中國(guó)石油天然氣股份有限公司信息安全員工手冊(cè)

精品文檔精心整理精品文檔可編輯的精品文檔中國(guó)石油天然氣股份有限公司信息安全員工手冊(cè)石油科字〔2003〕239號(hào)第一章總則第一條為保證中國(guó)石油天然氣股份有限公司（以下簡(jiǎn)稱股份公司）信息資產(chǎn)（包括信息、信息系統(tǒng)資產(chǎn)、知識(shí)產(chǎn)權(quán)等）在傳遞、存儲(chǔ)和處理應(yīng)用過程中的安全，促進(jìn)信息安全管理工作在全公司范圍內(nèi)順利有效地開展，依照國(guó)家有關(guān)法律、法規(guī)和股份公司的有關(guān)規(guī)定，特制定本手冊(cè)。第二條本手冊(cè)是股份公司員工在信息安全管理方面必須嚴(yán)格遵守的基本守則，適用于股份公司的所有員工，包括臨時(shí)受聘人員。對(duì)因違反本手冊(cè)而導(dǎo)致股份公司遭受損失的，股份公司將追究相關(guān)人員的責(zé)任；情節(jié)嚴(yán)重、違犯國(guó)家法律法規(guī)者，將依法追究刑事責(zé)任。第二章信息安全保密第三條員工在信息應(yīng)用方面不得有以下行為：1．以盜竊、利誘、脅迫或其它任何不正當(dāng)手段，獲取本公司的商業(yè)秘密；2．違反公司有關(guān)的保密協(xié)定、要求及與公司簽訂的勞動(dòng)合同，披露或者泄漏本公司的商業(yè)秘密；3．未經(jīng)本公司許可，將商業(yè)秘密用于指定目的以外；4．協(xié)助他人以不正當(dāng)手段獲取公司商業(yè)秘密。第四條員工因業(yè)務(wù)需要必須將公司商業(yè)秘密向第三方披露或者交由第三方使用的，應(yīng)參照?qǐng)?zhí)行《中國(guó)石油天然氣股份有限公司機(jī)關(guān)商業(yè)秘密管理規(guī)定》。第五條員工在工作過程中，了解到其它公司商業(yè)秘密的，應(yīng)視同本公司商業(yè)秘密，按照本公司商業(yè)秘密管理規(guī)定執(zhí)行，不得向任何第三方泄漏。第六條員工在業(yè)務(wù)過程中，如需接觸任何股份公司的關(guān)鍵信息資產(chǎn)，都必須簽署相應(yīng)的保密協(xié)議，協(xié)議內(nèi)容參照《中國(guó)石油天然氣股份有限公司機(jī)關(guān)秘密載體保密管理規(guī)定》的有關(guān)要求制定。第七條離、退休及辭職人員信息保密規(guī)定：1．離、退休及辭職人員必須辦理離崗手續(xù)，明確其離崗后的信息保密義務(wù)，退還全部技術(shù)資料。為該人員使用的所有信息系統(tǒng)相關(guān)賬戶必須立即停用或作出相應(yīng)的安全處理（如更換該賬號(hào)的口令）。2．離、退休及辭職人員在與公司解除勞動(dòng)關(guān)系或合同關(guān)系后，仍然有對(duì)公司的商業(yè)秘密負(fù)有保密的義務(wù)，直至該秘密所規(guī)定的保密期限到期。3．為保護(hù)本公司商業(yè)秘密不受侵犯，接觸本公司商業(yè)秘密的員工離職時(shí)，如有必要，公司應(yīng)與其訂立競(jìng)業(yè)限制合同，約定離職后的競(jìng)業(yè)限制事宜。第三章信息資產(chǎn)使用職責(zé)第八條員工對(duì)所使用的信息負(fù)有安全責(zé)任。同樣，各種可移動(dòng)或便攜式硬件資產(chǎn)的安全責(zé)任由該資產(chǎn)的使用者承擔(dān)。股份公司的信息資產(chǎn)的使用者需遵守如下規(guī)定：1．不在無安全保障的場(chǎng)所（包括在無安全保障的信息系統(tǒng)中）閱讀、處理敏感信息資料；2．不在親屬、朋友和其他無關(guān)人員面前談?wù)摴旧虡I(yè)秘密信息；3．