办公终端计算机安全使用管理办法

办公终端计算机安全使用管理办法第一章总则第一条目的与依据为加强公司办公终端计算机的安全管理，规范员工操作行为，有效防范计算机病毒、黑客攻击、数据泄露等安全风险，保障公司信息系统及数据资产的完整性、保密性和可用性，依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等相关法律法规，结合公司实际业务情况，特制定本办法。第二条适用范围本办法适用于公司总部及所属各分支机构、子公司全体员工（含正式员工、实习生、劳务派遣人员）以及所有接入公司内部网络或处理公司业务数据的办公终端计算机。本办法所称“办公终端计算机”包括但不限于台式机、笔记本电脑、工作站以及用于办公业务的瘦客户机等设备。第三条管理原则办公终端安全管理遵循“谁主管、谁负责，谁使用、谁负责”的原则。各部门负责人是本部门终端安全管理的第一责任人，负责督促本部门人员严格执行本办法。所有终端使用人员必须严格遵守本办法规定，对所使用的终端设备及其存储、处理的数据安全负直接责任。第四条核心目标本办法旨在实现以下核心目标：（一）确保终端操作系统及应用软件处于安全防护状态，及时修补漏洞；（二）防止恶意代码（如病毒、木马、勒索软件）感染与传播；（三）规范网络接入行为，阻断非授权网络连接；（四）保护公司敏感数据不被非法访问、复制、外传或泄露；（五）建立可审计、可追溯的终端操作日志体系。第二章管理职责第五条信息安全部门职责信息安全部门是办公终端计算机安全管理的归口管理部门，主要职责包括：（一）制定、修订和推广终端安全管理制度及相关技术标准；（二）负责终端安全管理系统的建设、运维与监控，包括防病毒系统、补丁分发系统、终端准入控制系统、数据防泄漏系统等；（三）定期开展终端安全巡查和合规性检查，通报违规行为；（四）响应并处置终端安全事件，提供技术支持与应急恢复服务；（五）组织开展终端安全意识培训与考核。第六条信息技术部门职责信息技术部门负责终端的日常运维与技术支撑，主要职责包括：（一）负责操作系统、办公软件及业务客户端的标准化镜像制作与发布；（二）协助信息安全部门部署安全策略，确保终端配置符合安全基线要求；（三）处理终端硬件故障及操作系统层面的技术支持；（四）配合安全事件的调查与取证工作。第七条人力资源部门职责人力资源部门负责员工入职、离职、转岗过程中的终端安全管理权限协同，主要职责包括：（一）在新员工入职时，通知信息安全部门开通相应终端权限，并组织签署安全保密协议；（二）在员工离职或转岗时，及时通知相关部门进行终端权限回收、数据清退及设备移交。第八条终端使用人员职责终端使用人员应履行以下安全义务：（一）严格遵守本办法及公司其他相关安全规定；（二）妥善保管所使用的终端设备及账号密码，不得转借他人使用；（三）定期进行系统更新和病毒查杀，及时报告安全隐患；（四）不得利用办公终端从事与工作无关或违法违规的活动。第三章终端接入与注册管理第九条准入控制机制公司实行严格的终端网络准入控制制度。所有办公终端在接入公司内部网络（包括有线网络和无线网络）之前，必须经过安全认证并注册。未通过安全认证的终端将被隔离至修复区，无法访问内部核心业务资源。第十条设备注册规范（一）公司资产设备：由信息技术部门统一部署，自动完成资产注册与安全基线配置。（二）个人自带设备（BYOD）：原则上禁止个人自带设备接入公司内部办公网络。确因业务需要接入的，必须经过部门负责人审批、信息安全部门备案，并安装指定的安全代理客户端，接受公司的统一安全监控与审计。（三）访客设备：访客如需临时接入互联网，应申请独立的访客Wi-Fi账号，该账号仅具备互联网访问权限，严禁访问任何内部业务系统。第十一条资产标识管理所有公司配发的办公终端必须粘贴固定资产标签，标签上应包含设备编号、资产责任人等信息。信息安全部门应建立终端资产台账，实时记录设备的硬件配置、操作系统版本、安装软件清单及安全状态，确保账实相符。