1、公司信息安全管理規(guī)范版本信息當(dāng)前版本：最新更新日期：最新更新作者：作者：創(chuàng)建日期：審批人：審批日期：修訂歷史版本號更新日期修訂作者主要修訂摘要TableofContents（目錄）TOC o 1-5 h z1.公司信息安全要求51.1信息安全方針51.2信息安全工作準(zhǔn)則51.3職責(zé)61.4信息資產(chǎn)的分類規(guī)定61.5信息資產(chǎn)的分級（保密級別）規(guī)定81.6現(xiàn)行保密級別與原有保密級別對照表81.7信息標(biāo)識與處置中的角色與職責(zé)91.8信息資產(chǎn)標(biāo)注管理規(guī)定101.9允許的信息交換方式111.10信息資產(chǎn)處理和保護(hù)要求對應(yīng)表121.11口令使用策略141.12桌面、屏幕清空策略151.13遠(yuǎn)程工作安全策略

2、151.14移動辦公策略161.15介質(zhì)的申請、使用、掛失、報廢要求171.16信息安全事件管理流程191.17電子郵件安全使用規(guī)范221.18設(shè)備報廢信息安全要求231.19用戶注冊與權(quán)限管理策略231.20用戶口令管理241.21終端網(wǎng)絡(luò)接入準(zhǔn)則251.22終端使用安全準(zhǔn)則251.23出口防火墻的日常管理規(guī)定261.24局域網(wǎng)的日常管理規(guī)定271.25集線器、交換機、無線AP的日常管理規(guī)定271.26網(wǎng)絡(luò)專線的日常管理規(guī)定281.27信息安全懲戒282.信息安全知識302.1什么是信息？302.2什么是信息安全？302.3信息安全的三要素302.4什么是信息安全管理體系？312.5建立信息

3、安全管理體系的目的322.6信息安全管理的PDCA模式332.7安全管理一風(fēng)險評估過程332.8信息安全管理體系標(biāo)準(zhǔn)（ISO27001標(biāo)準(zhǔn)家族）342.9信息安全控制目標(biāo)與控制措施341.公司信息安全要求1.1信息安全方針擁有信息資產(chǎn)，積累、共享并保護(hù)信息資產(chǎn)是我們共同的責(zé)任。管理與技術(shù)并重，確保公司信息資產(chǎn)的安全，保障公司持續(xù)正常運營。履行對客戶知識產(chǎn)權(quán)的保護(hù)承諾，保障客戶信息資產(chǎn)的安全，滿足并超越客戶信息安全需求。1.2信息安全工作準(zhǔn)則保護(hù)信息的機密性、完整性和可用性，即確保信息僅供給那些獲得授權(quán)的人員使用、保護(hù)信息及信息處理方法的準(zhǔn)確性和完整性、確保獲得授權(quán)的人員能及時可靠地使用信息及信

4、息系統(tǒng)；公司通過建立有效的信息安全管理體系和必要的技術(shù)手段，保障信息資產(chǎn)的安全，降低信息安全風(fēng)險；各級信息安全責(zé)任者負(fù)責(zé)所轄區(qū)域的信息安全，通過建立相關(guān)制度及有效的保護(hù)措施，確保公司的信息安全方針得到可靠實施；全體員工應(yīng)只訪問或使用獲得授權(quán)的信息系統(tǒng)及其它信息資產(chǎn)，應(yīng)按要求選擇和保護(hù)口令；未經(jīng)授權(quán)，任何人不得對公司信息資產(chǎn)進(jìn)行復(fù)制、利用或用于其它目的；應(yīng)及時檢測病毒，防止惡意軟件的攻擊；公司擁有為保護(hù)信息安全而使用監(jiān)控手段的權(quán)力，任何違反信息安全政策的員工都將受到相應(yīng)處理；通過建立有效和高效的信息安全管理體系，定期評估信息安全風(fēng)險，持續(xù)改進(jìn)信息安全管理體系。13職責(zé)全體員工應(yīng)保護(hù)公司信息資產(chǎn)的