未經(jīng)同意不得私自留存秘密文件、資料，閱辦后的秘密文件要按規(guī)定及時(shí)清退、歸檔；4．不擅自銷毀重要信息資料；5．使用的信息資料應(yīng)當(dāng)存放于安全的環(huán)境中。第九條員工不得在未經(jīng)許可的情況下使用他人的電腦設(shè)備，也無權(quán)將自己使用的電腦設(shè)備任意轉(zhuǎn)借他人。如工作需要，允許他人在設(shè)備使用人本人監(jiān)控下操作，但本人須承擔(dān)使用過程中的安全責(zé)任。第十條員工不得在未授權(quán)的情況下擅自將股份公司的電腦軟件和敏感資料（包括第三方數(shù)據(jù)）進(jìn)行復(fù)制、存儲(chǔ)、傳送。第十一條員工有責(zé)任及時(shí)發(fā)現(xiàn)并上報(bào)發(fā)生的信息安全事件，并應(yīng)當(dāng)在信息安全事件的處理過程中協(xié)助相關(guān)人員的調(diào)查工作。第十二條員工應(yīng)使用公司提供的網(wǎng)絡(luò)文件服務(wù)器備份自己的重要文件。第十三條未經(jīng)同意，員工不得擅自將股份公司的信息資產(chǎn)存儲(chǔ)在不屬于股份公司信息安全資產(chǎn)的存儲(chǔ)介質(zhì)中，包括私人電腦、公用電子郵箱、私人用途的移動(dòng)硬盤等。第四章知識(shí)產(chǎn)權(quán)保護(hù)第十四條如無約定，所有股份公司的員工在本職工作中所創(chuàng)造的知識(shí)產(chǎn)權(quán)、履行本單位交付的本職工作之外的任務(wù)所創(chuàng)造的知識(shí)產(chǎn)權(quán)、退職或退休以及調(diào)動(dòng)工作后一年做出的與其在原單位承擔(dān)的本職工作或分配的任務(wù)有關(guān)的知識(shí)產(chǎn)權(quán)，歸股份公司所有（如員工建立的與股份公司業(yè)務(wù)相關(guān)的文檔、軟件等）。第十五條軟件保護(hù)：1．股份公司的信息系統(tǒng)、個(gè)人電腦、服務(wù)器等所有硬件設(shè)備上安裝、運(yùn)行的軟件都必須擁有被合法使用的權(quán)利，否則不得在股份公司的信息系統(tǒng)上安裝、運(yùn)行；2．由股份公司購(gòu)買的商業(yè)軟件屬于股份公司所有，該軟件的安裝和使用必須遵從與供應(yīng)商簽署的合同和國(guó)家相關(guān)法律及規(guī)定，未經(jīng)許可，任何個(gè)人不得將該軟件在個(gè)人或其他非股份公司業(yè)務(wù)需要的領(lǐng)域進(jìn)行復(fù)制、安裝或使用。第十六條員工的個(gè)人資料也屬于股份公司信息資產(chǎn)的一部分，未經(jīng)本人和相關(guān)部門授權(quán)，任何個(gè)人不得泄露他人的信息資料。第五章公司信息發(fā)布第十七條未經(jīng)股份公司主管部門批準(zhǔn)，員工不得在任何互聯(lián)網(wǎng)網(wǎng)頁(yè)、電子公告板的發(fā)帖、廣播的Email或者其他形式的媒體中發(fā)布股份公司信息。第十八條股份公司所有員工不得通過股份公司的信息系統(tǒng)與外部組織或個(gè)人進(jìn)行本職工作內(nèi)容以外的交流，不代表股份公司發(fā)言的員工在通過股份公司的信息系統(tǒng)與外部組織或個(gè)人進(jìn)行交流時(shí)（如發(fā)帖或者電子郵件）應(yīng)注明以下內(nèi)容：“重要聲明：本文不代表中國(guó)石油的官方意見。本文的發(fā)送者并不代表中國(guó)石油。中國(guó)石油不承擔(dān)由于此文可能導(dǎo)致的任何責(zé)任和義務(wù)?！钡诹律矸菡J(rèn)證安全第十九條員工有責(zé)任管理好各種用于身份認(rèn)證的賬號(hào)、口令、門卡等，一旦發(fā)生遺失須立即上報(bào)有關(guān)部門。