中國石油天然氣股份有限企業(yè)消息安全員工手冊1.doc

1、中國石油天然氣股份信息平安員工手冊1中國石油天然氣股份信息平安員工手冊石油科字2003239號第一章總那么第一條為保證中國石油天然氣股份以下簡稱股份公司信息資產(chǎn)包括信息、信息系統(tǒng)資產(chǎn)、知識產(chǎn)權(quán)等在傳遞、存儲和處理應(yīng)用過程中的平安,促進(jìn)信息平安治理工作在全公司范圍內(nèi)順利有效地開展,依照國家有關(guān)法律、法規(guī)和股份公司的有關(guān)規(guī)定,特制定本手冊.第二條本手冊是股份公司員工在信息平安治理方面必須嚴(yán)格遵守的根本守那么,適用于股份公司的所有員工,包括臨時(shí)受聘人員.對因違反本手冊而導(dǎo)致股份公司遭受損失的,股份公司將追究相關(guān)人員的責(zé)任；情節(jié)嚴(yán)重、違犯國家法律法規(guī)者,將依法追究刑事責(zé)任.第二章信息平安保密第三條員工

2、在信息應(yīng)用方面不得有以下行為：1 .以盜竊、利誘、脅迫或其它任何不正當(dāng)手段,獲取本公司的商業(yè)秘密；2 .違反公司有關(guān)的保密協(xié)定、要求及與公司簽訂的勞動(dòng)合同,披露或者泄漏本公司的商業(yè)秘密；3 .未經(jīng)本公司許可,將商業(yè)秘密用于指定目的以外；4 .協(xié)助他人以不正當(dāng)手段獲取公司商業(yè)秘密.第四條員工因業(yè)務(wù)需要必須將公司商業(yè)秘密向第三方披露或者交由第三方使用的,應(yīng)參照執(zhí)行?中國石油天然氣股份有限公司機(jī)關(guān)商業(yè)秘密治理規(guī)定?.第五條員工在工作過程中,了解到其它公司商業(yè)秘密的,應(yīng)視同本公司商業(yè)秘密,根據(jù)本公司商業(yè)秘密治理規(guī)定執(zhí)行,不得向任何第三方泄漏.第六條員工在業(yè)務(wù)過程中,如需接觸任何股份公司的關(guān)鍵信息資產(chǎn),

3、都必須簽署相應(yīng)的保密協(xié)議,協(xié)議內(nèi)容參照?中國石油天然氣股份機(jī)關(guān)秘密載體保密治理規(guī)定?的有關(guān)要求制定.第七條離、退休及辭職人員信息保密規(guī)定：1 .離、退休及辭職人員必須辦理離崗手續(xù),明確其離崗后的信息保密義務(wù),退還全部技術(shù)資料.為該人員使用的所有信息系統(tǒng)相關(guān)賬戶必須立即停用或作出相應(yīng)的平安處理如更換該賬號的口令.2 .離、退休及辭職人員在與公司解除勞動(dòng)關(guān)系或合同關(guān)系后,仍然有對公司的商業(yè)秘密負(fù)有保密的義務(wù),直至該秘密所規(guī)定的保密期限到期.3 .為保護(hù)本公司商業(yè)秘密不受侵犯,接觸本公司商業(yè)秘密的員工離職時(shí),如有必要,公司應(yīng)與其訂立競業(yè)限制合同,約定離職后的競業(yè)限制事宜.第三章信息資產(chǎn)使用責(zé)任第八條

4、員工對所使用的信息負(fù)有平安責(zé)任.同樣,各種可移動(dòng)或便攜式硬件資產(chǎn)的平安責(zé)任由該資產(chǎn)的使用者承當(dāng).股份公司的信息資產(chǎn)的使用者需遵守如下規(guī)定：1.不在無平安保證的場所包括在無平安保證的信息系統(tǒng)中閱讀、處理敏感信息資料；4 .不在親屬、朋友和其他無關(guān)人員面前談?wù)摴旧虡I(yè)秘密信息；5 .未經(jīng)同意不得私自留存秘密文件、資料,閱辦后的秘密文件要按規(guī)定及時(shí)清退、歸檔；6 .不擅自銷毀重要信息資料；7 .使用的信息資料應(yīng)當(dāng)存放于平安的環(huán)境中.第九條員工不得在未經(jīng)許可的情況下使用他人的電腦設(shè)備,也無權(quán)將自己使用的電腦設(shè)備任意轉(zhuǎn)借他人.如工作需要,允許他人在設(shè)備使用人本人監(jiān)控下操作,但本人須承當(dāng)使用過程中的平安責(zé)

