游戏等服务站点。第五十一条员工不应使用未经公司许可的软件，十分是没有正式版权的软件。第五十二条业务终端上严禁安装与业务无关的软件。个人办公电脑上严禁安装与工作无关的软件。第五十三条个人所用电脑均应设置自动锁屏状态，建议自动锁屏时间设置为10分钟。员工离开座位时应设置电脑为退出状态或锁屏状态。第五十四条登录相关应用系统，在使用完毕后应及时退出。需持续办理业务的终端如柜台终端，应根据业务办理情况设置适宜的应用程序自动锁定时间，建议为5分钟。第五十五条无人值守的终端，操作人员离开时应设置为锁屏状态或其他防护措施。第五十六条下班时个人所用电脑应关闭，办公桌上敏感资料、插在电脑上的硬件密钥等应锁存。第五十七条更换工作岗位时，员工应主动上交用户权限、门禁卡等。第九章附则第五十八条因违背公司信息安全管理制度和本守则规定，导致影响公司信息系统运行、造成公司机密数据泄露等安全事件发生的，根据影响情况给予相应处罚。第五十九条本守则是基于公司目前信息安全制度和技术条件制定，将来根据制度和技术条件的变化适时修改发布。第六十条本守则每年审核一次，根据审核结果修订并重新公布执行。第六十一条本守则由技术中心制定并负责解释。第六十二条本守则自发布之日起施行。