第二十條賬號(hào)、口令、門卡等用于身份認(rèn)證的工具僅限于其所屬的員工使用，任何個(gè)人不得擅自與他人共享，或者隨意放置。第二十一條員工應(yīng)根據(jù)所使用的信息系統(tǒng)的安全敏感程度定期修改口令，且口令的長(zhǎng)度不得低于6位。第二十二條口令建議由小寫字母、數(shù)字及符號(hào)組成，但不可采用連續(xù)的等同的字符群或數(shù)字群。避免使用與個(gè)人有關(guān)的數(shù)據(jù)（如生日、身份證字號(hào)、單位簡(jiǎn)稱、電話號(hào)碼、名字等）作為口令。同時(shí)盡量避免使用一些常用的單詞（如日常用語(yǔ)，計(jì)算機(jī)術(shù)語(yǔ)等）作為口令。第二十三條員工應(yīng)明確使用個(gè)人口令的責(zé)任。應(yīng)當(dāng)保守口令的秘密，禁止共享口令信息，不應(yīng)將口令告訴任何人，包括系統(tǒng)管理員或秘書。員工也不應(yīng)將口令通過Email、電話等任何方式傳播出去。第二十四條員工不應(yīng)保留口令的字面記錄或電子記錄。第二十五條員工應(yīng)避免在不同的應(yīng)用系統(tǒng)中使用同樣的口令。任何時(shí)候有跡象表明某一口令可能已經(jīng)泄漏或受損害時(shí)，要立即更換該口令和可能被牽涉到的其他系統(tǒng)中的口令。第二十六條不要把口令保留在任何自動(dòng)登錄過程中（如不要使用在瀏覽器中的“自動(dòng)記住口令”功能）。第二十七條在信息系統(tǒng)中冒充、混淆、隱瞞或者代替其他的用戶都是不允許的。電子郵件或者電子文檔中包含的用戶名、Email地址、組織聯(lián)系及其他相關(guān)信息必須真實(shí)地反映該文檔的來源。第七章安全區(qū)域進(jìn)出第二十八條員工應(yīng)當(dāng)在自己職權(quán)范圍內(nèi)的安全區(qū)域內(nèi)進(jìn)行活動(dòng)，在工作期間應(yīng)當(dāng)佩帶工作標(biāo)示證件以明確身份。第二十九條未經(jīng)同意員工不得隨意進(jìn)入自己職權(quán)范圍以外的安全區(qū)域（如非機(jī)房工作人員進(jìn)出機(jī)房，必須事先向相關(guān)部門提出申請(qǐng)，經(jīng)過審批確認(rèn)后方可進(jìn)入）。第八章清除桌面和屏幕第三十條清除桌面和屏幕是保護(hù)信息資產(chǎn)防止其泄漏或丟失的重要措施之一，即在不使用信息設(shè)備時(shí)，采取措施將其中的信息資產(chǎn)保護(hù)起來，使未經(jīng)授權(quán)的用戶無法訪問。第三十一條個(gè)人計(jì)算機(jī)、計(jì)算機(jī)終端、各類服務(wù)器和打印機(jī)等信息處理設(shè)備在無人值守時(shí)，應(yīng)將其設(shè)置于未登錄狀態(tài)；在不使用時(shí)應(yīng)通過鍵盤鎖定、口令保護(hù)程序或其他控制措施加以保護(hù)，以避免非法訪問的發(fā)生；個(gè)人計(jì)算機(jī)若長(zhǎng)時(shí)間不使用，宜將其電源開關(guān)置于關(guān)斷位置。第三十二條在非工作時(shí)間，員工應(yīng)將存放有公司信息資產(chǎn)的移動(dòng)式計(jì)算機(jī)設(shè)備放置在上鎖的文件柜或其他形式的保險(xiǎn)設(shè)備中。第三十三條在打印敏感信息或資料時(shí)，應(yīng)在打印完畢后立即從打印機(jī)中移除這些資料。第九章信息媒介的使用和處置第三十四條股份公司業(yè)務(wù)的敏感資料（含第三方的），包括文件、數(shù)據(jù)介質(zhì)、系統(tǒng)文檔等，任何部門或個(gè)人，未經(jīng)授權(quán)，不得調(diào)用、存儲(chǔ)、傳送或復(fù)制。