5、任.第十條員工不得在未授權(quán)的情況下擅自將股份公司的電腦軟件和敏感資料包括第三方數(shù)據(jù)進(jìn)行復(fù)制、存儲、傳送.第十一條員工有責(zé)任及時(shí)發(fā)現(xiàn)并上報(bào)發(fā)生的信息平安事件,并應(yīng)當(dāng)在信息平安事件的處理過程中協(xié)助相關(guān)人員的調(diào)查工作.第十二條員工應(yīng)使用公司提供的網(wǎng)絡(luò)文件效勞器備份自己的重要文件.第十三條未經(jīng)同意,員工不得擅自將股份公司的信息資產(chǎn)存儲在不屬于股份公司信息平安資產(chǎn)的存儲介質(zhì)中,包括私人電腦、公用電子郵箱、私人用途的移動(dòng)硬盤等.第四章知識產(chǎn)權(quán)保護(hù)第十四條如無約定,所有股份公司的員工在本職工作中所創(chuàng)造的知識產(chǎn)權(quán)、履行本單位交付的本職工作之外的任務(wù)所創(chuàng)造的知識產(chǎn)權(quán)、退職或退休以及調(diào)開工作后一年做出的與其在原單

6、位承當(dāng)?shù)谋韭毠ぷ骰蚍峙涞娜蝿?wù)有關(guān)的知識產(chǎn)權(quán),歸股份公司所有如員工建立的與股份公司業(yè)務(wù)相關(guān)的文檔、軟件等.第十五條軟件版權(quán)保護(hù)：1 .股份公司的信息系統(tǒng)、個(gè)人電腦、效勞器等所有硬件設(shè)備上安裝、運(yùn)行的軟件都必須擁有被合法使用的權(quán)利,否那么不得在股份公司的信息系統(tǒng)上安裝、運(yùn)行；2 .由股份公司購置的商業(yè)軟件版權(quán)屬于股份公司所有,該軟件的安裝和使用必須遵從與供給商簽署的合同和國家相關(guān)法律及規(guī)定,未經(jīng)許可,任何個(gè)人不得將該軟件在個(gè)人或其他非股份公司業(yè)務(wù)需要的領(lǐng)域進(jìn)行復(fù)制、安裝或使用.第十六條員工的個(gè)人資料也屬于股份公司信息資產(chǎn)的一部分,未經(jīng)本人和相關(guān)部門授權(quán),任何個(gè)人不得泄露他人的信息資料.第五章公司信

7、息發(fā)布第十七條未經(jīng)股份公司主管部門批準(zhǔn),員工不得在任何互聯(lián)網(wǎng)網(wǎng)頁、電子公告板的發(fā)帖、播送的Email或者其他形式的媒體中發(fā)布股份公司信息.第十八條股份公司所有員工不得通過股份公司的信息系統(tǒng)與外部組織或個(gè)人進(jìn)行本職工作內(nèi)容以外的交流,不代表股份公司發(fā)言的員工在通過股份公司的信息系統(tǒng)與外部組織或個(gè)人進(jìn)行交流時(shí)如發(fā)帖或者電子郵件應(yīng)注明以下內(nèi)容：“重要聲明：本文不代表中國石油的官方意見.本文的發(fā)送者并不代表中國石油.中國石油不承當(dāng)由于此文可能導(dǎo)致的任何責(zé)任和義務(wù)J第六章身份認(rèn)證平安第十九條員工有責(zé)任治理好各種用于身份認(rèn)證的賬號、口令、門卡等,一旦發(fā)生遺失須立即上報(bào)有關(guān)部門.第二十條賬號、口令、門卡等用

