海关认证-信息安全管理办法.docx
《海关认证-信息安全管理办法.docx》由会员分享,可在线阅读,更多相关《海关认证-信息安全管理办法.docx(5页珍藏版)》请在冰点文库上搜索。
北京金鹰五矿焊接材料有限公司
信息安全管理守则
一、目的
为了提高员工信息安全防范意思和操作技能,保障公司信息安全,根据公司信息安全管理制度的要求,制定本守则。
二、范围
适用于本公司各部门所有员工及程序。
三、职责
由于信息贯穿在经营活动的全过程以及各工作环节,所以信息安全的管理,除了领导重视且需要全员参与,各部门人员都需要严格遵守公司信息管理守则的内容。
四、日常工作使用方法
1、口令使用
安全优质的用户口令是保障信息安全的第一步。
员工应为个人使用电脑设置好开机、屏幕保护口令,为各类帐户设置好登录口令,口令设置遵循一下基本原则:
1)在信息系统可支持情况下,一般用户口令长度6位以上,并由字母、数字混合构成,重要系统管理口令长度8位以上,并由字母、数字、特殊字符混合构成;
2)要便于自己记忆;
3)不使用别人容易利用个人相关信息猜测的信息。
例如用户名、姓名、生日、电话号码、身份证号码以及其它系统已使用的口令等;
4)避免使用连续的相同数字,或者全是数字或全是字母的字符组
5)不适用字典中完整单词,避免字典攻击;
6)不同安全等级、不同应用用途的用户应设置不同口令。
例如:
业务用户和非业务用户、公司内部用户和普通上网用户等应分别设置不同口令;
2、注意口令保密。
不得将个人用户口令泄漏给他人,也不得打听或猜测他人用户口令。
避免将口令记录在他人可能容易获取的地方,例如笔记本、纸条、电子文件等;避免在自动登录过程中以不安全的方式保存口令。
3、新用户在第一次登录时应修改其临时设置的口令;设置缺省口令的新用户,用户生效后及时登入并修改口令。
4、定期修改口令。
业务终端登录用户和业务类用户每季度至少修改一次,重要用户根据其他制度要求增加修改频率。
普通办公终端登录用户和办公类用户半年至少修改一次。
避免重复使用旧口令。
五、防毒防范
1、计算机病毒及木马等恶意程序能导致系统破坏、数据泄露、网络中断等严重安全事件反生,是信息系统的最大安全威胁之一。
员工应配合做好个人办公机及个人业务终端等病毒防范工作。
2、员工应检查确认个人所用电脑已安装好防毒软件,如未安装及时联系信息安全管理员安装或者信息安全管理员安自行安装。
除安装建议上互联网电脑安装安全防护软件,例如:
360杀毒软件、360安全卫士等。
3、个人所用电脑应开启防病毒软件及相应安全防护软件的实时防护功能,如未开启应及时联系信息安全管理员处理或信息安全管理员指导下自行处理。
4、防病毒软件及相应安全防护软件升级周期为办公机实时升级、业务终端每周至少升级一次,员工应检查确认是否及时升级、如未及时升级应及时联系信息安全管理员处理或信息安全管理员指导下自行处理。
5、个人所用电脑发现病毒时,应及时将情况报告信息安全管理员。
业务终端上发现病毒时,应立即断开网络,全面查杀并经信息安全管理员确认后方可再连入网络。
6、在使用U盘、软盘等移动介质前,一定要先进行病毒检查;在业务终端上使用的U盘等应作到专用;尽量减少在业务终端上使用移动介质;不明来历的移动介质应谨慎使用。
7、员工不得制造、传播计算机病毒。
8、员工发现防病毒软件不能有效清除病毒时,应立即向本部门信息安全管理人员或者信息技术中心报告,在问题处理前禁止使用感染病毒文件。
六、上互联网
1、互联网是一个开放的网络环境,上网时可能受到恶意网站或者黑客的攻击,导致系统感染病毒、系统被破坏、数据泄漏等安全事件发生。
2、员工不得利用公司上网资源下载与工作无关的文件
