公司信息安全策略范例.doc

1、.第一章总则第一条 为了提高员工信息安全防范意识和操作技能，保障公司信息安全，根据公司信息安全管理制度的要求，制定本守则。第二条 公司全体员工须遵守公司信息安全制度和本守则，共同维护和保障公司信息安全，确保公司各项业务正常开展。第三条 本守则遵循 “信息安全，人人有责 ”、 “谁使用，谁负责 ”的原则。公司全体员工人人行动起来，积极学习信息安全知识，提高防范意识和操作技能，自觉遵守信息安全制度，共同保障公司信息系统的安全运行。第四条 本守则是对员工日常操作公司信息系统的基本要求，在公司信息安全制度高于本守则要求或发生冲突时，应以公司信息安全制度为准。第二章口令使用第五条 安全优质的用户口令是保

2、障信息安全的第一步。员工应为个人使用电脑设置好开机、屏幕保护口令，为各类帐户设置好登录口令，口令设置遵循以下基本原则：1) 在信息系统可支持情况下，一般用户口令长度 8 位以上，并由字母、数字混合构成，重要系统管理员口令长度 12 位以上，并由字母、数字、特殊字符混合构成；2) 要便于自己记忆；3) 不使用别人容易利用个人相关信息猜测的信息。例如用户名、姓名（拼音名称、英文名称）、生日、电话号码、身份证号码以及其它系统已使用的口令等；4) 避免使用连续的相同数字，或者全是数字或全是字母的字符组。5) 不使用字典中完整单词，避免字典攻击；6) 不同安全等级、不同应用用途的用户应设置不同口令。例如

3、：业务用户和非业务用户、公司内部用户和普通上网用户等应分别设置不同口令；第六条 注意口令保密。不得将个人用户口令泄露给他人，也不得打听或猜测他人用户口令。避免将口令记录在他人可能容易获取的地方，例如笔记本、纸条、电子文件等；避免在自动登录过程中以不安全的方式保存口令。第七条 新用户在第一次登录时应修改其临时设置的口令；设置缺省口令的新用户，用户生效后及时登录并修改口令。第八条 定期修改口令。业务终端登录用户和业务类用户每季度至少修改一次，重要用户根据其他制度要求增加修改频率。 普通办公终端登录用户和办公类用户半年至少修改一次。避免重复使用旧口令。第三章病毒防范第九条 计算机病毒及木马等恶意程序

4、能导致系统破坏、数据泄露、网络中断等严重安全事件发生， 是信息系统的最大安全威胁之一。员工应配合作好个人办公机及个人业务终端等的病毒防范工作。第十条员工应检查确认个人所用电脑已安装好防病毒软件，如未安装应及时联系信息安全管理员安装或信息安全管理员指导下自行安装。 除安装建议上互联网电脑安装安全防护软件，例如瑞星卡卡安全助手、 360 安全卫士等。第十一条 个人所用电脑应开启防病毒软件及相应安全防护软件的实时防护功能，如未开启应及时联系信息安全管理员处理或信息安全管理员指导下自行处理。1 / 4.第十二条 防病毒软件及相应安全防护软件升级周期为办公机实时升级、业务终端每周至少升级一次，员工应检查

5、确认是否及时升级，每周至少检查一次，如未及时升级应及时联系信息安全管理员处理或信息安全管理员指导下自行处理。第十三条 员工个人所用电脑每周至少进行一次病毒全面查杀，防病毒软件一般设置为定期自动查杀，如未设置，也可手动进行查杀。第十四条 个人所用电脑上发现病毒时，应及时将情况报告信息安全管理员。业务终端上发现病毒时， 应立即断开网络， 全面查杀并经信息安全管理员确认后方可再次连入网络。第十五条在使用 U 盘、光盘、软盘等移动介质前，一定要先进行病毒检查；在业务终端上使用的 U 盘等应作到专用； 尽量减少在业务终端上使用移动介质； 不明来历的移动介质应谨慎使用。第十六条员工不得制造、传播计算机病毒

6、。第十七条 员工发现防病毒软件不能有效清除病毒时，应立即向本部门信息安全管理人员或信息技术中心报告，在问题处理前禁止使用感染病毒的文件。第四章上互联网第十八条 互联网是一个开放的网络环境，上网时可能受到恶意网站或者黑客的攻击，导致系统感染病毒、系统被破坏、数据泄露等安全事件发生。第十九条 员工上网过程中应遵守国家法律法规，不得利用公司网络制作、复制、查阅、传播违反国家法律法规的有害信息。第二十条员工不得利用公司上网资源下载与工作无关的文件。第二十一条员工要养成良好的上网安全操作习惯：1) 上网前确认已开启防病毒软件和安全防护软件的实时监控功能；2) 不访问与工作无关的网站，特别是游戏、淫秽、反

7、动等类型的网站；3) 安全软件提示发现病毒或恶意程序停止访问该网站。4) 不要轻易点击通过 QQ、MSN、邮件等传过来的网址。5) 上网过程中被自动提示安装软件或修改配置时，除非能确认为实际需要外，一般都选择 “否”。第二十二条 上网注册帐户时，用户名密码不要与公司内部用户名密码相同或有关联。除非必要，一般不提供真实姓名和联系方式，不将公司邮箱提供作为联系邮箱。第二十三条 避免在网吧等公用上网电脑登录公司 OA等内部系统，如不可避免时，则注意不使用 “记住密码 ”功能，使用完后正常退出用户， 并及时在公司电脑上修改用户口令。第二十四条 严禁通过远程控制方式从互联网或其他外部网络远程操作公司电脑

