1、適用范圍
本標準規定了公司員工必須遵循的個人計算機和其他方面的安全要求,規定了員工保護公司涉密信息的責任,并列出了大量可能遇到的情況下的安全要求。
本標準適用于公司所有員工,包括子公司的員工,以及其他經授權使用公司內部資源的人員。
2、計算機安全要求
1)計算機信息登記與使用維護:
每臺由公司購買的計算機的領用、使用人變更、配置變更、報廢等環節必須經過IT部的登記,嚴禁私自變更使用人和增減配置;
每位員工有責任保護公司的計算機資源和設備,以及包含的信息。
每位員工必須把自己的計算機名字設置成固定的格式,一律采用AD域名_所屬地區編號組成;
例如某臺計算機名為SSSS_100201,SSSS為地區AD域名,100為地區編號,201代表該地區第201個賬戶。
2)必須在所有個人計算機上激活下列安全控制:
所有計算機(包括便攜電腦與臺式機)必須設有系統密碼;系統密碼應當符合一定程度的復雜性要求,并不定期更換密碼;存儲在個人計算機中的包含有公司涉密信息的文件,需要加密存放。
3)當員工離開辦公室或工作區域時:
必須立即鎖定計算機或者激活帶密碼保護的屏幕保護程序;
如果辦公室或者工作區域能上鎖,最后一個離開的員工請鎖上辦公室或工作區域;
妥善保管所有包含公司涉密內容的文件,如鎖進文件柜。
4)防范計算機病毒和其他有害代碼:
每位員工由公司配備的計算機上都必須安裝和運行公司授權使用的防病毒軟件;
員工必須開啟防病毒軟件實時掃描保護功能,至少每周進行一次全硬盤掃描,在網絡條件許可的情況下每天進行一次病毒庫文件的更新;
如果員工發現未能處理的病毒,應立即斷開局域網連接,以免病毒在局域網內部交叉感染,并及時向公司IT部門匯報。
5)軟件的使用:
員工不得私自在計算機上安裝公司禁止的軟件,公司禁止安裝的軟件包括但不限于:BT等P2P軟件、Sniffer等流量監控軟件及黑客軟件、P2P終結者、網絡執法官之類的網絡管理軟件;
工作用計算機禁止安裝盜版殺毒軟件和盜版防火墻軟件;
公司員工的機器上必須安裝并開啟功能的軟件有:金山企業版防病毒軟件、Office2010、360瀏覽器、IE8.0升級包、Winrar、固網打印服務;
如果由于使用未經公司授權的且沒有許可的軟件造成公司損失,員工需要承擔全部責任。
6)文件的共享:
員工在使用文件共享時,必須將其設置為受限共享;
禁止使用基于互聯網的P2P軟件和共享服務,如:BT、eMule等;
不得在計算機上配置匿名FTP、TFTP、HTTP,或其他無需驗證的服務;
例如:員工不得在公司的計算機上私自架設匿名FTP;
未經IT部門許可,不得在使用ERP系統的計算機上使用U盤或移動硬盤。如因業務需要,必須要訪問其他人的硬盤。當定義共享權限時,員工必須設定用戶權限、設定訪問密碼,并及時取消所定義的共享。
7)郵件的發送與接收:
禁止使用公司的計算機散布、回復、轉發連鎖郵件、惡作劇郵件;
禁止將涉及公司秘密的內部郵件轉發到互聯網上。
8)公司涉密信息的保護:
公司涉密信息包括但不限于公司數據庫中的秘密信息,與公司目前或未來產品、服務或研究有關的公司技術或科技信息,業務或營銷計算、營銷收益或其他財務資料、人事資料,以及軟件等技術信息、經營信息等;
公司的員工會接觸到公司的涉密信息。員工禁止在未經公司授權的情況下泄漏這些信息,并且必須遵守公司為保護此信息而制定的各項標準和流程;
每個員工只能接觸使用與本崗位工作相關的涉密信息,禁止從非正常途徑獲取公司或部門的涉密信息;禁止非授權復制涉密信息;
對公司文檔的保管、存檔、發送、刪除、銷毀、復制等必須遵守公司相關的文檔保密管理規定;
禁止使用提供翻譯服務的互聯網站來翻譯公司的涉密信息;
公司涉密信息盡量避免通過互聯網傳送,但由于工作需要,需要通過電子郵件等方式發送公司涉密信息時,可以采用Winrar加密壓縮的方式把涉密內容作為附件發送,然后通過其他渠道告知對方加密密碼。
9)公司信箱的帳戶及密碼
所有的密碼必須符合如下條件:
至少8個字符長,并且包含英文、數字及特殊字符;
禁止把用戶名用作密碼或其一部分;
舊密碼中任何三個連續的字符盡量不要連續出現在新密碼中;
公司要求員工至少每30天更換一次密碼。
10)內部網絡使用規則
禁止在網絡上偽裝為他人身份;
不得私自安裝網絡管理軟件,監控網絡流量或者妨礙他人使用網絡資源;
不得對公司網絡或服務器以及網絡中他人電腦運行安全掃描程序或者惡意攻擊;
未經IT部允許,不得增加網絡設備到公司的網絡中,嚴禁私自購買路由器、交換機接入公司網絡等行為;
宿舍區電腦大部分屬于員工私人計算機,禁止將公司數據及其他涉及到公司機密的電子文件傳入私人計算機中;