5、安全。每個員工必須認(rèn)識到信息資產(chǎn)的價值，負(fù)責(zé)保護(hù)好自己生成、管理或可觸及的涉及的數(shù)據(jù)和信息。員工必須遵守信息標(biāo)識與處理程序，了解信息的保密級別。對于不能確定是否為涉密信息的內(nèi)容，必須征得相關(guān)管理部門的確認(rèn)才可對外披露。員工必須遵守信息安全相關(guān)的各項制度和規(guī)定，保證的系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)僅用于的各項工作相關(guān)的用途，不得濫用。1.4信息資產(chǎn)的分類規(guī)定公司的信息資產(chǎn)分為電子數(shù)據(jù)、軟件、硬件、實體信息、服務(wù)五大類。類別說明電子數(shù)據(jù)存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)等各種電子化的數(shù)據(jù)資料、項目文檔、管理文檔、運行管理規(guī)程、計劃、報告、用戶手冊、作業(yè)指導(dǎo)書等各種電子化的數(shù)據(jù)資料。軟件包括系統(tǒng)

6、軟件、應(yīng)用軟件、共享軟件系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等；應(yīng)用軟件：外部購買的應(yīng)用軟件，辦公軟件等；共享軟件：各種共享源代碼、共享可執(zhí)行程序等。硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、服務(wù)器、工作站、臺式計算機、移動計算機等存儲設(shè)備：磁帶機、磁盤陣列、工控機等移動存儲設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等傳輸線路：光纖、雙絞線等基礎(chǔ)保障設(shè)備：（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等，如對基礎(chǔ)設(shè)施使用屬于租用形式，請將其識別到服務(wù)類別中。安全保障設(shè)備：硬件防火墻、入侵檢測系統(tǒng)、身份驗證等其他電子設(shè)備：打印機、復(fù)印機、掃描儀、傳真機等實體信息紙

7、制的各種文件、合同、傳真、會議紀(jì)要、財務(wù)報表、證書、電報、發(fā)展計劃以及各類其他材質(zhì)的證書獎牌等。服務(wù)通過各種協(xié)議方式固化下來的服務(wù)活動、如物業(yè)、第三方、供應(yīng)商、提供檢修服務(wù)的提供方等。1.5信息資產(chǎn)的分級（保密級別）規(guī)定信息資產(chǎn)分為：一般、內(nèi)部公開、企業(yè)秘密、企業(yè)機密4個保密級別。保密級別名稱說明1一般一般性信息，可以公開的信息、信息處理設(shè)備和系統(tǒng)資源。2內(nèi)部公開非敏感但僅限公司內(nèi)部使用的信息、信息處理設(shè)備和系統(tǒng)資源。3企業(yè)秘密敏感的信息、信息處理設(shè)備和系統(tǒng)資源，只給必須知道者。4企業(yè)機密敏感的信息、信息處理設(shè)備和系統(tǒng)資源，僅適用極少數(shù)必須知道的人。1.6現(xiàn)行保密級別與原有保密級別對照表保密級

8、別與公司原有的保密級別的對照表如下:現(xiàn)行的保密級別與之相當(dāng)?shù)脑斜Ｃ芗墑e一般一般內(nèi)部公開秘密企業(yè)秘密機密企業(yè)機密絕密17信息標(biāo)識與處置中的角色與職責(zé)角色職責(zé)責(zé)任人：信息資產(chǎn)的創(chuàng)建者，或者主要用戶所在組織、單位或部門的負(fù)責(zé)人。信息資產(chǎn)責(zé)任人對所屬信息資產(chǎn)負(fù)直接責(zé)任。理解和各種信息訪問活動相關(guān)的安全風(fēng)險；根據(jù)公司信息密級劃分標(biāo)準(zhǔn)來確定所屬信息資產(chǎn)的級別；根據(jù)公司相關(guān)策略確定并檢查信息訪問權(quán)限；針對所屬信息資產(chǎn)提出恰當(dāng)?shù)谋Ｗo(hù)措施。保管者：受信息資產(chǎn)責(zé)任人委托，對信息資產(chǎn)進(jìn)行日常的管理，維護(hù)已經(jīng)建立的保護(hù)措施。資產(chǎn)保管者通常是公司或部門的IT管理者或者代表(例如系統(tǒng)管理員)。根據(jù)公司相關(guān)策略和信息資產(chǎn)

