信息安全管理規(guī)范

信息安全管理規(guī)范當(dāng)前版本:最新更新日期:最新更新作者:作者:創(chuàng)建日期:審批人:審批日期:修訂歷史主主要修訂摘要修訂作者更新日期版本號(hào)TableofContents(目錄)1.公司信息安全要求1.1信息安全方針擁有信息資產(chǎn)，積累、共享并保護(hù)信息資產(chǎn)是我們共同的責(zé)任。管理與技術(shù)并重，確保公司信息資產(chǎn)的安全，保障公司持續(xù)正常運(yùn)營(yíng)。履行對(duì)客戶知識(shí)產(chǎn)權(quán)的保護(hù)承諾，保障客戶信息資產(chǎn)的安全，滿足并超越客戶1.2信息安全工作準(zhǔn)則保護(hù)信息的機(jī)密性、完整性和可用性，即確保信息僅供給那些獲得授權(quán)的人員使用、保護(hù)信息及信息處理方法的準(zhǔn)確性和完整性、確保獲得授權(quán)的人員能及時(shí)可靠地使用信息及信息系統(tǒng)；公司通過(guò)建立有效的信息安全管理體系和必要的技術(shù)手段，保障信息資產(chǎn)的安低信息安全風(fēng)險(xiǎn)；各級(jí)信息安全責(zé)任者負(fù)責(zé)所轄區(qū)域的信息安全，通過(guò)建立相關(guān)制度及有效的保護(hù)措施，確保公司的信息安全方針得到可靠實(shí)施；全體員工應(yīng)只訪問(wèn)或使用獲得授權(quán)的信息系統(tǒng)及其它信息資產(chǎn)，應(yīng)按要求選擇未經(jīng)授權(quán)，任何人不得對(duì)公司信息資產(chǎn)進(jìn)行復(fù)制、利用或用于其它目的；應(yīng)及時(shí)檢測(cè)病毒，防止惡意軟件的攻擊；公司擁有為保護(hù)信息安全而使用監(jiān)控手段的權(quán)力,任何違反信息安全政策的員工通過(guò)建立有效和高效的信息安全管理體系，定期評(píng)估信息安全風(fēng)險(xiǎn)，持續(xù)改進(jìn)信息安全管理體系。.3職責(zé)全體員工應(yīng)保護(hù)公司信息資產(chǎn)的安全。每個(gè)員工必須認(rèn)識(shí)到信息資產(chǎn)的價(jià)值，負(fù)責(zé)保護(hù)好自己生成、管理或可觸及的涉及的數(shù)據(jù)和信息。員工必須遵守《信息標(biāo)識(shí)與處理程序》，了解信息的保密級(jí)別。對(duì)于不能確定是否為涉密信息的內(nèi)容，必須征得相關(guān)管理部門的確認(rèn)才可對(duì)外披露。員工必須遵守信息安全相關(guān)的各項(xiàng)制度和規(guī)定，保證的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)僅用于的各項(xiàng)工作相關(guān)的用途，不得濫用。1.4信息資產(chǎn)的分類規(guī)定公司的信息資產(chǎn)分為電子數(shù)據(jù)、軟件、硬件、實(shí)體信息、服務(wù)五大類。明存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫(kù)數(shù)據(jù)等各種電子化的數(shù)據(jù)資料、項(xiàng)目文檔、管理文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊(cè)、作業(yè)指導(dǎo)書等各種電子化的數(shù)據(jù)系統(tǒng)軟件：操作系統(tǒng)、語(yǔ)言包、工具軟件、各種庫(kù)等；類別件硬件實(shí)體信息應(yīng)用軟件：外部購(gòu)買的應(yīng)用軟件，辦公軟件等；共享軟件：各種共享源代碼、共享可執(zhí)行程序等。網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、工控機(jī)等傳輸線路：光纖、雙絞線等基礎(chǔ)保障設(shè)備：(UPS、變電設(shè)備等)、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等，如對(duì)基礎(chǔ)設(shè)施使用屬于租用形式，請(qǐng)將其識(shí)別到服務(wù)類別中。