华为业务线软件定制业务员工信息安全培训教材

1、软通华为业务线软件定制业务员工信息安全培训（本教材适用于软件定制业务的员工培训）华为业务线信息安全部编制 2014-07-04软通动力技术服务有限公司2 目录目 录1为什么要做好信息安全？15定制现场的信息安全管理责任划分2华为信息安全泄密事件16定制现场台式机的信息安全管理3软通信息安全违规事件17定制现场便携机的信息安全管理4华为的信息安全现状及对软通的信息安全要求18定制现场信息资产的信息安全管理5信息安全基本概念介绍 19定制现场机要设备与介质的信息安全管理6华为业务线的信息安全管理体系与管理方针20员工入职、在场、转项目、离职的信息安全管理7软通华为业务线信息安全组织21华为Emai

2、l外发的信息安全管理要求8信息安全专员的工作职责22被派遣出差时的信息安全注意事项9普通员工的信息安全义务或责任23定制员工需注意的易违规事项10华为业务线信息安全奖罚制度24信息安全违规案例11一级违规违规条款举例25违反信息安全规定的后果12二级违规违规条款举例26信息安全问题的反馈渠道13三级违规违规条款举例27END14软件定制业务的办公环境分类2833 为什么要做好信息安全？ 信息安全风险控制是企业风险控制的一部分； 信息安全源于客户的需求； 当前环境的对知识产权保护不力； 少数人的诚信缺失，会给企业带来致命的损失。 2010年，全球第一大汽车制造商丰田深陷“召回门”，这是因为迪米特

3、斯.比勒，这个被福特安排“潜伏”在丰田内部的专业律师，在供职丰田的4年中搜集了300起翻车事故的证据，在福特选定的时机，对丰田进行了起诉，使丰田面临了山呼海啸般的诉讼潮及巨额赔偿。 业界信息安全泄密案例2010年，全球最大的半导体制造设备商AMAT的10名职员，因将其客户三星电子相关技术机密泄露给三星的竞争对手，被韩国当局逮捕。此次泄密事件导致三星直接损失数千亿韩元，而且随着三星电子与后起企业间技术级差的减少，将会给三星带来数兆韩元的损失 。444 华为信息安全泄密事件 2001年8月和11月之间，王、刘、秦三人离开华为，注册成立了上海沪科公司，开始了全新的”创业“。其先与上海XX合作，对方负

4、责资金销售，沪科则主攻新一代多业务光传输系统85XXB的研发。不到半年时间， 2002年5月产品就推向市场；后又以1500万美元股票期权被杭州XX收购，在光网络市场与华为展开面对面的竞争。 经过科技部等权威鉴定中心鉴定，华为有多达数万页研发数据和光盘资料被3位前员工窃取。检方作出的直接或者间接的判断，3位前员工的侵权行为对华为造成了高达1.8亿元的经济损失。 少数人的诚信缺失，道德失衡，几乎给华为产品带来毁灭性的灾难！但天网恢恢、疏而不漏、莫伸手、伸手必被捉。 5555 软通信息安全违规事件 2013年8月，深圳地域黄某，被公司派驻华为场地工作。该员工离职最后一天下班时，利用其拥有的EMAIL

5、外发权限，将平时收集的华为文档打包压缩成图像文件的形式分多次发送到自己的外部个人邮箱。该员工在特殊的时间，采用隐蔽的方式向外部发送保密文件，自以为可以逃过华为的监控，岂料聪明反被聪明误， 一实施违规操作即被华为监控到。该员工挖空心思，离职时想“捞”点资料出去，最后却受到应有的处罚，葬送了个人的信用及名誉。点评：华为的SPEC监控功能强大，任何凭侥幸心理，挖空心思，想蒙骗过关，都是徒劳的。只有遵纪守“法”，诚实守信，才是做人的根本。 2013年11月，软通深圳地域员工王某，在华为场地工作期间，利用工作之便，收集大量内部公开、外部公开文档和少量的秘密文档，多次通过USB拷贝了到个人手机，被华为SP