第三十五條員工應(yīng)將一切含有敏感信息的媒介保存在安全可靠的地方，并符合生產(chǎn)廠家說明書的安全要求。當(dāng)相應(yīng)媒介的使用完成之后，應(yīng)將其中不再需要的敏感信息刪除。第三十六條員工從安全區(qū)域帶走含有敏感信息的媒介都應(yīng)經(jīng)過授權(quán)，所有可移動(dòng)媒介的借用、使用，應(yīng)有詳細(xì)的記錄和審核跟蹤。第三十七條存儲(chǔ)介質(zhì)如需要調(diào)換、更新、廢棄，必須進(jìn)行信息整理和信息清洗。第十章操作系統(tǒng)使用第三十八條員工所使用的WindowsNT/2000/XP操作系統(tǒng)應(yīng)盡量使用NTFS文件格式。第三十九條除確實(shí)必要外，在同一臺(tái)客戶機(jī)上應(yīng)只安裝一套操作系統(tǒng)，并且將操作系統(tǒng)安裝在一個(gè)單獨(dú)的磁盤分區(qū)中，把應(yīng)用系統(tǒng)和數(shù)據(jù)文件放在另外的磁盤分區(qū)中。第四十條在Windows系統(tǒng)中當(dāng)一個(gè)文件被復(fù)制到一個(gè)新的目錄里時(shí)，這個(gè)文件將繼承目標(biāo)目錄的訪問權(quán)限，因此員工在移動(dòng)和復(fù)制以后必須要確認(rèn)新的文檔具有合適的訪問權(quán)限。第四十一條除特殊需要外，員工不得在公司的電腦上使用軟盤和光盤啟動(dòng)功能，在必要的情況下，應(yīng)將軟盤和光驅(qū)物理拆除。第四十二條員工應(yīng)遵照系統(tǒng)管理員的要求，安裝和配置系統(tǒng)設(shè)置，禁止自行更改操作系統(tǒng)中公司預(yù)先設(shè)置好的安全配置。第四十三條員工應(yīng)關(guān)注公司關(guān)于系統(tǒng)弱點(diǎn)漏洞的公告和病毒預(yù)防通知，并應(yīng)按照公告和通知的指導(dǎo)對(duì)客戶端系統(tǒng)安全漏洞及時(shí)安裝補(bǔ)丁，并定期進(jìn)行客戶端病毒掃描。第十一章電子郵件使用第四十四條員工應(yīng)簽訂并遵守《中國(guó)石油電子郵件用戶遵守協(xié)議》以及所有規(guī)范電子郵箱服務(wù)使用的協(xié)議、規(guī)定、程序和慣例。第四十五條員工應(yīng)遵照郵件系統(tǒng)管理員的要求安裝和配置客戶端系統(tǒng)，并按公司要求配置郵件客戶端安全選項(xiàng)。第四十六條員工在自己的郵箱賬號(hào)開通后應(yīng)及時(shí)修改口令。應(yīng)經(jīng)常更改郵箱賬號(hào)口令以防止他人盜用。不得試圖猜測(cè)和打開其他任何未經(jīng)許可的用戶郵箱。第四十七條員工應(yīng)對(duì)自己的郵箱賬號(hào)和口令的安全負(fù)責(zé)，不得將郵箱賬號(hào)借與他人。一旦發(fā)現(xiàn)郵箱賬號(hào)口令泄露，應(yīng)及時(shí)更換口令。若發(fā)現(xiàn)郵箱存在任何安全漏洞的情況，應(yīng)及時(shí)通知公司郵件系統(tǒng)管理人員。第四十八條員工應(yīng)定期接收郵件，及時(shí)刪除過時(shí)和無保留價(jià)值的郵件，以節(jié)省公司的存儲(chǔ)資源和網(wǎng)絡(luò)資源。第四十九條含有重要信息的郵件傳輸應(yīng)加密并采用安全傳輸方式。