9、責(zé)任人的要求，負(fù)責(zé)信息資產(chǎn)的維護(hù)操作和日常管理事務(wù)；負(fù)責(zé)具體設(shè)置信息訪問權(quán)限；負(fù)責(zé)所管理的信息資產(chǎn)的安全控制；部署恰當(dāng)?shù)陌踩珯C制，進(jìn)行備份和恢復(fù)操作；按照信息資產(chǎn)責(zé)任人的要求實施其他控制。用戶：信息資產(chǎn)的使用者，除了公司內(nèi)部員工，也可能是因為業(yè)務(wù)需要而訪問公司信息的客戶或第三方組織。向信息責(zé)任人申請信息訪問;按照公司信息安全策略要求正當(dāng)訪問信息，禁止非授權(quán)訪問；向相關(guān)組織報告隱患、故障或者違規(guī)事件。1.8信息資產(chǎn)標(biāo)注管理規(guī)定公司所屬的各類信息資產(chǎn)，無論其存在形式是電子、紙質(zhì)還是磁盤等，都應(yīng)在顯著位置標(biāo)注其保密級另U。（2）一般電子或紙質(zhì)文檔應(yīng)在該文檔頁眉的右上角或頁腳上標(biāo)注其保密級別或在文件封

10、面打上保密章，磁盤等介質(zhì)應(yīng)在其表面非數(shù)據(jù)區(qū)予以標(biāo)注其保密級別。（3）如果某存儲介質(zhì)中包含各個級別的信息，作為整體考慮，該存儲介質(zhì)的保密級別標(biāo)注應(yīng)以最高為準(zhǔn)。（4）如果沒有明顯的保密級別標(biāo)注，該信息資產(chǎn)以“一般”級別看待。（5）對于對外公開的信息，需要得到相關(guān)責(zé)任人的核準(zhǔn)，并由對外信息發(fā)布部門統(tǒng)一處理。（6）如需在信息資產(chǎn)上表述保密聲明，可采用以下兩種表述方式：表述方式一：“保密聲明：公司資產(chǎn)，注意保密。”表述方式二：“保密聲明：本文檔受國家相關(guān)法律和公司制度保護(hù)，不得擅自復(fù)制或擴(kuò)散?！?.9允許的信息交換方式公司允許的信息交換方式有：郵件、視頻、電話、網(wǎng)站內(nèi)容發(fā)布、文件共享、傳真、光盤、磁盤、

11、磁帶和紙張。1.10信息資產(chǎn)處理和保護(hù)要求對應(yīng)表企業(yè)機密企業(yè)秘密內(nèi)部公開一般授權(quán)需得到責(zé)任人和公司管理層批準(zhǔn)需得到相關(guān)責(zé)任人及部門領(lǐng)導(dǎo)批準(zhǔn)需得到責(zé)任人批準(zhǔn)無特別要求訪問只能被得到授權(quán)的公司極少數(shù)核心人員訪問只能被公司內(nèi)部或外部得到明確授權(quán)的人員訪問，訪問者應(yīng)該簽署保密協(xié)議可以被公司內(nèi)部或外部因為業(yè)務(wù)需要的人員訪問任何公司員工或外部人員都可以訪問存儲電子類的應(yīng)該加密存儲在安全的計算機系統(tǒng)內(nèi)；硬拷貝應(yīng)該鎖在安全的保險柜內(nèi)；禁止以其他形式存儲或顯示電子類的應(yīng)該妥善保存在設(shè)有安全控制的計算機系統(tǒng)內(nèi)（建議進(jìn)行信息加密）；硬拷貝應(yīng)該妥善保管，嚴(yán)禁擺放在桌面；使用白板展示后應(yīng)立即擦除電子類的應(yīng)該妥善保管，可

12、以進(jìn)行加密；紙質(zhì)不應(yīng)放在桌面以恰當(dāng)方式保存，避免被非授權(quán)人員看到；存儲有信息的介質(zhì)避免丟失復(fù)制得到相關(guān)責(zé)任人及公司管理層批準(zhǔn)；需要登記須經(jīng)相關(guān)責(zé)任人批準(zhǔn)，并讓專人操作或監(jiān)督實施，需要登記經(jīng)相關(guān)責(zé)任人批準(zhǔn)內(nèi)部復(fù)制無限制打印禁止打?。ɑ蛟谑跈?quán)情況下專人負(fù)責(zé)須經(jīng)相關(guān)責(zé)任人許可，打印件標(biāo)注密級經(jīng)相關(guān)責(zé)任人許可，打印無限制，打印件標(biāo)打印，不得打印到無人值守機）并妥善管理，不得打印到無人值守機件標(biāo)注密級并妥善管理注密級由卩件禁止郵件直接發(fā)送，經(jīng)授權(quán)后做電子簽名和加密扌空制，經(jīng)安全的途徑發(fā)送，保留記錄須經(jīng)相關(guān)責(zé)任人許可，郵件發(fā)送應(yīng)做加密控制，保留記錄經(jīng)相關(guān)責(zé)任人許可無限制傳真禁止傳真須經(jīng)相關(guān)責(zé)任人許可后專人

