员工信息行为规范(试行)

门人 中国北车集团四方车辆研究所企业标准 Q/SRIG-25-01-2006 员工信息行为管理规范 （试行） 2006-05-30 发布 2006-06-30 实施 中 国 北 车 集 团 四 方 车 辆 研 究 所 发 布 Q/SRI Q/SRIG-25-01-2006 I 前 言 为了能够确保企业的信息资产得到合理使用，根据国家的法律法规，结合本企业具体 情况，制定本标准。 本标准由信息部提出。 本标准由信息部归口。 本标准起草单位：信息部。 本标准起草人：王洪军。 Q/SRIG-25-01-2006 1 员工信息行为管理规范 1 范围 本标准规定了企业员工在使用计算机、计算机网络时应遵循的管理规范；防止计算机 系统感染有害代码的办法；规定了员工保护保密信息的责任，并列出了可能遇到的情况下 的安全要求。 本标准适用于本企业（包括下属企业）所有员工，以及其他授权使用企业内部资源的 人员。 本标准所指信息行为包括对信息和利用信息过程所涉及的有关设备（主要指计算机） 和计算机网络的使用。 2 总则 企业的资产种类众多，既包括有形资产也包括极具价值的信息资产。这些资产的遗失、 失窃或被妄用，均会危害到企业的利益乃至生存，妥善保护这些信息资产十分重要。因此 企业的员工有责任保护企业交给员工保管和使用的资产，并协助保护企业的其他资产。为 此，员工应对企业的安全策略、标准、流程有充分了解。员工应对足以导致企业信息资产 损失、不当使用或失窃的状况有所警觉，如发现上述情况，应立即向主管部门或上级领导 报告。 3 计算机及其相关设备的安全保护 3.1 员工应保护使用的单位（本所产权）的计算机、计算机网络及相关设备 3.1.1 每个员工有责任保护企业的计算机、计算机网络及相关设备，以及包含的信息。 这些设备由专人负责维护，出现问题应及时通知信息部或保障事业部的相关技术人员进行 处理，使用人员不得擅自拆卸或维修。 3.1.2 在所有个人计算机上应激活下列安全控制： a） 员工的计算机的BIOS中设置开机密码； b） 如果员工的便携电脑的BIOS中支持硬盘密码，应当设置硬盘密码； c） 给计算机设置屏幕保护密码，并能在15分钟内自动激活； d） 将在个人计算机中的包含有企业机密信息加密， 包括邮件、存档文件； e） 存储在便携电脑中的包含有企业机密信息的文件，应加密存放。 3.2 当员工离开办公室或工作区域 3.2.1 对于能上锁的办公室或工作区域，最后一个离开的员工应锁上办公室或工作区域。 Q/SRIG-25-01-2006 2 3.2.2 对于不能上锁的办公室或工作区域： a) 员工离开时，激活屏幕保护密码； b) 妥善包管所有包含有企业机密内容的文件，如锁进文件柜； c) 在每天工作结束时，将员工的便携电脑妥善包管，如锁入文件柜； d) 在每天工作结束时，将员工的台式计算机关机。 3.3 当员工出差或在办公室之外的地方工作时 3.3.1 要尽可能将便携电脑置于员工的控制之下。 3.3.2 当乘飞机或其他交通工具时，禁止将便携电脑放在托运的行李中。 3.3.3 便携电脑不应长时间留在无人的交通工具上，例如单位的交通车、私人车辆等。 3.3.4 如果员工必须将便携电脑留在无人的交通工具上，应考虑放在安全的地方。 3.3.5 如果员工必须将便携电脑留在酒店，应妥善保存。 3.3.6 如果员工带着存有企业机密资料的便携介质，如磁盘、个人助理（PDA）、笔记 本、移动存储设备等，应根据上述保护便携电脑的标准同样地保护这些介质。 3.3.7 如果员工的便携电脑或企业的机密信息被偷、丢失，应即时报告给直属领导。 3.4 个人计算机安全加固 员工在个人使用的计算机上，应及时安装操作系统的补丁，加固个人使用的计算机系 统。 严禁下载、安装与工作无关的软件，停止不必要的服务。 3.5 计算机病毒和其他有害代码 3.5.1 员工应安装和使用企业推荐的病毒检查程序。由企业配置网络版防病毒软件，实现 所有网络客户端杀毒引擎、病毒特征码的自动升级，用户应开启实时扫描保护功能每天定 时对计算机查杀病毒。 