第十二章互聯(lián)網(wǎng)訪問和使用第五十一條員工訪問互聯(lián)網(wǎng)應(yīng)遵守《中華人民共和國(guó)國(guó)家安全法》、《中華人民共和國(guó)保守國(guó)家秘密法》、《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》、《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》、《維護(hù)互聯(lián)網(wǎng)安全的決定》等有關(guān)法律法規(guī)，如有違反應(yīng)獨(dú)立承擔(dān)一切責(zé)任。第五十二條員工通過公司網(wǎng)絡(luò)在互聯(lián)網(wǎng)上的一言一行都代表了股份公司的形象，因此必須規(guī)范自己的訪問行為。要遵守道德規(guī)范和法律法規(guī)，員工不得通過互聯(lián)網(wǎng)進(jìn)行以下活動(dòng)：1．通過互聯(lián)網(wǎng)竊取、泄露公司未公布的信息；2．利用互聯(lián)網(wǎng)侵犯他人知識(shí)產(chǎn)權(quán)；3．在互聯(lián)網(wǎng)上建立淫穢網(wǎng)站、網(wǎng)頁(yè)，提供淫穢站點(diǎn)鏈接服務(wù)，或者傳播淫穢書刊、影片、音像、圖片；4．利用互聯(lián)網(wǎng)侮辱他人或者捏造事實(shí)誹謗他人；5．非法截獲、篡改、刪除他人電子郵件或者其他數(shù)據(jù)資料，侵犯公司通信自由和通信秘密；6．利用互聯(lián)網(wǎng)進(jìn)行盜竊、詐騙、敲詐勒索；7．故意制作、傳播計(jì)算機(jī)病毒等破壞性程序，攻擊計(jì)算機(jī)系統(tǒng)及通信網(wǎng)絡(luò)。第五十三條員工必須意識(shí)到在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)都是公開的，有被他人非法獲取的可能。因此，在通過Email、FTP、網(wǎng)頁(yè)等傳送敏感數(shù)據(jù)時(shí)應(yīng)對(duì)數(shù)據(jù)加密并采用安全傳輸方式。第五十四條員工在發(fā)送相關(guān)數(shù)據(jù)和文檔之前必須考慮該信息是否會(huì)侵犯。第五十五條員工在互聯(lián)網(wǎng)上分發(fā)與業(yè)務(wù)相關(guān)的數(shù)據(jù)或文件，必須得到上級(jí)領(lǐng)導(dǎo)的事先批準(zhǔn)。第五十六條，并通過防病毒軟件的掃描，確認(rèn)無病毒后才可安裝。下載、安裝和使用第三方的程序必須不違反公司的安全規(guī)定和軟件規(guī)定。第五十七條員工不得在工作時(shí)間利用公司網(wǎng)絡(luò)資源訪問和工作無關(guān)的網(wǎng)站。第五十八條禁止員工在工作時(shí)間使用需要消耗大量帶寬并和業(yè)務(wù)無關(guān)的應(yīng)用程序（如網(wǎng)絡(luò)視頻/音頻點(diǎn)播、大量文件的下載等）。第五十九條嚴(yán)禁員工對(duì)公司的網(wǎng)絡(luò)設(shè)備進(jìn)行登錄，以及對(duì)網(wǎng)絡(luò)服務(wù)設(shè)置隨意更改。員工之間的計(jì)算機(jī)相互共享和訪問應(yīng)當(dāng)符合相關(guān)規(guī)范。第六十條員工一旦發(fā)現(xiàn)有未經(jīng)授權(quán)的或是不適當(dāng)?shù)幕ヂ?lián)網(wǎng)訪問行為，應(yīng)立即向相關(guān)的負(fù)責(zé)人員報(bào)告，一旦察覺公司內(nèi)部的系統(tǒng)可能遭到入侵也應(yīng)及時(shí)向有關(guān)部門反映。第六十一條員工應(yīng)遵照系統(tǒng)管理員的要求安裝和配置瀏覽器，并按公司要求配置瀏覽器客戶端安全選項(xiàng)。第六十二條員工在自己的Web賬號(hào)開通后應(yīng)及時(shí)修改口令和口令提示問題。