6、EC监控发现，最终给予王某信息安全一级违规处罚，解除劳动合同并处以3000元人民币的罚款，其直接主管监管不力，按信息安全二级违规处罚，罚款1000元。 666 华为的信息安全现状及对软通的信息安全要求 华为对合作方的信息安全要求非常高，在合作前及合作中将对我们公司的信息安全状况进行严格的认证及稽核，发现违规事件将对我公司进行罚款、降低配额甚至终止合作。 我们如果不做信息安全或者做得不好，就极有可能失去华为这个大客户。 信息安全是华为的“高压线”，也是软通华为业务线的“高压线”，触碰者必将受到严厉的处罚。华为要求软通信息安全违规事件数是零。客户和认证公司对华为信息安全的评价：华为公司的信息安全管

7、理给我们留下了非常深刻的印象，员工的信息安全意识非常高，并且对公司的信息安全体系建设表现出非常高的热情和参与的积极性，主动性很强。这表明华为公司已经建立起了一个上行下效，效率很高的信息安全管理体系。华为公司的信息安全管理水平比我们在国内认证的任何一家企业都要好，尤其是上研所，整体信息安全管理水平甚至超过了保险和金融机构。77信息安全基本概念介绍 信息安全（Information Security）: 是对信息资产保密性、完整性、可用性等的保持。信息安全有五大特性：保密性（Confidentiality）：保障信息仅为被授予使用权限的人获取。完整性（Integrity）：指信息资产正确、不被偶然

8、或蓄意地删除、修改、伪造、乱序、 插入等破坏的特性。可用性（Availability）：指被授予权限的人能及时访问、获得信息资产。可靠性（Reliability）：指人员、环境、软件、网络等在规定的条件范围内可靠运作。不可抵赖性（Non-Repudiation）：指通信双方（人、实体或进程）信息真实同一的 安全要求，它包括收、发双方均不可抵赖。 信息安全体系就是基于这五大特性来建设 知识产权：（Intellectual property），指“权利人对其所创作的智力劳动成果所享有的专有权利”，一般只在有限时间期内有效。除非权利人同意或许可或法律规定，任何其他人都无权享有。 我们在为华为或华为客

9、户服务过程中产生的信息资产，其知识产权归华为或华为客户所有。88 华为业务线的信息安全管理体系与管理方针 软通华为业务线的信息安全管理体系包含如下几个方面：信息安全管理方针：基于华为方信息安全管控要求及业务本身的需要，兼顾工作效率及运作成本，通过建立有效的信息安全管理体系及实施PDCA循环，对信息安全的风险进行管控，确保华为及本公司信息资产不受损害。9 软通华为业务线信息安全组织华为业务线信息安全管理组织如下：华为业务线安全保密委员会职责：是华为业务线信息安全事务的领导决策机构、负责信息安全制度审核发布、人事任免、奖励与处罚。华为业务线信息安全部的职责：参照软通公司及华为的信息安全管控要求，识

10、别信息安全风险，制定华为业务本部的信息安全策略、规章制度及管理流程并提请华为业务本部安全保密委员会审评决策。推动及监管华为业务本部的信息安全策略在各部门落地。支持及指导华为业务各部门开展信息安全建设。华为业务线各地域信息安全工作组的职责：负责推动华为业务线信息安全政策在本地域落地，对所在地域的信息安全工作进行指导及监督，对地域的重大信息安全管控方案进行评审及决策。1010信息安全专员的工作职责信息安全专员： 信息安全事务的职业管理者。当你遇到信息安全问题时必须向当地信息安全专员咨询；千万不能道听途说，导致信息安全违规，使自己蒙受损失。 每个员工都有义务配合及支持信息安全专员的工作。信息安全专员

11、的工作职责 ：推动信息安全管理规定在本地域落地。识别并管控所在地域的信息安全风险。对所负责的地域员工进行信息安全宣传及培训，提升员工信息安全意识。例行稽核并推动整改。处理机要设备特殊需求（如加封、拆封）。接受员工咨询，解答员工对信息安全的询问。支撑业务部门信息安全建设。对疑似违规事件进行调查，对员工按“信息安全奖罚规定”进行奖励或处罚。与当地的华为信息安全部门接口，落实华为方的信息安全要求；配合华为方的信息安 全稽核，跟踪并推动整改华为方稽核发现的问题。111111普通员工的信息安全义务或责任作为华为业务线的员工，我们须承担以下的信息安全义务或责任： 入职时与公司签署保密协议，手抄信息安全保密