3.5.2 如果员工发现未能处理的病毒，应及时向保障事业部汇报。 3.5.3 对外来的存储设备在使用之前应先查杀病毒检查通过后方可使用。 3.6 个人防火墙 为了保证计算机系统和网络的安全，用户应该安装和启用个人防火墙程序。 3.7 软件卸载 用户不应随意卸载企业统一安装的软件尤其是行为管理和杀毒软件。 3.8 网络用户行为管理 3.8.1 企业将通过集中式网络用户行为管理软件控制所有网络用户使用的计算机软硬件资 源，设置策略控制网络用户对计算机所有的外挂设备的使用，这些设备包括：USB、串口、 并口、RAM 盘、硬盘、软盘、光驱等设备，并对网络用户使用的计算机硬件资源和重要文 件的关键操作进行实时监控、动态统计。对记录的这些信息收集汇总并刻录成光盘登记保 存。 Q/SRIG-25-01-2006 3 3.8.2 各部门根据自己部门的实际情况制定每位员工的使用权限，报主管领导批准后，送 信息部备案并实施。 3.8.3 员工安装的软件应经本部们领导同意报信息部审核备案后方可实施。 4 计算机和计算机网络使用要求 4.1 计算机和网络资源管理 企业提供的个人或部门的计算机和网络资源是用于执行企业的业务，或用于经企业准 许的其他目的。所有使用企业提供的计算机所新建、存储或交换的电子文档，均为企业的 信息资产，置于企业的监护之中。 4.2 IP地址的管理 4.2.1 IP地址的管理是企业网络管理的重要内容，网络用户如果私设IP地址不当将会造 成整个网络瘫痪。因此计算机的IP地址由信息部统一发放和管理，禁止用户私自设置和更 改IP地址，禁止用户私自更改MAC地址。 4.2.2 信息部将建立由用户名、机器出厂相关信息、IP地址、MAC地址等信息构成计算机 IP相关信息台帐。 4.3 企业内部网络 4.3.1 当使用企业内部网络，从内部网络连接外部网络或者从外部接入内部网络，应遵循 以下原则： a） 禁止在网络上假装为其他人； b）未经信息部的允许，不应监控网络流量(如使用SNIFFER或类似设备) ； c） 未经信息部的允许，不应针对企业的网络或服务器运行安全扫描程序； d）未经信息部的允许，不应增加网络设备到企业的网络架构中(如，有下列功能的设 备: 路由器，拨号接入服务器，集线器等)； e） 员工不应在网络上架设BBS站点或与其类似的信息站点,不应私自安装SERVER，如 确需要，应报信息部批准按要求开启允许的服务； f） 禁止安装与工作无关及对网络安全构成威胁的软件（如游戏、黑客、网络探测、网 络广播软件等） g) 未经信息部的允许，与企业网络连接的计算机不允许通过电话线路或其他通讯链路 与外部网络连接。 4.3.2 网络新闻组、论坛： a) 企业内部新闻组、论坛提供企业内的信息共享和讨论。 b) 如果企业内部新闻组、论坛对所有员工公开，允许企业的客户或外部人员参加应 不涉及企业的机密信息。 c） 访问论坛应当遵守国家有关法律、行政法规，禁止侮辱他人或者捏造事实诽谤他 Q/SRIG-25-01-2006 4 人。 4.4 互联网 4.4.1 因为业务需要使用互联网资源的用户，需经本部门领导同意后报信息部，信息部 根据网络带宽情况和各部门的具体需要审批或做出调整。任何部门和个人不应使用代理工 具私自上互联网。 4.4.2 当通过企业内部网络访问互联网时，应遵循以下准则： a) 禁止假装其他人； b) 只使用员工有授权访问的服务； c) 禁止运行攻击互联网或服务器的安全测试工具/程序； d) 员工不应将企业的个人识别信息（如单位邮件地址、电话、职务）在公共网站进 行注册； e) 禁止使用 QQ,ICQ 及本企业的及时通讯软件； f) 遵循国家的相关法律法规。 4.5 电子邮件 4.5.1 访问互联网和使用企业的电子邮件系统应该是与企业业务相关的活动。 4.5.2 禁止使用企业的计算机散布或回复连锁邮件，恶作剧邮件。 4.5.3 如果员工收到连锁邮件或恶作剧邮件，禁止转发。 