公司信息安全策略范例

第一章总则

第一条为了提高员工信息安全防范意识和操作技能，保障公司信息安全，根据公司信息安全管理制度的要求，制定本守则。

第二条公司全体员工须遵守公司信息安全制度和本守则，共同维护和保障公司信息安全，确保公司各项业务正常开展。

第三条本守则遵循“信息安全，人人有责”、“谁使用，谁负责”的原则。公司全体员工人人行动起来，积极学习信息安全知识，提高防范意识和操作技能，自觉遵守信息安全制度，共同保障公司信息系统的安全运行。

第四条本守则是对员工日常操作公司信息系统的基本要求，在公司信息安全制度高于本守则要求或发生冲突时，应以公司信息安全制度为准。

第二章口令使用

第五条安全优质的用户口令是保障信息安全的第一步。员工应为个人使用电脑设置好开机、屏幕保护口令，为各类帐户设置好登录口令，口令设置遵循以下基本原则：

1) 在信息系统可支持情况下，一般用户口令长度8位以上，并由字母、数字混合构成，重要系统管理员口令长度12位以上，并由字母、数字、特殊字符混合构成；

2) 要便于自己记忆；

3) 不使用别人容易利用个人相关信息猜测的信息。例如用户名、姓名（拼音名称、英文名称）、生日、电话号码、身份证号码以及其它系统已使用的口令等；

4) 避免使用连续的相同数字，或者全是数字或全是字母的字符组。

5) 不使用字典中完整单词，避免字典攻击；

6) 不同安全等级、不同应用用途的用户应设置不同口令。例如：业务用户和非业务用户、公司内部用户和普通上网用户等应分别设置不同口令；

第六条注意口令保密。不得将个人用户口令泄露给他人，也不得打听或猜测他人用户口令。避免将口令记录在他人可能容易获取的地方，例如笔记本、纸条、电子文件等；避免在自动登录过程中以不安全的方式保存口令。

第七条新用户在第一次登录时应修改其临时设置的口令；设置缺省口令的新用户，用户生效后及时登录并修改口令。

第八条定期修改口令。业务终端登录用户和业务类用户每季度至少修改一次，重要用户根据其他制度要求增加修改频率。普通办公终端登录用户和办公类用户半年至少修改一次。避免重复使用旧口令。

第三章病毒防范

第九条计算机病毒及木马等恶意程序能导致系统破坏、数据泄露、网络中断等严重安全事件发生，是信息系统的最大安全威胁之一。员工应配合作好个人办公机及个人业务终端等的病毒防范工作。

第十条员工应检查确认个人所用电脑已安装好防病毒软件，如未安装应及时联系信息安全管理员安装或信息安全管理员指导下自行安装。除安装建议上互联网电脑安装安全防护软件，例如瑞星卡卡安全助手、360安全卫士等。

第十一条个人所用电脑应开启防病毒软件及相应安全防护软件的实时防护功能，如未开启应及时联系信息安全管理员处理或信息安全管理员指导下自行处理。

第十二条防病毒软件及相应安全防护软件升级周期为办公机实时升级、业务终端每周至少升级一次，员工应检查确认是否及时升级，每周至少检查一次，如未及时升级应及时联系信息安全管理员处理或信息安全管理员指导下自行处理。

第十三条员工个人所用电脑每周至少进行一次病毒全面查杀，防病毒软件一般设置为定期自动查杀，如未设置，也可手动进行查杀。

第十四条个人所用电脑上发现病毒时，应及时将情况报告信息安全管理员。业务终端上发现病毒时，应立即断开网络，全面查杀并经信息安全管理员确认后方可再次连入网络。

第十五条在使用U盘、光盘、软盘等移动介质前，一定要先进行病毒检查；在业务终端上使用的U盘等应作到专用；尽量减少在业务终端上使用移动介质；不明来历的移动介质应谨慎使用。