安全保障設(shè)備：硬件防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證等其他電子設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等書、電報(bào)、發(fā)展計(jì)劃以及各類其他材質(zhì)的證書獎(jiǎng)牌等。通過(guò)各種協(xié)議方式固化下來(lái)的服務(wù)活動(dòng)、如物業(yè)、第三方通過(guò)各種協(xié)議方式固化下來(lái)的服務(wù)活動(dòng)、如物業(yè)、第三方、供應(yīng)商、提供檢修服務(wù)的提供方等。服務(wù)1.5信息資產(chǎn)的分級(jí)(保密級(jí)別)規(guī)定信息資產(chǎn)分為：一般、內(nèi)部公開(kāi)、企業(yè)秘密、企業(yè)機(jī)密4個(gè)保密級(jí)別。明一般性信息，可以公開(kāi)的信息、信息處理設(shè)備和非敏感但僅限公司內(nèi)部使用的信息、信息處理設(shè)敏感的信息、信息處理設(shè)備和系統(tǒng)資源，只給必敏感的信息、信息處理設(shè)備和系統(tǒng)資源，僅適用極少數(shù)必須知道的人。保密級(jí)別1234稱開(kāi)企業(yè)秘密企業(yè)機(jī)密1.6現(xiàn)行保密級(jí)別與原有保密級(jí)別對(duì)照表保密級(jí)別與公司原有的保密級(jí)別的對(duì)照表如下：現(xiàn)現(xiàn)行的保密級(jí)別與之相當(dāng)?shù)脑斜Ｃ芗?jí)別秘密企業(yè)秘密機(jī)密企業(yè)機(jī)密絕密1.7信息標(biāo)識(shí)與處置中的角色與職責(zé)職職責(zé)理解和各種信息訪問(wèn)活動(dòng)相關(guān)的安全根據(jù)公司信息密級(jí)劃分標(biāo)準(zhǔn)來(lái)確定所根據(jù)公司相關(guān)策略確定并檢查信息訪色織、單位或部門的負(fù)責(zé)人。信息資產(chǎn)責(zé)任人對(duì)所屬信息針對(duì)所屬信息資產(chǎn)提出恰當(dāng)?shù)谋Ｗo(hù)措保管者：受信息資產(chǎn)責(zé)任根據(jù)公司相關(guān)策略和信息資產(chǎn)責(zé)任人人委托，對(duì)信息資產(chǎn)進(jìn)行的要求，負(fù)責(zé)信息資產(chǎn)的維護(hù)操作和日常的管理，維護(hù)已經(jīng)建立的保護(hù)措施。資產(chǎn)保管責(zé)具體設(shè)置信息訪問(wèn)權(quán)限；者通常是公司或部門的IT負(fù)責(zé)所管理的信息資產(chǎn)的安全控制；管理者或者代表(例如系部署恰當(dāng)?shù)陌踩珯C(jī)制，進(jìn)行備份和恢統(tǒng)管理員)。按照信息資產(chǎn)責(zé)任人的要求實(shí)施其他控制。用戶：信息資產(chǎn)的使用者，除了公司內(nèi)部員工，也可能按照公司信息安全策略要求正當(dāng)訪問(wèn)是因?yàn)闃I(yè)務(wù)需要而訪問(wèn)公司禁止非授權(quán)訪問(wèn)；信息的客戶或第三方組織。向相關(guān)組織報(bào)告隱患、故障或者違規(guī)事件。1.8信息資產(chǎn)標(biāo)注管理規(guī)定(1)公司所屬的各類信息資產(chǎn)，無(wú)論其存在形式是電子、紙質(zhì)還是磁盤等，都應(yīng)在顯著位置標(biāo)注其保密級(jí)別。(2)一般電子或紙質(zhì)文檔應(yīng)在該文檔頁(yè)眉的右上角或頁(yè)腳上標(biāo)注其保密級(jí)別或在文件封面打上保密章，磁盤等介質(zhì)應(yīng)在其表面非數(shù)據(jù)區(qū)予以標(biāo)注其保密級(jí)(3)如果某存儲(chǔ)介質(zhì)中包含各個(gè)級(jí)別的信息，作為整體考慮，該存儲(chǔ)介質(zhì)的保密級(jí)別標(biāo)注應(yīng)以最高為準(zhǔn)。(4)如果沒(méi)有明顯的保密級(jí)別標(biāo)注，該信息資產(chǎn)以“一般”級(jí)別看待。