企业邮箱使用管理细则

企业邮箱使用管理细则第一章总则1.1目的为统一××集团（含境内42家子公司、境外8家代表处）对外沟通形象，防范因邮箱使用不当导致的商业秘密泄露、法律合规风险与运维成本失控，特制定本细则。1.2适用范围本细则适用于集团及所属公司所有在册员工、实习生、外包驻场人员、合资方派驻人员，以及获准使用集团邮件系统的第三方顾问。1.3上位法与衔接制度《网络安全法》《数据安全法》《个人信息保护法》《密码法》《电子签名法》《反不正当竞争法》、ISO27001体系文件、《××集团信息安全管理办法》《××集团商业秘密分级保护规定》《××集团员工手册》《××集团供应商安全管理办法》。第二章组织与职责2.1集团数字信息部（DIO）a.负责企业邮箱系统（MicrosoftExchangeOnline）整体架构、域名策略、反垃圾/反病毒网关、数据防泄漏（DLP）策略、备份与灾备。b.每季度输出《邮箱安全运营报告》，对异常登录、暴力破解、钓鱼邮件、外发敏感词触发次数进行量化分析。c.对违反本细则导致Level-3及以上安全事件的责任人，有权直接发起“信息科技违规问责流程”。2.2各业务单元（BU）信息安全官（BISO）a.审核本BU员工邮箱开通、变更、注销申请，确保“一人一邮箱”原则。b.每月抽查5%账号进行权限复核，发现多余权限24小时内完成整改。c.组织本BU员工每年完成“钓鱼模拟演练”两次，演练点击率高于15%的部门，需追加线下2小时安全意识培训。2.3人力资源共享服务中心（HRSSC）a.在e-HR系统发起“入/转/调/离”流程时，同步触发邮箱账号创建、冻结、注销工单，确保“账号生命周期与人事状态100%绑定”。b.对离职人员，必须在离职面谈前30分钟禁用全域登录，并在离职当日18:00前完成邮件数据7年留存归档。2.4法务与合规部a.对涉及诉讼、仲裁、监管调查的员工邮箱，依法发起“法务保留（LegalHold）”，冻结删除权限，最长保留7年。b.每半年审查邮件免责声明模板，确保覆盖中国大陆、欧盟、美国、新加坡四法域。2.5终端用户（全体员工）a.承担“第一责任人”义务，发现可疑邮件5分钟内通过Outlook插件“ReportPhish”按钮上报。b.不得将邮箱密码保存在浏览器、云笔记、纸质便签；不得使用个人邮箱转发公司邮件。第三章账号管理3.1命名规范a.国内员工：firstname.lastname@；重名时自动追加数字序号，如liwei01、liwei02。b.境外员工：firstname.lastname@.sg；若当地法律要求员工匿名，则使用employeeid@.sg。c.公共角色：noreply@、service@、alert@统一由DIO管理，禁止私自创建。3.2开通流程步骤1：HRSSC在e-HR点击“入职确认”→自动调用接口在AzureAD创建账号→ExchangeOnline自动分配邮箱。步骤2：BISO在ServiceNow收到“待审批”邮件，核对工号、成本中心、汇报线，2小时内完成审批。步骤3：系统自动向员工个人手机发送初始密码（16位随机字符），员工首次登录强制绑定MicrosoftAuthenticator并修改密码。3.3权限矩阵角色|最大邮箱容量|可否开启POP3/IMAP|可否创建全域规则|可否使用第三方客户端普通员工|50GB|否|否|仅Outlook2021/移动版主管级|100GB|经审批可开IMAP|可创建本地规则|仅审批列表内客户端高管|无限制|可开POP3/IMAP|可创建全域规则|可开外包顾问|10GB|否|否|仅Web版3.4变更与冻结a.转岗：HRSSC在e-HR更新成本中心→AzureAD自动同步→旧权限1小时内失效。b.长期休假（≥30天）：BISO将账号状态改为“禁用”，休假结束当天9:00前恢复。c.可疑泄露：DIO监测到“异常登录”或“大量转发”→立即冻结→发送短信通知→用户30分钟内通过自助门户解锁，否则工单升级至BISO。3.5注销与数据留存a.