員工信息安全管理制度

員工信息安全管理制度下發(fā)層級：一級（通用）發(fā)布時間：9月7日編碼：XX-13-26目錄TOC\o"1-5"\h\z\o"CurrentDocument"制定目的2\o"CurrentDocument"適用范圍2規(guī)范事項2一、職責(zé)2\o"CurrentDocument"二、員工錄用安全管理2\o"CurrentDocument"三、員工崗位調(diào)動的安全管理3\o"CurrentDocument"四、員工離職的安全管理4\o"CurrentDocument"五、工作環(huán)境安全5\o"CurrentDocument"六、合作接待與信息交流6\o"CurrentDocument"七、計算機終端使用7\o"CurrentDocument"八、文檔保密10\o"CurrentDocument"九、信息安全教育培訓(xùn)12\o"CurrentDocument"考核條款13附則13制定目的為了加強（以下簡稱“公司”）信息安全保障能力，建立健全信息安全管理體系，提升網(wǎng)絡(luò)與信息安全水平，增強員工整體的信息安全意識，有效防范和化解安全風(fēng)險，結(jié)合公司實際，制定本制度。適用范圍本制度適用于公司部門、各分支機構(gòu)及其員工。規(guī)范事項一、管理職責(zé)（一）各部門（機構(gòu)）負(fù)責(zé)人是本部門（機構(gòu)）信息安全的第一責(zé)任人，負(fù)責(zé)信息安全管理規(guī)定在本部門的推行和落實，對本部門（機構(gòu)）人員的違規(guī)事件承擔(dān)領(lǐng)導(dǎo)責(zé)任。（二）各部門（機構(gòu)）應(yīng)對員工進行培訓(xùn)、教育和宣傳，幫助員工遵守公司的信息安全策略、標(biāo)準(zhǔn)和管理規(guī)定，報告信息安全隱患、漏洞或事故，樹立主動保護公司信息資產(chǎn)的意識。二、員工錄用安全管理（一）員工錄用，除了應(yīng)該遵守相關(guān)人事和勞動法律法規(guī)外，還必須考慮以下安全事項：除了嚴(yán)格考察該人員的業(yè)務(wù)技術(shù)水平和相關(guān)資質(zhì)認(rèn)證（相關(guān)計算機認(rèn)證證書等）外，還必須考慮政治、社會和素質(zhì)等多方面的因素。不考慮錄用有犯罪前科、重大行政處分紀(jì)錄和“黑客”經(jīng)歷的人員。如有特殊情況，需要經(jīng)信息中心總經(jīng)理同意后，方可考慮錄用。優(yōu)先從內(nèi)部優(yōu)秀人員中選拔擔(dān)任關(guān)鍵崗位，并簽署崗位安全協(xié)議，明確應(yīng)盡的信息安全保護義務(wù)，保證其在崗工作期間和離崗后按照保密協(xié)議所規(guī)定的時期內(nèi)，不得違反崗位安全協(xié)議。（二）除簽訂勞動合同外，必須簽訂《保密協(xié)議》，明確該員工應(yīng)嚴(yán)格遵守的相關(guān)安全管理制度、安全技術(shù)規(guī)范和保守商業(yè)機密的要求以及違約責(zé)任等。（三）新員工入職后，需接受“信息安全與保密意識”培訓(xùn)。員工應(yīng)積極學(xué)習(xí)和遵守公司各類信息安全管理規(guī)定和安全措施，將遵守安全規(guī)定融入自己的日常工作行為中，要有強烈的信息安全和保密意識，要有職業(yè)的敏感性，有義務(wù)制止他人違規(guī)行為或積極舉報可能造成泄密、竊密或其他的安全隱患。