海關(guān)認(rèn)證-信息安全管理辦法

北京金鷹五礦焊接材料有限公司信息安全管理守則一、目的為了提高員工信息安全防范意思和操作技能，保障公司信息安全，根據(jù)公司信息安全管理制度的要求，制定本守則。二、范圍適用于本公司各部門(mén)所有員工及程序。職責(zé)由于信息貫穿在經(jīng)營(yíng)活動(dòng)的全過(guò)程以及各工作環(huán)節(jié)，所以信息安全的管理，除了領(lǐng)導(dǎo)重視且需要全員參與，各部門(mén)人員都需要嚴(yán)格遵守公司信息管理守則的內(nèi)容。日常工作使用方法口令使用安全優(yōu)質(zhì)的用戶(hù)口令是保障信息安全的第一步。員工應(yīng)為個(gè)人使用電腦設(shè)置好開(kāi)機(jī)、屏幕保護(hù)口令，為各類(lèi)帳戶(hù)設(shè)置好登錄口令，口令設(shè)置遵循一下基本原則：在信息系統(tǒng)可支持情況下，一般用戶(hù)口令長(zhǎng)度6位以上，并由字母、數(shù)字混合構(gòu)成，重要系統(tǒng)管理口令長(zhǎng)度8位以上，并由字母、數(shù)字、特殊字符混合構(gòu)成；要便于自己記憶；不使用別人容易利用個(gè)人相關(guān)信息猜測(cè)的信息。例如用戶(hù)名、姓名、生日、電話號(hào)碼、身份證號(hào)碼以及其它系統(tǒng)已使用的口令等；避免使用連續(xù)的相同數(shù)字，或者全是數(shù)字或全是字母的字符組不適用字典中完整單詞，避免字典攻擊；不同安全等級(jí)、不同應(yīng)用用途的用戶(hù)應(yīng)設(shè)置不同口令。例如：業(yè)務(wù)用戶(hù)和非業(yè)務(wù)用戶(hù)、公司內(nèi)部用戶(hù)和普通上網(wǎng)用戶(hù)等應(yīng)分別設(shè)置不同口令；注意口令保密。不得將個(gè)人用戶(hù)口令泄漏給他人，也不得打聽(tīng)或猜測(cè)他人用戶(hù)口令。避免將口令記錄在他人可能容易獲取的地方，例如筆記本、紙條、電子文件等；避免在自動(dòng)登錄過(guò)程中以不安全的方式保存口令。新用戶(hù)在第一次登錄時(shí)應(yīng)修改其臨時(shí)設(shè)置的口令；設(shè)置缺省口令的新用戶(hù)，用戶(hù)生效后及時(shí)登入并修改口令。定期修改口令。業(yè)務(wù)終端登錄用戶(hù)和業(yè)務(wù)類(lèi)用戶(hù)每季度至少修改一次，重要用戶(hù)根據(jù)其他制度要求增加修改頻率。普通辦公終端登錄用戶(hù)和辦公類(lèi)用戶(hù)半年至少修改一次。避免重復(fù)使用舊口令。防毒防范計(jì)算機(jī)病毒及木馬等惡意程序能導(dǎo)致系統(tǒng)破壞、數(shù)據(jù)泄露、網(wǎng)絡(luò)中斷等嚴(yán)重安全事件反生，是信息系統(tǒng)的最大安全威脅之一。員工應(yīng)配合做好個(gè)人辦公機(jī)及個(gè)人業(yè)務(wù)終端等病毒防范工作。員工應(yīng)檢查確認(rèn)個(gè)人所用電腦已安裝好防毒軟件，如未安裝及時(shí)聯(lián)系信息安全管理員安裝或者信息安全管理員安自行安裝。除安裝建議上互聯(lián)網(wǎng)電腦安裝安全防護(hù)軟件，例如：360殺毒軟件、360安全衛(wèi)士等。個(gè)人所用電腦應(yīng)開(kāi)啟防病毒軟件及相應(yīng)安全防護(hù)軟件的實(shí)時(shí)防護(hù)功能，如未開(kāi)啟應(yīng)及時(shí)聯(lián)系信息安全管理員處理或信息安全管理員指導(dǎo)下自行處理。防病毒軟件及相應(yīng)安全防護(hù)軟件升級(jí)周期為辦公機(jī)實(shí)時(shí)升級(jí)、業(yè)務(wù)終端每周至少升級(jí)一次，員工應(yīng)檢查確認(rèn)是否及時(shí)升級(jí)、如未及時(shí)升級(jí)應(yīng)及時(shí)聯(lián)系信息安全管理員處理或信息安全管理員指導(dǎo)下自行處理。個(gè)人所用電腦發(fā)現(xiàn)病毒時(shí)，應(yīng)及時(shí)將情況報(bào)告信息安全管理員。業(yè)務(wù)終端上發(fā)現(xiàn)病毒時(shí)，應(yīng)立即斷開(kāi)網(wǎng)絡(luò)，全面查殺并經(jīng)信息安全管理員確認(rèn)后方可再連入網(wǎng)絡(luò)。