12、承诺书。 参加信息安全培训及考试。 工作中自觉遵守信息安全各项规定，遵纪守规。 对自己名下或使用的信息资产及机要设备的安全负责，确保不发生泄密事件。 定期自检自己的行为是否符合信息安全的各项要求。 发现信息安全问题或漏洞有责任向部门主管及信息安全专员反馈。 配合信息安全专员的信息安全工作。 未经授权，不得向外部扩散公司或客户的保密信息。特别在与同学或朋友聚会时，注意保守公司及客户的技术与商业秘密。 有义务配合信息安全管理部门的疑似违规调查，有责任澄清自己身上的疑点。12 华为业务线信息安全奖罚制度奖励：团体奖分为一等奖、二等奖及三等奖；在信息安全管理中表现突出并有优秀实践事迹的部门，可以申报团

13、体奖，按事迹及影响的大小决定奖励的等级，一年评选一次。个人奖分为特等奖和普通奖；特等奖奖励举报重大信息安全泄密行为并协助信息安全部门取证的员工，普通奖主要奖励反馈信息安全漏洞或建议并被采纳的员工，个人奖以及时奖励为主。违规级别处罚原则违规员工处罚对第一层主管（直接主管）的处罚对第二层主管的处罚对第三层主管的处罚对第N层主管的处罚BU主管/地域主管的处罚三级违规违规员工本人并连带二层主管通报批评，处以200元罚款通报批评，处以100元罚款通报批评/二级违规违规员工本人并连带三层主管通报批评，处以500-1000元罚款通报批评，处以500元罚款通报批评，处以300元罚款通报批评/一级违规违规员工本

14、人并连带直至BU主管/地域主管解除劳动合同，通报批评。处以不低于2000元的罚款通报批评，处以1000元罚款通报批评，处以800元罚款通报批评，处以500元罚款通报批评，处以500元罚款通报批评如同一部门半年内发生二起信息安全违规事件，则该部门第一层主管除受到以上处罚外，还将受到“下课”的处罚。备注：第一至N层主管，指违规员工所在地域的主管；处罚：13一级违规违规条款举例未经批准，通过拍照、摄像、录音等方式获取公司和/或客户华为的保密信息。将公司和/或客户华为的保密信息泄露或出售给公司和/或客户华为的竞争对手、任何第三方或予以公开。未经批准，将公司和/或客户华为保密信息以纸质或电子文档等形式发

15、送或存储至私人的存储介质或任何第三方信息系统（如拷贝、打印、Email外发等）。编制或故意运行、传播黑客、病毒程序，攻击ODC场地网络或公司和/或客户华为网络信息系统。窃取他人帐户盗取公司和/或客户华为保密信息、篡改公司和/或客户华为系统数据。将ODC的网络与外部网络相连。私自修改、删除IT系统日志系统管理员私自越权查看、创建、修改、删除、下载业务数据或私自给无关人员授权。绕过或破解华为的安全控制软件（SPES、CPM、ACC等）及传播破解方法（包括通过破解、攻击、卸载、禁用等方式使得SPES、CPM、ACC等无法正常运行，或传播使其无法正常运行的方法）。 在信息安全违规事件调查中，销毁证据、

16、拒不配合调查。未经批准，私自在办公设备或介质中保留公司和/或客户华为的机密及绝密级信息。未经批准，私自将个人或非ODC的机要设备、存储介质与ODC网络或公司和/或客户华为网络设备相连。 盗用他人系统账号；隐藏、伪造个人身份使用公司和/或客户华为信息系统（如假冒他人邮件帐户发送邮件等）。 未按规程操作或设置，造成ODC网络瘫痪。未经批准，私自带外部人员进入ODC区域内，并使用机要设备查看公司和/或客户华为的保密信息。 私自打开电脑主机箱盖。对于ODC场地中存在的不合规的高、中风险问题在限期内未整改，造成公司和/或客户华为保密信息泄密。承担信息安全职责的人员，未严格履行信息安全职责，导致所负责的领

17、域内存在信息安全高风险漏洞。 一级违规处罚：解除劳动合同，而无需支付任何经济补偿金，并处罚款。14二级违规违规条款举例未经批准，私自收集与工作无关的公司或客户华为内部公开、秘密级保密信息。未经批准，将个人除手机之外的电子设备及电子存储介质带入ODC场地或客户办公场所。未经批准，私自撕开机箱或数据端口的封条或未及时对数据端口申请加封。未经批准，私自将ODC场地内的故障硬盘带出维修。未经批准，对华为公司网络进行抓包、嗅探、压力测试等处理。保管不善，丢失机要设备（不可抗力因素除外）。冒用他人的工卡进出办公场地。在信息安全稽核中，ODC场地检查出的每例不合规的高、中风险问题，未按时整改关闭的。员工转岗