(5)對(duì)于對(duì)外公開(kāi)的信息，需要得到相關(guān)責(zé)任人的核準(zhǔn)，并由對(duì)外信息發(fā)布部門(6)如需在信息資產(chǎn)上表述保密聲明，可采用以下兩種表述方式：表述方式一：“保密聲明：公司資產(chǎn)，注意保密?！北硎龇绞蕉骸氨Ｃ苈暶鳎罕疚臋n受國(guó)家相關(guān)法律和公司制度保護(hù)，不得擅自復(fù)制或擴(kuò)散。”1.9允許的信息交換方式享、傳真、光盤、磁盤、磁帶和紙張。1.10信息資產(chǎn)處理和保護(hù)要求對(duì)應(yīng)表企業(yè)機(jī)密需得到責(zé)任人授和公司管理層批準(zhǔn)權(quán)只能被得到授權(quán)的公司極少數(shù)核訪心人員訪問(wèn)問(wèn)應(yīng)該加密存儲(chǔ)在安全的計(jì)算機(jī)系統(tǒng)內(nèi)；硬拷貝應(yīng)該鎖在安全存的保險(xiǎn)柜內(nèi)；禁止儲(chǔ)以其他形式存儲(chǔ)或企業(yè)秘密需得到相關(guān)責(zé)任人及部門領(lǐng)導(dǎo)批準(zhǔn)只能被公司內(nèi)部或外部得到明確訪問(wèn)者應(yīng)該簽署保密協(xié)議應(yīng)該妥善保存在設(shè)有安全控制的計(jì)算機(jī)系統(tǒng)內(nèi)(建議進(jìn)行信息加密)；硬拷貝應(yīng)該妥善保管，嚴(yán)禁擺放在桌面；使用白板展示后應(yīng)立開(kāi)責(zé)任人批準(zhǔn)可以被公司內(nèi)部或外部因?yàn)闃I(yè)務(wù)需要的人問(wèn)應(yīng)該妥善保管，可以紙質(zhì)不應(yīng)放在桌面般無(wú)特別要求任何公司員工或外部人員都可以訪問(wèn)方式保被非授權(quán)人員看到；存儲(chǔ)有信息的介質(zhì)避免失復(fù)制打印郵件傳真快遞得到相關(guān)責(zé)任人及公司管理層批準(zhǔn)；需要登記禁止打印(或在授權(quán)情況下專人負(fù)責(zé)打印，不得打印到無(wú)人值守機(jī))禁止郵件直接發(fā)送，經(jīng)授權(quán)后做電子簽名和加密控制，經(jīng)安全的途徑發(fā)送，保留記錄禁止傳真經(jīng)授權(quán)后采取須經(jīng)相關(guān)責(zé)任人批準(zhǔn)，并讓專人需要登記須經(jīng)相關(guān)責(zé)任人許可，打印件標(biāo)注密級(jí)并妥善管理，不得打印到無(wú)人值守機(jī)須經(jīng)相關(guān)責(zé)任人許可，郵件發(fā)送應(yīng)做加密控制，保須經(jīng)相關(guān)責(zé)任人許可后專人負(fù)責(zé)傳真經(jīng)授權(quán)后，由簽署了特定安全協(xié)議的專門的快遞公經(jīng)相關(guān)責(zé)任人批準(zhǔn)經(jīng)相關(guān)責(zé)任人許可，打印件標(biāo)注密級(jí)并妥善管理經(jīng)相關(guān)責(zé)任人許可經(jīng)相關(guān)責(zé)任人許可經(jīng)授權(quán)后，由簽署安全制無(wú)限制無(wú)限制，打印件標(biāo)注密級(jí)無(wú)限制無(wú)限制無(wú)限制發(fā)對(duì)外分發(fā)處理經(jīng)相關(guān)責(zé)任人和公司管理層批準(zhǔn)后，密封分發(fā)，或以允許的電子分發(fā)形式進(jìn)行安全的分發(fā)經(jīng)相關(guān)責(zé)任人和公司管理層批準(zhǔn)后分發(fā)，需要簽署需要進(jìn)行登記碎紙機(jī)；徹底銷毀介質(zhì)；電子記錄定期消除；進(jìn)行檢查確認(rèn)經(jīng)相關(guān)責(zé)任人批準(zhǔn)后，密封分發(fā)，或以允許的電子分發(fā)形式進(jìn)行安全的分發(fā)經(jīng)相關(guān)責(zé)任人批準(zhǔn)后分發(fā)，需簽署保密協(xié)議，需要進(jìn)行登記碎紙機(jī)；徹底銷毀介質(zhì)；電子記錄定期消除；進(jìn)行檢查確認(rèn)協(xié)議的專門快遞公司快遞經(jīng)授權(quán)后，以內(nèi)部郵件形式發(fā