正式离职：账号禁用后，邮件数据通过“就地保留”写入AzurePurview合规中心，保存7年，第8年自动粉碎。b.外包到期：数据导出至加密压缩包（AES-256），交由BU文档管理员保管3年后销毁。第四章密码与多因素认证4.1密码策略a.长度≥14位，必须包含大小写字母、数字、特殊字符。b.禁止出现工号、姓名拼音、公司英文缩写、连续3位相同字符。c.与最近24次密码不能重复。d.每90天强制更换，但如已启用多因素认证（MFA）且密码强度评分≥90分，可延长至180天。4.2MFA实施细则a.支持方式：MicrosoftAuthenticator推送、硬件OATH令牌、FIDO2安全密钥。b.高管强制使用FIDO2密钥（YubiKey5CNFC），每人配2把，1把随身携带，1把封存于总部保险箱。c.丢失密钥：立即拨打24小时热线400-xxx-xxxx，DIO在10分钟内吊销令牌并生成临时8小时一次性密码。4.3密码管理工具公司统一采购Bitwarden企业版，员工不得使用个人密码管理器；Bitwarden主密码须与邮箱密码不同。第五章客户端配置标准5.1官方许可客户端Windows：Outlook2021MSI版、OutlookforMicrosoft365、OutlookWebAccess（OWA）。macOS：OutlookforMac16.70及以上。移动：MicrosoftOutlookApp（iOS/Android）、Intune公司门户托管邮件。5.2禁用客户端Windows自带邮件、Thunderbird、Foxmail、网易邮箱大师、AppleMail（未走MDM通道）。5.3配置流程（以Windows新电脑为例）步骤1：登录公司域，GPO自动推送“Outlook自动配置”注册表。步骤2：用户首次打开Outlook，输入邮箱地址，系统通过AzureAD联合认证，无需手动填写服务器。步骤3：Outlook自动加载EXO策略：禁用PST导出、禁止缓存模式下载全部邮件（仅3个月）。步骤4：Intune推送“邮件加密”证书，用户可在撰写窗口点击“加密”按钮。5.4出差离线策略若预计7天以上无网络，可提前在Outlook勾选“缓存全部”，但需提交ServiceNow申请，BISO审批后临时放开，返回公司网络24小时内恢复默认。第六章邮件内容分级与标签6.1分级标准公开（Public）：可对外发布，如新闻稿、招聘公告。内部（Internal）：仅限员工，如行政通知、培训安排。机密（Confidential）：仅限授权岗位，如财务报表、客户名单。绝密（StrictlyConfidential）：董事会决议、并购方案、源代码。6.2标签使用a.机密及以上邮件必须在主题前缀【机密】/【绝密】，并在正文中插入“Azure信息保护”标签。b.系统检测到未标记的机密关键词（如“未公开财报”“中标价格”），自动弹窗提醒发送者补标签，否则无法发送。6.3外发审批机密外发：自动路由至部门经理及法务双人审批，审批时效2小时。绝密外发：必须经BUVP、CFO、首席法务官三人链式审批，且使用“加密PDF+水印”附件，水印含“收件人姓名+日期+禁止转发”。第七章反垃圾与钓鱼防护7.1技术层a.邮件网关：使用MicrosoftDefenderforOffice365，开启“安全附件”“安全链接”“反冒用impersonation”策略。b.高级钓鱼阈值：设置为“高级”，对“零日URL”执行引爆沙箱检测，延迟投递3分钟。c.SPF、DKIM、DMARC强制拒绝：DMARC策略p=reject，子域名全部继承。7.2流程层a.员工收到可疑邮件，点击Outlook“ReportPhish”，系统自动创建INC单，优先级P2。b.DIO安全运营组30分钟内响应，若确认为钓鱼，则：1.全网删除同副本邮件；2.将发件人域名加入黑名单30天；3.对点击用户强制重置密码+MFA。7.3演练与奖惩a.每季度开展“钓鱼模拟”，主题由第三方随机生成，点击率＞10%的部门，扣减当季安全绩效5%。