在使用U盤(pán)、軟盤(pán)等移動(dòng)介質(zhì)前，一定要先進(jìn)行病毒檢查；在業(yè)務(wù)終端上使用的U盤(pán)等應(yīng)作到專(zhuān)用；盡量減少在業(yè)務(wù)終端上使用移動(dòng)介質(zhì)；不明來(lái)歷的移動(dòng)介質(zhì)應(yīng)謹(jǐn)慎使用。員工不得制造、傳播計(jì)算機(jī)病毒。員工發(fā)現(xiàn)防病毒軟件不能有效清除病毒時(shí)，應(yīng)立即向本部門(mén)信息安全管理人員或者信息技術(shù)中心報(bào)告，在問(wèn)題處理前禁止使用感染病毒文件。上互聯(lián)網(wǎng)互聯(lián)網(wǎng)是一個(gè)開(kāi)放的網(wǎng)絡(luò)環(huán)境，上網(wǎng)時(shí)可能受到惡意網(wǎng)站或者黑客的攻擊，導(dǎo)致系統(tǒng)感染病毒、系統(tǒng)被破壞、數(shù)據(jù)泄漏等安全事件發(fā)生。員工不得利用公司上網(wǎng)資源下載與工作無(wú)關(guān)的文件員工要養(yǎng)成良好的上網(wǎng)安全操作習(xí)慣：、上網(wǎng)前確認(rèn)已開(kāi)啟防病毒軟件和安全防護(hù)軟件的實(shí)時(shí)監(jiān)控功能；、不訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站，特別是游戲、淫穢、房東給等類(lèi)型的網(wǎng)站；、安全軟件提示發(fā)現(xiàn)病毒或惡意程序停止訪問(wèn)該網(wǎng)站。、不要輕易點(diǎn)擊通過(guò)QQ、MSN、郵件等傳過(guò)來(lái)的網(wǎng)址、上網(wǎng)過(guò)程中被自動(dòng)提示安裝軟件或者修改設(shè)置時(shí)，除非能確認(rèn)為實(shí)際需要外，一般都選擇“否”。電子郵件電子郵件作為常用的通信方式，最容易導(dǎo)致病毒傳播、數(shù)據(jù)泄漏，垃圾郵件消耗系統(tǒng)資源、降低工作效率等安全問(wèn)題日益嚴(yán)重，員工在使用電子郵件時(shí)應(yīng)作好相應(yīng)安全防范工作。根據(jù)用途和數(shù)據(jù)安全等因素建立郵箱分類(lèi)使用策略：、收發(fā)公司業(yè)務(wù)數(shù)據(jù)時(shí)使用公司內(nèi)部郵箱、公務(wù)處理和私人郵箱分開(kāi)；、網(wǎng)站注冊(cè)用戶(hù)時(shí)提供不重要郵箱作為聯(lián)系等，、為經(jīng)常使用的郵箱和重要郵箱設(shè)置優(yōu)質(zhì)的密碼，并定期修改，建議每季度修改一次。不同用途的郵箱設(shè)置不同密碼，3、防范電子郵件傳播病毒的基本要求：1）、在收發(fā)電子郵件前，應(yīng)確認(rèn)防病毒軟件實(shí)時(shí)監(jiān)控功能已開(kāi)啟2）、對(duì)每次收到的電子郵件，使用前均檢查病毒；3）、在收到來(lái)自公司內(nèi)部員工發(fā)來(lái)的含有病毒的郵件，除自己進(jìn)行殺毒外，還應(yīng)及時(shí)通知對(duì)方殺毒；4）、不打開(kāi)可疑郵件、垃圾郵件、不明來(lái)源郵件等提供的附件或網(wǎng)址，對(duì)這類(lèi)郵件直接刪除4、防范垃圾郵件的基本要求：1）、經(jīng)常使用的郵箱，尤其是公司內(nèi)部郵箱，應(yīng)盡量避免在互聯(lián)網(wǎng)上公開(kāi)。例如：網(wǎng)上調(diào)查表填寫(xiě)、網(wǎng)站用戶(hù)注冊(cè)，論壇中。2）、不要回復(fù)可疑郵件、垃圾郵件、不明來(lái)源郵件。5、防范數(shù)據(jù)泄漏的基礎(chǔ)要求：1）、收發(fā)公司業(yè)務(wù)相關(guān)的郵件時(shí)，必須使用公司內(nèi)部郵箱，并盡量要求對(duì)方使用對(duì)方公司內(nèi)部郵箱。2）、發(fā)生敏感數(shù)據(jù)時(shí)，應(yīng)采用加密郵件方式發(fā)生。3）、不要在免費(fèi)郵箱上保持敏感數(shù)據(jù)。