员工信息安全手册.docx

员工信息安全手册编制：日期：年月审核：日期：年月批准：日期：年月声明：本文件由“XXX”（以下简称“XXX”）内部使用，版权属XXX所有。文件信息未经许可,不可任意转载、链接、转贴或以其他方式复制发布/发表。修订记录版本状态修改内容完成时间修改人审核人VLO创建创建文档。状态分别为：创建、更新1目的2范围3职责4术语和定义5管理总则5.1 信息安全意识5.2 信息保密职责5.3 资产使用职责5.4 遵守制度法规5.5 知识产权保护6工作环境管理规定7办公电脑使用安全8密码使用安全9病毒防范安全10软件使用安全要求11移动介质安全要求12电子邮件使用安全要求13网络使用安全要求14办公自动化使用安全要求15保密信息使用安全要求16信息安全事件的响应17手册说明1目的信息安全是XXX一项重要和必要的工作，信息安全涉及到日常工作的方方面面。为了更好地维护XXX的整体利益，实现信息安全目标,特制定本手册，作为XXX信息安全策略和规章制度中员工行为准则相关内容的集合。2范围本手册适用于XXX全体员工。本手册由信息安全部负责制定、解释和修改。3职责角色名称职责描述备注应以本手册为准绳，结合现有信息安全相关规章XXX全体制度要求，严格遵照执行，确保信息安全目标的员工实现。4术语和定义5管理总则信息安全部根据公司的实际安全需求结合国家相关法律法规要求、IS027001信息安全管理体系要求和行业监管机构要求，制定了信息安全方面的管理规定。信息安全管理规定会同步发布在OA系统中，全体员工应积极学习和遵守公司各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中。在工作中，要有强烈的信息安全和保密意识，要有职业的敏感性。有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。全体员工应牢记XXX的信息安全方针：实施信息安全管理，满足公司内部及外部信息安全要求，保证业务连续性。5.1信息安全意识员工应积极主动地提高自身的信息安全意识和知识水平，主动参加信息安全意识培训学习，参与XXX的信息安全保障工作。在日常工作中如发现可疑的异常情况，或在系统及服务中发现疑似的安全漏洞和技术薄弱点，应及时通知部门信息安全员，或者通过信息安全事件反馈渠道上报。同时，对于XXX内部信息（如经营战略、员工信息、部门规划、工作计划等）禁止对外散播。未经证实的情况和信息，禁止对内、对外随意扩散；已明确要求保密的信息，禁止对外散播。5.2信息保密职责员工应自觉遵守与XXX签订的保密协议约定，履行个人义务，维护XXX利益，保护XXX的敏感信息。5.3资产使用职责日常工作中，以各种形式存在的信息和用以生产、获取、处理、传递、存储信息的软、硬件设施，以及保障软硬件资产正常运行的各种辅助设备均属于XXX的信息资产，员工在使用这些信息资产的过程中承担相应的保护信息资产的责任。5.4遵守制度法规员工在日常工作中应自觉遵守国家法律法规和XXX信息安全相关的各项规章制度，包括但不限于与信息安全相关的管理规定、技术标准、行为准则和实施指南等，应确保自己的行为符合国家相关法律法规的要求，符合XXX信息安全管理的要求。5.5知识产权保护所有员工都应该根据知识产权保护相关法律法规以及XXX制度，自觉保护XXX自主知识产权和第三方的知识产权，既不能非授权泄露XXX的自主知识产权保护信息，同事也不能非法使用第三方的自主知识产权。6工作环境管理规定1）员工在日常工作时应佩戴工牌（如已发放），且应妥善保管工牌,禁止伪造或冒用他人的工牌，并禁止将自己的工牌转借他人，工牌一旦遗失应立即向行政部汇报。2）员工应明确自己所拥有的权限，不得采用任何手段随意出入自己无权进入的区域。