8、于身份認(rèn)證的工具僅限于其所屬的員工使用,任何個(gè)人不得擅自與他人共享,或者隨意放置.第二十一條員工應(yīng)根據(jù)所使用的信息系統(tǒng)的平安敏感程度定期修改口令,且口令的長度不得低于6位.第二十二條口令建議由小寫字母、數(shù)字及符號組成,但不可采用連續(xù)的等同的字符群或數(shù)字群.預(yù)防使用與個(gè)人有關(guān)的數(shù)據(jù)如生日、身份證字號、單位簡稱、號、名字等作為口令.同時(shí)盡量預(yù)防使用一些常用的單詞如日常用語,計(jì)算機(jī)術(shù)語等作為口令.第二十三條員工應(yīng)明確使用個(gè)人口令的責(zé)任.應(yīng)當(dāng)保守口令的秘密,禁止共享口令信息,不應(yīng)將口令告訴任何人,包括系統(tǒng)治理員或秘書.員工也不應(yīng)將口令通過Email、等任何方式傳播出去.第二十四條員工不應(yīng)保存口令的字面

9、記錄或電子記錄.第二十五條員工應(yīng)預(yù)防在不同的應(yīng)用系統(tǒng)中使用同樣的口令.任何時(shí)候有跡象說明某一口令可能已經(jīng)泄漏或受損害時(shí),要立即更換該口令和可能被牽涉到的其他系統(tǒng)中的口令.第二十六條不要把口令保存在任何自動(dòng)登錄過程中如不要使用在瀏覽器中的“自動(dòng)記住口令功能.第二十七條在信息系統(tǒng)中冒充、混淆、隱瞞或者代替其他的用戶都是不允許的.電子郵件或者電子文檔中包含的用戶名、Email地址、組織聯(lián)系及其他相關(guān)信息必須真實(shí)地反映該文檔的來源.第七章平安區(qū)域進(jìn)出第二十八條員工應(yīng)當(dāng)在自己職權(quán)范圍內(nèi)的平安區(qū)域內(nèi)進(jìn)行活動(dòng),在工作期間應(yīng)當(dāng)佩帶工作標(biāo)示證件以明確身份.第二十九條未經(jīng)同意員工不得隨意進(jìn)入自己職權(quán)范圍以外的平安

10、區(qū)域如非機(jī)房工作人員進(jìn)出機(jī)房,必須事先向相關(guān)部門提出申請,經(jīng)過審批確認(rèn)前方可進(jìn)入.第八章去除桌面和屏幕第三十條去除桌面和屏幕是保護(hù)信息資產(chǎn)預(yù)防其泄漏或丟失的重要舉措之一,即在不使用信息設(shè)備時(shí),采取舉措將其中的信息資產(chǎn)保護(hù)起來,使未經(jīng)授權(quán)的用戶無法訪問.第三十一條個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端、各類效勞器和打印機(jī)等信息處理設(shè)備在無人值守時(shí),應(yīng)將其設(shè)置于未登錄狀態(tài)；在不使用時(shí)應(yīng)通過鍵盤鎖定、口令保護(hù)程序或其他限制舉措加以保護(hù),以預(yù)防非法訪問的發(fā)生；個(gè)人計(jì)算機(jī)假設(shè)長時(shí)間不使用,宜將其電源開關(guān)置于關(guān)斷位置.第三十二條在非工作時(shí)間,員工應(yīng)將存放有公司信息資產(chǎn)的移動(dòng)式計(jì)算機(jī)設(shè)備放置在上鎖的文件柜或其他形式的保險(xiǎn)設(shè)

11、備中.第三十三條在打印敏感信息或資料時(shí),應(yīng)在打印完畢后立即從打印機(jī)中移除這些資料.第九章信息媒介的使用和處置第三十四條股份公司業(yè)務(wù)的敏感資料含第三方的,包括文件、數(shù)據(jù)介質(zhì)、系統(tǒng)文檔等,任何部門或個(gè)人,未經(jīng)授權(quán),不得調(diào)用、存儲、傳送或復(fù)制.第三十五條員工應(yīng)將一切含有敏感信息的媒介保存在平安可靠的地方,并符合生產(chǎn)廠家說明書的平安要求.當(dāng)相應(yīng)媒介的使用完成之后,應(yīng)將其中不再需要的敏感信息刪除.第三十六條員工從平安區(qū)域帶走含有敏感信息的媒介都應(yīng)經(jīng)過授權(quán),所有可移動(dòng)媒介的借用、使用,應(yīng)有詳細(xì)的記錄和審核跟蹤.第三十七條存儲介質(zhì)如需要調(diào)換、更新、廢棄,必須進(jìn)行信息整理和信息清洗.第十章操作系統(tǒng)使用第三十八

