華為業(yè)務(wù)線軟件定制業(yè)務(wù)員工信息安全培訓(xùn)教材

1、軟通華為業(yè)務(wù)線軟件定制業(yè)務(wù)員工信息安全培訓(xùn)（本教材適用于軟件定制業(yè)務(wù)的員工培訓(xùn)）華為業(yè)務(wù)線信息安全部編制 2014-07-04軟通動力技術(shù)服務(wù)有限公司2 目錄目 錄1為什么要做好信息安全？15定制現(xiàn)場的信息安全管理責(zé)任劃分2華為信息安全泄密事件16定制現(xiàn)場臺式機的信息安全管理3軟通信息安全違規(guī)事件17定制現(xiàn)場便攜機的信息安全管理4華為的信息安全現(xiàn)狀及對軟通的信息安全要求18定制現(xiàn)場信息資產(chǎn)的信息安全管理5信息安全基本概念介紹 19定制現(xiàn)場機要設(shè)備與介質(zhì)的信息安全管理6華為業(yè)務(wù)線的信息安全管理體系與管理方針20員工入職、在場、轉(zhuǎn)項目、離職的信息安全管理7軟通華為業(yè)務(wù)線信息安全組織21華為Emai

2、l外發(fā)的信息安全管理要求8信息安全專員的工作職責(zé)22被派遣出差時的信息安全注意事項9普通員工的信息安全義務(wù)或責(zé)任23定制員工需注意的易違規(guī)事項10華為業(yè)務(wù)線信息安全獎罰制度24信息安全違規(guī)案例11一級違規(guī)違規(guī)條款舉例25違反信息安全規(guī)定的后果12二級違規(guī)違規(guī)條款舉例26信息安全問題的反饋渠道13三級違規(guī)違規(guī)條款舉例27END14軟件定制業(yè)務(wù)的辦公環(huán)境分類2833 為什么要做好信息安全？ 信息安全風(fēng)險控制是企業(yè)風(fēng)險控制的一部分； 信息安全源于客戶的需求； 當(dāng)前環(huán)境的對知識產(chǎn)權(quán)保護不力； 少數(shù)人的誠信缺失，會給企業(yè)帶來致命的損失。 2010年，全球第一大汽車制造商豐田深陷“召回門”，這是因為迪米特

3、斯.比勒，這個被福特安排“潛伏”在豐田內(nèi)部的專業(yè)律師，在供職豐田的4年中搜集了300起翻車事故的證據(jù)，在福特選定的時機，對豐田進行了起訴，使豐田面臨了山呼海嘯般的訴訟潮及巨額賠償。 業(yè)界信息安全泄密案例2010年，全球最大的半導(dǎo)體制造設(shè)備商AMAT的10名職員，因?qū)⑵淇蛻羧请娮酉嚓P(guān)技術(shù)機密泄露給三星的競爭對手，被韓國當(dāng)局逮捕。此次泄密事件導(dǎo)致三星直接損失數(shù)千億韓元，而且隨著三星電子與后起企業(yè)間技術(shù)級差的減少，將會給三星帶來數(shù)兆韓元的損失 。444 華為信息安全泄密事件 2001年8月和11月之間，王、劉、秦三人離開華為，注冊成立了上海滬科公司，開始了全新的”創(chuàng)業(yè)“。其先與上海XX合作，對方負

4、責(zé)資金銷售，滬科則主攻新一代多業(yè)務(wù)光傳輸系統(tǒng)85XXB的研發(fā)。不到半年時間， 2002年5月產(chǎn)品就推向市場；后又以1500萬美元股票期權(quán)被杭州XX收購，在光網(wǎng)絡(luò)市場與華為展開面對面的競爭。 經(jīng)過科技部等權(quán)威鑒定中心鑒定，華為有多達數(shù)萬頁研發(fā)數(shù)據(jù)和光盤資料被3位前員工竊取。檢方作出的直接或者間接的判斷，3位前員工的侵權(quán)行為對華為造成了高達1.8億元的經(jīng)濟損失。 少數(shù)人的誠信缺失，道德失衡，幾乎給華為產(chǎn)品帶來毀滅性的災(zāi)難！但天網(wǎng)恢恢、疏而不漏、莫伸手、伸手必被捉。 5555 軟通信息安全違規(guī)事件 2013年8月，深圳地域黃某，被公司派駐華為場地工作。該員工離職最后一天下班時，利用其擁有的EMAIL

5、外發(fā)權(quán)限，將平時收集的華為文檔打包壓縮成圖像文件的形式分多次發(fā)送到自己的外部個人郵箱。該員工在特殊的時間，采用隱蔽的方式向外部發(fā)送保密文件，自以為可以逃過華為的監(jiān)控，豈料聰明反被聰明誤， 一實施違規(guī)操作即被華為監(jiān)控到。該員工挖空心思，離職時想“撈”點資料出去，最后卻受到應(yīng)有的處罰，葬送了個人的信用及名譽。點評：華為的SPEC監(jiān)控功能強大，任何憑僥幸心理，挖空心思，想蒙騙過關(guān)，都是徒勞的。只有遵紀守“法”，誠實守信，才是做人的根本。 2013年11月，軟通深圳地域員工王某，在華為場地工作期間，利用工作之便，收集大量內(nèi)部公開、外部公開文檔和少量的秘密文檔，多次通過USB拷貝了到個人手機，被華為SP