3、员工要养成良好的上网安全操作习惯:
1)、上网前确认已开启防病毒软件和安全防护软件的实时监控功能;
2)、不访问与工作无关的网站,特别是游戏、淫秽、房东给等类型的网站;
3)、安全软件提示发现病毒或恶意程序停止访问该网站。
4)、不要轻易点击通过QQ、MSN、邮件等传过来的网址
5)、上网过程中被自动提示安装软件或者修改设置时,除非能确认为实际需要外,一般都选择“否”。
七、电子邮件
1、电子邮件作为常用的通信方式,最容易导致病毒传播、数据泄漏,垃圾邮件消耗系统资源、降低工作效率等安全问题日益严重,员工在使用电子邮件时应作好相应安全防范工作。
2、根据用途和数据安全等因素建立邮箱分类使用策略:
1)、收发公司业务数据时使用公司内部邮箱
2)、公务处理和私人邮箱分开;
3)、网站注册用户时提供不重要邮箱作为联系等,
4)、为经常使用的邮箱和重要邮箱设置优质的密码,并定期修改,建议每季度修改一次。
不同用途的邮箱设置不同密码,
3、防范电子邮件传播病毒的基本要求:
1)、在收发电子邮件前,应确认防病毒软件实时监控功能已开启
2)、对每次收到的电子邮件,使用前均检查病毒;
3)、在收到来自公司内部员工发来的含有病毒的邮件,除自己进行杀毒外,还应及时通知对方杀毒;
4)、不打开可疑邮件、垃圾邮件、不明来源邮件等提供的附件或网址,对这类邮件直接删除4、防范垃圾邮件的基本要求:
1)、经常使用的邮箱,尤其是公司内部邮箱,应尽量避免在互联网上公开。
例如:
网上调查表填写、网站用户注册,论坛中。
2)、不要回复可疑邮件、垃圾邮件、不明来源邮件。
5、防范数据泄漏的基础要求:
1)、收发公司业务相关的邮件时,必须使用公司内部邮箱,并尽量要求对方使用对方公司内部邮箱。
2)、发生敏感数据时,应采用加密邮件方式发生。
3)、不要在免费邮箱上保持敏感数据。
八、数据和文件安全
1、公司业务数据、客户数据、重要文件、技术文档等均属于公司信息资产,员工应注意保护,防止数据泄露,更不得利用网络、计算机收集、泄漏公司机密信息;
2、个人所用电脑上一般不保存公司机密数据,如确须保持时,应采取适当的加密措施,并妥善存放,使用完后及时删除。
3、个人办公电脑上的文件资料应妥善保存。
建立适当的数据存放目录,重要文件资料建立加密保存,定期清空回收站、相关通信软件接收目录等
4、删除敏感数据时,要求使用不可恢复的删除工具进行删除。
5、业务终端应通过技术手段,严控控制U盘、软盘等移动介质的使用。
6、移动电脑上保存有公司敏感数据时,应对数据采取加密存放措施,
7、严禁私自拷贝业务数据、客户数据等离工作场所,如因工作需要时,须经过部门负责人审批同意。
九、系统使用
1、员工不得私自开启计算机机箱,不得将公司配备的个人工作用笔记本电脑借给他人使用。
2、员工不得安装影响或者破坏公司网络运行的软件,
3、员工不得私自在公司内部系统中设立网站、论坛等服务站点,
4、员工不应使用未经公司许可的软件,并严禁安装与工作无关的软件,
5、个人所用电脑均应设置自动锁屏状态,建立自动锁屏状态并设置时间为10分钟,员工离开座位时应设置电脑为退出状态或锁屏状态。
6、无人值守的终端,操作人员离开时应设置为锁屏状态或其他防护措施,
7、下班时个人所用电脑应关闭,办公桌上敏感资料、插在电脑上的硬件密钥等应锁存。
8、更换工作岗位时,员工应主动上交用户权限、门禁卡等。
十、附则
1、因违反公司信息安全管理制度和本守则规定,导致影响公司信息系统运行、造成公司机密数据泄漏等安全事件发生的,根据影响情况给予相应处罚。
2、本守则是基本公司目前信息安全制度和技术条件制定,将来根据制度和技术条件的变化适时修改发布。
3、本守则自发布之日起执行。
5
升级会员 