13、負(fù)責(zé)傳真經(jīng)相關(guān)責(zé)任人許可無限制快遞經(jīng)授權(quán)后采取妥善的保護(hù)措施，由專人快遞經(jīng)授權(quán)后，由簽署了特定安全協(xié)議的專門的快遞公司快遞經(jīng)授權(quán)后，由簽署了特定安全協(xié)議的專門的快遞公司快遞無限制內(nèi)部分發(fā)經(jīng)相關(guān)責(zé)任人和公司管理層批準(zhǔn)后，密封分發(fā)，或以允許的電子分發(fā)形式進(jìn)行安全的分發(fā)經(jīng)相關(guān)責(zé)任人批準(zhǔn)后，密封分發(fā)，或以允許的電子分發(fā)形式進(jìn)行安全的分發(fā)經(jīng)授權(quán)后，以內(nèi)部郵件形式發(fā)放，或直接進(jìn)行硬拷貝分發(fā)無限制對外分發(fā)經(jīng)相關(guān)責(zé)任人和公司管理層批準(zhǔn)后分發(fā)，需要簽署特定的保密協(xié)議，需要進(jìn)行經(jīng)相關(guān)責(zé)任人批準(zhǔn)后分發(fā)，需簽署保密協(xié)議，需要進(jìn)行登記經(jīng)授權(quán)后，以郵件或者快遞方式分發(fā)，建議簽署保密經(jīng)授權(quán)后，以允許的分發(fā)方式分發(fā)登記協(xié)議處

14、理碎紙機；徹底銷毀介質(zhì)；電子記錄定期消除；進(jìn)行檢查確認(rèn)碎紙機；徹底銷毀介質(zhì)；電子記錄定期消除；進(jìn)行檢查確認(rèn)保存件標(biāo)明作廢；電子記錄定期消除；介質(zhì)銷毀電子記錄定期消除，介質(zhì)銷毀記錄跟蹤直接責(zé)任人應(yīng)有收件人、復(fù)制者、保存者、瀏覽者、銷毀者的日志記錄跟蹤文件復(fù)制、保存、瀏覽、銷毀過程，應(yīng)有記錄無要求不議跟蹤1.11口令使用策略全體員工在挑選和使用口令時，應(yīng)：保證口令的機密。除非能安全保存，避免將口令記錄在紙上。只要有跡象表明系統(tǒng)或口令可能遭到破壞，應(yīng)立即更改口令。選用高質(zhì)量的口令，最少要有6個字符，另外：口令應(yīng)由字母加數(shù)字組成；口令不應(yīng)采用如姓名、電話號碼、生日等容易猜出或破解的信息。每三個月更改或

15、根據(jù)訪問次數(shù)更改口令(特別是特權(quán)用戶)，避免再次使用或循環(huán)使用舊口令。（6）首次登錄時，應(yīng)立即更改臨時口令。（7）不得共享個人用戶口令。112桌面、屏幕清空策略為了降低在正常工作時間以外對信息進(jìn)行未經(jīng)授權(quán)訪問所帶來的風(fēng)險、損失和損害，員工應(yīng)：（1）在閑置或工作時間之外將紙張或計算機存儲介質(zhì)儲存在合適的柜子或其它形式的安全設(shè)備中。（2）當(dāng)辦公室無人時將關(guān)鍵業(yè)務(wù)信息放置到安全地點（比如防火的保險箱或柜子中）。（3）在無人使用時，將個人計算機、計算機終端和打印機、復(fù)印機設(shè)為鎖定狀態(tài)。（4）為個人計算機、計算機終端設(shè)定密碼，同時設(shè)定屏保時間（=15分鐘）。（5）在打印保密級別為企業(yè)機密、企業(yè)秘密的信息

16、后,應(yīng)立刻從打印機中清除相關(guān)痕跡，并有效保護(hù)打印出來的信息內(nèi)容。1.13遠(yuǎn)程工作安全策略必須保護(hù)好遠(yuǎn)程工作場所防止盜竊設(shè)備和信息、未經(jīng)授權(quán)公開信息、對公司內(nèi)部系統(tǒng)進(jìn)行遠(yuǎn)程非法訪問或濫用設(shè)備等行為。員工應(yīng)：（1）保障物理安全。（2）對家人和客人使用設(shè)備進(jìn)行限制。如果必須要使用，應(yīng)在旁邊進(jìn)行監(jiān)督和控制，確保關(guān)鍵業(yè)務(wù)信息的安全。（3）遠(yuǎn)程工作活動結(jié)束時，權(quán)限以及設(shè)備及時收回。（4）網(wǎng)絡(luò)遠(yuǎn)程登錄終端的撥號密碼即VPN帳號僅限本人使用，不允許他人使用。（5）進(jìn)入公司或客戶的信息系統(tǒng)工作完畢后，必須立即退出系統(tǒng)。1.14移動辦公策略使用移動辦公設(shè)備（如筆記本電腦）時，員工尤其應(yīng)該注意保證業(yè)務(wù)信息不受損壞、