6、EC監(jiān)控發(fā)現(xiàn)，最終給予王某信息安全一級違規(guī)處罰，解除勞動合同并處以3000元人民幣的罰款，其直接主管監(jiān)管不力，按信息安全二級違規(guī)處罰，罰款1000元。 666 華為的信息安全現(xiàn)狀及對軟通的信息安全要求 華為對合作方的信息安全要求非常高，在合作前及合作中將對我們公司的信息安全狀況進行嚴格的認證及稽核，發(fā)現(xiàn)違規(guī)事件將對我公司進行罰款、降低配額甚至終止合作。 我們?nèi)绻蛔鲂畔踩蛘咦龅貌缓?，就極有可能失去華為這個大客戶。 信息安全是華為的“高壓線”，也是軟通華為業(yè)務(wù)線的“高壓線”，觸碰者必將受到嚴厲的處罰。華為要求軟通信息安全違規(guī)事件數(shù)是零?？蛻艉驼J證公司對華為信息安全的評價：華為公司的信息安全管

7、理給我們留下了非常深刻的印象，員工的信息安全意識非常高，并且對公司的信息安全體系建設(shè)表現(xiàn)出非常高的熱情和參與的積極性，主動性很強。這表明華為公司已經(jīng)建立起了一個上行下效，效率很高的信息安全管理體系。華為公司的信息安全管理水平比我們在國內(nèi)認證的任何一家企業(yè)都要好，尤其是上研所，整體信息安全管理水平甚至超過了保險和金融機構(gòu)。77信息安全基本概念介紹 信息安全（Information Security）: 是對信息資產(chǎn)保密性、完整性、可用性等的保持。信息安全有五大特性：保密性（Confidentiality）：保障信息僅為被授予使用權(quán)限的人獲取。完整性（Integrity）：指信息資產(chǎn)正確、不被偶然

8、或蓄意地刪除、修改、偽造、亂序、 插入等破壞的特性?？捎眯裕ˋvailability）：指被授予權(quán)限的人能及時訪問、獲得信息資產(chǎn)?？煽啃裕≧eliability）：指人員、環(huán)境、軟件、網(wǎng)絡(luò)等在規(guī)定的條件范圍內(nèi)可靠運作。不可抵賴性（Non-Repudiation）：指通信雙方（人、實體或進程）信息真實同一的 安全要求，它包括收、發(fā)雙方均不可抵賴。 信息安全體系就是基于這五大特性來建設(shè) 知識產(chǎn)權(quán)：（Intellectual property），指“權(quán)利人對其所創(chuàng)作的智力勞動成果所享有的專有權(quán)利”，一般只在有限時間期內(nèi)有效。除非權(quán)利人同意或許可或法律規(guī)定，任何其他人都無權(quán)享有。 我們在為華為或華為客

9、戶服務(wù)過程中產(chǎn)生的信息資產(chǎn)，其知識產(chǎn)權(quán)歸華為或華為客戶所有。88 華為業(yè)務(wù)線的信息安全管理體系與管理方針 軟通華為業(yè)務(wù)線的信息安全管理體系包含如下幾個方面：信息安全管理方針：基于華為方信息安全管控要求及業(yè)務(wù)本身的需要，兼顧工作效率及運作成本，通過建立有效的信息安全管理體系及實施PDCA循環(huán)，對信息安全的風(fēng)險進行管控，確保華為及本公司信息資產(chǎn)不受損害。9 軟通華為業(yè)務(wù)線信息安全組織華為業(yè)務(wù)線信息安全管理組織如下：華為業(yè)務(wù)線安全保密委員會職責(zé)：是華為業(yè)務(wù)線信息安全事務(wù)的領(lǐng)導(dǎo)決策機構(gòu)、負責(zé)信息安全制度審核發(fā)布、人事任免、獎勵與處罰。華為業(yè)務(wù)線信息安全部的職責(zé)：參照軟通公司及華為的信息安全管控要求，識

10、別信息安全風(fēng)險，制定華為業(yè)務(wù)本部的信息安全策略、規(guī)章制度及管理流程并提請華為業(yè)務(wù)本部安全保密委員會審評決策。推動及監(jiān)管華為業(yè)務(wù)本部的信息安全策略在各部門落地。支持及指導(dǎo)華為業(yè)務(wù)各部門開展信息安全建設(shè)。華為業(yè)務(wù)線各地域信息安全工作組的職責(zé)：負責(zé)推動華為業(yè)務(wù)線信息安全政策在本地域落地，對所在地域的信息安全工作進行指導(dǎo)及監(jiān)督，對地域的重大信息安全管控方案進行評審及決策。1010信息安全專員的工作職責(zé)信息安全專員： 信息安全事務(wù)的職業(yè)管理者。當(dāng)你遇到信息安全問題時必須向當(dāng)?shù)匦畔踩珜T咨詢；千萬不能道聽途說，導(dǎo)致信息安全違規(guī)，使自己蒙受損失。 每個員工都有義務(wù)配合及支持信息安全專員的工作。信息安全專員

