公司信息安全策略范例

1、第一章總則第一條 為了提高員工信息安全防范意識和操作技能，保障公司信息安全，根據(jù)公司信 息安全管理制度的要求，制定本守則。第二條公司全體員工須遵守公司信息安全制度和本守則，共同維護和保障公司信息安 全，確保公司各項業(yè)務(wù)正常開展。第三條 本守則遵循 信息安全，人人有責(zé)”、誰使用，誰負(fù)責(zé)”的原則。公司全體員工 人人行動起來，積極學(xué)習(xí)信息安全知識，提高防范意識和操作技能，自覺遵守信息安全 制度，共同保障公司信息系統(tǒng)的安全運行。第四條 本守則是對員工日常操作公司信息系統(tǒng)的基本要求，在公司信息安全制度高于 本守則要求或發(fā)生沖突時，應(yīng)以公司信息安全制度為準(zhǔn)。第二章口令使用第五條 安全優(yōu)質(zhì)的用戶口令是保障信

2、息安全的第一步。員工應(yīng)為個人使用電腦設(shè)置好 開機、屏幕保護口令，為各類帳戶設(shè)置好登錄口令，口令設(shè)置遵循以下基本原則：1）在信息系統(tǒng)可支持情況下，一般用戶口令長度8位以上，并由字母、數(shù)字混合構(gòu)成，重要系統(tǒng)管理員口令長度 12位以上，并由字母、數(shù)字、特殊字符混合構(gòu)成；2）要便于自己記憶；3）不使用別人容易利用個人相關(guān)信息猜測的信息。例如用戶名、姓名（拼音名稱、英 文名稱）、生日、電話號碼、身份證號碼以及其它系統(tǒng)已使用的口令等；4）避免使用連續(xù)的相同數(shù)字，或者全是數(shù)字或全是字母的字符組。5）不使用字典中完整單詞，避免字典攻擊；6）不同安全等級、不同應(yīng)用用途的用戶應(yīng)設(shè)置不同口令。例如：業(yè)務(wù)用戶和非業(yè)務(wù)

3、用 戶、公司內(nèi)部用戶和普通上網(wǎng)用戶等應(yīng)分別設(shè)置不同口令；第六條 注意口令保密。不得將個人用戶口令泄露給他人，也不得打聽或猜測他人用戶 口令。避免將口令記錄在他人可能容易獲取的地方，例如筆記本、紙條、電子文件等； 避免在自動登錄過程中以不安全的方式保存口令。第七條 新用戶在第一次登錄時應(yīng)修改其臨時設(shè)置的口令；設(shè)置缺省口令的新用戶，用 戶生效后及時登錄并修改口令。第八條定期修改口令。業(yè)務(wù)終端登錄用戶和業(yè)務(wù)類用戶每季度至少修改一次，重要用 戶根據(jù)其他制度要求增加修改頻率。普通辦公終端登錄用戶和辦公類用戶半年至少修改 一次。避免重復(fù)使用舊口令。第三章病毒防范第九條計算機病毒及木馬等惡意程序能導(dǎo)致系統(tǒng)破

4、壞、數(shù)據(jù)泄露、網(wǎng)絡(luò)中斷等嚴(yán)重安 全事件發(fā)生，是信息系統(tǒng)的最大安全威脅之一。員工應(yīng)配合作好個人辦公機及個人業(yè)務(wù) 終端等的病毒防范工作。第十條 員工應(yīng)檢查確認(rèn)個人所用電腦已安裝好防病毒軟件，如未安裝應(yīng)及時聯(lián)系信息 安全管理員安裝或信息安全管理員指導(dǎo)下自行安裝。除安裝建議上互聯(lián)網(wǎng)電腦安裝安全防護軟件，例如瑞星卡卡安全助手、360安全衛(wèi)士等。第十一條個人所用電腦應(yīng)開啟防病毒軟件及相應(yīng)安全防護軟件的實時防護功能，如未 開啟應(yīng)及時聯(lián)系信息安全管理員處理或信息安全管理員指導(dǎo)下自行處理。第十二條防病毒軟件及相應(yīng)安全防護軟件升級周期為辦公機實時升級、業(yè)務(wù)終端每周 至少升級一次，員工應(yīng)檢查確認(rèn)是否及時升級，每周至