b.连续两次演练零点击的部门，奖励5000元团队建设经费。第八章归档、备份与审计8.1归档策略a.启用ExchangeOnline归档邮箱，自动将2年以上邮件移至归档，归档容量无限制。b.法务保留：当系统检测到“诉讼关键词”，自动触发LegalHold，保留期内用户删除无效。8.2备份a.每日02:00、14:00两次快照，保留30天。b.每年1月1日、7月1日执行“离线备份”，写入WORM（一次写入多次读取）存储，保存7年。8.3审计a.管理员任何操作（搜索、导出、删除）必须双人登录PrivilegedAccessWorkstation(PAW)，并录制屏幕。b.审计日志保存10年，任何删除日志行为将被视为严重违纪，直接解除劳动合同。第九章个人邮箱与公司邮箱边界9.1禁止行为a.使用QQ、163、Gmail代收公司邮件；b.将公司邮件全文或附件转发至个人邮箱；c.使用公司邮箱注册京东、淘宝、抖音等私人服务。9.2技术限制a.DLP策略检测外发收件人域名非公司白名单，自动弹窗警告，二次确认。b.对50人以上群发，系统自动插入“外部收件人确认”步骤，防止误发。9.3例外申请如因业务需要向外部监管机构发邮件，须填写《外部邮箱使用例外申请表》，经法务、DIO、业务VP三方审批，有效期7天，到期自动回收。第十章移动设备管理10.1准入标准a.仅允许Intune注册设备接入ExchangeActiveSync；未注册设备一律阻断。b.设备必须开启锁屏密码≥6位，生物识别仅作辅助，失败5次自动擦除。10.2邮件沙箱a.OutlookApp启用“应用级PIN”，与公司AD密码不同。b.复制/保存到本地相册、微信、QQ等行为被SDK拦截，提示“公司策略禁止”。10.3丢失处置a.员工发现手机丢失，第一时间拨打400-xxx-xxxx，DIO远程擦除5分钟内完成。b.擦除后1小时，系统自动生成“设备丢失报告”，抄送HR、BISO、法务。第十一章加密与电子签名11.1加密算法a.传输：TLS1.3，强制ForwardSecrecy。b.存储：AES-256，密钥托管在AzureKeyVault，硬件安全模块FIPS140-2Level3。11.2电子签名a.合同类邮件使用国密SM2证书，由深圳CA颁发，有效期3年。b.签名验证失败，Outlook自动提示“无效签名”，并禁止“回复全部”。11.3密钥吊销a.员工离职或证书泄露，DIO在CRL发布吊销信息，10分钟内同步至全球节点。第十二章监测、事件响应与应急预案12.1监测指标a.异常登录：同一账号30分钟内在两个不同国家登录，触发P1告警。b.大量转发：5分钟内转发邮件＞50封，自动冻结。c.敏感词触发：命中“并购”“剥离”“裁员”等200个关键词，自动提升审计级别。12.2事件分级Level-1：垃圾邮件漏检，影响＜10人，1小时内解决；Level-2：账号被盗，造成内部数据泄露，4小时内解决；Level-3：批量钓鱼，影响＞100人，24小时内解决；Level-4：域内大规模勒索软件通过邮件传播，启动集团I级应急响应。12.3应急预案a.发现Level-3事件，DIO立即启用“邮件隔离模式”：所有外发邮件延迟30分钟投递，所有附件强制引爆沙箱。b.成立应急指挥组：CIO任组长，DIO、法务、HR、公关、财务负责人为成员，每2小时发布一次进展公告。c.事后复盘：72小时内完成《事件报告》，包含RootCause、Timeline、改进措施，提交集团审计委员会。第十三章培训与意识提升13.1新员工入职a.必须完成45分钟“企业邮箱安全”电子课件，满分90分方可开通邮箱。b.课件包含：密码设置演示、ReportPhish插件使用、移动设备沙箱体验。13.2年度再培训a.全员每年6月参加“钓鱼实战+VR体验”线下培训，时长2小时。b.高管额外参加“红蓝对抗”沙盘，模拟商业间谍通过邮件窃取并购文件，需完成3轮防守。13.3宣传材料a.每月1日推送“邮件安全小贴士”到全员邮箱，案例