移动办公安全管理办法（试行）

移动办公安全管理办法（试行）本办法适用于公司全体员工及因工作需要使用公司移动办公系统的合作方人员（以下简称"移动办公用户"），涵盖通过手机、平板、笔记本电脑等移动智能终端（以下简称"移动终端"）访问企业内部信息系统、处理业务数据、进行协同办公的所有场景。第一条移动终端安全管理（一）移动终端分为公司配发终端与个人自有终端两类。公司配发终端由信息技术部（以下简称"IT部"）统一采购、注册、配置，安装企业移动管理（EMM）平台客户端，开启设备定位、远程锁定及数据擦除功能，禁止私自Root/越狱、卸载安全组件或修改系统权限。（二）使用个人自有终端接入移动办公系统的，需通过IT部安全检测，安装指定的移动安全客户端（含防病毒、数据加密、行为监控模块），签署《个人终端移动办公安全承诺书》，承诺不将终端用于非办公用途，不存储与工作无关的敏感数据，不向他人出借或共享终端。（三）所有移动终端需开启屏幕密码（长度≥8位，包含字母+数字组合）或生物识别锁（指纹/面部识别），连续5次输入错误自动锁定设备；超过30分钟无操作需自动锁定，解锁后重新验证身份。（四）移动终端需定期（至少每季度）进行安全更新，包括操作系统补丁、安全客户端升级及应用权限核查；IT部通过EMM平台推送更新指令，未在72小时内完成更新的终端将限制接入移动办公系统。第二条网络接入安全控制（一）移动办公用户必须通过公司指定的虚拟专用网络（VPN）或安全接入网关（SAG）访问内部系统，禁止使用公共WiFi、未加密热点或非公司授权的代理服务器接入。（二）VPN连接采用"用户名+动态令牌+生物识别"三重认证，动态令牌每60秒更新一次验证码，生物识别需与终端绑定（指纹需注册3枚以上，面部识别需完成活体检测）；首次连接需通过IT部人工审核，异常IP地址（如境外、非办公常驻地）接入时触发二次验证。（三）VPN连接时段限制为工作日8:00-20:00（特殊岗位经审批可延长），单次连接时长不超过12小时；连接期间禁止同时连接其他未加密网络，IT部实时监控流量，发现异常流量（如突增、跨区跳转）自动断开连接并触发告警。（四）移动终端接入公司无线网络（企业级WiFi）时，需通过802.1X认证，绑定终端MAC地址与用户账号，未绑定终端禁止接入；公共区域WiFi（如会议室、接待区）仅开放互联网访问，禁止访问内部系统。第三条数据安全防护要求（一）移动办公处理的数据分为"公开""内部""敏感""绝密"四级，其中"敏感"及以上数据（含客户信息、财务报表、技术文档等）禁止在移动终端本地存储；确需临时调用的，需通过IT部审批，通过加密沙箱（Sandbox）隔离存储，且沙箱数据在退出系统或30分钟无操作后自动清除。（二）移动终端与内部系统间的数据传输必须采用TLS1.2及以上加密协议，文件上传/下载需通过公司统一的移动办公平台（如企业微信/钉钉定制版、自研OA移动端），禁止使用微信、QQ、云盘等第三方工具传输敏感数据；传输超过500MB的大文件需通过断点续传功能，且需双人确认接收方身份。（三）移动终端拍摄/录制的工作相关影像资料（如现场照片、会议视频）需通过指定应用上传至公司文件服务器，禁止保存在终端相册或第三方存储；拍摄时自动禁用地理位置标记（GPS），涉及涉密场景的需关闭摄像头权限。（四）移动终端丢失或被盗时，用户需立即通过备用设备登录EMM平台执行远程锁定/数据擦除，同时向IT部和安全合规部报备；若终端存储过敏感数据，需在2小时内提交书面说明，配合开展数据泄露风险评估。第四条身份与权限管理（一）移动办公账号与员工工号绑定，实行"一人一账号"，禁止共享或转借；账号权限按最小化原则分配（如普通员工仅开放OA访问，管理人员开放审批模块，技术人员开放开发测试环境），权限变更需经部门负责人审批，IT部在24小时内完成调整。（二）账号登录采用"静态密码+动态因子"双因素认证，静态密码每90天强制修改（禁止重复使用近3次密码），动态因子支持短信验证码（仅允许绑定本人实名认证手机号）、硬件令牌或手机盾（基于SE安全芯片）；连续5次认证失败锁定账号，需通过安全邮箱或客服人工审核解锁。（三）员工离职、调岗或长期休假（超过30天）时，所在部门需在24小时内通知IT部禁用移动办公账号；合作方人员账号在项目结束或合作终止后立即注销，相关数据同步清除。第五条操作行为规范（一）移动办公用户禁止在公共场合（如地铁、咖啡厅）处理敏感数据，禁止将移动终端暴露在他人可窥视屏幕的位置；会议记录、审批单据等纸质材料需与移动终端同步管理，禁止随意放置或拍照外传。（二）移动终端禁止安装非公司授权的应用（含游戏、社交、插件类），IT部通过EMM平台定期扫描终端应用列表，发现未授权应用自动卸载并记录；因工作需要安装特定应用的，需提交《移动应用安装审批表》，经安全合规部审核功能、权限及隐私政策后开放白名单。（三）移动终端禁止连接未知USB设备（如陌生人提供的U盘、充电宝）或开启蓝牙文件传输（需传输文件时仅允许配对已认证的公司设备）；使用耳机、键盘等外接设备时，需通过公司统一采购的安全型号，禁止使用非原厂配件。（四）移动办公过程中产生的日志（含登录时间、操作内容、文件传输记录）由IT部统一收集存储，保存期限不少于2年；用户需配合安全合规部调阅日志，不得删除或篡改本地操作记录。第六条监督与责任追究（一）IT部每日对移动办公系统进行安全巡检，重点监测异常登录（如非工作时段登录、跨区域快速登录）、高频数据下载（单日下载量超过5GB）、未授权设备接入等行为，发现风险立即触发预警并通知用户所在部门。（二）安全合规部每季度对移动办公安全管理情况进行抽查，检查内容包括终端安全状态（是否安装安全客户端、是否开启加密）、账号权限合理性、数据传输合规性等