三、員工崗位調(diào)動的安全管理（一）公司員工進行崗位調(diào)動時，必須考慮以下安全事項：根據(jù)新崗位的需要，增加、刪除或修改該人員的計算機信息系統(tǒng)訪問權(quán)限，包括電子郵件系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和其他計算機信息軟硬件系統(tǒng)。如有必要，重新創(chuàng)建相關(guān)管理員賬號并修改其口令。如有必要，修改合同中有關(guān)條款和相應(yīng)的保密條款或保密協(xié)議，并擬定新的雇傭合同，而且原合同中的保密條款或保密協(xié)議將繼續(xù)有效，如有沖突以新合同為準(zhǔn)。與原崗位有關(guān)的所有資料文件，包括其軟硬拷貝都需要移交。（二）在進行工作交接時，應(yīng)注意做好以下幾方面的工作：保密信息的移交和清理；應(yīng)用系統(tǒng)賬號與權(quán)限的移交和清理；歸還辦公室、機房等的鑰匙。（三）員工調(diào)動部門后，在工作交接完畢后，應(yīng)及時、徹底地刪除或銷毀持有的所有與新崗位工作無關(guān)的文檔，刪除或銷毀的方式必須符合公司規(guī)定，如要使用碎紙機銷毀含保密信息的紙件，而不能直接扔垃圾箱或用手撕毀等。如在新崗位需繼續(xù)保留原崗位保密信息，一定要經(jīng)過保密信息所有人批準(zhǔn)。四、員工離職的安全管理（一）公司員工在離職時，必須遵守以下安全操作流程：刪除該員工的所有信息系統(tǒng)訪問賬號和權(quán)限，如有必要將重新創(chuàng)建有關(guān)管理員賬號和口令。由相關(guān)人員和該員工一起回顧其簽訂的保密協(xié)議，并使該員工明確所有保密事項，以及在離開公司后協(xié)議期內(nèi)不得披露、使用原公司的技術(shù)資料的規(guī)定。（二）員工在其離職兩年內(nèi)仍要按照進公司時簽訂的合同，承擔(dān)下列保密責(zé)任，否則將承擔(dān)違約的民事或刑事責(zé)任：不帶走從公司獲取的任何資料，包括但不限于記載于紙件或膠片上的文檔、文件、圖表、目錄，存儲于磁盤、光盤上的軟件、程序等。離職后一年內(nèi)不得到與公司有競業(yè)關(guān)系的公司從事與在公司工作期間工作性質(zhì)相同或者相似的工作。未經(jīng)公司書面同意，不向任何單位和個人透露或使用在公司就職期間獲得的商業(yè)秘密，包括技術(shù)秘密、商務(wù)秘密、財務(wù)秘密、管理秘密以及其他經(jīng)營秘密。（三）員工的隱私和個人身份信息保護應(yīng)確保符合相關(guān)法律、法規(guī)的要求。（四）對關(guān)鍵崗位轉(zhuǎn)崗和離崗人員需要向其重申調(diào)離后的保密義務(wù)，要求調(diào)離人員在保密承諾文檔上簽字，承諾相關(guān)保密義務(wù)后方可離開。五、工作環(huán)境安全（一）桌面上不能放有秘密級以上文件。秘密級以上文件應(yīng)放在帶鎖抽屜或保密柜內(nèi)。下班或離開辦公桌5分鐘以上，應(yīng)關(guān)閉或鎖定計算機。（二）會議安全注意事項：開會前，需要確保選取的會議室和開會內(nèi)容的安全級別相匹配。例如：召開部門例會，可以選取部門公用會議室。如果是特別保密或敏感的會議建議在公司內(nèi)的會議室召開。特殊情況下（比如時間和空間條件限制、會議與會者的情況限制等）才可以在公司外部場所召開會議，召開之前需要得到會議組織部門領(lǐng)導(dǎo)的批準(zhǔn)。會議召集人負(fù)責(zé)會議的信息安全。在會議前就應(yīng)明確與會者名單；開會時確定與會者的身份及其參會資格，比如，要求與會者佩戴工卡并核對簽到等；會議期間，會場的出入口應(yīng)有專人值守；確認(rèn)除主入口外，其他入口已經(jīng)關(guān)閉或是有專人值守。