第十六条员工不得制造、传播计算机病毒。

第十七条员工发现防病毒软件不能有效清除病毒时，应立即向本部门信息安全管理人员或信息技术中心报告，在问题处理前禁止使用感染病毒的文件。

第四章上互联网

第十八条互联网是一个开放的网络环境，上网时可能受到恶意网站或者黑客的攻击，导致系统感染病毒、系统被破坏、数据泄露等安全事件发生。

第十九条员工上网过程中应遵守国家法律法规，不得利用公司网络制作、复制、查阅、传播违反国家法律法规的有害信息。

第二十条员工不得利用公司上网资源下载与工作无关的文件。

第二十一条员工要养成良好的上网安全操作习惯：

1) 上网前确认已开启防病毒软件和安全防护软件的实时监控功能；

2) 不访问与工作无关的网站，特别是游戏、淫秽、反动等类型的网站；

3) 安全软件提示发现病毒或恶意程序停止访问该网站。

4) 不要轻易点击通过QQ、MSN、邮件等传过来的网址。

5) 上网过程中被自动提示安装软件或修改配置时，除非能确认为实际需要外，一般都选择“否”。

第二十二条上网注册帐户时，用户名密码不要与公司内部用户名密码相同或有关联。除非必要，一般不提供真实姓名和联系方式，不将公司邮箱提供作为联系邮箱。

第二十三条避免在网吧等公用上网电脑登录公司OA等内部系统，如不可避免时，则注意不使用“记住密码”功能，使用完后正常退出用户，并及时在公司电脑上修改用户口令。第二十四条严禁通过远程控制方式从互联网或其他外部网络远程操作公司电脑，如因工作需要时，须信息安全管理员报信息技术中心审批同意，并作好过程监控和记录。

第五章电子邮件

第二十五条电子邮件已成为常用的通信方式，但电子邮件导致病毒传播、数据泄露，垃圾邮件消耗系统资源、降低工作效率等安全问题日益严重，员工在使用电子邮件时应作好相应安全防范工作。

第二十六条根据用途和数据安全等因素建立邮箱分类使用策略：

1) 收发公司业务数据时使用公司内部OA邮箱；

2) 公务处理和私人邮箱分开；

3) 网站注册用户时提供不重要的邮箱作为联系邮箱等，

第二十七条为经常使用的邮箱和重要邮箱设置优质的密码，并定期修改，建议每季度修改一次。不同用途的邮箱设置不同的密码。

第二十八条防范电子邮件传播病毒的基本要求：

1) 在收发电子邮件前，应确认防病毒软件实时监控功能已开启；

2) 对每次收到的电子邮件，使用前均检查病毒；

3) 在收到来自公司内部员工发来的含有病毒的邮件，除自己进行杀毒外，还应及时通知对方杀毒；

4) 不打开可疑邮件、垃圾邮件、不明来源邮件等提供的附件或网址，对这类邮件直接删除；

第二十九条防范垃圾邮件的基本要求：

1) 经常使用的邮箱，尤其是公司内部邮箱，应尽量避免在互联网上公开。例如：网上调查表填写、网站用户注册、BBS论坛中。

2) 不要回复可疑邮件、垃圾邮件、不明来源邮件。

第三十条防范数据泄露的基本要求：

1) 收发公司业务相关的邮件时，必须使用公司内部邮箱，并尽量要求对方使用对方公司内部邮箱。

2) 发送敏感数据时，应采用加密邮件方式发送。

3) 不要在免费邮箱上保存敏感数据。

第六章网络使用

第三十一条未经允许员工不得私自更改个人所用电脑的IP地址、系统服务、网络协议、通信端口限制等网络参数。

第三十二条公司的网络标准协议为TCP/IP，未经允许不得启用任何其它网络协议，如SPX/IPX，NETBIOS等。

第三十三条未经批准员工不得在公司内部系统上私自拨号上网；对经批准可以拨号上网的，确认使用的计算机与公司网络断开后才可与外部网络连接。

第三十四条员工不得在公司内部系统上私自建立远程拨号服务、远程控制服务或其他远程接入服务。

第三十五条注意远程拨入用户、远程VPN帐户的安全保密，员工不得将拨入号码、用户密码等泄露给他人。

第三十六条员工不得私自通过双网卡方式让个人电脑跨接在不同安全等级的网络区域。

第三十七条员工不得私自更改到网络设备的连接，需要变动时应提出申请，由网络管理员负责更改；不得将上网办公电脑接入业务网络或将业务网终端接入办公网。

第三十八条严禁私自让外来人员电脑接入公司网络。如因工作需要，须经审批后在网络管理人员指导下接入可供外来人员使用的网络区域。

第三十九条员工与工作相关的笔记本电脑、PDA设备通过无线方式接入公司网络时，须经网络管理员和相关部门负责人批准同意，并按网络管理员要求作好登录认证、传输加密等安全设置。

第七章数据和文件安全