11、的工作職責(zé) ：推動信息安全管理規(guī)定在本地域落地。識別并管控所在地域的信息安全風(fēng)險。對所負責(zé)的地域員工進行信息安全宣傳及培訓(xùn)，提升員工信息安全意識。例行稽核并推動整改。處理機要設(shè)備特殊需求（如加封、拆封）。接受員工咨詢，解答員工對信息安全的詢問。支撐業(yè)務(wù)部門信息安全建設(shè)。對疑似違規(guī)事件進行調(diào)查，對員工按“信息安全獎罰規(guī)定”進行獎勵或處罰。與當(dāng)?shù)氐娜A為信息安全部門接口，落實華為方的信息安全要求；配合華為方的信息安 全稽核，跟蹤并推動整改華為方稽核發(fā)現(xiàn)的問題。111111普通員工的信息安全義務(wù)或責(zé)任作為華為業(yè)務(wù)線的員工，我們須承擔(dān)以下的信息安全義務(wù)或責(zé)任： 入職時與公司簽署保密協(xié)議，手抄信息安全保密

12、承諾書。 參加信息安全培訓(xùn)及考試。 工作中自覺遵守信息安全各項規(guī)定，遵紀守規(guī)。 對自己名下或使用的信息資產(chǎn)及機要設(shè)備的安全負責(zé)，確保不發(fā)生泄密事件。 定期自檢自己的行為是否符合信息安全的各項要求。 發(fā)現(xiàn)信息安全問題或漏洞有責(zé)任向部門主管及信息安全專員反饋。 配合信息安全專員的信息安全工作。 未經(jīng)授權(quán)，不得向外部擴散公司或客戶的保密信息。特別在與同學(xué)或朋友聚會時，注意保守公司及客戶的技術(shù)與商業(yè)秘密。 有義務(wù)配合信息安全管理部門的疑似違規(guī)調(diào)查，有責(zé)任澄清自己身上的疑點。12 華為業(yè)務(wù)線信息安全獎罰制度獎勵：團體獎分為一等獎、二等獎及三等獎；在信息安全管理中表現(xiàn)突出并有優(yōu)秀實踐事跡的部門，可以申報團

13、體獎，按事跡及影響的大小決定獎勵的等級，一年評選一次。個人獎分為特等獎和普通獎；特等獎獎勵舉報重大信息安全泄密行為并協(xié)助信息安全部門取證的員工，普通獎主要獎勵反饋信息安全漏洞或建議并被采納的員工，個人獎以及時獎勵為主。違規(guī)級別處罰原則違規(guī)員工處罰對第一層主管（直接主管）的處罰對第二層主管的處罰對第三層主管的處罰對第N層主管的處罰BU主管/地域主管的處罰三級違規(guī)違規(guī)員工本人并連帶二層主管通報批評，處以200元罰款通報批評，處以100元罰款通報批評/二級違規(guī)違規(guī)員工本人并連帶三層主管通報批評，處以500-1000元罰款通報批評，處以500元罰款通報批評，處以300元罰款通報批評/一級違規(guī)違規(guī)員工本

14、人并連帶直至BU主管/地域主管解除勞動合同，通報批評。處以不低于2000元的罰款通報批評，處以1000元罰款通報批評，處以800元罰款通報批評，處以500元罰款通報批評，處以500元罰款通報批評如同一部門半年內(nèi)發(fā)生二起信息安全違規(guī)事件，則該部門第一層主管除受到以上處罰外，還將受到“下課”的處罰。備注：第一至N層主管，指違規(guī)員工所在地域的主管；處罰：13一級違規(guī)違規(guī)條款舉例未經(jīng)批準，通過拍照、攝像、錄音等方式獲取公司和/或客戶華為的保密信息。將公司和/或客戶華為的保密信息泄露或出售給公司和/或客戶華為的競爭對手、任何第三方或予以公開。未經(jīng)批準，將公司和/或客戶華為保密信息以紙質(zhì)或電子文檔等形式發(fā)

15、送或存儲至私人的存儲介質(zhì)或任何第三方信息系統(tǒng)（如拷貝、打印、Email外發(fā)等）。編制或故意運行、傳播黑客、病毒程序，攻擊ODC場地網(wǎng)絡(luò)或公司和/或客戶華為網(wǎng)絡(luò)信息系統(tǒng)。竊取他人帳戶盜取公司和/或客戶華為保密信息、篡改公司和/或客戶華為系統(tǒng)數(shù)據(jù)。將ODC的網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相連。私自修改、刪除IT系統(tǒng)日志系統(tǒng)管理員私自越權(quán)查看、創(chuàng)建、修改、刪除、下載業(yè)務(wù)數(shù)據(jù)或私自給無關(guān)人員授權(quán)。繞過或破解華為的安全控制軟件（SPES、CPM、ACC等）及傳播破解方法（包括通過破解、攻擊、卸載、禁用等方式使得SPES、CPM、ACC等無法正常運行，或傳播使其無法正常運行的方法）。 在信息安全違規(guī)事件調(diào)查中，銷毀證據(jù)、