如果确有工作需要，必须严格遵循相关的审批和登记手续，不得伪造虚假登记信息。3）启用门禁的区域进出时要防止人员尾随，进出后应及时关闭。4）禁止携带任何危险品、可燃品或其它可能影响人员和设备安全的物品进入办公场所，如有特殊需要必须得到相关人员的批准。5）访客来访，应佩戴访客标识并由授权人员全程陪同外来人员，按照规定登记并获得许可后方可进入。各责任部门应确保访客记录信息完整（包括但不限于姓名、单位、携带设备，被访人员、访问目的、进入时间、离开时间、访客签字）保存六个月以上。6）未经允许，严禁在办公区域内进行摄影、摄像、录音等记录日常办公行为的活动。7办公电脑使用安全1）员工应使用公司配置的桌面计算机设备，禁止员工在未经批准或授权的情况下私自改动办公设备硬件或使用他人设备。2）员工不得随意改动或移动办公区域内的电源、空调、机柜、终端、服务器、收发器和布线系统等设备。不得私自打开被封闭的USB端口。当所使用的硬件设备发生故障时，员工应及时通知责任部门解决，不应擅自拆卸。3）不得在工作时间内利用个人电脑处理与工作无关的信息。4）员工下班时，应将办公设备电源开关置于关断位置。员工应保护设备不受震动。不得连续开关电源。5）硬件设备在外借、维修或报废（弃用）时，需对机内的保密数据信息进行数据删除等脱敏处理，防止泄密。6）重要文件和数据要经常备份，备份介质要妥善保存，防止泄密。7）无人值守设备的责任人应采取合理的安全措施保护该设备，以避免未授权使用和入侵。8）员工离开座位或办公PC时，应及时锁屏。员工应根据情况设置进入屏幕保护的时间和密码。通常设定进入屏幕保护的等待时间不应超过5分钟。9）未经审批，严禁私自携带办公设备离场。因办公需要的设备离场或转移需进行申请、审批、并做好记录，记录中包括处理人和资产使用人的处理信息、带出时间及返还时间。10）员工在外出出差、酒店房间、顾客及客户场所、乘坐交通工具等办公场所时，不得使用笔记本电脑处于无人看管状态；若物理锁定可用，则在不使用时锁定。11）员工在公共场所使用电脑的过程中需防止信息泄密，避免电脑屏幕被偷看或偷拍，离开座位时必须立即锁定电脑屏幕，防止他人未经授权使用。8密码使用安全1）员工使用的设备和系统应设置密码保护，如开机密码、登录密码、屏幕保护密码。2）员工在使用新的或经过密码重置过的系统或终端时，必须在第一时间对初始、默认或重置密码进行更改。员工必须严格按照所使用系统或终端的具体要求定期更改自己的密码，在没有明确规定的情况下应保证至少每3个月更换一次密码。3）员工在设定系统或网络登录密码时，应根据密码策略的要求选择长度不少于8位的密码，密码应是具有一定复杂度的字母、数字和符号的组合，且不应是连续的数字或字母，每隔90天更改一次密码。4）员工应避免办公系统或网络的密码与私人密码雷同，避免在多个系统中设置相同的密码，以防密码被非法获取后造成连锁影响。5）账号所有者承担使用该账号所产生的一切责任和后果，禁止将账号给未授权者使用。6）禁止员工对终端系统开机登录启用任何形式的“自动保存密码”功能。在非个人专用计算机上禁止使用“自动保存密码”功能或使用自动密码输入程序登录应用系统。7）员工应妥善保管自己的密码，不要将密码写在纸上或是存放在电子文档中。发现自己的口令被人非法获取时，应立即修改口令，并报告部门信息安全员。9病毒防范安全1）员工办公电脑必须安装和使用公司统一部署的企业级防病毒软件。2）不得随意卸载或删除防病毒软件。3）禁止修改安全软件客户端程序的参数配置。4）要及时安装操作系统补丁和防病毒软件升级包。5）必须定期查杀病毒，不得关闭防病毒软件的自动查毒进程。6）若遇防病毒软件无法清除的病毒时，应及时报告部门信息安全员和IT管理员。7）积极防御恶意软件对信息和系统的破坏，发现异常及时报告。