第四章操作系统与软件安全管理第十二条操作系统选型与更新（一）办公终端操作系统应选用正版、主流且厂商仍在提供安全支持的产品（如Windows10/11、macOS、主流Linux发行版）。（二）严禁使用盗版操作系统或已停止官方技术支持（EOS）的操作系统版本。（三）操作系统必须开启自动更新功能，或通过公司统一的补丁分发系统及时安装安全补丁和关键更新。严禁因人为原因长期关闭系统更新或阻断补丁下载。第十三条软件安装规范（一）办公终端仅允许安装工作必需的软件，严禁安装与工作无关的游戏、娱乐、炒股、P2P下载等软件。（二）软件安装应遵循“最小化”原则，禁止安装来源不明、未经过安全检测的软件。（三）对于涉及高权限操作的系统工具（如调试工具、抓包工具、进程管理器等），需经过信息安全部门特别审批后方可安装。（四）所有软件必须从官方渠道或公司内部软件中心获取，严禁私自下载互联网破解版、绿色版软件。软件安装分类管理表如下：软件类别管理策略审批流程备注标准办公软件（Office、邮件客户端等）自动推送或允许安装无需审批由IT部门统一管理业务专业软件（财务、设计、开发工具）白名单控制部门负责人审批需纳入软件清单管理系统工具及高风险软件严格管控信息安全部门专项审批仅限特定岗位人员使用娱乐及生活类软件禁止安装禁止定期扫描清理第十四条屏幕保护与密码保护（一）终端必须设置屏幕保护程序，且等待时间不得超过10分钟。（二）屏幕保护激活时，必须勾选“在恢复时显示登录屏幕”选项，确保设备无人值守时自动锁定。（三）严禁使用贴纸遮挡摄像头、红外传感器等设备，如确有物理遮挡需求，应使用专用的防窥隐私遮挡片。第五章身份认证与访问控制第十五条账号管理（一）终端操作系统登录账号必须实名制，禁止使用多人共享的通用账号（如Admin、Guest、User等）。（二）Windows系统默认的Administrator账号应在初始化时重命名或禁用，日常操作应使用普通用户权限账号，通过提权机制执行管理员操作。（三）员工离职或岗位变动时，人力资源部门应立即通知信息技术部门注销或冻结其在终端上的系统账号。第十六条口令策略所有终端登录口令必须符合以下强复杂度要求：（一）长度不少于12个字符；（二）同时包含大写字母、小写字母、数字和特殊符号；（三）不得包含用户名、公司名等易被猜测的信息；（四）口令应每90天强制更换一次，且新口令不得与最近3次使用的口令重复。第十七条权限控制（一）严格遵循“权限最小化”原则，普通用户不应拥有本地管理员权限。（二）确因工作需要（如开发人员、测试人员）拥有本地管理员权限的，需由部门负责人申请，经信息安全部门风险评估后备案，并定期（每季度）审查其权限合理性。（三）禁止擅自修改系统注册表、系统配置文件及安全策略设置。第六章数据安全与防泄漏管理第十八条数据分类分级员工应清楚了解所处理数据的敏感级别，并采取相应的保护措施。公司数据分为以下级别：（一）公开数据：可对外公开发布的信息，泄露风险低。（二）内部数据：仅限公司内部使用的信息，如内部通知、非敏感业务数据。（三）敏感数据：涉及公司商业秘密、客户隐私、核心技术等数据，泄露将对公司造成重大损失。第十九条存储安全（一）严禁在系统盘（通常是C盘）存储重要业务数据和个人文档。（二）敏感数据必须存储在公司指定的文件服务器、加密磁盘或受控的云存储空间中，严禁存储在本地桌面、文档库或个人移动硬盘中。（三）涉及极高敏感度的数据（如源代码、核心算法、密钥文件），存储时必须采用文件级加密或全盘加密技术。第二十条移动存储介质管理（一）公司实行移动存储介质（U盘、移动硬盘、SD卡等）使用认证制度。未经授权的移动存储介质插入办公终端后，应被自动阻断或仅允许在隔离区进行只读操作。（二）严禁使用个人私有移动存储介质连接公司办公终端拷贝公司数据。（三）公司配发的加密U盘应妥善保管，严禁转借。如遗失或损坏，必须立即向信息安全部门报备。