8、，如因工作需要时，须信息安全管理员报信息技术中心审批同意，并作好过程监控和记录。第五章电子邮件第二十五条 电子邮件已成为常用的通信方式，但电子邮件导致病毒传播、数据泄露，垃圾邮件消耗系统资源、 降低工作效率等安全问题日益严重，员工在使用电子邮件时应作好相应安全防范工作。第二十六条根据用途和数据安全等因素建立邮箱分类使用策略：1) 收发公司业务数据时使用公司内部OA邮箱；2) 公务处理和私人邮箱分开；2 / 4.3) 网站注册用户时提供不重要的邮箱作为联系邮箱等，第二十七条 为经常使用的邮箱和重要邮箱设置优质的密码，并定期修改，建议每季度修改一次。不同用途的邮箱设置不同的密码。第二十八条防范电子

9、邮件传播病毒的基本要求：1) 在收发电子邮件前，应确认防病毒软件实时监控功能已开启；2) 对每次收到的电子邮件，使用前均检查病毒；3) 在收到来自公司内部员工发来的含有病毒的邮件，除自己进行杀毒外，还应及时通知对方杀毒；4) 不打开可疑邮件、垃圾邮件、不明来源邮件等提供的附件或网址，对这类邮件直接删除；第二十九条 防范垃圾邮件的基本要求：1) 经常使用的邮箱，尤其是公司内部邮箱，应尽量避免在互联网上公开。例如：网上调查表填写、网站用户注册、 BBS论坛中。2) 不要回复可疑邮件、垃圾邮件、不明来源邮件。第三十条 防范数据泄露的基本要求：1) 收发公司业务相关的邮件时，必须使用公司内部邮箱，并尽

10、量要求对方使用对方公司内部邮箱。2) 发送敏感数据时，应采用加密邮件方式发送。3) 不要在免费邮箱上保存敏感数据。第六章网络使用第三十一条未经允许员工不得私自更改个人所用电脑的IP 地址、系统服务、网络协议、通信端口限制等网络参数。第三十二条公司的网络标准协议为TCP/IP，未经允许不得启用任何其它网络协议，如SPX/IPX， NETBIOS等。第三十三条 未经批准员工不得在公司内部系统上私自拨号上网；对经批准可以拨号上网的，确认使用的计算机与公司网络断开后才可与外部网络连接。第三十四条 员工不得在公司内部系统上私自建立远程拨号服务、远程控制服务或其他远程接入服务。第三十五条 注意远程拨入用户

11、、远程 VPN帐户的安全保密，员工不得将拨入号码、用户密码等泄露给他人。第三十六条 员工不得私自通过双网卡方式让个人电脑跨接在不同安全等级的网络区域。第三十七条 员工不得私自更改到网络设备的连接，需要变动时应提出申请，由网络管理员负责更改；不得将上网办公电脑接入业务网络或将业务网终端接入办公网。第三十八条 严禁私自让外来人员电脑接入公司网络。如因工作需要，须经审批后在网络管理人员指导下接入可供外来人员使用的网络区域。第三十九条 员工与工作相关的笔记本电脑、 PDA设备通过无线方式接入公司网络时， 须经网络管理员和相关部门负责人批准同意，并按网络管理员要求作好登录认证、传输加密等安全设置。第七章

12、数据和文件安全3 / 4.第四十条公司业务数据、客户数据、重要文件、技术文档等均属于公司信息资产，员工应注意保护，防止数据泄露，更不得利用网络、计算机收集、泄漏公司机密信息；第四十一条个人所用电脑上一般不保存公司机密数据，如确需保存时，应采取适当的加密措施，并妥善存放，使用完后及时删除。第四十二条个人办公机上的文件资料应妥善保存。建立适当的数据存放目录，重要文件资料建议加密保存，定期清空回收站、相关通信软件接收目录等。第四十三条删除敏感数据时，要求使用不可恢复的删除工具进行删除。第四十四条业务终端应通过技术手段，严格控制U 盘、光盘、软盘等移动介质的使用。第四十五条移动移动电脑上如保存有公司敏

13、感数据时，应对数据采取加密存放措施。第四十六条严禁私自拷贝业务数据、客户数据等带离工作场所，如因工作需要时，须经过部门负责人审批同意。第八章 系统使用第四十七条员工不得私自开启计算机机箱， 不得私自装配并使用可读写光驱、磁带机、磁光盘机和USB硬盘等外置存储设备。第四十八条员工不得将公司配备的个人工作用笔记本电脑借给他人使用。第四十九条员工不得安装使用黑客工具软件，不得安装影响或破坏公司网络运行的软件。第五十条员工不得私自在公司内部系统中设立网站、论坛、游戏等服务站点。第五十一条员工不应使用未经公司许可的软件，特别是没有正式版权的软件。第五十二条业务终端上严禁安装与业务无关的软件。个人办公电脑上严禁安装与工作无关的软件。第五十三条个人所用电脑均应设置自动锁屏状态，建议自动锁屏时间设置为10 分钟。员工离开座位时应设置电脑为退出状态或锁屏状态。第五十四条登录相关应用系统， 在使用完毕后应及时退出。 需持续办理业务的终端 （如柜台终端），应根据业务办理情况设置合适的应用程序自动锁定时间，建议为5 分钟。第五十五条无人值守的终端，操作人员离开时应设置为锁屏状态或其他防护措施。第五十六条下班时个人所用电脑应关闭，办公桌上敏感资料、插在电脑上的硬件密钥等应锁存。第五十七条更换工作岗位时，