16、拒不配合調(diào)查。未經(jīng)批準，私自在辦公設(shè)備或介質(zhì)中保留公司和/或客戶華為的機密及絕密級信息。未經(jīng)批準，私自將個人或非ODC的機要設(shè)備、存儲介質(zhì)與ODC網(wǎng)絡(luò)或公司和/或客戶華為網(wǎng)絡(luò)設(shè)備相連。 盜用他人系統(tǒng)賬號；隱藏、偽造個人身份使用公司和/或客戶華為信息系統(tǒng)（如假冒他人郵件帳戶發(fā)送郵件等）。 未按規(guī)程操作或設(shè)置，造成ODC網(wǎng)絡(luò)癱瘓。未經(jīng)批準，私自帶外部人員進入ODC區(qū)域內(nèi)，并使用機要設(shè)備查看公司和/或客戶華為的保密信息。 私自打開電腦主機箱蓋。對于ODC場地中存在的不合規(guī)的高、中風(fēng)險問題在限期內(nèi)未整改，造成公司和/或客戶華為保密信息泄密。承擔(dān)信息安全職責(zé)的人員，未嚴格履行信息安全職責(zé)，導(dǎo)致所負責(zé)的領(lǐng)

17、域內(nèi)存在信息安全高風(fēng)險漏洞。 一級違規(guī)處罰：解除勞動合同，而無需支付任何經(jīng)濟補償金，并處罰款。14二級違規(guī)違規(guī)條款舉例未經(jīng)批準，私自收集與工作無關(guān)的公司或客戶華為內(nèi)部公開、秘密級保密信息。未經(jīng)批準，將個人除手機之外的電子設(shè)備及電子存儲介質(zhì)帶入ODC場地或客戶辦公場所。未經(jīng)批準，私自撕開機箱或數(shù)據(jù)端口的封條或未及時對數(shù)據(jù)端口申請加封。未經(jīng)批準，私自將ODC場地內(nèi)的故障硬盤帶出維修。未經(jīng)批準，對華為公司網(wǎng)絡(luò)進行抓包、嗅探、壓力測試等處理。保管不善，丟失機要設(shè)備（不可抗力因素除外）。冒用他人的工卡進出辦公場地。在信息安全稽核中，ODC場地檢查出的每例不合規(guī)的高、中風(fēng)險問題，未按時整改關(guān)閉的。員工轉(zhuǎn)崗

18、時未及時刪除與后續(xù)工作不相關(guān)的信息資產(chǎn)及IT系統(tǒng)權(quán)限。在信息安全策略推行中，拒絕或不執(zhí)行信息安全管理要求的。 二級違規(guī)處罰：通報批評并處罰款。15三級違規(guī)違規(guī)條款舉例計算機未設(shè)管理者密碼、BIOS密碼及屏保密碼。賬號口令未設(shè)置或長度不符合信息安全要求。防病毒軟件未及時升級。對自己使用的或名下的機要設(shè)備上的信息安全管控措施失效而不知情。進出大門未正確佩戴工卡不聽門崗勸阻被投訴的；攜包出門，不配合門崗檢查被投訴的。未經(jīng)批準，轉(zhuǎn)借公司和/或客戶華為信息系統(tǒng)個人賬戶。未經(jīng)批準，在公司和/或客戶華為辦公網(wǎng)絡(luò)配置固定IP地址。未經(jīng)批準，在公司和/或客戶華為辦公網(wǎng)絡(luò)私設(shè)WWW、FTP以及BBS、NEWS、D

19、NS、Wins、DHCP等網(wǎng)絡(luò)配置和應(yīng)用。用于客戶華為業(yè)務(wù)的計算機（或系統(tǒng)）感染病毒并攻擊其它計算機，IT 通知其整改后在三個工作日內(nèi)不整改的。 三級違規(guī)處罰：通報批評并處罰款。說明：華為的信息安全違規(guī)等級分四級，軟通的分三級。軟通的處罰更為嚴厲。16 軟件定制業(yè)務(wù)的辦公環(huán)境分類A類：華為場地&華為內(nèi)網(wǎng) 網(wǎng)絡(luò)環(huán)境、辦公場地相對獨立，辦公用機安裝標(biāo)準SPEC安全桌面等華為監(jiān)控軟件。B類：華為場地&互聯(lián)網(wǎng) 辦公場地相對獨立，網(wǎng)絡(luò)環(huán)境不能嚴格隔離（可以通過互聯(lián)網(wǎng)或?qū)＞€接入客戶網(wǎng)絡(luò)），辦公用機安裝標(biāo)準SPEC安全桌面等華為監(jiān)控軟。C類：客戶場地&客戶內(nèi)網(wǎng) 辦公場地由客戶提供，網(wǎng)絡(luò)環(huán)境嚴格隔離，只能訪問