第二十一条数据外发管控（一）严禁通过即时通讯工具（微信、QQ等）、私人邮箱、社交网络等公共渠道传输公司敏感数据。（二）终端应安装数据防泄漏（DLP）客户端，对敏感数据的复制、打印、截屏、上传等行为进行监控与审计。（三）确需向外部（如合作伙伴、监管机构）提供敏感数据的，必须通过公司正式审批流程（如数据外发审批单），并使用加密传输通道。第二十二条打印与刻录管理（一）连接打印机的终端应启用打印审计功能，记录打印人、打印时间、文件名及页数。（二）含有敏感信息的文档打印后，打印人应立即取走纸张，不得遗留在打印机旁。（三）终端光驱（如有）默认禁用。确需刻录数据归档的，应使用专用刻录设备，并登记刻录内容。第七章网络连接安全管理第二十三条网络配置（一）办公终端的网络配置（IP地址、DNS、网关等）应通过DHCP自动获取，严禁手动修改IP地址以免造成IP冲突或网络环路。（二）终端严禁开启互联网连接共享（ICS）功能，不得将办公终端作为路由器或热点供其他设备上网。第二十四条无线网络安全（一）严禁私自搭建Wi-Fi热点（SoftAP）。（二）在公司内部办公区域，应优先使用公司内部加密Wi-Fi，禁止连接不明来源的无线信号。（三）在公共场所（如咖啡厅、机场、酒店）使用公司笔记本电脑办公时，严禁连接不安全的公共Wi-Fi处理公司业务，必须使用4G/5G热点或公司VPN进行安全接入。第二十五条远程访问管理（一）严禁在办公终端上安装未经授权的远程控制软件（如TeamViewer、向日葵、AnyDesk等），防止被黑客利用进行远程控制。（二）IT运维人员进行远程技术支持时，必须使用公司指定的安全远程运维工具，并经用户确认后方可开始操作，操作过程需全程录屏审计。第二十六条防火墙与防病毒（一）终端操作系统自带的防火墙必须处于开启状态。（二）所有终端必须安装公司统一部署的企业级防病毒软件，并确保病毒库版本实时更新，实时防护功能处于开启状态。（三）严禁擅自退出、卸载或屏蔽防病毒软件进程。因软件冲突等原因需要暂时关闭的，需在信息安全部门人员指导下进行，并在问题解决后立即开启。第八章恶意代码防范与日志审计第二十七条病毒处理流程（一）当防病毒软件检测到病毒或木马时，应立即按照系统提示进行隔离或删除操作。（二）如果发生无法清除的病毒感染、勒索软件加密等严重安全事件，用户应立即断开网络连接（拔掉网线或关闭Wi-Fi），并拨打信息安全应急电话报告，保持现场状态等待专业人员处理。（三）对于未知文件或邮件附件，应在隔离沙箱环境中打开测试，确认无误后方可在实机运行。第二十八条邮件安全（一）提高钓鱼邮件防范意识，不轻易点击邮件中的陌生链接或下载附件。（二）启用邮件客户端的防垃圾邮件功能，将可疑邮件自动归类至垃圾箱。（三）对于涉及资金转账、密码重置等敏感操作的邮件，必须通过电话、视频等其他渠道二次确认发件人身份。第二十九条日志审计（一）终端应开启系统安全日志策略，记录登录、注销、对象访问、权限变更、策略修改等关键事件。（二）日志内容应定期上传至公司统一的日志审计服务器或安全信息事件管理（SIEM）平台，保存期限不少于6个月。（三）员工不得擅自清除、篡改系统日志和安全审计记录。第九章违规处理与责任追究第三十条监控与检查信息安全部门有权不定期对办公终端进行远程或现场安全检查，检查内容包括但不限于：系统补丁情况、病毒库版本、违规软件安装情况、违规外连情况、敏感文件存储情况等。各部门及员工应予以配合，不得拒绝或阻挠。第三十一条违规分级根据违规行为的性质及造成后果的严重程度，将违规行为分为一般违规、严重违规和重大违规三个等级。第三十二条处罚措施（一）一般违规：包括未及时设置屏保密码、安装少量非工作必需软件等。首次发现将给予口头警告并责令立即整改；再次发现将全公司通报批评。（二）严重违规：包括擅自关闭防病毒软件、使用未经授权的远程控制软件、通过私人渠道传输内部数据等。将给予全公司通