17、非法訪問或泄密：（1）移動辦公設(shè)備需要帶出公司工作場所時，應(yīng)進(jìn)行登記。（2）在公共場所使用移動辦公設(shè)備時，必須注意防范被未經(jīng)授權(quán)的人員窺視。（3）應(yīng)實時更新用于防范惡意軟件的程序。（4）應(yīng)對信息進(jìn)行方便快捷的備份。（5）備份的信息應(yīng)該予以適當(dāng)?shù)谋Ｗo(hù)以防信息被盜或丟失。（6）使用移動辦公設(shè)備通過公共網(wǎng)對公司商務(wù)信息進(jìn)行遠(yuǎn)程訪問時必須進(jìn)行身份識別和VPN訪問控制。防止移動辦公設(shè)備被盜。防止保密級別為企業(yè)秘密級以上的信息所在的移動辦公設(shè)備無人看管。1.15介質(zhì)的申請、使用、掛失、報廢要求(1)介質(zhì)的申請:序號責(zé)任者任務(wù)相關(guān)文件或記錄1資產(chǎn)管理員按照公司的固定資產(chǎn)或消耗資材申領(lǐng)方式向公司申領(lǐng)介質(zhì)。固定

18、資產(chǎn)管理制度計算機維護(hù)消耗資材管理辦法2資產(chǎn)管理員從公司領(lǐng)取介質(zhì)并登記到介質(zhì)登記表中。介質(zhì)登記表3資產(chǎn)管理員如通過設(shè)備管理，需通過usb使用的移動存儲介質(zhì)在中注冊。參見使用說明4資產(chǎn)管理員在介質(zhì)登記表中登記發(fā)放時間，使用人等信息后發(fā)放介介質(zhì)登記表質(zhì)。介質(zhì)的使用：如安裝了設(shè)備，所有工作中使用的USB存儲介質(zhì)都應(yīng)在中進(jìn)行注冊。如果確認(rèn)介質(zhì)中的內(nèi)容不再需要，應(yīng)立即將其以可靠方式清除。如果數(shù)據(jù)需要保存，則使用人應(yīng)該保存在有良好安全措施的個人計算機和服務(wù)器上，而不應(yīng)該放在計算機活動介質(zhì)中。所有的備份介質(zhì)都應(yīng)存放在安全可靠的地方，并符合生產(chǎn)廠家說明書的安全要求。介質(zhì)的掛失：一序號責(zé)任者任務(wù)相關(guān)文件或記錄1

19、使用者使用人立即向資產(chǎn)管理員申報掛失2資產(chǎn)管理員如果是通過usb使用的移動存儲介質(zhì)被掛失且在上注冊過，則應(yīng)在上進(jìn)行注銷。3資產(chǎn)管理員在介質(zhì)登記表中登記掛失介質(zhì)登記表(4)介質(zhì)的報廢:序號責(zé)任者任務(wù)相關(guān)文件或記錄1使用者、書面文件用碎紙機粉碎、其他介質(zhì)報廢，使用人向資產(chǎn)管理員申請介質(zhì)報廢。2資產(chǎn)管理員如果是通過usb使用的移動存儲介質(zhì)且在上注冊過，則應(yīng)在上進(jìn)行注銷。3資產(chǎn)管理員按照公司的固定資產(chǎn)和消耗資材的報廢流程實施。固定資產(chǎn)管理制度計算機維護(hù)消耗資材管理辦法4資產(chǎn)管理員在介質(zhì)清單中登記已報廢1介質(zhì)登記表1.16信息安全事件管理流程發(fā)現(xiàn)公司全體員工都有責(zé)任和義務(wù)將已發(fā)現(xiàn)的或可疑的事件、故障和薄