12、條員工所使用的WindowsNT/2000/XP操作系統(tǒng)應(yīng)盡量使用NTFS文件格式.第三十九條除確實(shí)必要外,在同一臺客戶機(jī)上應(yīng)只安裝一套操作系統(tǒng),并且將操作系統(tǒng)安裝在一個(gè)單獨(dú)的磁盤分區(qū)中,把應(yīng)用系統(tǒng)和數(shù)據(jù)文件放在另外的磁盤分區(qū)中.第四十條在Windows系統(tǒng)中當(dāng)一個(gè)文件被復(fù)制到一個(gè)新的目錄里時(shí),這個(gè)文件將繼承目標(biāo)目錄的訪問權(quán)限,因此員工在移動(dòng)和復(fù)制以后必須要確認(rèn)新的文檔具有適宜的訪問權(quán)限.第四十一條除特殊需要外,員工不得在公司的電腦上使用軟盤和光盤啟動(dòng)功能,在必要的情況下,應(yīng)將軟盤和光驅(qū)物理撤除.第四十二條員工應(yīng)遵照系統(tǒng)治理員的要求,安裝和配置系統(tǒng)設(shè)置,禁止自行更改操作系統(tǒng)中公司預(yù)先設(shè)置好的平

13、安配置.第四十三條員工應(yīng)關(guān)注公司關(guān)于系統(tǒng)弱點(diǎn)漏洞的公告和病毒預(yù)防通知,并應(yīng)根據(jù)公告和通知的指導(dǎo)對客戶端系統(tǒng)平安漏洞及時(shí)安裝補(bǔ)丁,并定期進(jìn)行客戶端病毒掃描.第十一章電子郵件使用第四十四條員工應(yīng)簽訂并遵守?中國石油電子郵件用戶遵守協(xié)議?以及所有標(biāo)準(zhǔn)電子郵箱效勞使用的協(xié)議、規(guī)定、程序和慣例.第四十五條員工應(yīng)遵照郵件系統(tǒng)治理員的要求安裝和配置客戶端系統(tǒng),并按公司要求配置郵件客戶端平安選項(xiàng).第四十六條員工在自己的郵箱賬號開通后應(yīng)及時(shí)修改口令.應(yīng)經(jīng)常更改郵箱賬號口令以預(yù)防他人盜用.不得試圖猜想和翻開其他任何未經(jīng)許可的用戶郵箱.第四十七條員工應(yīng)對自己的郵箱賬號和口令的平安負(fù)責(zé),不得將郵箱賬號借與他人.一旦發(fā)

14、現(xiàn)郵箱賬號口令泄露,應(yīng)及時(shí)更換口令.假設(shè)發(fā)現(xiàn)郵箱存在任何平安漏洞的情況,應(yīng)及時(shí)通知公司郵件系統(tǒng)治理人員.第四十八條員工應(yīng)定期接收郵件,及時(shí)刪除過時(shí)和無保存價(jià)值的郵件,以節(jié)省公司的存儲資源和網(wǎng)絡(luò)資源.第四十九條含有重要信息的郵件傳輸應(yīng)加密并采用平安傳輸方式.第五十條對違反上述規(guī)定者,一經(jīng)核實(shí),郵件系統(tǒng)治理員有權(quán)停止或取消該員工郵箱使用權(quán)限.第十二章互聯(lián)網(wǎng)訪問和使用第五十一條員工訪問互聯(lián)網(wǎng)應(yīng)遵守?中華人民共和國國家安全法?、?中華人民共和國保守國家秘密法?、?計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密治理規(guī)定?、?中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)治理暫行規(guī)定?、?維護(hù)互聯(lián)網(wǎng)平安的決定?等有關(guān)法律法規(guī),如有違反