20、客戶網(wǎng)絡(luò)，不能通過任何手段訪問外網(wǎng)，辦公用機安裝離線華為監(jiān)控軟件。D類：客戶場地&互聯(lián)網(wǎng) 辦公場地由客戶提供，網(wǎng)絡(luò)環(huán)境不能嚴格隔離，辦公用機安裝標(biāo)準SPEC安全桌面等華為監(jiān)控軟件。1717 定制現(xiàn)場的信息安全管理責(zé)任劃分 華為方現(xiàn)場項目經(jīng)理是現(xiàn)場信息安全管理的總負責(zé)人，華為方信息安全專員是定制現(xiàn)場的信息安全具體管理人員；軟通在定制場地也設(shè)有信息安全專員，對軟通員工進行信息安全管理。 每個定制現(xiàn)場華為方都會制定有適合本地現(xiàn)場定制的信息安全管理規(guī)定，在不同場地工作時需注意向當(dāng)?shù)匦畔踩珜T詢問清楚，防止無意違規(guī)。 軟通員工的信息安全管理要求與所在定制場地的華為員工一致，必須遵守華為方及客戶方的信息

21、安全管理規(guī)定，有不清楚的地方需及時詢問所在場地的華為方信息安全專員或軟通信息安全專員。 計算機使用人是資產(chǎn)的責(zé)任人，應(yīng)保證計算機的設(shè)置和使用符合華為和華為客戶的相關(guān)信息安全管理規(guī)定；未經(jīng)批準，不得將含有華為公司或華為客戶信息資產(chǎn)的計算機私自轉(zhuǎn)借給他人使用。 軟通提供的臺式機與便攜機的機型要與華為公司要求一致；嚴禁使用私人臺式電腦或便攜機辦公。1818定制現(xiàn)場臺式機的信息安全管理 在定制現(xiàn)場使用的臺式電腦只允許在定制現(xiàn)場使用，不允許帶出定制現(xiàn)場；機箱必須用激光封條加封；不需使用的數(shù)據(jù)端口必須使用激光封條加封，如果已經(jīng)使用CPM工具對數(shù)據(jù)端口進行監(jiān)控的可以不需要封條加封；確因工作需要保留的數(shù)據(jù)端口

22、又未使用CPM工具進行監(jiān)控端口的，必須經(jīng)過華為信息安全責(zé)任人審批，并在華為方信息安全專員處登記備案。 在C類環(huán)境（只能訪問客戶網(wǎng)絡(luò)，不能通過任何手段訪問外網(wǎng)）的定制環(huán)境內(nèi)的辦公電腦需安裝離線華為監(jiān)控軟件；其他環(huán)境（A/B/D類）的辦公電腦必須安裝華為SPEC安全桌面。 安裝了華為SPEC安全桌面的臺式電腦，每月至少運行SPEC一次，并及時更正（SPEC提醒的）違規(guī)情況。 辦公的臺式電腦必須安裝防病毒軟件并及時更新（客戶的或者華為公司的）；必須設(shè)置有效的開機、屏?？诹?，屏保程序必須為操作系統(tǒng)自帶且啟動等待時間不得高于10分鐘，若使用人離開計算機須立即啟動屏保。 不得安裝與工作無關(guān)的軟件，如需安裝

23、非標(biāo)準軟件，必須由信息安全責(zé)任人統(tǒng)一提交華為業(yè)務(wù)管理部報軟件公司信管辦審批，經(jīng)批準后才能安裝使用。191919定制現(xiàn)場便攜機的信息安全管理 對于現(xiàn)場辦公環(huán)境條件限制或多點辦公的，可以使用公司的便攜機辦公。 定制現(xiàn)場允許配置少量公用便攜機（用于對外交流、匯報、上線等）；便攜機由信息安全專員負責(zé)管理，軟通員工借用須按華為流程由華為信息安全責(zé)任人審批。 軟通員工使用的便攜機撤離定制場地時，需由華為項目經(jīng)理或授權(quán)人員對便攜機的硬盤數(shù)據(jù)進行檢查和清理后方可帶出。 攜帶便攜機外出需攜帶數(shù)據(jù)時，需根據(jù)工作相關(guān)性原則進行申請，不得申請攜帶與當(dāng)前工作無關(guān)的數(shù)據(jù)資料；需要從現(xiàn)場定制網(wǎng)絡(luò)中拷貝數(shù)據(jù)，必須經(jīng)過審批，由

24、信息安全專員完成數(shù)據(jù)拷貝操作，嚴禁從現(xiàn)場定制網(wǎng)絡(luò)中直接拷貝數(shù)據(jù)至便攜機。 借用便攜機的工作任務(wù)結(jié)束，應(yīng)在2個工作日內(nèi)歸還便攜機，由信息安全專員協(xié)助將相關(guān)數(shù)據(jù)拷入現(xiàn)場定制網(wǎng)絡(luò)，并對便攜機硬盤數(shù)據(jù)進行清理。 所有便攜機必須安裝華為標(biāo)準SPEC安全桌面，每月至少運行一次，及時更正違規(guī)情況。 所有便攜機必須安裝防病毒軟件并及時更新（客戶的或者公司的防病毒軟件）。 便攜機不需使用的數(shù)據(jù)端口不得保留，必須使用激光封條加封，如果已經(jīng)使用CPM工具對數(shù)據(jù)端口進行監(jiān)控的可以不需要封條加封，硬盤要加封激光封條；確因工作需要保留的數(shù)據(jù)端口又未使用CPM工具進行監(jiān)控端口的，必須經(jīng)過信息安全責(zé)任人審批，并在信息安全專員