4.5.4 如果员工收到非官方的关于病毒或有害代码威胁的电子邮件通知，应与信息部或 保障事业部联系。 4.5.5 群发邮件仅可以用于工作目的，不准许群发大型邮件。 4.5.6 当使用电子邮件通过互联网与其他人通讯禁止自动转发企业内部邮件到互联网上。 4.5.7 员工可能收到一些与业务无关的邮件(如广告或垃圾邮件等)，应该及时删除，不应 转发，如有可疑可作为安全事件向信息部汇报。 4.5.8 禁止使用非企业的电子邮件，如 YAHOO、AOL 、HOTMAIL等交换企业信息。 4.6 网络视频通讯 如果在企业内部网络中使用网络视频通讯或相似的技术，应到直属领导的批， 并报信息部批准和备案。 4.7 外部连接和远程访问 4.7.1 如果员工需要从本企业内部连接到外部系统或网络(如互联网、业务伙伴网络等)， 应经本部门领导同意并报信息部批准和备案。 4.7.2 如果员工需要从外部连接到本企业的网络，应经本部门领导同意并报信息部批准 和备案，由信息部建立用户许可或安装远程登陆软件。 4.8 信息发布 Q/SRIG-25-01-2006 5 4.8.1 信息发布应严格执行的信息审核制度以保证信息的真实性、完整性、可靠性、准确 性、安全性、保密性。 4.8.2 各部门在内部网站上发布信息应与本部门管理范围和业务范围相一致，原则上不 应超出本部门管理范围、业务范围收集和发布信息。 4.8.3 在电子商务网站上发布信息，应严格执行中华人民共和国计算机信息系统安全 保护条例、公安部计算机网络国际联网安全保护管理办法等法律法规和规定。 4.8.4 严禁员工散发可能被认为不适当的，对他人不尊重或与国家法律相违背的内容。 4.9 使用网络电话、视频会议系统 网络电话、视频会议中涉及讨论企业机密信息，会议的主持人或组织人，在会 议全过程中应确认与会者是否为授权参与。 4.10 文件共享 4.10.1 禁止使用基于互联网的 PEER-TO-PEER 文件共享服务， 如 NAPSTER、 Kazaa、 BT、eMule、 eDonkey 等。 4.10.2 不应在员工的个人计算机上配置匿名的 FTP， TFTP， HTTP，或其他无需验证的服 务。 例如: 员工不应分配员工的整个硬盘给匿名访问。 4.10.3 如果员工的移动存储设备包含企业机密的数据或程序，不允许使用任何形式的无 需验证的方式来访问这些设备。 4.10.4 如果因为业务需要，其他人员应访问员工的硬盘或个人计算机中的企业信息。当 定义共享功能时，员工应设定用户权限、设定访问密码。如果无需共享时，应及时取消。 4.11 密码 4.11.1 计算机的密码是验证员工身份的关键因素，其允许员工访问企业的计算机和信息。 为了保护员工自身和企业的资源，禁止将员工的身份验证密码共享给其他人。任何人不 应利用任何方式和手段窃取他人用户名和密码。 4.11.2 计算机的访问密码应符合如下条件： a） 至少 6 个字符长； b） 包含有一个字母字符或其他非字母字符； c） 不把用户名用作密码或其中一部分； d） 定期更改密码。 4.11.3 如果员工访问不在企业控制下的计算机系统，禁止选择在企业内部系统使用的密 码作为外部系统的密码。 4.12 软件使用许可 4.12.1 对于员工私人安装在企业计算机上的大型商用软件，员工应持有有效使用许可证 明。 4.12.2 禁止非法拷贝或复制大型商用软件，除非在许可证条款上明确允许。 Q/SRIG-25-01-2006 6 4.12.3 如果员工使用没有许可证的软件，个人需要承担由此产生的不利后果。 4.13 保护企业的信息 4.13.1 企业机密信息指企业拥有的信息，包括企业数据库中的信息，其中有许多（但并 不是所有）是绝对机密的，也可能享有著作权、专利权或其他知识产权或其他法律上的权 利。机密信息包括：与企业目前或未来产品、服务或研究有关的技术或科技信息、业务或 营销计划或预测、营业收益或其他财务资料、人事资料，以及软件等技术信息、经营信息。 4.13.2 对于企业的机密的信息。员工绝对不能在未经企业授权的情况下泄露这些信息。 保护企业机