5、少檢查一次，如未及時升級應(yīng)及 時聯(lián)系信息安全管理員處理或信息安全管理員指導(dǎo)下自行處理。第十三條 員工個人所用電腦每周至少進行一次病毒全面查殺，防病毒軟件一般設(shè)置為 定期自動查殺，如未設(shè)置，也可手動進行查殺。第十四條 個人所用電腦上發(fā)現(xiàn)病毒時，應(yīng)及時將情況報告信息安全管理員。業(yè)務(wù)終端上發(fā)現(xiàn)病毒時，應(yīng)立即斷開網(wǎng)絡(luò)，全面查殺并經(jīng)信息安全管理員確認(rèn)后方可再次連入網(wǎng) 絡(luò)。第十五條在使用U盤、光盤、軟盤等移動介質(zhì)前，一定要先進行病毒檢查；在業(yè)務(wù)終 端上使用的U盤等應(yīng)作到專用；盡量減少在業(yè)務(wù)終端上使用移動介質(zhì)；不明來歷的移動介質(zhì)應(yīng)謹(jǐn)慎使用。第十六條員工不得制造、傳播計算機病毒。第十七條 員工發(fā)現(xiàn)防病毒軟件不

6、能有效清除病毒時，應(yīng)立即向本部門信息安全管理人 員或信息技術(shù)中心報告，在問題處理前禁止使用感染病毒的文件。第四章上互聯(lián)網(wǎng)第十八條 互聯(lián)網(wǎng)是一個開放的網(wǎng)絡(luò)環(huán)境，上網(wǎng)時可能受到惡意網(wǎng)站或者黑客的攻擊， 導(dǎo)致系統(tǒng)感染病毒、系統(tǒng)被破壞、數(shù)據(jù)泄露等安全事件發(fā)生。第十九條 員工上網(wǎng)過程中應(yīng)遵守國家法律法規(guī)，不得利用公司網(wǎng)絡(luò)制作、復(fù)制、查閱、 傳播違反國家法律法規(guī)的有害信息。第二十條員工不得利用公司上網(wǎng)資源下載與工作無關(guān)的文件。第二一條 員工要養(yǎng)成良好的上網(wǎng)安全操作習(xí)慣：1）上網(wǎng)前確認(rèn)已開啟防病毒軟件和安全防護軟件的實時監(jiān)控功能；2）不訪問與工作無關(guān)的網(wǎng)站，特別是游戲、淫穢、反動等類型的網(wǎng)站；3）安全軟件提

7、示發(fā)現(xiàn)病毒或惡意程序停止訪問該網(wǎng)站。4）不要輕易點擊通過 QQ MSN郵件等傳過來的網(wǎng)址。5）上網(wǎng)過程中被自動提示安裝軟件或修改配置時，除非能確認(rèn)為實際需要外，一般都 選擇否”。第二十二條 上網(wǎng)注冊帳戶時，用戶名密碼不要與公司內(nèi)部用戶名密碼相同或有關(guān)聯(lián)。 除非必要，一般不提供真實姓名和聯(lián)系方式，不將公司郵箱提供作為聯(lián)系郵箱。第二十三條避免在網(wǎng)吧等公用上網(wǎng)電腦登錄公司0A等內(nèi)部系統(tǒng)，如不可避免時，則注意不使用 記住密碼”功能，使用完后正常退出用戶，并及時在公司電腦上修改用戶口令。 第二十四條 嚴(yán)禁通過遠(yuǎn)程控制方式從互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)遠(yuǎn)程操作公司電腦，如因 工作需要時，須信息安全管理員報信息技術(shù)