18、时未及时删除与后续工作不相关的信息资产及IT系统权限。在信息安全策略推行中，拒绝或不执行信息安全管理要求的。 二级违规处罚：通报批评并处罚款。15三级违规违规条款举例计算机未设管理者密码、BIOS密码及屏保密码。账号口令未设置或长度不符合信息安全要求。防病毒软件未及时升级。对自己使用的或名下的机要设备上的信息安全管控措施失效而不知情。进出大门未正确佩戴工卡不听门岗劝阻被投诉的；携包出门，不配合门岗检查被投诉的。未经批准，转借公司和/或客户华为信息系统个人账户。未经批准，在公司和/或客户华为办公网络配置固定IP地址。未经批准，在公司和/或客户华为办公网络私设WWW、FTP以及BBS、NEWS、D

19、NS、Wins、DHCP等网络配置和应用。用于客户华为业务的计算机（或系统）感染病毒并攻击其它计算机，IT 通知其整改后在三个工作日内不整改的。 三级违规处罚：通报批评并处罚款。说明：华为的信息安全违规等级分四级，软通的分三级。软通的处罚更为严厉。16 软件定制业务的办公环境分类A类：华为场地&华为内网 网络环境、办公场地相对独立，办公用机安装标准SPEC安全桌面等华为监控软件。B类：华为场地&互联网 办公场地相对独立，网络环境不能严格隔离（可以通过互联网或专线接入客户网络），办公用机安装标准SPEC安全桌面等华为监控软。C类：客户场地&客户内网 办公场地由客户提供，网络环境严格隔离，只能访问

20、客户网络，不能通过任何手段访问外网，办公用机安装离线华为监控软件。D类：客户场地&互联网 办公场地由客户提供，网络环境不能严格隔离，办公用机安装标准SPEC安全桌面等华为监控软件。1717 定制现场的信息安全管理责任划分 华为方现场项目经理是现场信息安全管理的总负责人，华为方信息安全专员是定制现场的信息安全具体管理人员；软通在定制场地也设有信息安全专员，对软通员工进行信息安全管理。 每个定制现场华为方都会制定有适合本地现场定制的信息安全管理规定，在不同场地工作时需注意向当地信息安全专员询问清楚，防止无意违规。 软通员工的信息安全管理要求与所在定制场地的华为员工一致，必须遵守华为方及客户方的信息

21、安全管理规定，有不清楚的地方需及时询问所在场地的华为方信息安全专员或软通信息安全专员。 计算机使用人是资产的责任人，应保证计算机的设置和使用符合华为和华为客户的相关信息安全管理规定；未经批准，不得将含有华为公司或华为客户信息资产的计算机私自转借给他人使用。 软通提供的台式机与便携机的机型要与华为公司要求一致；严禁使用私人台式电脑或便携机办公。1818定制现场台式机的信息安全管理 在定制现场使用的台式电脑只允许在定制现场使用，不允许带出定制现场；机箱必须用激光封条加封；不需使用的数据端口必须使用激光封条加封，如果已经使用CPM工具对数据端口进行监控的可以不需要封条加封；确因工作需要保留的数据端口

22、又未使用CPM工具进行监控端口的，必须经过华为信息安全责任人审批，并在华为方信息安全专员处登记备案。 在C类环境（只能访问客户网络，不能通过任何手段访问外网）的定制环境内的办公电脑需安装离线华为监控软件；其他环境（A/B/D类）的办公电脑必须安装华为SPEC安全桌面。 安装了华为SPEC安全桌面的台式电脑，每月至少运行SPEC一次，并及时更正（SPEC提醒的）违规情况。 办公的台式电脑必须安装防病毒软件并及时更新（客户的或者华为公司的）；必须设置有效的开机、屏保口令，屏保程序必须为操作系统自带且启动等待时间不得高于10分钟，若使用人离开计算机须立即启动屏保。 不得安装与工作无关的软件，如需安装