25、處登記。 所有便攜機需設(shè)置有效的開機、屏保、硬盤口令，屏保程序必須為操作系統(tǒng)自帶且啟動等待時間不得高于10分鐘，若使用人離開計算機須立即啟動屏保。 所有便攜機不得安裝與工作無關(guān)的軟件，如需安裝非標(biāo)準軟件（如客戶要求交流使用的BQQ等等），必須由信息安全責(zé)任人統(tǒng)一提交業(yè)務(wù)管理部報軟件公司信管辦審批，經(jīng)批準后才能安裝使用。 便攜機攜帶的數(shù)據(jù)必須打包加密，密碼長度應(yīng)保持10位以上。202020定制現(xiàn)場信息資產(chǎn)的信息安全管理 嚴禁私下共享或傳遞文檔，工作需要時向項目經(jīng)理申請獲??；嚴禁保留與當(dāng)前工作無關(guān)的文檔；文件共享不允許設(shè)置everyone，共享完成后須及時取消共享。 現(xiàn)場定制員工應(yīng)按照配置庫權(quán)限規(guī)

26、則限定的權(quán)限保留相關(guān)文檔，嚴禁保留無權(quán)限文檔，需要查看無權(quán)限的文檔，經(jīng)項目經(jīng)理或信息安全責(zé)任人審批，由CMO提供相關(guān)文檔，所申請的文檔到期后應(yīng)主動及時刪除。 當(dāng)前不使用的文檔和代碼應(yīng)從本地刪除，正式環(huán)境、測試環(huán)境不允許保留源代碼和文檔，編譯完畢后應(yīng)立即刪除編譯程序。 不得Check-Out全部配置庫文件到本地計算機。 在使用客戶共用的打印機情況下，不允許打印華為公司內(nèi)部公開以上密級資料，若打特殊場景需要打印與客戶交流的資料，需要填寫“文檔打印申請表”，取得項目經(jīng)理同意且設(shè)置水?。ㄋ⌒问剑盒彰?工號），并及時取走打印的資料。 與客戶之間的數(shù)據(jù)傳遞，如附件涉及到華為內(nèi)部公開以上的信息資產(chǎn)必須抄送

27、給華為項目經(jīng)理。 華為公司的保密信息資產(chǎn)分為內(nèi)部公開、秘密、機密和絕密。合作員工僅接觸到內(nèi)部公開及秘密級資產(chǎn)。21212121定制現(xiàn)場機要設(shè)備與介質(zhì)的信息安全管理機要設(shè)備與介質(zhì)的信息安全管理要求： 原則上個人的機要設(shè)備與存儲介質(zhì)（手機除外）不得帶入定制現(xiàn)場。 個人機要設(shè)備與介質(zhì)確因工作需要帶入/帶出定制現(xiàn)場使用的，必須經(jīng)過信息安全責(zé)任人審批，在華為信息安全專員處備案。 定制現(xiàn)場的機要設(shè)備/介質(zhì)的端口（USB口等）必須審批備案才能保留，否則必須用封條加封。機要設(shè)備與介質(zhì)： 指能夠存儲處理或交換信息資產(chǎn)的載體，包括但不限于：通信終端（如智能手機）、臺式電腦、筆記本電腦、服務(wù)器、工作站、交換機、路由

28、器、儀器儀表、單板、打印機、復(fù)印機、TC（瘦客戶端）、可寫光驅(qū)、磁帶機、無線接入設(shè)備（無線路由器、AP）、軟驅(qū)、移動硬盤、U盤、存儲卡、數(shù)碼相機、攝像機、錄音筆、平板電腦、機頂盒等。（“機要設(shè)備與介質(zhì)”有的文件又稱為“存儲設(shè)備與介質(zhì)”）22Page 22入職 在場 離職1.主動了解信息安全制度，發(fā)現(xiàn)異常情況應(yīng)立即向直接主管或信息安全專員報告。2.參加公司或部門組織的信息安全培訓(xùn)及考試。3.不對無關(guān)人員泄露對業(yè)務(wù)活動中獲得的保密信息。4.按需要申請信息系統(tǒng)的訪問權(quán)限。5.特殊端口的使用、機要設(shè)備的搬遷需按流程申請。6.跨項目獲取數(shù)據(jù)需請華為項目經(jīng)理申請。7. 對自己名下的機要設(shè)備做信息安全管理并

29、承擔(dān)責(zé)任。1.離職時，在提交離職申請電子流的同時，需填寫華為業(yè)務(wù)本部員工離職信息安全確認表并找相 關(guān)責(zé)任人簽字，全部簽字完畢后將該表交負責(zé)處理員工離職的人力資源專員。2.反饋并配合部門主管或項目經(jīng)理，回收所持有的信息資產(chǎn)，取消所有的IT訪問權(quán)限，退還工卡、 門禁卡。3.聯(lián)系IT工程師，對清退電腦進行低級格式化處理并辦理退庫。 轉(zhuǎn)項目1、轉(zhuǎn)項目前移交工作文檔，申請取消與新項目不相關(guān)的的信息資產(chǎn)和IT系統(tǒng)/應(yīng)用的訪問權(quán)限。2、不私自保留與后續(xù)項目無關(guān)的信息資產(chǎn)。員工入職、在場、轉(zhuǎn)項目、離職的信息安全管理1.與軟通公司簽署保密協(xié)議，手抄保密承諾書。2.參加新員工信息安全培訓(xùn)，并通過考試。3. 開通門

