中国石油天然气股份有限公司信息安全员工手册簿

精彩文案精彩文案信息安全员工手册石油科字〔2003〕239第一章 总 则〔以下简称股份公司信息资产〔包括信息、信息系统资产、学问产权等〕其次条本手册是股份公司员工在信息安全治理方面必需严格遵守的根本守则份公司将追究相关人员的责任；情节严峻、违犯国家法律法规者，将依法追究刑事责任。其次章 信息安全第三条 员工在信息应用方面不得有以下行为：1．以盗窃、利诱、胁迫或其它任何不正值手段，猎取本公司的商业隐秘；违反公司有关的协定、要求及与公司签订的劳动合同，披露或者泄漏本公司的商业隐秘；未经本公司许可，将商业隐秘用于指定目的以外；帮助他人以不正值手段猎取公司商业隐秘。第四条 员工因业务需要必需将公司商业隐秘向第三方披露或者交由第三方使用的应参照执行《自然气股份机关商业隐秘治理规定。第五条 员工在工作过程中了解到其它公司商业隐秘的应视同本公司商业隐秘依据本公司商业隐秘治理规定执行，不得向任何第三方泄漏。第六条 员工在业务过程中如需接触任何股份公司的关键信息资产都必需签署相应的协议，协议容参照《自然气股份机关隐秘载体治理规定》的有关要求制定。第七条 离、退休及辞职人员信息规定：1．离、退休及辞职人员必需办理离岗手续，明确其离岗后的信息义务，退还全部技术〔如更换该账号的口令。离、退休及辞职人员在与公司解除劳动关系或合同关系后，仍旧有对公司的商业隐秘负有的义务，直至该隐秘所规定的期限到期。为保护本公司商业隐秘不受侵害，接触本公司商业隐秘的员工离职时，如有必要，公司应与其订立竞业限制合同，商定离职后的竞业限制事宜。第三章 信息资产使用职责第八条 员工对所使用的信息负有安全责任同样各种可移动或便携式硬件资产的安全责任由该资产的使用者担当。股份公司的信息资产的使用者需遵守如下规定：不在无安全保障的场所〔包括在无安全保障的信息系统中〕阅读、处理敏感信息资料；不在亲属、朋友和其他无关人员面前谈论公司商业隐秘信息；未经同意不得私自留存隐秘文件、资料，阅办后的隐秘文件要按规定准时清退、归档；不擅自销毁重要信息资料；使用的信息资料应当存放于安全的环境中。第九条 员工不得在未经许可的状况下使用他人的电脑设备也无权将自己使用的电脑用过程中的安全责任。第十条 员工不得在未授权的状况下擅自将股份公司的电脑软件和敏感资〔包括第三方数据〕进展复制、存储、传送。第十一条 员工有责任准时觉察并上报发生的信息安全大事并应当在信息安全大事的处理过程中帮助相关人员的调查工作。第十二条 员工应使用公司供给的网络文件效劳器备份自己的重要文件。第十三条 未经同意员工不得擅自将股份公司的信息资产存储在不属于股份公司信息安全资产的存储介质中，包括私人电脑、公用电子、私人用途的移动硬盘等。第四章 学问产权保护位交付的本职工作之外的任务所制造的学问产权〔如员工建立的与股份公司业务相关的文档、软件等。第十五条软件保护：1．股份公司的信息系统、个人电脑、效劳器等全部硬件设备上安装、运行的软件都必须拥有被合法使用的权利，否则不得在股份公司的信息系统上安装、运行；2．由股份公司购置的商业软件属于股份公司全部，该软件的安装和使用必需遵从与供股份公司业务需要的领域进展复制、安装或使用。第十六条 员工的个人资料也属于股份公司信息资产的一局部未经本人和相关部门授权，任何个人不得泄露他人的信息资料。第五章 公司信息公布Email第十八条股份公司全部员工不得通过股份公司的信息系统与外部组织或个人进展本个人进展沟通时〔如发帖或者电子〕应注明以下容：不担当由于此文可能导致的任何责任和义务第六章 身份认证安全须马上上报有关部门。人不得擅自与他人共享，或者随便放置。其次十一条员工应依据所使用的信息系统的安全敏感程度定期修改口令6或数字群。避开使用与个人有关的数据〔如生日、字号、单位简称〕作为口令。同时尽量避开使用一些常用的单词〔如日常用语，计算机术语等〕作为口令。息，不应将口令告知任何人，包括系统治理员或秘书。员工也不应将口令通过Email、等任何方式传播出去。其次十四条员工不应保存口令的字面记录或电子记录。其次十五条员工应避开在不同的应用系统中使用同样的口令一口令可能已经泄漏或受损害时，要马上更换该口令和可能被牵涉到的其他系统中的口令。〔记住口令”功能。Email地址、组织联系及其他相关信息必需真实地反映该文档的来源。第七章 安全区域进出其次十八条员工应当在自己职权围的安全区域进展活动示证件以明确身份。其次十九条未经同意员工不得随便进入自己职权围以外的安全区〔如非机房工作人员进出机房，必需事先向相关部门提出申请，经过审批确认前方可进入。第八章 去除桌面和屏幕第三十条去除桌面和屏幕是保护信息资产防止其泄漏或丧失的重要措施之一使用信息设备时，实行措施将其中的信息资产保护起来，使未经授权的用户无法访问。