)放，或直接進(jìn)行硬拷貝發(fā)經(jīng)授權(quán)后，以郵件或者快遞方式分發(fā)，建議簽署保密協(xié)議保存件期消除；介質(zhì)銷毀無(wú)限制經(jīng)授權(quán)后，以允許的分發(fā)方式分發(fā)錄定期消，介質(zhì)銷毀直直接責(zé)任人應(yīng)有收件人、復(fù)制記錄跟者、保存者、瀏覽蹤者、銷毀者的日志記錄跟蹤文件復(fù)、保存、瀏覽、銷毀過(guò)程，應(yīng)有記錄無(wú)要求不建議跟蹤1.11口令使用策略全體員工在挑選和使用口令時(shí)，應(yīng)：(1)保證口令的機(jī)密。(2)除非能安全保存，避免將口令記錄在紙上。(3)只要有跡象表明系統(tǒng)或口令可能遭到破壞，應(yīng)立即更改口令。(4)選用高質(zhì)量的口令，最少要有6個(gè)字符，另外：B．口令不應(yīng)采用如姓名、電話號(hào)碼、生日等容易猜出或破解的信息。(5)每三個(gè)月更改或根據(jù)訪問(wèn)次數(shù)更改口令(特別是特權(quán)用戶)，避免再次使用或循環(huán)使用舊口令。(6)首次登錄時(shí)，應(yīng)立即更改臨時(shí)口令。(1)保障物理安全。(7)不得共享個(gè)人用戶口令。1.12桌面、屏幕清空策略為了降低在正常工作時(shí)間以外對(duì)信息進(jìn)行未經(jīng)授權(quán)訪問(wèn)所帶來(lái)的風(fēng)險(xiǎn)、損失(1)在閑置或工作時(shí)間之外將紙張或計(jì)算機(jī)存儲(chǔ)介質(zhì)儲(chǔ)存在合適的柜子或其它形備中。(2)當(dāng)辦公室無(wú)人時(shí)將關(guān)鍵業(yè)務(wù)信息放置到安全地點(diǎn)(比如防火的保險(xiǎn)箱或柜子中)。(3)在無(wú)人使用時(shí)，將個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端和打印機(jī)、復(fù)印機(jī)設(shè)為鎖定狀(4)為個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端設(shè)定密碼，同時(shí)設(shè)定屏保時(shí)間(<=15分鐘)。(5)在打印保密級(jí)別為企業(yè)機(jī)密、企業(yè)秘密的信息后，應(yīng)立刻從打印機(jī)中清除相關(guān)痕跡，并有效保護(hù)打印出來(lái)的信息內(nèi)容。1.13遠(yuǎn)程工作安全策略必須保護(hù)好遠(yuǎn)程工作場(chǎng)所防止盜竊設(shè)備和信息、未經(jīng)授權(quán)公開(kāi)信息、對(duì)公司內(nèi)部系統(tǒng)進(jìn)行遠(yuǎn)程非法訪問(wèn)或?yàn)E用設(shè)備等行為。員工應(yīng)：(7)防止移動(dòng)辦公設(shè)備被盜。(2)對(duì)家人和客人使用設(shè)備進(jìn)行限制。如果必須要使用，應(yīng)在旁邊進(jìn)行監(jiān)督和控制，確保關(guān)鍵業(yè)務(wù)信息的安全。(3)遠(yuǎn)程工作活動(dòng)結(jié)束時(shí)，權(quán)限以及設(shè)備及時(shí)收回。(4)網(wǎng)絡(luò)遠(yuǎn)程登錄終端的撥號(hào)密碼即VPN帳號(hào)僅限本人使用，不允許他人使用。(5)進(jìn)入公司或客戶的信息系統(tǒng)工作完畢后，必須立即退出系統(tǒng)。1.14移動(dòng)辦公策略使用移動(dòng)辦公設(shè)備(如筆記本電腦)時(shí)，員工尤其應(yīng)該注意保證業(yè)務(wù)信息不受非法訪問(wèn)或泄密：(1)移動(dòng)辦公設(shè)備需要帶出公司工作場(chǎng)所時(shí)，應(yīng)進(jìn)行登記。(2)在公共場(chǎng)所使用移動(dòng)辦公設(shè)備時(shí)，必須注意防范被未經(jīng)授權(quán)的人員窺視。(3)應(yīng)實(shí)時(shí)更新用于防范惡意軟件的程序。(4)應(yīng)對(duì)信息進(jìn)行方便快捷的備份。