8、中心審批同意，并作好過程監(jiān)控和記錄。第五章電子郵件第二十五條 電子郵件已成為常用的通信方式，但電子郵件導(dǎo)致病毒傳播、數(shù)據(jù)泄露，垃圾郵件消耗系統(tǒng)資源、 降低工作效率等安全問題日益嚴(yán)重，員工在使用電子郵件時應(yīng) 作好相應(yīng)安全防范工作。第二十六條根據(jù)用途和數(shù)據(jù)安全等因素建立郵箱分類使用策略：1）收發(fā)公司業(yè)務(wù)數(shù)據(jù)時使用公司內(nèi)部 0A郵箱；2）公務(wù)處理和私人郵箱分開；3）網(wǎng)站注冊用戶時提供不重要的郵箱作為聯(lián)系郵箱等，第二十七條 為經(jīng)常使用的郵箱和重要郵箱設(shè)置優(yōu)質(zhì)的密碼，并定期修改，建議每季度 修改一次。不同用途的郵箱設(shè)置不同的密碼。第二十八條 防范電子郵件傳播病毒的基本要求：1）在收發(fā)電子郵件前，應(yīng)確認(rèn)防

9、病毒軟件實時監(jiān)控功能已開啟；2）對每次收到的電子郵件，使用前均檢查病毒；3）在收到來自公司內(nèi)部員工發(fā)來的含有病毒的郵件，除自己進行殺毒外，還應(yīng)及時通 知對方殺毒；4）不打開可疑郵件、垃圾郵件、不明來源郵件等提供的附件或網(wǎng)址，對這類郵件直接 刪除；第二十九條 防范垃圾郵件的基本要求：1）經(jīng)常使用的郵箱，尤其是公司內(nèi)部郵箱，應(yīng)盡量避免在互聯(lián)網(wǎng)上公開。例如：網(wǎng)上 調(diào)查表填寫、網(wǎng)站用戶注冊、BBS論壇中。2）不要回復(fù)可疑郵件、垃圾郵件、不明來源郵件。第三十條防范數(shù)據(jù)泄露的基本要求：1）收發(fā)公司業(yè)務(wù)相關(guān)的郵件時，必須使用公司內(nèi)部郵箱，并盡量要求對方使用對方公 司內(nèi)部郵箱。2）發(fā)送敏感數(shù)據(jù)時，應(yīng)采用加密郵

10、件方式發(fā)送。3）不要在免費郵箱上保存敏感數(shù)據(jù)。第六章網(wǎng)絡(luò)使用第三十一條 未經(jīng)允許員工不得私自更改個人所用電腦的IP地址、系統(tǒng)服務(wù)、網(wǎng)絡(luò)協(xié)議、通信端口限制等網(wǎng)絡(luò)參數(shù)。第三十二條 公司的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議為 TCP/IP，未經(jīng)允許不得啟用任何其它網(wǎng)絡(luò)協(xié)議，如 SPX/IPX, NETBIOS等。第三十三條未經(jīng)批準(zhǔn)員工不得在公司內(nèi)部系統(tǒng)上私自撥號上網(wǎng)；對經(jīng)批準(zhǔn)可以撥號上 網(wǎng)的，確認(rèn)使用的計算機與公司網(wǎng)絡(luò)斷開后才可與外部網(wǎng)絡(luò)連接。第三十四條員工不得在公司內(nèi)部系統(tǒng)上私自建立遠(yuǎn)程撥號服務(wù)、遠(yuǎn)程控制服務(wù)或其他 遠(yuǎn)程接入服務(wù)。第三十五條 注意遠(yuǎn)程撥入用戶、遠(yuǎn)程 VPN帳戶的安全保密，員工不得將撥入號碼、用 戶密碼等

