海油信息安全管理细则

1目的

规范计算机及计算机网络信息安全管理，提高信息安全保障能力和水平，维护国家及企业安全。

2适用范围

公司机关及所属单位。

3编制依据

3.1《信息安全管理办法》(IT-01-07，2011，中国海油)

3.2《信息系统安全等级保护管理细则》(IT-01-07-02，2011，中国海油)

3.3《计算机信息网络安全规范》(Q/HS 5000-2009，中国海油)

3.4《信息安全管理办法》(AM-01-08，2015，公司)

3.5《信息系统安全等级保护工作实施细则》(AM-01-08-01，2015，公司)

4职责

4.1行政管理部

督促、检查、指导公司及所属单位计算机网络信息运营的安全工作。

4.2公司机关部门及所属单位

履行计算机网络信息安全的义务和责任。

5工作内容与要求

5.1安全防范

5.1.1基本要求

5.1.1.1各单位应按信息系统安全保护级别对信息系统采取安全防范措施，并确保安全防范工作的有效落实。

5.1.1.2IT支持服务中心应采取必要措施，提高网络的整体防护能力。

5.1.1.3各信息系统的数据、信息传输都应采用加密传输。

5.1.1.4各业务责任单位应制定其信息系统备份策略和灾备策略。

5.1.1.5IT支持服务中心应提供备份和灾备的相应资源、服务，定期备份数据、进行恢复测试并做好记录。

5.1.1.6各单位应对本单位信息系统的信息进行审查、检查和复查，确保信息的合法性、合规性。

5.1.1.7员工对所使用的终端、网络设施及其中的信息安全、账号安全、账号权限内的信息安全和上网行为负责，员工终端中严禁存储涉密(此处涉密系指涉及国家秘

密，下同)信息，终端中的商密文件不可设置为共享，工作邮箱电子邮件的收发要进行病毒查杀。

5.1.1.8员工发现异常或发现其他人员非法使用计算机时，有及时向所属单位或公司报告的责任。

5.1.1.9各单位要对移动存储介质进行登记、编号，移动存储介质要经IT支持服务中心检测合格、注册后入网使用。

5.1.1.10涉及国家或企业秘密信息的存储、传输等应指定专人负责，并严格执行国家、中国海油及公司有关保密的法律、法规和相关管理规定。

5.1.1.11涉密信息未经批准，不得在网络上发布或通过明码（明文）传输。

5.1.2信息加密管理

5.1.2.1涉及国家秘密的信息，其电子文档资料须加密存储。

5.1.2.2涉及国家和公司利益的敏感信息的电子文档资料应当加密存储。

5.1.2.3涉及国家秘密、国家与公司利益和社会安定的秘密信息和敏感信息，在传输过程中应遵守国家的有关规定，视情况采用文件加密传输或链路传输加密。

5.1.2.4适度采用先进的加密解密技术对公司其他电子文档和数据进行加密管理。

5.1.3用户账号(ID)管理

5.1.3.1信息系统管理系统中或运维支持体系中应包括账号管理流程。

5.1.3.2信息系统用户要严格管理账号，不得把自己账号外借他人使用、不得在电脑、屏幕和办公桌上贴条暴露账号信息，禁止索要、盗取、使用、传播任何未经授权使用的账号。

5.1.3.3加强对离职员工的账号管理，各单位在员工离职时应办理注销其账号。5.1.4用户权限管理

5.1.4.1信息系统权限设计要符合安全管理要求，实现最小权限和权限互斥原则。

5.1.4.2信息系统的用户权限要严格对应用户工作职责，权限申请和变更应按流程办理审批手续。

5.1.5禁止活动

5.1.5.1涉密计算机必须与互联网物理隔离，禁止把涉密计算机直接或间接连入公司局域网络和互联网，禁止在互联网计算机中存储或处理涉密信息。

5.1.5.2禁止利用信息网络系统制作、传播、复制有害信息。

5.1.5.3禁止非法违规入侵计算机和信息系统，禁止未经授权对信息网络系统中存

储、处理或传输的信息进行增加、修改、复制和删除等。

5.1.5.4禁止未经允许使用他人在信息网络系统中未公开的信息。

5.1.5.5禁止未经授权查阅他人邮件和盗用他人名义发送电子邮件。

5.1.5.6禁止未经允许在互联网公共邮箱、即时通讯工具、云盘、网盘或免费空间上处理、存储、传输公司业务和信息。

5.1.5.7禁止故意干扰网络的畅通运行。

5.1.5.8禁止其他危害公司信息网络系统安全的活动。

5.2员工信息系统使用

5.2.1员工信息系统是指员工利用公司内部计算机技术对业务和信息进行集成处理的程序、数据、文档以及计算机终端、各种存储设备等公司重要资源的总称，每个员工应该安全、可靠、有效地使用员工信息系统并保证数据的完整性和准确性。

5.2.2员工在使用员工信息系统时应具备安全意识、保密意识和合规使用信息系统意识，应确保：

a) 设备安全；

b) 信息安全；

c) 信息系统安全。

5.2.3在使用员工信息系统前，员工应签署信息系统使用安全保密协议。

5.2.4员工有保护办公计算机和设备物理安全的责任和义务，并按规定正确放置、保管、使用和归还员工信息系统，具体要求如下：

a)妥善保存可移动设备，不得存放涉密信息；

b)使用便携式计算机的员工，应当保管好计算机，防止遗窃；

c)避免环境对计算机设备的损害，比如食物、烟火、液体、极高和极低湿度、

极高和极低温度等；

d)禁止安装、使用未经授权的非公司标准软件和硬件；

e)信息技术支持部门负责设备的安装、拆卸、更改和迁移，员工不得自行进行

以上操作；

f)员工应当认真保管公司分配的电子设备，未妥善保管而致丢失或损害的，应

赔偿。

5.2.5员工在使用公司提供的互联网和员工信息系统时，应注意合法、安全和保密，具体要求如下：