(5)備份的信息應(yīng)該予以適當(dāng)?shù)谋Ｗo(hù)以防信息被盜或丟失。(6)使用移動(dòng)辦公設(shè)備通過(guò)公共網(wǎng)對(duì)公司商務(wù)信息進(jìn)行遠(yuǎn)程訪問(wèn)時(shí)必須進(jìn)行身份(8)防止保密級(jí)別為企業(yè)秘密級(jí)以上的信息所在的移動(dòng)辦公設(shè)備無(wú)人看管。1.15介質(zhì)的申請(qǐng)、使用、掛失、報(bào)廢要求(1)介質(zhì)的申請(qǐng)：序號(hào)任者任務(wù)相關(guān)文件或記錄1資產(chǎn)管理員按照公司的固定資產(chǎn)或消耗資材申領(lǐng)方式《固定資產(chǎn)管理制度》《計(jì)算機(jī)維護(hù)消耗資材管理辦法》23資產(chǎn)管理員從公司領(lǐng)取介質(zhì)并登《介質(zhì)登記表》記到《介質(zhì)登記表》資產(chǎn)管理員如通過(guò)設(shè)備管理，需參見(jiàn)使用說(shuō)明存儲(chǔ)介質(zhì)在中注冊(cè)。4資產(chǎn)管理員在《介質(zhì)登記表》中《介質(zhì)登記表》登記發(fā)放時(shí)間，使用人人等信息后發(fā)放介(2)介質(zhì)的使用：C．如果數(shù)據(jù)需要保存，則使用人應(yīng)該保存在有良好安全措施的個(gè)人計(jì)算機(jī)和服務(wù)器上，而不應(yīng)該放在計(jì)算機(jī)活動(dòng)介質(zhì)中。D．所有的備份介質(zhì)都應(yīng)存放在安全可靠的地方，并符合生產(chǎn)廠家說(shuō)明書的(3)介質(zhì)的掛失：序號(hào)責(zé)任者任務(wù)相關(guān)文件或記錄1使用者使用人立即向資產(chǎn)管理員申報(bào)掛失2資產(chǎn)管理員如果是通過(guò)usb使用的移動(dòng)存儲(chǔ)介質(zhì)被掛失且在上注冊(cè)過(guò)，則應(yīng)在上進(jìn)行注銷。3(4)序號(hào)員任者1使用者2資產(chǎn)管員3資產(chǎn)管員在介質(zhì)登記表中登記掛失任務(wù)1)、書面文件用碎紙機(jī)粉碎2)、其他介質(zhì)報(bào)廢，使用人向資產(chǎn)管理員申請(qǐng)介質(zhì)報(bào)廢。存儲(chǔ)介質(zhì)且在上注冊(cè)過(guò)，則應(yīng)按照公司的固定資產(chǎn)和消耗資材的報(bào)廢流程實(shí)施。《介質(zhì)登記相關(guān)文件或記錄《固定資產(chǎn)管理《《計(jì)算機(jī)維護(hù)消耗資材管理辦4資產(chǎn)管在介質(zhì)清單中登記已報(bào)廢《1介質(zhì)登記理員表》1.16信息安全事件管理流程(1)發(fā)現(xiàn)A．公司全體員工都有責(zé)任和義務(wù)將已發(fā)現(xiàn)的或可疑的事件、故障和薄弱點(diǎn)及時(shí)報(bào)告給相關(guān)部門或人員。B．任何企圖阻攔、干擾、報(bào)復(fù)事件報(bào)告者的行為都被視為違反公司策略。(2)報(bào)告A．對(duì)于部門范圍內(nèi)的信息安全事件，當(dāng)事人可直接向部門負(fù)責(zé)人報(bào)告，并按照本部門規(guī)范進(jìn)行處理。事件處理者需填寫附錄中的《信息安全事件報(bào)告處理記錄單》，每月將相關(guān)記錄上交過(guò)程管理部。B．除部門內(nèi)可以自行處理的信息安全事件外，其余信息安全事件必須統(tǒng)一上報(bào)給客服記錄。(4)評(píng)價(jià)/調(diào)查(3)響應(yīng)A．客服對(duì)信息安全事件做出最初響應(yīng)，將技術(shù)方面的信息安全事件交給系統(tǒng)服務(wù)部組織處理，將管理方面的信息安全事件交給過(guò)程管理部組織相行處理。B．需要做進(jìn)一步調(diào)查的信息安全事件，當(dāng)其影響范圍涉及整個(gè)公司或影響程度嚴(yán)重妨礙了公司的正常運(yùn)營(yíng)時(shí)，報(bào)告給信息安全管理委員會(huì)。