23、非标准软件，必须由信息安全责任人统一提交华为业务管理部报软件公司信管办审批，经批准后才能安装使用。191919定制现场便携机的信息安全管理 对于现场办公环境条件限制或多点办公的，可以使用公司的便携机办公。 定制现场允许配置少量公用便携机（用于对外交流、汇报、上线等）；便携机由信息安全专员负责管理，软通员工借用须按华为流程由华为信息安全责任人审批。 软通员工使用的便携机撤离定制场地时，需由华为项目经理或授权人员对便携机的硬盘数据进行检查和清理后方可带出。 携带便携机外出需携带数据时，需根据工作相关性原则进行申请，不得申请携带与当前工作无关的数据资料；需要从现场定制网络中拷贝数据，必须经过审批，由

24、信息安全专员完成数据拷贝操作，严禁从现场定制网络中直接拷贝数据至便携机。 借用便携机的工作任务结束，应在2个工作日内归还便携机，由信息安全专员协助将相关数据拷入现场定制网络，并对便携机硬盘数据进行清理。 所有便携机必须安装华为标准SPEC安全桌面，每月至少运行一次，及时更正违规情况。 所有便携机必须安装防病毒软件并及时更新（客户的或者公司的防病毒软件）。 便携机不需使用的数据端口不得保留，必须使用激光封条加封，如果已经使用CPM工具对数据端口进行监控的可以不需要封条加封，硬盘要加封激光封条；确因工作需要保留的数据端口又未使用CPM工具进行监控端口的，必须经过信息安全责任人审批，并在信息安全专员

25、处登记。 所有便携机需设置有效的开机、屏保、硬盘口令，屏保程序必须为操作系统自带且启动等待时间不得高于10分钟，若使用人离开计算机须立即启动屏保。 所有便携机不得安装与工作无关的软件，如需安装非标准软件（如客户要求交流使用的BQQ等等），必须由信息安全责任人统一提交业务管理部报软件公司信管办审批，经批准后才能安装使用。 便携机携带的数据必须打包加密，密码长度应保持10位以上。202020定制现场信息资产的信息安全管理 严禁私下共享或传递文档，工作需要时向项目经理申请获取；严禁保留与当前工作无关的文档；文件共享不允许设置everyone，共享完成后须及时取消共享。 现场定制员工应按照配置库权限规

26、则限定的权限保留相关文档，严禁保留无权限文档，需要查看无权限的文档，经项目经理或信息安全责任人审批，由CMO提供相关文档，所申请的文档到期后应主动及时删除。 当前不使用的文档和代码应从本地删除，正式环境、测试环境不允许保留源代码和文档，编译完毕后应立即删除编译程序。 不得Check-Out全部配置库文件到本地计算机。 在使用客户共用的打印机情况下，不允许打印华为公司内部公开以上密级资料，若打特殊场景需要打印与客户交流的资料，需要填写“文档打印申请表”，取得项目经理同意且设置水印（水印形式：姓名+工号），并及时取走打印的资料。 与客户之间的数据传递，如附件涉及到华为内部公开以上的信息资产必须抄送

27、给华为项目经理。 华为公司的保密信息资产分为内部公开、秘密、机密和绝密。合作员工仅接触到内部公开及秘密级资产。21212121定制现场机要设备与介质的信息安全管理机要设备与介质的信息安全管理要求： 原则上个人的机要设备与存储介质（手机除外）不得带入定制现场。 个人机要设备与介质确因工作需要带入/带出定制现场使用的，必须经过信息安全责任人审批，在华为信息安全专员处备案。 定制现场的机要设备/介质的端口（USB口等）必须审批备案才能保留，否则必须用封条加封。机要设备与介质： 指能够存储处理或交换信息资产的载体，包括但不限于：通信终端（如智能手机）、台式电脑、笔记本电脑、服务器、工作站、交换机、路由

28、器、仪器仪表、单板、打印机、复印机、TC（瘦客户端）、可写光驱、磁带机、无线接入设备（无线路由器、AP）、软驱、移动硬盘、U盘、存储卡、数码相机、摄像机、录音笔、平板电脑、机顶盒等。（“机要设备与介质”有的文件又称为“存储设备与介质”）22Page 22入职 在场 离职1.主动了解信息安全制度，发现异常情况应立即向直接主管或信息安全专员报告。2.参加公司或部门组织的信息安全培训及考试。3.不对无关人员泄露对业务活动中获得的保密信息。4.按需要申请信息系统的访问权限。5.特殊端口的使用、机要设备的搬迁需按流程申请。6.跨项目获取数据需请华为项目经理申请。7. 对自己名下的机要设备做信息安全管理并