8）打开外网发来的邮件附件时，先查杀病毒。10软件使用安全要求1）员工办公终端安装的软件必须是公司规定的合法软件。2）不得私自下载与工作无关软件。3）不得随意更改个人电脑中所安装的操作系统。4）个人电脑上不得安装与工作无关的软件。5）禁止对软件进行非授权的复制、分发、使用及反编译。6）不得随意篡改或删除服务器上的程序和数据。7）不得随意使用或试用可能危害公司网络环境的带有攻击性的软件。8）不得传播和发送恶意软件。11移动介质安全要求1）未经批准不得在服务器区内使用未经授权的任何移动介质。2）未经批准不得将任何移动介质带入机房。3）如工作需要，应申请专用的移动介质，且保存审批、使用、杀毒和数据销毁记录。不得在个人电脑上使用来历不明或未经杀毒的移动介质。4）不得将存储有公司敏感信息的移动介质转借给他人。5）防止高温、潮湿、磁场、强光、辐射对移动介质的影响。6）移动介质在移交、维修、更换、报废前，要先清除其上存储的信息，并保证不被复原。12电子邮件使用安全要求1）遵守国家有关法律法规，不得发送和传播损害国家、公司和他人利益的信息。2）对来历不明、特别是带有可执行文件附件的邮件，在无法确认时不要随意打开，应直接删除。3）定期清理过期邮件，重要的电子邮件信息须在部门配置库中保存。4）不得打开和偷看他人邮件，如误收或误发邮件，应第一时间通知发送者或者接受者，并删除邮件。5）未经批准，禁止在公司内群发邮件。6）邮箱启动后必须保管在个人电脑中，禁止以任何形式与他人共享。7）邮箱账号一旦开通，应及时更新口令。8）不准采用匿名方式发送电子邮件，发送邮件前要确认收件人地址。9）不得明文发送机密级信息，可将信息加口令后再传送，口令单独传送。10）使用中如发现包含病毒的邮件或者邮件系统存在安全漏洞，应及时报告邮箱管理员。13网络使用安全要求1）应严格遵守XXX对于内部网络的统一配置和管理。禁止私自变更办公计算机的IP地址。2）未经允许不得以任何方式向外部机构或人员提供内部网络结构、配置等重要信息。3）禁止员工将未授权的无线网络接入点联入XXX内网，将未授权的无线设备接入XXX办公无线网络；无线设备接入必须由系统运维部统一进行配置。4）严禁员工利用XXX提供的互联网访问途径从事任何违反国家法律法规，损坏国家利益和他人合法权益的活动。5）严禁员工利用XXX提供的互联网访问途径从事可能影响网络安全的活动。6）根据XXX统一规定，禁止员工在非办公场所远程访问XXX服务网络，如有特殊需要应事先得到相应的审批授权，使用VPN等方式经身份认证和数据加密访问XXX服务网络，同时应在使用完毕后及时断开网络连接，避免连接通道被他人盗用。14办公自动化使用安全要求1）员工应及时处理各类电子文件，跟踪经办文件运转情况，并根据系统提示及时处理待办工作，包括工作发起人及时关闭已经完成的工作等。2）员工作为各操作环节的执行人应严格按照权限和职责办事，不得发送未按规定程序批准的文件和无关信息。3）办公自动化系统版权属于XXX所有，所有员工有责任做好有关办公自动化系统的信息保密工作，严禁任何人员未经审批擅自对外提供仅限内部流转的信息资料。4）首次登陆办公自动化系统后，用户应立即修改密码。禁止员工在任何未经允许的情况下同意他人使用自己的用户账号登录系统进行操作。5）当员工长时间离岗（离岗时间在3个工作日及以上）时，应在办公自动化系统中做好岗位授权、权限交接和账号注销工作。6）员工在使用办公自动化系统发送各种公告信息、通知和文件时应确保其内容的准确性，严禁利用办公自动化系统制造虚假文件和信J息、O7）员工不应制作、流转、运行与工作无关的文件。员工在系统使用过程中一旦收到存在上述情况的文件和信息时应立即停止流转，并及时通知相应的管理部门和人员。8）员工在使用办公自动化系统