一、公司安全区域划分:
公司工作区域按信息安全重要性划分为3级:
1.级区域:计算机机房、特项区、财务室、档案室
2.级区域:办公室
3.级区域:宿舍楼、餐厅、
以上 1-3级区域简称办公区,1-2 级区域简称开发区。
二、工作环境管理规定
1、保持办公区的整洁卫生,不得乱扔杂物。
2、定期清理个人办公桌面和电脑,保持干净,摆放有序。
3、未经准许不得擅自改变固定办公设施的摆放位置。
4、严禁在办公区内吸烟、吃食物,不得大声喧哗。
5、饮料和茶水要放置在远离设备、不易被打翻的位置。
6、随身衣物脱下后要放在椅子上或衣帽架上,不得放在办公桌、文档柜或达挂在隔断上。
7、禁止携带任何易燃易爆、有腐蚀性的物品进入办公区。
8、禁止携带可能影响办公设备正常工作的设备进入办公区。
9、与工作无关的个人物品不得带入开发区,要存放在走廊的储物柜内。
10、出入开发区要随手关门。
11、工作时间内不得使用随身听、收音机等,不得阅读与工作无关的报刊、杂志和书籍。
12、不得在工作时间内进行与工作无关的短信或网络聊天。
13、不得下载和观看视频。
14、办公区内接听电话的声音要尽可能小,不影响他人的工作。
15、工作时间内与工作无关的交谈或通话时间不得超过三分钟。
16、不得随意出入自己无权进入的区域。
17、未经批准任何人在任何时间不得私自带非授权人员进入办公区。
18、未经批准不得将工作设备和与工作相关的信息资产带出办公区。
19、下班最后离开办公区时要关闭门窗、电灯、空调。
20、在开发区内发现陌生且未佩带身份识别标志的人,员工有责任询问并要求离开,必要时通知保安人员。
三、员工卡使用规定
1、工作时间员工必须佩戴员工卡。
2、员工卡遗失应立即向人力资源部报告,办理相关权限注销,补办新卡。
3、员工拾到他人员工卡,应立即通知员工卡所有者或交到人力资源部。
4、员工临时开通其他部门的门禁权限,须得到双方部门主管和公司分管副总同意。
5、人员离职前,必须将员工卡退回到人力资源部。
四、个人电脑使用规定
1、员工应使用公司分配给自己的个人电脑,未经个人和直接主管同意,禁止使用他人电脑。
2、员工应使用分配给自己的 IP 地址,未经允许不得更换。
3、不得在工作时间内利用个人电脑处理与工作无关的信息。
4、不得私自打开个人电脑机箱,不得私自打开被封闭的 USB 端口。
5、当个人电脑硬件设备发生故障时,应及时报告部门。
6、要保护个人电脑不连续开关电源,重新开机至少要等 10 秒钟以上。
7、不能用酒精清洗显示器屏幕和键盘,可用绒布或拭镜纸擦洗。
8、必须为个人电脑设置屏保和密码,屏保等待≤3 分钟,离开座位时应锁屏。
9、个人电脑应设置电源使用方案,长时间不使用自动待机。
10、除非工作需要,下班时必须关闭主机和显示器。
11、外借、送外维修或报废(弃用)个人电脑前,要将机内保存的工作信息清除。
12、重要文件和数据要经常备份,备份介质要妥善保存,防止泄密。
13、所有密级为秘密及以上的电子信息必须保存到部门的配置库中,不可在个人电脑上保留备份。
14、每周定期删除 由于使用部 门配置库检 出操作后在 个人电脑 上产生的驻留文件信息。
15、除使用 CC 工具须设立的共享目录外,不得在本机设置共享目录。
五、口令管理规定
1、个人电脑必须设置登录口令。
2、口令必须是具有一定复杂度的字母数字组合,应不小于 6 位。
3、禁止使用“自动保存密码”功能。
4、发现自己的口令被人非法获取时,应立即修改口令,并报告部门信息安全主管。
5、使用新的或经过口令重置的系统时,必须在第一时间更改口令。
6、至少每 3 个月修改一次口令,且和最近三次使用的口令不相同。
六、病毒防范管理规定
1、个人电脑必须安装公司统一的防病毒软件。
2、不得随意卸载或删除防病毒软件。
3、禁止修改安全软件客户端程序的参数配置。
4、要及时安装操作系统补丁和防病毒软件升级包。
5、必须定期查杀病毒,不得关闭防病毒软件的自动查毒进程。
6、若遇防病毒软件无法清除的病毒时,应及时报告部门信息安全主管和机房管理员。
7、积极防御恶意软件对信息和系统的破坏,发现异常及时报告。
8、打开外网发来的邮件附件时,先查杀病毒。
七、移动介质使用规定
1、未经批准不得在开发区内使用未经授权的任何移动介质。
2、不得在个人电脑上使用来历不明或未经杀毒的移动介质。
3、不得将存储有公司敏感信息的移动介质转借给他人。
4、防止高温、潮湿、磁场、强光、辐射对移动介质的影响。
5、当移动介质正在工作时,不应擅自移动。
