分公司信息安全宣導

1、貴州分公司貴州分公司 電腦室電腦室 2012015 5年年1010月月分公司信息安全宣導分公司信息安全宣導 公司員工有責任記住并保管好自己的密碼口令，口令設置需應滿足一定的復雜度要求，口令長度應超過8個字符而且包含特殊字符、數(shù)字和大小寫字母，為保證口令安全還需要定期更改密碼口令，變更頻率為三個月到半年，切勿使用公司默認口令密碼作為自己的賬號口令。在獲得授權的前提下，IT管理部門有權進行口令鎖定、解鎖和重置操作。 對電子郵件的不當使用可能會帶來法律風險，公司員工在使用電子郵件時不要發(fā)送或轉發(fā)含有非法內容的信息，在沒有得到發(fā)送人許可的情況下，不得轉發(fā)收到的包含敏感信息的郵件；偽造虛假郵件或者使用他

2、人賬號發(fā)送郵件的行為是不被允許的。用作個人用途的電子郵件不應干擾工作，根據(jù)相關制度的規(guī)定，公司員工需要避免通過電子郵件發(fā)送機密信息，確因工作需要，一定要采取必要的加密保護措施，不要參與所謂的郵件接龍活動，即轉發(fā)型郵件，這類郵件存在很大的安全隱患。公司郵箱不得在互聯(lián)網(wǎng)上作為聯(lián)絡方式進行注冊，以避免被互聯(lián)網(wǎng)人員惡意利用。 公司員工應重視重要信息的保密。公司的重要信息包括客戶信息、業(yè)務支持類信息、管理經(jīng)營類信息、內部員工信息等等。重要信息在存儲和傳播過程中應注意加密處理，比如使用專業(yè)的加密軟件、打包成加密的壓縮包等。對不再使用的重要信息介質，比如光盤，移動硬盤，U盤等要經(jīng)過信息技術部進行報廢處理。

3、公司員工應注意信息的交換與備份。公司重要信息應避免通過微信、QQ等，經(jīng)互聯(lián)網(wǎng)傳輸。因為工作需要，應該通過必要的審批流程并使用加密軟件加密后進行傳輸。重要信息應該避免通過設置文件的共享屬性的方式實現(xiàn)傳輸，可以經(jīng)加密后用內網(wǎng)郵箱傳輸。如果文件較大，可以通過公共硬盤中轉發(fā)送。 公司員工應注意軟件應用安全。IT相關軟件由信息技術部負責采購，并對新購軟件及軟件授權做登記注冊、保存。個人不得在公司電腦上私自安裝未經(jīng)信息技術部授權和安全檢測的軟件，即軟件安裝之前應確保其無惡意插件、病毒、和授權的合法。軟件使用到期后，應及時卸載軟件。 公司員工應注意計算機及網(wǎng)絡訪問安全。入網(wǎng)計算機或移動設備應該通過公司網(wǎng)絡準

4、入系統(tǒng)的審核。員工應使用唯一授權的用戶名來登錄網(wǎng)絡。持有USB證書的用戶應妥善保管好已被認證授權的U盤，遺失或損壞時及時通知管理員。公司各部門應按照管理規(guī)定制定并落實對業(yè)務應用系統(tǒng)的訪問權限，員工身份發(fā)生變化時應及時進行系統(tǒng)權限變更。 公司員工應注意人員及第三方安全管理。根據(jù)員工工作所需，公司各部門應評估員工的培訓需求，對所有員工應該根據(jù)工作需要安排恰當?shù)陌踩嘤柡椭笇?。通過相關行為規(guī)定等制度，建立起員工的安全意識，并將信息安全意識深入其工作中。 公司各部門與第三方機構簽署協(xié)議時應包含安全要求，必要時需要簽署不擴散協(xié)議，負責第三方訪問的人員需接受必要的安全意識培訓。第三方人員需要訪問敏感信息時

5、，需要通過檢查和批準，其訪問權限也會受到限制。訪問所使用的工具必須經(jīng)過信息技術部的檢查，其訪問也需要經(jīng)過認證。 公司員工應注意移動計算與遠程辦公的安全。所有連接辦公網(wǎng)絡的移動設備，要按照指定PC安全標準來配置，必須符合補丁和防病毒管理規(guī)定。信息技術部可協(xié)助員工部署必要的防信息泄露措施，比如安裝防火墻、防病毒軟件，設置訪問控制等?？诹睢D或其他賬戶信息不能以明文保存在移動硬盤，光盤，U盤等移動介質上，涉及敏感信息的文件材料應加密保護。若筆記本電腦遺失應按照相應管理制度執(zhí)行安全響應措施，首要措施是向信息技術部進行反饋。外出辦公時應避免在公共區(qū)域討論敏感信息，或因為他人通過肩膀窺視等方法獲取筆記本

6、電腦信息。 公司員工在工作中使用過的含有敏感信息的紙質文件不能隨意放置或丟棄，廢棄的文件需要用碎紙機粉碎，如有需要將廢棄或需要修理的磁性介質（如優(yōu)盤，硬盤等）轉交他人時，要先經(jīng)過信息技術部的消磁處理。 公司所有員工所使用的計算機都應部署公司指定的防病毒軟件，而且防病毒軟件一定要持續(xù)更新，計算機一旦感染病毒就必須從網(wǎng)絡中隔離直至清除病毒為止。意圖在公司內部網(wǎng)絡創(chuàng)建或者分發(fā)惡意代碼都是違反國家法律和公司安全管理制度的行為，一旦發(fā)生任何病毒傳播事件，相關人員一定要及時向信息技術部匯報從而做出及時反饋與解決，將影響降到最低。 移動存儲介質包括U盤、移動硬盤、軟盤、光盤、存儲卡等等，在公司系統(tǒng)內，移動存

7、儲介質的使用要遵守終端安全管理規(guī)定，只有被授權注冊過的移動介質才可以在計算機上使用，而使用的過程會被全程記錄。如果移動介質在公司外部使用過，再將其接入公司電腦前要經(jīng)過防病毒軟件的安全檢查。外包人員及其他第三方人員在公司內是不允許使用移動存儲介質的。無論是在任何情況下，任何移動存儲介質的傳輸和存儲都需要采取加密措施進行保護。 社會工程學是指通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益或想要的信息數(shù)據(jù)的手法，危險性極高，危害很大，公司員工在工作生活中不要輕易泄露敏感信息，例如口令和賬號等等，需要注意的是，公司管理員不會以任何形式向你索取賬號和口令。在相信任何人之前，應先確認其真實的身份。法律對信息安有明確的規(guī)定，刑法第285條規(guī)定“違反國家規(guī)定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統(tǒng)的，處三年以下有期徒刑或者拘役。 違法國家規(guī)定，侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術手段，獲取該計算機信息系統(tǒng)中存儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機信息系統(tǒng)實施非法控制，情節(jié)嚴重的，處三年以下有期徒刑或者拘役，并處或單處罰金；情節(jié)特別嚴重的，處三年以上七年以下有期徒刑，并處罰金。” “提供專門用于侵入、非法控制計算機信息系統(tǒng)的程序、