C應(yīng)及處理者在處理安全事件時(shí)應(yīng)考慮以下優(yōu)先次序：保護(hù)人員的生命與安全保護(hù)敏感的設(shè)備和資料保護(hù)重要的數(shù)據(jù)資源防止系統(tǒng)被損壞將公司遭受的損失降至最小D，上交過(guò)程管理部報(bào)告給公司最高管理者決策，由法務(wù)部向外部法律機(jī)構(gòu)報(bào)告。必要時(shí)，法務(wù)部可以尋求外部專家的支持。安全事件或故障發(fā)生之后，事件處理者要對(duì)事件或故障的類型、嚴(yán)重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責(zé)任人進(jìn)行調(diào)查確認(rèn)，形成事件或故障評(píng)價(jià)資料。(5)懲戒A．要根據(jù)事件的嚴(yán)重程度、造成的損失、產(chǎn)生的原因?qū)`規(guī)者進(jìn)行教育B．懲戒手段可包括通報(bào)批評(píng)、行政警告、經(jīng)濟(jì)處罰、調(diào)離崗位、依據(jù)合同給予辭退，對(duì)于觸犯刑律者可交司法機(jī)關(guān)處理。(6)公告1.17電子郵件安全使用規(guī)范(1)公司電子郵件系統(tǒng)禁止用于創(chuàng)建與分發(fā)任何含有破壞性、歧視性的信息，包括對(duì)種族、性別、殘疾人、年齡、職業(yè)、性取向、宗教信仰、政治信念、國(guó)籍等方面的攻擊性語(yǔ)言。公司的員工如果接收到任何含有此類信息的郵件，應(yīng)立即向主管領(lǐng)導(dǎo)進(jìn)行匯報(bào)。(2)禁止使用公司帳號(hào)發(fā)送連鎖信。禁止使用公司電子郵件帳號(hào)發(fā)送病毒或惡意代碼警告郵件。這些規(guī)則也適用于當(dāng)公司員工接收到這類電子郵件并進(jìn)行轉(zhuǎn)(3)使用的郵件軟件客戶端要及時(shí)升級(jí)，減少由于軟件的漏洞而受到外部攻擊，避免因此而導(dǎo)致的郵件丟失和系統(tǒng)中毒。(4)郵件必須有標(biāo)題，盡量以文本方式瀏覽郵件。(5)陌生人的郵件附件盡量不要打開(kāi)，禁止撰寫、發(fā)送、轉(zhuǎn)發(fā)各種垃圾郵件，禁止在未經(jīng)授權(quán)的情況下利用他人的計(jì)算機(jī)系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件。(6)禁止使用工作郵箱從事任何非法活動(dòng)及其與工作無(wú)關(guān)的郵件。(7)為了保證郵件安全禁止使用自動(dòng)轉(zhuǎn)發(fā)功能。(8)公司業(yè)務(wù)信息郵件必須使用公司規(guī)定的業(yè)務(wù)專用郵箱發(fā)送，除了業(yè)務(wù)相關(guān)郵件禁止使用業(yè)務(wù)郵箱發(fā)送其他郵件。(9)郵件必須主題明確，能夠通過(guò)郵件主題判斷業(yè)務(wù)類別。(10)做好郵件的病毒防護(hù)工作。發(fā)送郵件應(yīng)該注意郵件的保密，避免泄漏公司機(jī)密。密(11)所有員工都要嚴(yán)格遵守《電子郵件安全使用規(guī)范》的相關(guān)規(guī)定，員工之間應(yīng)互相監(jiān)督，及時(shí)制止違反規(guī)定的人員，對(duì)于使用公司郵箱傳播反動(dòng)言論、從事任何與法律或公司制度相違活動(dòng)的人員將禁用或者注銷其郵箱，并根據(jù)情節(jié)嚴(yán)重給予相應(yīng)處罰或提交司法機(jī)關(guān)處理。1.18設(shè)備報(bào)廢信息安全要求報(bào)廢設(shè)備上交前，使用者自己負(fù)責(zé)將設(shè)備介質(zhì)中的信息進(jìn)行備份，機(jī)電一體化產(chǎn)品事業(yè)部負(fù)責(zé)將設(shè)備介質(zhì)中的所有信息清除掉，以防信息泄漏。1.19用戶注冊(cè)與權(quán)限管理策略對(duì)任何多用戶使用的信息系統(tǒng)和服務(wù)設(shè)施進(jìn)行訪問(wèn)，應(yīng)：(1)使用唯一的用戶名，以便將用戶與其操作聯(lián)系起來(lái)，使用戶對(duì)其操作負(fù)責(zé)。只有因工作需要才允許使用組用戶名。