6、当需要在公司外计算机上使用存有公司敏感信息的移动介质时,要保证信息不被非法访问、篡改或删除。
7、移动介质在移交、维修、更换、报废前,要先清除其上存储的信息,并保证不被复原。
八、办公设备使用规定
1、未经批准不得私自改变办公区内的固定办公设施的位置。
2、使用开发区内的打印机和光盘刻录机时要获得部门主管批准。
3、敏感或重要的资料在被打印、复印、扫描或传真后,当事人须立即拿走原件及衍生件。
4、要将打印、复印不成功的带有敏感或重要信息的纸张及时用碎纸机销毁。
5、含有机密性内容的废弃纸张不得重复使用。
6、不得使用公司办公设备打印、复印或扫描与工作无关的信息。
九、软件使用规定
1、个人电脑上安装的软件必须是公司规定的合法软件。
2、不得私自下载软件。
3、不得随意更改个人电脑中所安装的操作系统。
4、个人电脑上不得安装与工作无关的软件。
5、定期整理个人电脑,将不再使用的软件从电脑中卸载。
6、禁止对软件进行非授权的复制、分发、使用及反编译。
7、不得随意篡改或删除服务器上的程序和数据。
8、不得随意使用或试用可能危害公司网络环境的带有攻击性的软件。
9、不得传播和发送恶意软件。
10、软件安装前要对重要信息先进行备份。
十、电子邮件使用规定
1、遵守国家有关法律法规。
2、不得发送和传播损害国家、公司和他人利益的信息。
3、对来历不明、特别是带有可执行文件附件的邮件,应直接删除。
4、发现可疑邮件,在无法确认时不要随意打开。
5、若发现包含病毒的邮件要立即报告机房管理员。
6、定期清理过期邮件。
7、重要的电子邮件信息须在部门配置库中保存。
8、不得打开和偷看他人邮件,如误收或误发邮件,应第一时间通知发送者或接收者,并删除邮件。
9、未经批准,禁止在公司内群发邮件。
10、邮箱启动后必须保管在个人电脑中,禁止以任何形式与他人共享。
11、邮箱账号一旦开通,应及时更新口令。
12、不准采用匿名方式发送电子邮件,发送邮件前要确认收件地址。
13、不得明文发送机密级信息,可将信息加口令后再传送,口令单独传送。
14、使用中如发现邮件系统存在安全漏洞,应及时报告机房管理员。
十一、即时通讯使用规定
1、遵守国家有关法律法规。
2、内网即时通讯用户名按公司规定使用真实姓名。
3、不得利用即时通讯工具散布损害国家、公司或他人利益、他人隐私的消息。
4、在即时通讯工具中不得进行人身攻击,不得使用不文明语言。
5、未经批准不得群发消息,不准散布和传播敏感性、保密性信息。
6、未经批准不得使用MSN 等通讯软件。
7、公司有权定期对通讯记录进行检查。
十二、互联网使用规定
1、未经授权不得使用互联网。
2、遵守国家有关计算机互联网相关的法律法规。
3、禁止在工作时间内利用互联网进行占用公司网络资源的活动。
4、禁止利用互联网进行影响公司网络安全的活动。
5、在非办公场所通过VPN 远程访问公司内网时 ,使用完毕后要及时断开连接。
6、不得私自设置二级上网代理服务。
7、工作时间不得从互联网下载大数据量信息。
十三、保密 信息管理规定
1、严格遵守保密管理的要求,坚持“谁上网谁负责”、“涉密不上网,上网不涉密”的原则。
2、遵守国家机密信息保护的相关法律法规。
3、未经批准不得以任何方式向外部人员提供公司内部网络结构和配置信息。
4、办公桌面禁止摆放带有保密信息的文件或资料。
5、含有保密信息的文件使用完后应保存在加锁的抽屉或橱柜中。
6、未经批准不得私自将保密文档带出工作区。
7、不得私下传播或谈论公司需保密的消息和事件。
8、不探听、不保留自己职责外的保密信息。
9、对重要的信息数据要做好备份并定期检查。
10、载有重要保密信息的介质在不再使用时要彻底销毁,使其不可再复原。
十四、信息安全事件的响应
1、发现系统异常、网络速度大幅下降、口令被篡改等可疑情况时,应及时报告部门,通知机房管理员。
2、对严重或重大信息安全事件应按相关应急预案采取有效措施,尽可能防止事态扩大。
3、员工应事先熟悉信息安全事件响应流程,了解自身在其中承担的角色,并在信息安全事件发生后自觉按要求履行应尽的职责。
4、员工应当从信息安全事件中认真学习,吸取经验教训。
十五、附则
1、各部门、分支机构可根据本规定制定相应的实施方案。
2、本手册由公司人力资源部负责制定、解释和修改。
十六、本手册自发布之日起实施。
十七、相关参考文件
《工作环境管理规范》
《机房操作管理规范》
《支持设施管理规范》
《用户方对开发商员工的信息安全手册》 |