20、弱點及時報告給相關(guān)部門或人員。任何企圖阻攔、干擾、報復(fù)事件報告者的行為都被視為違反公司策略。報告對于部門范圍內(nèi)的信息安全事件，當(dāng)事人可直接向部門負(fù)責(zé)人報告，并按照本部門規(guī)范進(jìn)行處理。事件處理者需填寫附錄中的信息安全事件報告處理記錄單，每月將相關(guān)記錄上交過程管理部。除部門內(nèi)可以自行處理的信息安全事件外，其余信息安全事件必須統(tǒng)一上報給客服記錄。響應(yīng)客服對信息安全事件做出最初響應(yīng)，將技術(shù)方面的信息安全事件交給系統(tǒng)服務(wù)部組織處理，將管理方面的信息安全事件交給過程管理部組織相關(guān)部門進(jìn)行處理。需要做進(jìn)一步調(diào)查的信息安全事件，當(dāng)其影響范圍涉及整個公司或影響程度嚴(yán)重妨礙了公司的正常運營時，報告給信息安全管理委

21、員會。事件響應(yīng)及處理者在處理安全事件時應(yīng)考慮以下優(yōu)先次序：保護(hù)人員的生命與安全保護(hù)敏感的設(shè)備和資料保護(hù)重要的數(shù)據(jù)資源防止系統(tǒng)被損壞將公司遭受的損失降至最小如果發(fā)生違法事件，事件相關(guān)涉及部門要采集并保存有效證據(jù)，上交過程管理部報告給公司最高管理者決策，由法務(wù)部向外部法律機構(gòu)報告。必要時，法務(wù)部可以尋求外部專家的支持。評價/調(diào)查安全事件或故障發(fā)生之后，事件處理者要對事件或故障的類型、嚴(yán)重程度、發(fā)生的原因、性質(zhì)、產(chǎn)生的損失、責(zé)任人進(jìn)行調(diào)查確認(rèn)，形成事件或故障評價資料。懲戒要根據(jù)事件的嚴(yán)重程度、造成的損失、產(chǎn)生的原因?qū)`規(guī)者進(jìn)行教育或者處罰。懲戒手段可包括通報批評、行政警告、經(jīng)濟(jì)處罰、調(diào)離崗位、依據(jù)合

22、同給予辭退，對于觸犯刑律者可交司法機關(guān)處理。具體處罰標(biāo)準(zhǔn)參見信息安全管理職責(zé)程序。公告事件的調(diào)查結(jié)果要反饋給當(dāng)事部門領(lǐng)導(dǎo)。當(dāng)事部門可組織相關(guān)的人員進(jìn)行學(xué)習(xí)和培訓(xùn)。1.17電子郵件安全使用規(guī)范公司電子郵件系統(tǒng)禁止用于創(chuàng)建與分發(fā)任何含有破壞性、歧視性的信息，包括對種族、性別、殘疾人、年齡、職業(yè)、性取向、宗教信仰、政治信念、國籍等方面的攻擊性語言。公司的員工如果接收到任何含有此類信息的郵件，應(yīng)立即向主管領(lǐng)導(dǎo)進(jìn)行匯報。禁止使用公司帳號發(fā)送連鎖信。禁止使用公司電子郵件帳號發(fā)送病毒或惡意代碼警告郵件。這些規(guī)則也適用于當(dāng)公司員工接收到這類電子郵件并進(jìn)行轉(zhuǎn)發(fā)的情況。使用的郵件軟件客戶端要及時升級，減少由于軟件

23、的漏洞而受到外部攻擊，避免因此而導(dǎo)致的郵件丟失和系統(tǒng)中毒。郵件必須有標(biāo)題，盡量以文本方式瀏覽郵件。陌生人的郵件附件盡量不要打開，禁止撰寫、發(fā)送、轉(zhuǎn)發(fā)各種垃圾郵件，禁止在未經(jīng)授權(quán)的情況下利用他人的計算機系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件。禁止使用工作郵箱從事任何非法活動及其與工作無關(guān)的郵件。為了保證郵件安全禁止使用自動轉(zhuǎn)發(fā)功能。公司業(yè)務(wù)信息郵件必須使用公司規(guī)定的業(yè)務(wù)專用郵箱發(fā)送，除了業(yè)務(wù)相關(guān)郵件禁止使用業(yè)務(wù)郵箱發(fā)送其他郵件。郵件必須主題明確，能夠通過郵件主題判斷業(yè)務(wù)類別。做好郵件的病毒防護(hù)工作。發(fā)送郵件應(yīng)該注意郵件的保密，避免泄漏公司機密。所有員工都要嚴(yán)格遵守電子郵件安全使用規(guī)范的相關(guān)規(guī)定，員工之間應(yīng)互相監(jiān)