(2)添加新用戶或用戶權(quán)限變更時(shí)應(yīng)有書面申請(qǐng)并經(jīng)過(guò)審批。(3)系統(tǒng)管理員對(duì)新注冊(cè)用戶進(jìn)行授權(quán)。(4)應(yīng)記錄所有注冊(cè)用戶。(5)用戶因工作變更或離開(kāi)組織時(shí)，應(yīng)立即取消其訪問(wèn)權(quán)限。(6)系統(tǒng)權(quán)限管理的責(zé)任人應(yīng)定期組織檢查并刪除多余的用戶名和賬戶，并對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行定期評(píng)審或在變動(dòng)后進(jìn)行評(píng)審。(7)系統(tǒng)權(quán)限管理的責(zé)任人需要嚴(yán)格控制特權(quán)的分配和使用，要對(duì)特權(quán)的分配和使用情況進(jìn)行評(píng)審，確保沒(méi)有非法授予用戶特權(quán)，以保證對(duì)數(shù)據(jù)和信息服務(wù)的訪問(wèn)進(jìn)行了有效的控制。1.20用戶口令管理在進(jìn)行信息系統(tǒng)的口令管理，應(yīng)：(1)用戶需要自己維護(hù)口令，系統(tǒng)僅在開(kāi)始時(shí)提供一個(gè)安全的臨時(shí)口令，用戶需要立即更改臨時(shí)口令。用戶忘記口令時(shí)，必須在對(duì)該用戶進(jìn)行適當(dāng)?shù)纳矸莺藢?shí)后才能向其提供臨時(shí)口令。(2)在向用戶提供臨時(shí)口令時(shí)必須確保其安全，避免使用第三方或無(wú)保護(hù)的(明文)電子郵件，用戶應(yīng)對(duì)收到的口令予以確認(rèn)。(3)不允許在計(jì)算機(jī)系統(tǒng)上以無(wú)保護(hù)的形式存儲(chǔ)口令。(4)保證個(gè)人口令安全，確保工作組口令僅在本組成員間共享。1.21終端網(wǎng)絡(luò)接入準(zhǔn)則公司網(wǎng)絡(luò)覆蓋范圍內(nèi)使用的每臺(tái)計(jì)算機(jī)，員工均應(yīng)安裝公司規(guī)定的防毒軟件，不得私自使用其他防毒軟件。1.22終端使用安全準(zhǔn)則(1)每臺(tái)計(jì)算機(jī)應(yīng)開(kāi)啟實(shí)時(shí)監(jiān)控功能，定期進(jìn)行計(jì)算機(jī)病毒檢測(cè)，并及時(shí)對(duì)防毒軟件或病毒特征庫(kù)進(jìn)行升級(jí)更新。(2)每臺(tái)計(jì)算機(jī)應(yīng)定期連接公司網(wǎng)絡(luò)并從病毒服務(wù)器獲得防病毒軟件的最新定義(3)為防止計(jì)算機(jī)使用人員私自卸載客戶端及信息安全客戶端，卸載密碼和工具由系統(tǒng)服務(wù)事業(yè)部統(tǒng)一管理。(4)公司不定期組織相關(guān)部門對(duì)客戶端及信息安全客戶端安裝情況進(jìn)行抽查。抽查情況將通報(bào)各相關(guān)部門并列入年度的績(jī)效考核。(5)計(jì)算機(jī)使用人員在安裝、使用客戶端及信息安全客戶端中遇到技術(shù)問(wèn)題，可通過(guò)撥打客戶服務(wù)熱線尋求技術(shù)支持。(6)為防止惡意代碼的侵?jǐn)_，每臺(tái)計(jì)算機(jī)必須按《訪問(wèn)控制管理程序》第節(jié)的要求設(shè)置管理員口令；網(wǎng)絡(luò)共享文件必須設(shè)置密碼和只讀權(quán)限。(7)任何部門和個(gè)人不得制作、復(fù)制、傳播計(jì)算機(jī)病毒，任何部門和個(gè)人負(fù)有清除或防治計(jì)算機(jī)病毒的義務(wù)。(8)不使用來(lái)路不明或含有盜版軟件的軟盤與光盤，不隨意安裝執(zhí)行從網(wǎng)絡(luò)上下載的各種程序。當(dāng)需要從計(jì)算機(jī)信息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或者購(gòu)置、維修、借入計(jì)算機(jī)設(shè)備時(shí)，應(yīng)當(dāng)進(jìn)行計(jì)算機(jī)病毒檢測(cè)。