29、承担责任。1.离职时，在提交离职申请电子流的同时，需填写华为业务本部员工离职信息安全确认表并找相 关责任人签字，全部签字完毕后将该表交负责处理员工离职的人力资源专员。2.反馈并配合部门主管或项目经理，回收所持有的信息资产，取消所有的IT访问权限，退还工卡、 门禁卡。3.联系IT工程师，对清退电脑进行低级格式化处理并办理退库。 转项目1、转项目前移交工作文档，申请取消与新项目不相关的的信息资产和IT系统/应用的访问权限。2、不私自保留与后续项目无关的信息资产。员工入职、在场、转项目、离职的信息安全管理1.与软通公司签署保密协议，手抄保密承诺书。2.参加新员工信息安全培训，并通过考试。3. 开通门

30、禁权限。4.检查新领办公设备的信息安全处置是否完成，对办公系统按要求做信息安全设置。23232323232323华为Email外发的信息安全管理要求232323232323邮件发送给非华为邮箱（“外发”）时必须设置华为的保密声明。不得向与工作无关人员发送华为或华为客户保密信息。所有发送给非华为邮箱的邮件均要抄送给华为项目经理或其授权人。严禁自发自收华为或华为客户保密信息（将信息发送到自己的软通邮箱，也属于自发自收）。严禁将华为或华为客户的保密信息发送到私人邮箱、下载到个人或与工作不相干的设备或存储介质中。（一级违规）严禁将华为文档取消华为标识，将内容另存为另一文档后外发。（一级违规） 对外发送

31、附件时需要打包加密，密码与附件需分开发送。当工作不需要华为EMAIL外发权限时须上报项目经理及时取消外发权限。说明：所谓“外发”是指将华为信息/文档发送到“非华为（.）”邮箱。24 被派遣出差时的信息安全注意事项 派遣软通公司员工为华为或华为客户出差需携带便携机时，只能使用公司提供的安装有SPES的便携机，不得使用个人便携机。出差便携机只限借用人使用，严禁私自转借。 严禁私自下载或格式化SPES安全系统；禁止以任何方式破解、绕过或破坏安全软件正常运行。（一级违规） 不允许在出差便携机中私自安装多操作系统或虚拟机。（一级违规） 不允许使用光盘、U盘、私人硬盘启动便携机，访问或拷贝数据。（一级违规

32、） 不允许私自拆卸便携机的硬盘。（一级违规） 不允许私自重装操作系统。（一级违规） 出差人必须对出差便携机中的信息资产的安全负责，未经批准，不得将便携机中的信息资产拷贝或发送给与工作无关的人员，不得传送到非公司计算机或存储介质中，工作需要时，需经华为方项目经理同意。 （一级违规） 不得将电脑上的华为保密信息上传到外网的网盘中。 （一级违规） 不得将电脑上的保密信息发送到个人邮箱。 （一级违规） 如工作需要，需使用QQ等即时通信软件时，需预先征得华为项目经理同意。 出差前出差员工需到软通项目经理处签署员工出差信息安全保密承诺书。252525252525 定制员工需注意的易违规事项 未经审批，不得

33、将个人便携机、机要设备（手机除外）带入定制现场。 未经审批，不得将个人便携机、机要设备与定制现场网络或设备相连。 未经审批，不得通过modem、ADSL或其他方式将定制现场的计算机与Internet连接。 未经批准，不得将含有华为公司及华为客户信息资产的计算机私自转借给他人使用。 对自己使用的或名下的机要设备，每周自查其信息安全管控措施是否失效。 未经批准，不得私自撕开机箱或数据端口的封条，如封条有损需及时申请重新加封。 未经批准，不得私自将定制现场场地内的故障硬盘带出维修。 不得私自安装非标准软件或与工作无关的软件。 须设置有效的开机、屏保口令，屏保程序需操作系统自带，等待时间不得高于10分