參會人員應(yīng)自覺將會議資料保管好，不得在離開會議現(xiàn)場時隨意將其放置在桌面上或是在人離開后放置在賓館房間里，更不能將保密資料丟棄至酒店。如果需錄音、錄像或者拍照等，需要經(jīng)過會議組織部門負(fù)責(zé)人批準(zhǔn)。會議結(jié)束后，要帶走相關(guān)的會議資料，同時清理會議室場所（包括相關(guān)機器設(shè)備上的電子件材料、白板上的板書信息、紙質(zhì)材料等），保證會議信息無泄漏和會議室使用后的整潔。（三）員工因公外出，若需攜帶保密資料，應(yīng)注意如下事項：因公外出只允許攜帶工作相關(guān)文檔，攜帶外出的保密資料需首先通過審批，在離開公司時出示經(jīng)過審批的有效憑證;絕密級別的資料在出差期間必須隨身攜帶，妥善保管；一般情況下，乘坐飛機、火車等公共交通工具時，含有保密信息的便攜機等移動存儲設(shè)備需隨身攜帶，不能托運（但若與當(dāng)?shù)胤煞ㄒ?guī)沖突，則以當(dāng)?shù)胤煞ㄒ?guī)為準(zhǔn)）；從酒店外出時，如確實無法隨身攜帶，應(yīng)將便攜機、保密文件存放在保密柜中，不要交酒店前臺保管；應(yīng)做好訪問控制的設(shè)置，如設(shè)置便攜機開機、屏保和硬盤口令等。六、合作接待與信息交流（一）外部合作單位人員進入公司，根據(jù)公司的信息安全管理策略，接口部門主管或項目經(jīng)理負(fù)責(zé)外部人員的信息安全管理工作，接口人應(yīng)全程陪同外部人員，確保只能在經(jīng)批準(zhǔn)的辦公區(qū)域進行本次業(yè)務(wù)相關(guān)的活動。（二）外部合作單位人員在批準(zhǔn)的辦公區(qū)域使用便攜式電腦，需遵守相關(guān)網(wǎng)絡(luò)管理規(guī)定。（三）因工作需要，向公司外人員發(fā)送保密信息應(yīng)注意以下事項：向外部提供文檔資料時，應(yīng)遵照相關(guān)規(guī)定，首先獲得接口部門主管許可，然后向信息歸屬部門申請：發(fā)送的資料要加密，以防止保密信息泄密；發(fā)送絕密、機密級文件，發(fā)送的方式范圍、對象需經(jīng)過信息所有人審批；保密信息必須加密發(fā)送并設(shè)置回執(zhí)，如：口令、研究報告、開發(fā)信息和其他的敏感數(shù)據(jù)；需事先與接收方簽署保密協(xié)議。（四）接待人員對外接待交流中需要注意以下信息安全事項：接待人員不應(yīng)向供應(yīng)商/合作商透露業(yè)務(wù)范圍之外的公司技術(shù)、商務(wù)情況，不隨意承諾，不在授權(quán)范圍之外行事，已經(jīng)承諾和雙方達(dá)成意向的事宜應(yīng)當(dāng)做正式記錄。供應(yīng)商/合作商需要查看公司文檔、資料，按如下優(yōu)先順序提供：查閱（不借）-＞紙件借閱-＞電子檔借閱。向供應(yīng)商/合作商提供含有公司保密信息的文件、資料或?qū)嵨锏?，接待人?yīng)獲得部門主管批準(zhǔn)，并與供應(yīng)商/合作商簽訂保密協(xié)議后再行提供。七、計算機終端使用（一）員工辦公PC客戶端必須遵守關(guān)于終端安全、上網(wǎng)行為管理、郵件安全等相關(guān)管理規(guī)定，不得隨意修改計算機配置，不得私自安裝軟件、不得卸載或停用公司統(tǒng)一安裝的管理軟件。所有對PC客戶端的變更，均需通過桌面運維人員進行。（二）不能擅自配置固定IP地址，不得啟動除公司標(biāo)準(zhǔn)協(xié)議外的任何其他網(wǎng)絡(luò)協(xié)議，嚴(yán)禁在PC客戶端運行網(wǎng)絡(luò)服務(wù)程序，嚴(yán)禁利用個人計算機架設(shè)無線網(wǎng)絡(luò)接入。