(9)使用電子郵件，對(duì)來(lái)路不明的郵件(特別是含有附件的郵件)，收到后不要打開(kāi)，直接刪除并清空廢件箱。1.23出口防火墻的日常管理規(guī)定(1)為公司的出口防火墻設(shè)置只讀權(quán)限，便于監(jiān)視進(jìn)出本公司的所有訪問(wèn)。(2)對(duì)防火墻的接口IP地址、用戶名、口令及配置文件信息進(jìn)行嚴(yán)格管理。(3)除授權(quán)人員外，禁止任何人員物理接觸防火墻；對(duì)防火墻的遠(yuǎn)程管理僅限于指定IP地址、指定管理方式、指定用戶、指定用戶的管理權(quán)限。(4)嚴(yán)禁連接公司網(wǎng)絡(luò)的任何單位和人員以任何形式對(duì)防火墻進(jìn)行攻擊。(5)集中收集、存儲(chǔ)防火墻報(bào)警日志，定期檢查防火墻安全記錄，優(yōu)化防火墻訪(6)定期使用安全評(píng)估系統(tǒng)檢查防火墻的各項(xiàng)服務(wù)是否有漏洞。(7)部門如有公司出口防火墻的變更需求，必須通過(guò)公司審批，備案在冊(cè)，由系統(tǒng)服務(wù)部統(tǒng)一操作。1.24局域網(wǎng)的日常管理規(guī)定各部門不得將私自構(gòu)建的局域網(wǎng)接入公司網(wǎng)絡(luò)。如需接入必須通過(guò)公司審批，備案在冊(cè)，由系統(tǒng)服務(wù)部統(tǒng)一操作。員工在辦公區(qū)域只能通過(guò)公司內(nèi)網(wǎng)聯(lián)入互聯(lián)網(wǎng)。1.25集線器、交換機(jī)、無(wú)線AP的日常管理規(guī)定(1)各部門不得私自使用網(wǎng)絡(luò)訪問(wèn)設(shè)備。(2)禁止使用路由器及無(wú)線路由設(shè)備。(3)如需使用集線器、交換機(jī)、無(wú)線AP，必須通過(guò)公司審批，備案在冊(cè)。(4)無(wú)線AP必須設(shè)置符合安全要求的密碼(具體要求參見(jiàn)管理文件《訪問(wèn)控制管理程序》中的要求)，只有被授權(quán)人員方可使用無(wú)線網(wǎng)絡(luò)。(5)公司定期檢查集線器、交換機(jī)、無(wú)線AP的登記和使用情況。1.26網(wǎng)絡(luò)專線的日常管理規(guī)定(1)各部門不得私自搭建網(wǎng)絡(luò)專線。如需使用網(wǎng)絡(luò)專線必須通過(guò)公司審批，備案(2)公司定期檢查網(wǎng)絡(luò)專線的登記和使用情況。1.27信息安全懲戒(1)全體員工(含臨時(shí)員工、派遣員工、實(shí)習(xí)員工、常駐外包員工)均應(yīng)遵守所有與信息安全相關(guān)的管理規(guī)定，不允許任何部門或人員有損害公司信息安全(2)對(duì)違反信息安全管理規(guī)定，并造成嚴(yán)重后果的部門或員工，由公司信息安全管理委員會(huì)授權(quán)實(shí)施懲戒。(3)懲戒手段包括通告、行政警告、經(jīng)濟(jì)處罰、調(diào)離崗位、依據(jù)合同予以辭退，對(duì)于觸犯刑律者移交司法機(jī)關(guān)處理。(4)對(duì)于的合同承包商和外部用戶，如果違反了信息安全管理規(guī)定，公司信息安全委員會(huì)有權(quán)建議公司中止與他們的合同和協(xié)議。2.信息安全知識(shí)2.1什么是信息是來(lái)自任何來(lái)源的知識(shí)。信息是一種資產(chǎn)，就象其它重要的企業(yè)資產(chǎn)一樣，信息資產(chǎn)對(duì)組織具有價(jià)值，因而需要受到妥善的保護(hù)。信息是有生命周期的。安全保護(hù)應(yīng)兼顧到從其創(chuàng)建或誕生，到被使用或操作，到存儲(chǔ)，再到被傳遞，直至其生命期結(jié)束而被銷毀或丟棄。2.2什么是信息安全信息安全的目的是，保護(hù)信息不受各種威脅，以確保業(yè)務(wù)連續(xù)，將企業(yè)損失降至最低，將投資收益與商業(yè)機(jī)會(huì)最大化。信息安全的任務(wù)是，要采取措施(技術(shù)手段及有效管理)讓這些信息資產(chǎn)免遭威脅，或者將威脅帶來(lái)的后果降到最低程度，以此維護(hù)組織的正常運(yùn)作。2.3信息安