應(yīng)對(duì)自己的賬號(hào)和口令安全負(fù)責(zé)，不應(yīng)將賬號(hào)借與他人，一旦發(fā)現(xiàn)賬號(hào)口令泄露，應(yīng)及時(shí)更換口令。若發(fā)現(xiàn)股份公司W(wǎng)eb站點(diǎn)存在任何安全漏洞，應(yīng)及時(shí)通知公司系統(tǒng)管理人員。第六十三條員工不得盜用他人的Web賬號(hào)，不得下載任何未經(jīng)許可的數(shù)據(jù)，未經(jīng)批準(zhǔn)不得上傳任何有關(guān)公司的信息。第六十四條公司將保留對(duì)員工使用互聯(lián)網(wǎng)進(jìn)行監(jiān)控的權(quán)利，任何人如經(jīng)查實(shí)違反上述規(guī)定，將予以相應(yīng)的懲罰，系統(tǒng)管理員有權(quán)停止或取消該員工使用權(quán)限。第十三章防御惡意代碼和計(jì)算機(jī)犯罪第六十五條員工必須確保使用的計(jì)算機(jī)上安裝了防御惡意代碼的軟件，并確保安裝的軟件進(jìn)行了適當(dāng)?shù)呐渲?，同時(shí)必須確保所用的操作系統(tǒng)和應(yīng)用軟件進(jìn)行了適當(dāng)?shù)呐渲?。第六十六條員工不得擅自更改所用操作系統(tǒng)應(yīng)用軟件的安全設(shè)置和防御惡意代碼軟件的設(shè)置。第六十七條員工應(yīng)在技術(shù)人員的提示和幫助下，確保操作系統(tǒng)和應(yīng)用軟件進(jìn)行了最新的安全更新。第六十八條對(duì)于以下行為，員工必須通過防御惡意代碼系統(tǒng)進(jìn)行掃描，確認(rèn)安全后才可以執(zhí)行：1．通過互聯(lián)網(wǎng)下載文件和應(yīng)用程序；2．在共享網(wǎng)絡(luò)上傳輸下載的數(shù)據(jù)和應(yīng)用程序；3．拷貝軟盤、光盤及其他移動(dòng)存儲(chǔ)設(shè)備上的數(shù)據(jù)和應(yīng)用程序。第六十九條員工應(yīng)確保防御惡意代碼軟件能完成惡意代碼特征庫(kù)的定期更新工作。第七十條員工應(yīng)確保防御惡意代碼軟件定期地自動(dòng)進(jìn)行系統(tǒng)掃描，并確保掃描完成。第七十一條員工一旦發(fā)現(xiàn)可能由惡意代碼導(dǎo)致的系統(tǒng)異?；蚩赡苡蓯阂獯a導(dǎo)致的系統(tǒng)安全問題，必須立即通知相關(guān)人員。第七十二條員工應(yīng)提高安全意識(shí)，警惕外部攻擊者的其他計(jì)算機(jī)欺騙行為。第十四章附則第七十三條本手冊(cè)由股份公司科技與信息管理部負(fù)責(zé)解釋，自印發(fā)之日起執(zhí)行。（發(fā)文日期：2003年9月23日）精品文檔精心整理精品文檔可編輯的精品文檔市場(chǎng)營(yíng)銷中心彈性工作制實(shí)施及管理辦法由于市場(chǎng)工作的特殊性，市場(chǎng)營(yíng)銷中心從事銷售業(yè)務(wù)的人員實(shí)施彈性工作制，具體內(nèi)容如下：彈性工作制適用范圍所有銷售人員實(shí)行彈性工作制，商務(wù)人員暫不實(shí)行該制度。彈性工作時(shí)間規(guī)定日常上下班工作時(shí)間按照公司規(guī)定執(zhí)行（8:30-12:00,13:00-17:30）。由于業(yè)務(wù)需要延遲下班、加班等可申報(bào)延遲上班時(shí)間或補(bǔ)休。業(yè)務(wù)人員由于業(yè)務(wù)需要實(shí)施彈性工作制時(shí)，必須事前向大區(qū)經(jīng)理、部門經(jīng)理申報(bào)，審批通過后方可實(shí)施，否則視為遲到或曠工?？记诠芾磙k法市場(chǎng)營(yíng)銷中心全體人員均參加