（三）上互聯(lián)網(wǎng)不得訪問與工作無關(guān)網(wǎng)頁，注意不要訪問不熟悉的網(wǎng)站、不要下載來歷不明文件，不要點擊不明鏈接。（四）計算機發(fā)生故障需要修理時，員工應(yīng)交付桌面運維人員在公司內(nèi)進行維修，如涉及密級以上信息，員工應(yīng)監(jiān)督整個維修過程。（五）員工在使用自己所屬的計算機時，應(yīng)該設(shè)置開機、屏幕保護、目錄共享口令，口令標(biāo)準(zhǔn)參見《密碼管理規(guī)范》。（六）員工不應(yīng)私自開啟計算機機箱，如需拆機箱，想公司信息中心或機構(gòu)信息技術(shù)專員提出申請。（七）非公司配備的計算機部件不能在辦公室使用，如自購的聲卡、音箱、MODEM、光驅(qū)、光盤、話筒、硬盤等。（八）嚴(yán)禁利用公司計算機從事玩游戲、看視頻等與工作無關(guān)的娛樂活動。（九）員工機器上不得安裝非標(biāo)準(zhǔn)軟件或未經(jīng)申請的軟件。（十）嚴(yán)禁安裝黑客、破解等工具軟件，員工不得安裝和使用黑客工具軟件、影響或破壞公司網(wǎng)絡(luò)運行的軟件。（十一）員工應(yīng)安裝、運行公司標(biāo)準(zhǔn)規(guī)定的防病毒軟件并及時升級，對公司公布的防病毒措施應(yīng)及時完成；在安裝完公司的防病毒軟件后，員工應(yīng)立即進行查毒、殺毒工作；員工不應(yīng)安裝未經(jīng)公司許可的防病毒軟件。（十二）員工嚴(yán)禁制造、傳播計算機病毒；在收到公司內(nèi)部員工發(fā)來的文件中發(fā)現(xiàn)病毒，應(yīng)及時通知對方殺毒。（十三）不打開來歷不明的郵件，在收到外部的Email郵件中，如發(fā)現(xiàn)攜帶病毒，應(yīng)及時通知公司信息中心。（十四）員工的計算機網(wǎng)絡(luò)設(shè)置應(yīng)符合公司制定的標(biāo)準(zhǔn)，不得使用可以隱含和偽造上網(wǎng)終端基本信息。（十五）員工不得私自與其工作職責(zé)不相符的軟件。（十六）計算機上不能放與工作無關(guān)的內(nèi)容，如黃色內(nèi)容、VCD、圖片、BBS、娛樂站點、游戲等有害信息；員工不應(yīng)下載、使用、傳播與工作無關(guān)的文件，也不應(yīng)下載的來歷不明的文件，如：屏幕保護文件、圖片文件、小說、音樂文件等與工作無關(guān)的文件。（十七）嚴(yán)禁員工利用公司網(wǎng)絡(luò)傳播和散布破壞社會秩序的文章或政治性評論；員工不應(yīng)在公司網(wǎng)上傳播和散布與工作無關(guān)的文章和評論。（十八）員工不應(yīng)利用公司互聯(lián)網(wǎng)服務(wù)訪問與工作無關(guān)的站點，特別是反動、淫穢、游戲、聊天等類型的網(wǎng)站。（十九）公司的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議為TCP/IP，未經(jīng)信息中心許可，不得啟動除標(biāo)準(zhǔn)協(xié)議外的任何其他網(wǎng)絡(luò)協(xié)議，如SPX/IPX，NETBios等。（二十）如果員工有使用其他網(wǎng)絡(luò)協(xié)議的需要，應(yīng)向信息中心提出申請，并應(yīng)嚴(yán)格按照批準(zhǔn)的方式（包括地點、時間、使用人、環(huán)境）執(zhí)行。在使用期限之后，應(yīng)立即恢復(fù)為規(guī)定的網(wǎng)絡(luò)協(xié)議配置。