断位置。上锁的文件柜或其他形式的保险设备中。第三十三条在打印敏感信息或资料时，应在打印完毕后马上从打印机中移除这些资料。第九章 信息媒介的使用和处置第三十四条 股份公司业务的敏感资料〔含第三方的，包括文件、数据介质、系统档等，任何部门或个人，未经授权，不得调用、存储、传送或复制。第三十五条 员工应将一切含有敏感信息的媒介保存在安全牢靠的地方并符合生产厂家说明书的安全要求。当相应媒介的使用完成之后，应将其中不再需要的敏感信息删除。第三十六条 员工从安全区域带走含有敏感信息的媒介都应经过授权全部可移动媒介的借用、使用，应有具体的记录和审核跟踪。第三十七条 存储介质如需要调换、更、废弃，必需进展信息整理和信息清洗。第十章 操作系统使用第三十八条 员工所使用的WindowsNT/2000/XP操作系统应尽量使用NTFS文件格式。第三十九条 除确实必要外在同一台客户机上应只安装一套操作系统并且将操作系统安装在一个单独的磁盘分区中，把应用系统和数据文件放在另外的磁盘分区中。第四十条在Windows限。第四十一条 除特别需要外员工不得在公司的电脑上使用软盘和光盘启动功能在必要的状况下，应将软盘和光驱物理撤除。第四十二条 员工应遵照系统治理员的要求安装和配置系统设置制止自行更改操作系统中公司预先设置好的安全配置。第四十三条 员工应关注公司关于系统弱点漏洞的公告和病毒预防通知并应依据公告和通知的指导对客户端系统安全漏洞准时安装补丁，并定期进展客户端病毒扫描。第十一章 电子使用用的协议、规定、程序和惯例。第四十五条员工应遵照系统治理员的要求安装和配置客户端系统客户端安全选项。第四十六条员工在自己的账号开通后应准时修改口令人盗用。不得试图猜测和翻开其他任何未经许可的用户。人员。和网络资源。第四十九条含有重要信息的传输应加密并承受安全传输方式。第十二章 互联网访问和使用第五十二条员工通过公司网络在互联网上的一言一行都代表了股份公司的形象必需规自己的访问行为。要遵守道德规和法律法规，员工不得通过互联网进展以下活动：通过互联网窃取、泄露公司未公布的信息；利用互联网侵害他人学问产权；在互联网上建立淫秽、网页，供给淫秽站点效劳，或者传播淫秽书刊、影片、音像、图片；利用互联网污辱他人或者捏造事实诽谤他人；利用互联网进展盗窃、诈骗、敲诈讹诈；有意制作、传播计算机病毒等破坏性程序，攻击计算机系统及通信网络。第五十三条员工必需意识到在互联网上传输的数据都是公开的可能。因此，在通过Email、FTP、网页等传送敏感数据时应对数据加密并承受安全传输方式。第五十四条员工在发送相关数据和文档之前必需考虑该信息是否会侵害。第五十五条员工在互联网上分发与业务相关的数据或文件批准。第五十六条员工在公司的电脑上安装从互联网上下载的可执行程序必需得到相关部门的许可，并通过防病毒软件的扫描，确认无病毒后才可安装。下载、安装和使用第三方的程序必需不违反公司的安全规定和软件规定。第五十七条员工不得在工作时间利用公司网络资源访问和工作无关的。第五十八条 制止员工在工作时间使用需要消耗大量带宽并和业务无关的应用程〔如网络视频/音频点播、大量文件的下载等。第五十九条 严禁员工对公司的网络设备进展登录以及对网络效劳设置随便更改员工之间的计算机相互共享和访问应当符合相关规。第六十条 员工一旦觉察有未经授权的或是不适当的互联网访问行为应马上向相关的负责人员报告，一旦觉察公司部的系统可能遭到入侵也应准时向有关部门反映。第六十一条 员工应遵照系统治理员的要求安装和配置扫瞄器并按公司要求配置扫瞄器客户端安全选项。第六十二条 员工在自己的Web账号开通后应准时修改口令和口令提示问题应对自己的账号和口令安全负责不应将账号借与他人一旦觉察账号口令泄露应准时更换口令。假设觉察股份公司Web站点存在任何安全漏洞，应准时通知公司系统治理人员。第六十三条 员工不得盗用他人的Web账号，不得下载任何未经许可的数据，未经批准不得上传任何有关公司的信息。第六十四条 公司将保存对员工使用互联网进展监控的权利任何人如经查实违反上述规定，将予以相应的惩罚，系统治理员有权停顿或取消该员工使用权限。第十三章 防范恶意代码和计算机犯罪第六十五条 员工必需确保使用的计算机上安装了防范恶意代码的软件并确保安装的软件进展了适当的配置，同时必需确保所用的操作系统和应用软件进展了适当的配置。第六十六条 员工不得擅自更改所用操作系统应用软件的安全设置和防范恶意代码软件的设置。第六十七条 员工应在技术人员的提示和帮助下确保操作系统和应用软件进展了最的安全更。第六十八条 对于以下行为员工必需通过防范恶意代码系统进展扫描确认安全后才可以执行：通过互联网下载文件和应用程序；在共享网络上传输下载的数据和应用程序；拷贝软盘、光盘及其他移动存储设备上的数据和应用程序。