34、钟。 须按华为要求安装华为SPEC安全桌面，不得私自使用个人电脑办公。 不得绕过或破解华为的安全控制软件（SPES、CPM、ACC等）及传播破解方法（包括通 过破解、攻击、卸载、禁用等方式使得SPES、CPM、ACC等无法正常运行，或传播使其无法正常运行的方法）。 未经批准，不得通过拍照、摄像、录音等方式获取华为或华为客户的保密信息。 未经批准，不得将华为或华为客户的保密信息以纸质或电子文档等形式发送或存储至私人的存储介质或任何第三方信息系统（如拷贝、打印、Email外发私人邮箱等）。 不得私自收集与工作无关的华为文档或华为客户文档；当前不使用的文档和代码需从本地删除（华为同意的除外）。 发送

35、给非华为邮箱的邮件须抄送给华为项目经理或其授权人。 不得私自Check-Out全部配置库文件到本地计算机。 未经批准，不得转借华为或华为客户的信息系统个人账户。 防病毒软件须及时升级。 2626信息安全违规案例（一） 案例一：私自将华为文档发送至个人的外部邮箱被除名 软通上海地域 终端海思BU员工施某，在华为上研所工作期间，因为工作需要，华为给其申请开通了华为email外发权限，该员工为了学习方便，通过华为email将数十篇华为文档发送至自己的个人外部邮箱，被华为SPES安全软件监控记录，施某的行为严重违反了客户华为及软通公司的信息安全管理要求， 按照华为业务本部信息安全奖罚管理规定，施某按信

36、息安全一级违规处罚，无补偿的解除劳动合同并在华为业务本部内通报批评。案例二：私自收集华为机密文档被除名 软通上海地域 终端海思BU员工黄某，在华为上研所工作期间，私自收集华为的机密及绝密级文档保留在办公电脑中，被华为检查发现。究其收集华为文档的原因，是为了学习，以前也看到他人收集华为文档保留在办公电脑中学习使用，未被查处，存侥幸心理，最终害了自己。处罚： 黄某按信息安全一级违规处罚，无补偿的解除劳动合同并在华为业务本部内通报批评。272727信息安全违规案例（二） 案例三：新员工无视信息安全规定，连续二次违规被终止合同 软通南京地域 新员工韩某，在入职后无视信息安全要求，冒用他人工卡进入ODC

37、，此后不久又私自携带个人存储电子设备进入ODC，一月内二次违规，信息安全意识十分淡薄。 处罚：韩某按信息安全一级违规处罚，终止试用并在华为业务本部内通报批评。案例四：手机拍摄文档，一样难逃法网 某使用华为便携机办公的员工，上班时从华为内部网络上拷贝华为文档保存于办公便携机中，下班后将便携机带回家，几乎每天晚上9点至10点之间，该员工都使用手机拍摄便携机中的华为文档，拍摄过后再将已拍摄的文档删除掉，一段时间下来，拍摄文档数千页。该员工自以为人不知鬼不觉，谁知这些行为已被安全软件SPES所记录。在调查取证时，该员工拒不承认，在调查人员向派出所报警后，该员工不得不承认了自己的所作所为，从家中取来的电

38、脑硬盘中发现所拍摄的大量文档。最终该员工被除名，该员工所在公司保留起诉该员工的权利（如偷窃的文档被扩散，将会被起诉）。28282828信息安全违规案例（三） 案例五：冒用他人工卡进出办公场地也是信息安全违规 某地域新员工徐某办理的黄区ODC工卡尚未下发，其项目经理刘某，嫌“填外来人员接待电子”麻烦，于是将暂存在自己这里的一名离职人员的黄区ODC工卡（待归还卡证科）拿给徐某使用，徐某明知该行为是严令禁止的，心存侥幸心理，冒用离职员工的工卡进出黄区ODC时，被门岗发现。 刘某及徐某违反华为业务本部信息安全管理规定，被按信息安全三级违规处罚，记入员工诚信档案。案例六：挑衅华为安全软件被开除 IT工程师王某，从事IT技术工作多年，为了将公司给其备的办公笔记本电脑上的文档拷出，在自己家中，将笔记本电脑的硬盘拆下，连接到个人电脑上作为数据盘，再将笔记本电脑上的数据拷到个人电脑中，自以为这样做可以逃过笔记本电脑上的安全监控软件SPES的监控，岂料聪明反被聪明误，王某的所作所为还是被安全软件监控记录。最终王某被除名处理。2929292929信息安全违规案