（二十一）如果員工工作需要使用固定IP地址，須向當(dāng)?shù)鼐W(wǎng)絡(luò)管理員或指定授權(quán)人申請，按照管理員指定的IP地址設(shè)置，以避免擅自設(shè)置的IP地址與其他員工計算機的IP地址或服務(wù)器的IP地址沖突。（二十二）對經(jīng)批準(zhǔn)可以撥號上網(wǎng)的，與外部網(wǎng)絡(luò)連接時，使用計算機應(yīng)與公司網(wǎng)絡(luò)斷開，以免來自Internet上的攻擊影響公司網(wǎng)絡(luò)運行。（二十三）員工需增加、拆離或更換網(wǎng)絡(luò)設(shè)備（HUB、交換機等）時，須向信息中心提出申請，由網(wǎng)絡(luò)管理人員負(fù)責(zé)設(shè)備的安裝和調(diào)測。（二十四）員工需要用網(wǎng)線連接兩臺或多臺網(wǎng)絡(luò)設(shè)備（HUB、交換機、路由器）時，應(yīng)向信息中心提出申請，由網(wǎng)絡(luò)管理人員負(fù)責(zé)設(shè)備的安裝和調(diào)測。（二十五）開發(fā)和測試公司網(wǎng)絡(luò)產(chǎn)品的人員在測試、研發(fā)網(wǎng)絡(luò)產(chǎn)品或其他網(wǎng)絡(luò)產(chǎn)品時，注意不要將其連接到公司網(wǎng)絡(luò)上。（二十六）員工在計算機上安裝兩塊或多塊網(wǎng)卡時，應(yīng)注意不要啟動路由/網(wǎng)關(guān)功能。（二十七）員工在測試一些應(yīng)用系統(tǒng)時，如須啟動WINS、DHCP、DNS等網(wǎng)絡(luò)服務(wù)時，應(yīng)注意不要和公司網(wǎng)絡(luò)連接。（二十八）員工不應(yīng)私自設(shè)立WWW、FTP、BBS、NEWS、DOMINO等應(yīng)用服務(wù)；員工不得設(shè)立網(wǎng)上游戲服務(wù)，如DOOM等。（二十九）員工安裝的WinNT\W2000\UNIX\LINUX等網(wǎng)絡(luò)操作系統(tǒng)，不得啟動動態(tài)路由（RGP\OSPF、EIGRP等）服務(wù)；應(yīng)注意查看是否安裝和啟動DNS、WINS、DHCP等網(wǎng)絡(luò)服務(wù)，如已安裝，應(yīng)立即刪除或禁止啟動該服務(wù)。（三十）員工注意查看自己機器是否啟動了WWW等服務(wù)，如已啟動安裝，應(yīng)刪除或停止該服務(wù),WWW服務(wù)可由以下軟件提供:WINDOWSNT\WINDOWS2000的IIS、WIN98的PERSONALWEBSERVER（PWS）、UNIX操作系統(tǒng)下的ApacheWEBSERVER等。（三十一）員工不得私自設(shè)立撥號接入服務(wù)。（三十二）員工應(yīng)正常使用公司的應(yīng)用系統(tǒng)，不得在公司網(wǎng)絡(luò)上運行有攻擊公司應(yīng)用系統(tǒng)的黑客軟件。（三十三）員工之間不應(yīng)私下互相轉(zhuǎn)讓、借用公司IT資源的賬號，如MAIL賬戶、ORACLEFINANCIAL賬戶、業(yè)務(wù)系統(tǒng)賬戶、OA賬戶等。（三十四）對公司應(yīng)用系統(tǒng)（OA、EMAIL、業(yè)務(wù)系統(tǒng)等）的賬戶口令，應(yīng)定期更改。（三十五）員工發(fā)送電子消息時，應(yīng)對發(fā)送消息進行一定程度的保護，例如采用加密的方式。（三十六）對工作需要授權(quán)他人查看自己的郵箱或自己有權(quán)的其他應(yīng)用系統(tǒng)的信息時，應(yīng)盡量通過增加對方權(quán)限或臨時授權(quán)的方式，而不應(yīng)將自己的賬戶和密碼告訴被授權(quán)人。