30、禁權(quán)限。4.檢查新領(lǐng)辦公設(shè)備的信息安全處置是否完成，對辦公系統(tǒng)按要求做信息安全設(shè)置。23232323232323華為Email外發(fā)的信息安全管理要求232323232323郵件發(fā)送給非華為郵箱（“外發(fā)”）時必須設(shè)置華為的保密聲明。不得向與工作無關(guān)人員發(fā)送華為或華為客戶保密信息。所有發(fā)送給非華為郵箱的郵件均要抄送給華為項目經(jīng)理或其授權(quán)人。嚴禁自發(fā)自收華為或華為客戶保密信息（將信息發(fā)送到自己的軟通郵箱，也屬于自發(fā)自收）。嚴禁將華為或華為客戶的保密信息發(fā)送到私人郵箱、下載到個人或與工作不相干的設(shè)備或存儲介質(zhì)中。（一級違規(guī)）嚴禁將華為文檔取消華為標(biāo)識，將內(nèi)容另存為另一文檔后外發(fā)。（一級違規(guī)） 對外發(fā)送

31、附件時需要打包加密，密碼與附件需分開發(fā)送。當(dāng)工作不需要華為EMAIL外發(fā)權(quán)限時須上報項目經(jīng)理及時取消外發(fā)權(quán)限。說明：所謂“外發(fā)”是指將華為信息/文檔發(fā)送到“非華為（.）”郵箱。24 被派遣出差時的信息安全注意事項 派遣軟通公司員工為華為或華為客戶出差需攜帶便攜機時，只能使用公司提供的安裝有SPES的便攜機，不得使用個人便攜機。出差便攜機只限借用人使用，嚴禁私自轉(zhuǎn)借。 嚴禁私自下載或格式化SPES安全系統(tǒng)；禁止以任何方式破解、繞過或破壞安全軟件正常運行。（一級違規(guī)） 不允許在出差便攜機中私自安裝多操作系統(tǒng)或虛擬機。（一級違規(guī)） 不允許使用光盤、U盤、私人硬盤啟動便攜機，訪問或拷貝數(shù)據(jù)。（一級違規(guī)

32、） 不允許私自拆卸便攜機的硬盤。（一級違規(guī)） 不允許私自重裝操作系統(tǒng)。（一級違規(guī)） 出差人必須對出差便攜機中的信息資產(chǎn)的安全負責(zé)，未經(jīng)批準，不得將便攜機中的信息資產(chǎn)拷貝或發(fā)送給與工作無關(guān)的人員，不得傳送到非公司計算機或存儲介質(zhì)中，工作需要時，需經(jīng)華為方項目經(jīng)理同意。 （一級違規(guī)） 不得將電腦上的華為保密信息上傳到外網(wǎng)的網(wǎng)盤中。 （一級違規(guī)） 不得將電腦上的保密信息發(fā)送到個人郵箱。 （一級違規(guī)） 如工作需要，需使用QQ等即時通信軟件時，需預(yù)先征得華為項目經(jīng)理同意。 出差前出差員工需到軟通項目經(jīng)理處簽署員工出差信息安全保密承諾書。252525252525 定制員工需注意的易違規(guī)事項 未經(jīng)審批，不得

33、將個人便攜機、機要設(shè)備（手機除外）帶入定制現(xiàn)場。 未經(jīng)審批，不得將個人便攜機、機要設(shè)備與定制現(xiàn)場網(wǎng)絡(luò)或設(shè)備相連。 未經(jīng)審批，不得通過modem、ADSL或其他方式將定制現(xiàn)場的計算機與Internet連接。 未經(jīng)批準，不得將含有華為公司及華為客戶信息資產(chǎn)的計算機私自轉(zhuǎn)借給他人使用。 對自己使用的或名下的機要設(shè)備，每周自查其信息安全管控措施是否失效。 未經(jīng)批準，不得私自撕開機箱或數(shù)據(jù)端口的封條，如封條有損需及時申請重新加封。 未經(jīng)批準，不得私自將定制現(xiàn)場場地內(nèi)的故障硬盤帶出維修。 不得私自安裝非標(biāo)準軟件或與工作無關(guān)的軟件。 須設(shè)置有效的開機、屏?？诹?，屏保程序需操作系統(tǒng)自帶，等待時間不得高于10分

34、鐘。 須按華為要求安裝華為SPEC安全桌面，不得私自使用個人電腦辦公。 不得繞過或破解華為的安全控制軟件（SPES、CPM、ACC等）及傳播破解方法（包括通 過破解、攻擊、卸載、禁用等方式使得SPES、CPM、ACC等無法正常運行，或傳播使其無法正常運行的方法）。 未經(jīng)批準，不得通過拍照、攝像、錄音等方式獲取華為或華為客戶的保密信息。 未經(jīng)批準，不得將華為或華為客戶的保密信息以紙質(zhì)或電子文檔等形式發(fā)送或存儲至私人的存儲介質(zhì)或任何第三方信息系統(tǒng)（如拷貝、打印、Email外發(fā)私人郵箱等）。 不得私自收集與工作無關(guān)的華為文檔或華為客戶文檔；當(dāng)前不使用的文檔和代碼需從本地刪除（華為同意的除外）。 發(fā)送