15、響?yīng)毩⒊挟?dāng)一切責(zé)任.第五十二條員工通過公司網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的一言一行都代表了股份公司的形象,因此必須標(biāo)準(zhǔn)自己的訪問行為.要遵守道德標(biāo)準(zhǔn)和法律法規(guī),員工不得通過互聯(lián)網(wǎng)進(jìn)行以下活動(dòng)：1.通過互聯(lián)網(wǎng)竊取、泄露公司未公布的信息；2 .利用互聯(lián)網(wǎng)侵犯他人知識產(chǎn)權(quán)；3 .在互聯(lián)網(wǎng)上建立淫穢網(wǎng)站、網(wǎng)頁,提供淫穢站點(diǎn)鏈接服務(wù),或者傳播淫穢書刊、影片、音像、圖片；4 .利用互聯(lián)網(wǎng)侮辱他人或者捏造事實(shí)誹謗他人；5 .非法截獲、篡改、刪除他人電子郵件或者其他數(shù)據(jù)資料,侵犯公司通信自由和通信秘密；6 .利用互聯(lián)網(wǎng)進(jìn)行盜竊、詐騙、敲詐勒索；7 .成心制作、傳播計(jì)算機(jī)病毒等破壞性程序,攻擊計(jì)算機(jī)系統(tǒng)及通信網(wǎng)絡(luò).第五十三條員

16、工必須意識到在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)都是公開的,有被他人非法獲取的可能.因此,在通過EmaikFTP、網(wǎng)頁等傳送敏感數(shù)據(jù)時(shí)應(yīng)對數(shù)據(jù)加密并采用平安傳輸方式.第五十四條員工在發(fā)送相關(guān)數(shù)據(jù)和文檔之前必須考慮該信息是否會(huì)侵犯版權(quán).第五十五條員工在互聯(lián)網(wǎng)上分發(fā)與業(yè)務(wù)相關(guān)的數(shù)據(jù)或文件,必須得到上級領(lǐng)導(dǎo)的事先批準(zhǔn).第五十六條員工在公司的電腦上安裝從互聯(lián)網(wǎng)上下載的可執(zhí)行程序必須得到相關(guān)部門的許可,并通過防病毒軟件的掃描,確認(rèn)無病毒后才可安裝.下載、安裝和使用第三方的程序必須不違反公司的平安規(guī)定和軟件版權(quán)規(guī)定.第五十七條員工不得在工作時(shí)間利用公司網(wǎng)絡(luò)資源訪問和工作無關(guān)的網(wǎng)站.第五十八條禁止員工在工作時(shí)間使用需要消耗

17、大量帶寬并和業(yè)務(wù)無關(guān)的應(yīng)用程序如網(wǎng)絡(luò)視頻/音頻點(diǎn)播、大量文件的下載等.第五十九條嚴(yán)禁員工對公司的網(wǎng)絡(luò)設(shè)備進(jìn)行登錄,以及對網(wǎng)絡(luò)效勞設(shè)置隨意更改.員工之間的計(jì)算機(jī)相互共享和訪問應(yīng)當(dāng)符合相關(guān)標(biāo)準(zhǔn).第六十條員工一旦發(fā)現(xiàn)有未經(jīng)授權(quán)的或是不適當(dāng)?shù)幕ヂ?lián)網(wǎng)訪問行為,應(yīng)立即向相關(guān)的負(fù)責(zé)人員報(bào)告,一旦發(fā)覺公司內(nèi)部的系統(tǒng)可能遭到入侵也應(yīng)及時(shí)向有關(guān)部門反映.第六十一條員工應(yīng)遵照系統(tǒng)治理員的要求安裝和配置瀏覽器,并按公司要求配置瀏覽器客戶端平安選項(xiàng).第六十二條員工在自己的Web賬號開通后應(yīng)及時(shí)修改口令和口令提示問題.應(yīng)對自己的賬號和口令平安負(fù)責(zé),不應(yīng)將賬號借與他人,一旦發(fā)現(xiàn)賬號口令泄露,應(yīng)及時(shí)更換口令.假設(shè)發(fā)現(xiàn)股份公司W(wǎng)eb站點(diǎn)存在任何平安漏洞,應(yīng)及時(shí)通知公司系統(tǒng)治理人員.第六十三條員工不得盜用他人的Web賬號,不得下載任何未經(jīng)許可的數(shù)據(jù),未經(jīng)批中國石油天然氣股份油