（三十七）在工作崗位調(diào)動或離職時，應(yīng)主動填寫移交或賬號變更申請表（公司各種應(yīng)用系統(tǒng)的賬號）。（三十八）員工完成應(yīng)用系統(tǒng)的操作或離開工作崗位時，應(yīng)及時退出應(yīng)用系統(tǒng)。（三十九）用戶在使用公司應(yīng)用系統(tǒng)時應(yīng)該輸入或下載與自己工作有關(guān)的信息，不應(yīng)輸入一些與工作無關(guān)的信息。八、文檔保密（一）在日常工作中標(biāo)識文檔密級應(yīng)達(dá)到如下要求：對于Office文檔，公司要求每位員工都使用公司提供的模板創(chuàng)建文檔，創(chuàng)建后根據(jù)內(nèi)容在頁眉處添加正確的密級。對于打印資料，每一頁都需要有明確的密級標(biāo)識；對于裝訂的硬拷貝資料，需至少在開啟前頁、標(biāo)題頁和尾頁上放置資料密級標(biāo)簽；對于印刷的、手寫的保密敏感信息需要在其某個醒目地方設(shè)置保密標(biāo)簽；電子文檔和紙件文檔，均需注明“機密，未經(jīng)許可不得擴散”或類似字樣。（二）公司內(nèi)部的所有絕密、機密和秘密級文檔是要求加密的。對于內(nèi)部公開級文檔，各業(yè)務(wù)部門可根據(jù)實際業(yè)務(wù)情況決定是否需要加密。對于Office類保密文檔，需使用加密軟件（如：zip等）壓縮加密，密碼設(shè)置須符合公司《密碼管理規(guī)范》。所設(shè)定的密碼禁止使用短信或郵件傳遞，只能通過電話語音通知。傳送含保密信息的紙件時，一定要用質(zhì)量好的信封等進行封裝，并且只能發(fā)給收件人本人或其機要秘書，同時做好傳送記錄。另外，不能使用手機短信發(fā)送機密或機密級以上的保密信息。（三）未經(jīng)信息所有人批準(zhǔn)，員工無權(quán)將自己有權(quán)使用的保密信息再授權(quán)或提供給他人。經(jīng)授權(quán)獲得保密信息使用權(quán)的人員也不能私下與他人交流該保密信息。對作廢的、或者已無權(quán)再接觸的保密信息要刪除和銷毀，刪除和銷毀原始保密信息應(yīng)征得相應(yīng)主管同意。（四）關(guān)于信息介質(zhì)銷毀應(yīng)注意事項如下：紙件：含秘密級以上信息的紙件不能重復(fù)使用，必須用碎紙機銷毀，不能直接丟棄或用手撕毀。電子件：刪除后注意清空垃圾箱。存儲有保密信息的存儲介質(zhì)：存儲有保密信息的存儲介質(zhì)作廢時，應(yīng)采取不能恢復(fù)的物理性銷毀，如將硬盤送到我司指定地方進行碾軋或消磁等；在計算機轉(zhuǎn)移給公司其他員工前，要對硬盤進行格式化；在計算機轉(zhuǎn)移到公司之外（如超過規(guī)定使用年限的便攜機轉(zhuǎn)移給個人）前，要對硬盤進行低級格式化。（五）嚴(yán)禁員工機器保留與工作無關(guān)的文檔和未經(jīng)批準(zhǔn)的業(yè)務(wù)、產(chǎn)品文檔。（六）己作廢的密級文件應(yīng)及時用碎紙機銷毀，不得隨意丟棄。（七）對于本機上的機密文件，應(yīng)采取適當(dāng)?shù)募用艽胧咨拼娣?，如對Word文檔可用Word的加密口令進行加密，也可用winzip或winrar對文件進行壓縮并加密。（八）嚴(yán)禁員工私自收集、泄露公司機密信息。（九）員工EMAIL郵箱的設(shè)置應(yīng)符合公司配置要求，回復(fù)地址應(yīng)設(shè)置為本人郵箱址。（十）員工如收到可疑的EMAIL郵件，不要打開并及時通知信息中心處理，以免感染上可能存在的病毒。（十一）對發(fā)送到公司外部的涉及公司機密信息的