24、督，及時制止違反規(guī)定的人員，對于使用公司郵箱傳播反動言論、從事任何與法律或公司制度相違活動的人員將禁用或者注銷其郵箱，并根據(jù)情節(jié)嚴(yán)重給予相應(yīng)處罰或提交司法機關(guān)處理。1.18設(shè)備報廢信息安全要求報廢設(shè)備上交前，使用者自己負(fù)責(zé)將設(shè)備介質(zhì)中的信息進(jìn)行備份，機電一體化產(chǎn)品事業(yè)部負(fù)責(zé)將設(shè)備介質(zhì)中的所有信息清除掉，以防信息泄漏。119用戶注冊與權(quán)限管理策略對任何多用戶使用的信息系統(tǒng)和服務(wù)設(shè)施進(jìn)行訪問，應(yīng)：使用唯一的用戶名，以便將用戶與其操作聯(lián)系起來，使用戶對其操作負(fù)責(zé)。只有因工作需要才允許使用組用戶名。（2）添加新用戶或用戶權(quán)限變更時應(yīng)有書面申請并經(jīng)過審批。（3）系統(tǒng)管理員對新注冊用戶進(jìn)行授權(quán)。（4）應(yīng)記

25、錄所有注冊用戶。（5）用戶因工作變更或離開組織時，應(yīng)立即取消其訪問權(quán)限。（6）系統(tǒng)權(quán)限管理的責(zé)任人應(yīng)定期組織檢查并刪除多余的用戶名和賬戶，并對用戶的訪問權(quán)限進(jìn)行定期評審或在變動后進(jìn)行評審。（7）系統(tǒng)權(quán)限管理的責(zé)任人需要嚴(yán)格控制特權(quán)的分配和使用，要對特權(quán)的分配和使用情況進(jìn)行評審，確保沒有非法授予用戶特權(quán)，以保證對數(shù)據(jù)和信息服務(wù)的訪問進(jìn)行了有效的控制。1.20用戶口令管理在進(jìn)行信息系統(tǒng)的口令管理，應(yīng)：（1）用戶需要自己維護(hù)口令，系統(tǒng)僅在開始時提供一個安全的臨時口令，用戶需要立即更改臨時口令。用戶忘記口令時，必須在對該用戶進(jìn)行適當(dāng)?shù)纳矸莺藢嵑蟛拍芟蚱涮峁┡R時口令。（2）在向用戶提供臨時口令時必須確保

26、其安全，避免使用第三方或無保護(hù)的（明文）電子郵件，用戶應(yīng)對收到的口令予以確認(rèn)。（3）不允許在計算機系統(tǒng)上以無保護(hù)的形式存儲口令。（4）保證個人口令安全，確保工作組口令僅在本組成員間共享。121終端網(wǎng)絡(luò)接入準(zhǔn)則公司網(wǎng)絡(luò)覆蓋范圍內(nèi)使用的每臺計算機，員工均應(yīng)安裝公司規(guī)定的防毒軟件，不得私自使用其他防毒軟件。1.22終端使用安全準(zhǔn)則（1）每臺計算機應(yīng)開啟實時監(jiān)控功能，定期進(jìn)行計算機病毒檢測，并及時對防毒軟件或病毒特征庫進(jìn)行升級更新。（2）每臺計算機應(yīng)定期連接公司網(wǎng)絡(luò)并從病毒服務(wù)器獲得防病毒軟件的最新定義碼及掃描引擎。（3）為防止計算機使用人員私自卸載客戶端及信息安全客戶端，卸載密碼和工具由系統(tǒng)服務(wù)事業(yè)

27、部統(tǒng)一管理。（4）公司不定期組織相關(guān)部門對客戶端及信息安全客戶端安裝情況進(jìn)行抽查。抽查情況將通報各相關(guān)部門并列入年度的績效考核。（5）計算機使用人員在安裝、使用客戶端及信息安全客戶端中遇到技術(shù)問題，可通過撥打客戶服務(wù)熱線尋求技術(shù)支持。（6）為防止惡意代碼的侵?jǐn)_，每臺計算機必須按訪問控制管理程序第5.2.1節(jié)的要求設(shè)置管理員口令;網(wǎng)絡(luò)共享文件必須設(shè)置密碼和只讀權(quán)限。（7）任何部門和個人不得制作、復(fù)制、傳播計算機病毒，任何部門和個人負(fù)有清除或防治計算機病毒的義務(wù)。（8）不使用來路不明或含有盜版軟件的軟盤與光盤，不隨意安裝執(zhí)行從網(wǎng)絡(luò)上下載的各種程序。當(dāng)需要從計算機信息網(wǎng)絡(luò)上下載程序、數(shù)據(jù)或者購置、維