11、泄露給他人。第三十六條 員工不得私自通過雙網(wǎng)卡方式讓個人電腦跨接在不同安全等級的網(wǎng)絡(luò)區(qū) 域。第三十七條 員工不得私自更改到網(wǎng)絡(luò)設(shè)備的連接，需要變動時應(yīng)提出申請，由網(wǎng)絡(luò)管 理員負(fù)責(zé)更改；不得將上網(wǎng)辦公電腦接入業(yè)務(wù)網(wǎng)絡(luò)或?qū)I(yè)務(wù)網(wǎng)終端接入辦公網(wǎng)。第三十八條 嚴(yán)禁私自讓外來人員電腦接入公司網(wǎng)絡(luò)。如因工作需要，須經(jīng)審批后在網(wǎng) 絡(luò)管理人員指導(dǎo)下接入可供外來人員使用的網(wǎng)絡(luò)區(qū)域。第三十九條員工與工作相關(guān)的筆記本電腦、PDA設(shè)備通過無線方式接入公司網(wǎng)絡(luò)時，須 經(jīng)網(wǎng)絡(luò)管理員和相關(guān)部門負(fù)責(zé)人批準(zhǔn)同意，并按網(wǎng)絡(luò)管理員要求作好登錄認(rèn)證、傳輸加 密等安全設(shè)置。第七章數(shù)據(jù)和文件安全 第四十條 公司業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、重要文

12、件、技術(shù)文檔等均屬于公司信息資產(chǎn)，員 工應(yīng)注意保護，防止數(shù)據(jù)泄露，更不得利用網(wǎng)絡(luò)、計算機收集、泄漏公司機密信息； 第四十一條 個人所用電腦上一般不保存公司機密數(shù)據(jù)，如確需保存時，應(yīng)采取適當(dāng)?shù)?加密措施，并妥善存放，使用完后及時刪除。第四十二條 個人辦公機上的文件資料應(yīng)妥善保存。建立適當(dāng)?shù)臄?shù)據(jù)存放目錄，重要文 件資料建議加密保存，定期清空回收站、相關(guān)通信軟件接收目錄等。第四十三條刪除敏感數(shù)據(jù)時，要求使用不可恢復(fù)的刪除工具進行刪除。第四十四條業(yè)務(wù)終端應(yīng)通過技術(shù)手段，嚴(yán)格控制 U盤、光盤、軟盤等移動介質(zhì)的使用 第四十五條移動移動電腦上如保存有公司敏感數(shù)據(jù)時，應(yīng)對數(shù)據(jù)采取加密存放措施。第四十六條 嚴(yán)禁

13、私自拷貝業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)等帶離工作場所，如因工作需要時，須 經(jīng)過部門負(fù)責(zé)人審批同意。第八章系統(tǒng)使用第四十七條 員工不得私自開啟計算機機箱，不得私自裝配并使用可讀寫光驅(qū)、磁帶機、磁光盤機和USB硬盤等外置存儲設(shè)備。第四十八條員工不得將公司配備的個人工作用筆記本電腦借給他人使用。第四十九條員工不得安裝使用黑客工具軟件，不得安裝影響或破壞公司網(wǎng)絡(luò)運行的軟 件。第五十條員工不得私自在公司內(nèi)部系統(tǒng)中設(shè)立網(wǎng)站、論壇、游戲等服務(wù)站點。 第五十一條員工不應(yīng)使用未經(jīng)公司許可的軟件，特別是沒有正式版權(quán)的軟件。 第五十二條 業(yè)務(wù)終端上嚴(yán)禁安裝與業(yè)務(wù)無關(guān)的軟件。個人辦公電腦上嚴(yán)禁安裝與工作 無關(guān)的軟件。第五十三條 個人所用電腦均應(yīng)設(shè)置自動鎖屏狀態(tài)，建議自動鎖屏?xí)r間設(shè)置為10分鐘。員工離開座位時應(yīng)設(shè)置電腦為退出狀態(tài)或鎖屏狀態(tài)。第五十四條登錄相關(guān)應(yīng)用系統(tǒng)，在使用完畢后應(yīng)及時退出。需持續(xù)辦理業(yè)務(wù)的終端（如 柜臺終端），應(yīng)根據(jù)業(yè)務(wù)辦理情況設(shè)置合適的應(yīng)用程序自動鎖定時間，建議為5分鐘。第五十五條無人值守的終端，操作人員離開時應(yīng)設(shè)置為鎖屏狀態(tài)或其他防護措施。第五十六條 下班時個人所用電腦應(yīng)關(guān)閉，辦公桌上敏感資料、插在電腦上的硬件密鑰 等應(yīng)鎖存。第五十七條更換工作崗