八、數(shù)據(jù)和文件安全1、公司業(yè)務(wù)數(shù)據(jù)、客戶(hù)數(shù)據(jù)、重要文件、技術(shù)文檔等均屬于公司信息資產(chǎn)，員工應(yīng)注意保護(hù)，防止數(shù)據(jù)泄露，更不得利用網(wǎng)絡(luò)、計(jì)算機(jī)收集、泄漏公司機(jī)密信息；2、個(gè)人所用電腦上一般不保存公司機(jī)密數(shù)據(jù)，如確須保持時(shí)，應(yīng)采取適當(dāng)?shù)募用艽胧?，并妥善存放，使用完后及時(shí)刪除。3、個(gè)人辦公電腦上的文件資料應(yīng)妥善保存。建立適當(dāng)?shù)臄?shù)據(jù)存放目錄，重要文件資料建立加密保存，定期清空回收站、相關(guān)通信軟件接收目錄等4、刪除敏感數(shù)據(jù)時(shí)，要求使用不可恢復(fù)的刪除工具進(jìn)行刪除。5、業(yè)務(wù)終端應(yīng)通過(guò)技術(shù)手段，嚴(yán)控控制U盤(pán)、軟盤(pán)等移動(dòng)介質(zhì)的使用。6、移動(dòng)電腦上保存有公司敏感數(shù)據(jù)時(shí)，應(yīng)對(duì)數(shù)據(jù)采取加密存放措施，7、嚴(yán)禁私自拷貝業(yè)務(wù)數(shù)據(jù)、客戶(hù)數(shù)據(jù)等離工作場(chǎng)所，如因工作需要時(shí)，須經(jīng)過(guò)部門(mén)負(fù)責(zé)人審批同意。九、系統(tǒng)使用1、員工不得私自開(kāi)啟計(jì)算機(jī)機(jī)箱，不得將公司配備的個(gè)人工作用筆記本電腦借給他人使用。2、員工不得安裝影響或者破壞公司網(wǎng)絡(luò)運(yùn)行的軟件，3、員工不得私自在公司內(nèi)部系統(tǒng)中設(shè)立網(wǎng)站、論壇等服務(wù)站點(diǎn)，4、員工不應(yīng)使用未經(jīng)公司許可的軟件，并嚴(yán)禁安裝與工作無(wú)關(guān)的軟件，5、個(gè)人所用電腦均應(yīng)設(shè)置自動(dòng)鎖屏狀態(tài)，建立自動(dòng)鎖屏狀態(tài)并設(shè)置時(shí)間為10分鐘，員工離開(kāi)座位時(shí)應(yīng)設(shè)置電腦為退出狀態(tài)或鎖屏狀態(tài)。6、無(wú)人值守的終端，操作人員離開(kāi)時(shí)應(yīng)設(shè)置為鎖屏狀態(tài)或其他防護(hù)措施，7、下班時(shí)個(gè)人所用電腦應(yīng)關(guān)閉，辦公桌上敏感資料、插在電腦上的硬件密鑰等應(yīng)鎖存。8、更換工作崗位時(shí)，員工應(yīng)主動(dòng)上交用戶(hù)權(quán)限、門(mén)禁卡等。十、附則1、因違反公司信息安全管理制度和本守則規(guī)定，導(dǎo)致影響公司信息系統(tǒng)運(yùn)行、造成公司機(jī)密數(shù)據(jù)泄漏等安全事件發(fā)生的，根據(jù)影響情況給予相應(yīng)處罰。2、本守則是基本公司目前信息安全制度和技術(shù)條件制定，將來(lái)根據(jù)制度和技術(shù)條件的變化適時(shí)修改發(fā)布。3、本守則自發(fā)布之日起執(zhí)行。57710018030900120955790368228596330825771001803090012386576137399735760696577100180309001359457807757990251551257710018030900123875771649826018180515771001803090012138572131192158918326577100180309001235957903682236107605357710018030900123565761352861437917425771001803090012355575087869704693279170881003433552741012299443258333791708810034335527510186673293883200817088100343356107101581152501500522170881003433561081010001800598717321708810034335429510107419414268701717088100343356184101878660869628802170881003433561851017758311740866741708810034335610910108601437357284