28、修、借入計算機設(shè)備時，應(yīng)當(dāng)進(jìn)行計算機病毒檢測。（9）使用電子郵件，對來路不明的郵件（特別是含有附件的郵件），收到后不要打開，直接刪除并清空廢件箱。1.23出口防火墻的日常管理規(guī)定（1）為公司的出口防火墻設(shè)置只讀權(quán)限，便于監(jiān)視進(jìn)出本公司的所有訪問。（2）對防火墻的接口IP地址、用戶名、口令及配置文件信息進(jìn)行嚴(yán)格管理。（3）除授權(quán)人員外，禁止任何人員物理接觸防火墻；對防火墻的遠(yuǎn)程管理僅限于指定IP地址、指定管理方式、指定用戶、指定用戶的管理權(quán)限。（4）嚴(yán)禁連接公司網(wǎng)絡(luò)的任何單位和人員以任何形式對防火墻進(jìn)行攻擊。（5）集中收集、存儲防火墻報警日志，定期檢查防火墻安全記錄，優(yōu)化防火墻訪問規(guī)則，杜絕安全

29、漏洞。（6）定期使用安全評估系統(tǒng)檢查防火墻的各項服務(wù)是否有漏洞。（7）部門如有公司出口防火墻的變更需求，必須通過公司審批，備案在冊，由系統(tǒng)服務(wù)部統(tǒng)一操作。1.24局域網(wǎng)的日常管理規(guī)定各部門不得將私自構(gòu)建的局域網(wǎng)接入公司網(wǎng)絡(luò)。如需接入必須通過公司審批，備案在冊，由系統(tǒng)服務(wù)部統(tǒng)一操作。員工在辦公區(qū)域只能通過公司內(nèi)網(wǎng)聯(lián)入互聯(lián)網(wǎng)。125集線器、交換機、無線AP的日常管理規(guī)定（1）各部門不得私自使用網(wǎng)絡(luò)訪問設(shè)備。（2）禁止使用路由器及無線路由設(shè)備。（3）如需使用集線器、交換機、無線AP，必須通過公司審批，備案在冊。（4）無線AP必須設(shè)置符合安全要求的密碼（具體要求參見管理文件訪問控制管理程序中5.2.1

30、的要求），只有被授權(quán)人員方可使用無線網(wǎng)絡(luò)。（5）公司定期檢查集線器、交換機、無線AP的登記和使用情況。1.26網(wǎng)絡(luò)專線的日常管理規(guī)定（1）各部門不得私自搭建網(wǎng)絡(luò)專線。如需使用網(wǎng)絡(luò)專線必須通過公司審批，備案在冊。（2）公司定期檢查網(wǎng)絡(luò)專線的登記和使用情況。127信息安全懲戒（1）全體員工（含臨時員工、派遣員工、實習(xí)員工、常駐外包員工）均應(yīng)遵守所有與信息安全相關(guān)的管理規(guī)定，不允許任何部門或人員有損害公司信息安全的行為。（2）對違反信息安全管理規(guī)定，并造成嚴(yán)重后果的部門或員工，由公司信息安全管理委員會授權(quán)實施懲戒。（3）懲戒手段包括通告、行政警告、經(jīng)濟(jì)處罰、調(diào)離崗位、依據(jù)合同予以辭退，對于觸犯刑律者移交司法機關(guān)處理。（4）對于的合同承包商和外部用戶，如果違反了信息安全管理規(guī)定，公司信息安全委員會有權(quán)建議公司中止與他們的合同和協(xié)議。2.信息安全知識2.1什么是信息？是來自任何來源的知識。在ISO27001的標(biāo)準(zhǔn)里：信息是一種資產(chǎn)，就象其它重要的企業(yè)資產(chǎn)一樣，信息資產(chǎn)對組織具有價值，因而需要受到妥善的保護(hù)。信息是有生命周期的。安全保護(hù)應(yīng)兼顧到從其創(chuàng)建或誕生，到被使用或操作，到存儲，再到被傳遞，直至其生命期結(jié)束而被銷毀或丟棄。2.2什么是信息安全？信息安全的目的是，保護(hù)信息不受各種威脅，以確保業(yè)務(wù)連續(xù)，將企業(yè)損失降至最低，將投資收益與商業(yè)機會最大化。信息安全的任務(wù)是，要采取