35、給非華為郵箱的郵件須抄送給華為項目經(jīng)理或其授權(quán)人。 不得私自Check-Out全部配置庫文件到本地計算機。 未經(jīng)批準，不得轉(zhuǎn)借華為或華為客戶的信息系統(tǒng)個人賬戶。 防病毒軟件須及時升級。 2626信息安全違規(guī)案例（一） 案例一：私自將華為文檔發(fā)送至個人的外部郵箱被除名 軟通上海地域 終端海思BU員工施某，在華為上研所工作期間，因為工作需要，華為給其申請開通了華為email外發(fā)權(quán)限，該員工為了學(xué)習(xí)方便，通過華為email將數(shù)十篇華為文檔發(fā)送至自己的個人外部郵箱，被華為SPES安全軟件監(jiān)控記錄，施某的行為嚴重違反了客戶華為及軟通公司的信息安全管理要求， 按照華為業(yè)務(wù)本部信息安全獎罰管理規(guī)定，施某按信

36、息安全一級違規(guī)處罰，無補償?shù)慕獬齽趧雍贤⒃谌A為業(yè)務(wù)本部內(nèi)通報批評。案例二：私自收集華為機密文檔被除名 軟通上海地域 終端海思BU員工黃某，在華為上研所工作期間，私自收集華為的機密及絕密級文檔保留在辦公電腦中，被華為檢查發(fā)現(xiàn)。究其收集華為文檔的原因，是為了學(xué)習(xí)，以前也看到他人收集華為文檔保留在辦公電腦中學(xué)習(xí)使用，未被查處，存僥幸心理，最終害了自己。處罰： 黃某按信息安全一級違規(guī)處罰，無補償?shù)慕獬齽趧雍贤⒃谌A為業(yè)務(wù)本部內(nèi)通報批評。272727信息安全違規(guī)案例（二） 案例三：新員工無視信息安全規(guī)定，連續(xù)二次違規(guī)被終止合同 軟通南京地域 新員工韓某，在入職后無視信息安全要求，冒用他人工卡進入ODC

37、，此后不久又私自攜帶個人存儲電子設(shè)備進入ODC，一月內(nèi)二次違規(guī)，信息安全意識十分淡薄。 處罰：韓某按信息安全一級違規(guī)處罰，終止試用并在華為業(yè)務(wù)本部內(nèi)通報批評。案例四：手機拍攝文檔，一樣難逃法網(wǎng) 某使用華為便攜機辦公的員工，上班時從華為內(nèi)部網(wǎng)絡(luò)上拷貝華為文檔保存于辦公便攜機中，下班后將便攜機帶回家，幾乎每天晚上9點至10點之間，該員工都使用手機拍攝便攜機中的華為文檔，拍攝過后再將已拍攝的文檔刪除掉，一段時間下來，拍攝文檔數(shù)千頁。該員工自以為人不知鬼不覺，誰知這些行為已被安全軟件SPES所記錄。在調(diào)查取證時，該員工拒不承認，在調(diào)查人員向派出所報警后，該員工不得不承認了自己的所作所為，從家中取來的電

38、腦硬盤中發(fā)現(xiàn)所拍攝的大量文檔。最終該員工被除名，該員工所在公司保留起訴該員工的權(quán)利（如偷竊的文檔被擴散，將會被起訴）。28282828信息安全違規(guī)案例（三） 案例五：冒用他人工卡進出辦公場地也是信息安全違規(guī) 某地域新員工徐某辦理的黃區(qū)ODC工卡尚未下發(fā)，其項目經(jīng)理劉某，嫌“填外來人員接待電子”麻煩，于是將暫存在自己這里的一名離職人員的黃區(qū)ODC工卡（待歸還卡證科）拿給徐某使用，徐某明知該行為是嚴令禁止的，心存僥幸心理，冒用離職員工的工卡進出黃區(qū)ODC時，被門崗發(fā)現(xiàn)。 劉某及徐某違反華為業(yè)務(wù)本部信息安全管理規(guī)定，被按信息安全三級違規(guī)處罰，記入員工誠信檔案。案例六：挑釁華為安全軟件被開除 IT工程師王某，從事IT技術(shù)工作多年，為了將公司給其備的辦公筆記本電腦上的文檔拷出，在自己家中，將筆記本電腦的硬盤拆下，連接到個人電腦上作為數(shù)據(jù)盤，再將筆記本電腦上的數(shù)據(jù)拷到個人電腦中，自以為這樣做可以逃過筆記本電腦上的安全監(jiān)控軟件SPES的監(jiān)控，豈料聰明反被聰明誤，王某的所作所為還是被安全軟件監(jiān)控記錄。最終王某被除名處理。2929292929信息安全違規(guī)案