2022年中国石油天然气股份有限公司信息安全员工手册

1、中国石油天然气股份有限企业信息安全员工手册石油科字239号第一章总则第一条为保证中国石油天然气股份有限企业(如下简称股份企业信息资产(包括信息、信息系统资产、知识产权等在传递、存储和处理应用过程中安全,增进信息安全管理工作在全企业范围内顺利有效地开展,根据国家有关法律、法规和股份企业有关规定,特制定本手册。第二条本手册是股份企业员工在信息安全管理方面必须严格遵守基本守则,合用于股份企业所有员工,包括临时受聘人员。对因违反本手册而导致股份企业遭受损失,股份企业将追究有关人员责任;情节严重、违犯国家法律法规者,将依法追究刑事责任。第二章信息安全保密第三条员工在信息应用方面不得有如下行为:1.以盗窃

2、、利诱、胁迫或其他任何不合法手段,获取我司商业秘密;2.违反企业有关保密协定、规定及与企业签订劳动协议,披露或者泄漏我司商业秘密;3.未经我司许可,将商业秘密用于指定目以外;4.协助他人以不合法手段获取企业商业秘密。第四条员工因业务需要必须将企业商业秘密向第三方披露或者交由第三方使用,应参照执行中国石油天然气股份有限企业机关商业秘密管理规定。第五条员工在工作过程中,理解到其他企业商业秘密,应视同我司商业秘密,按照我司商业秘密管理规定执行,不得向任何第三方泄漏。第六条员工在业务过程中,如需接触任何股份企业关键信息资产,都必须签订对应保密协议,协议内容参照中国石油天然气股份有限企业机关秘密载体保密

3、管理规定有关规定制定。第七条离、退休及辞职人员信息保密规定:1.离、退休及辞职人员必须办理离岗手续,明确其离岗后信息保密义务,退还所有技术资料。为该人员使用所有信息系统有关账户必须立即停用或作出对应安全处理(如更换该账号口令。2.离、退休及辞职人员在与企业解除劳动关系或协议关系后,仍然有对企业商业秘密负有保密义务,直至该秘密所规定保密期限到期。3.为保护我司商业秘密不受侵犯,接触我司商业秘密员工离职时,如有必要,企业应与其签订竞业限制协议,约定离职后竞业限制事宜。第三章信息资产使用职责第八条员工对所使用信息负有安全责任。同样,多种可移动或便携式硬件资产安全责任由该资产使用者承担。股份企业信息资

4、产使用者需遵守如下规定:1.不在无安全保障场所(包括在无安全保障信息系统中阅读、处理敏感信息资料;2.不在亲属、朋友和其他无关人员面前谈论企业商业秘密信息;3.未经同意不得私自留存秘密文献、资料,阅办后秘密文献要按规定及时清退、归档;4.不私自销毁重要信息资料;5.使用信息资料应当寄存于安全环境中。第九条员工不得在未经许可状况下使用他人电脑设备,也无权将自己使用电脑设备任意转借他人。如工作需要,容许他人在设备使用人本人监控下操作,但本人须承担使用过程中安全责任。第十条员工不得在未授权状况下私自将股份企业电脑软件和敏感资料(包括第三方数据进行复制、存储、传送。第十一条员工有责任及时发现并上报发生

5、信息安全事件,并应当在信息安全事件处理过程中协助有关人员调查工作。第十二条员工应使用企业提供网络文献服务器备份自己重要文献。第十三条未经同意,员工不得私自将股份企业信息资产存储在不属于股份企业信息安全资产存储介质中,包括私人电脑、公用电子邮箱、私人用途移动硬盘等。第四章知识产权保护第十四条如无约定,所有股份企业员工在本职工作中所发明知识产权、履行本单位交付本职工作之外任务所发明知识产权、退职或退休以及调动工作后一年做出与其在原单位承担本职工作或分派任务有关知识产权,归股份企业所有(如员工建立与股份企业业务有关文档、软件等。第十五条软件版权保护:1.股份企业信息系统、个人电脑、服务器等所有硬件设

6、备上安装、运行软件都必须拥有被合法使用权利,否则不得在股份企业信息系统上安装、运行;2.由股份企业购置商业软件版权属于股份企业所有,该软件安装和使用必须遵从与供应商签订协议和国家有关法律及规定,未经许可,任何个人不得将该软件在个人或其他非股份企业业务需要领域进行复制、安装或使用。第十六条员工个人资料也属于股份企业信息资产一部分,未经本人和有关部门授权,任何个人不得泄露他人信息资料。第五章企业信息公布第十七条未经股份企业主管部门同意,员工不得在任何互联网网页、电子公告板发帖、广播Email或者其他形式媒体中公布股份企业信息。第十八条股份企业所有员工不得通过股份企业信息系统与外部组织或个人进行本职

7、工作内容以外交流,不代表股份企业发言员工在通过股份企业信息系统与外部组织或个人进行交流时(如发帖或者电子邮件应注明如下内容:“重要申明:本文不代表中国石油官方意见。本文发送者并不代表中国石油。中国石油不承担由于此文也许导致任何责任和义务。”第六章身份认证安全第十九条员工有责任管理好多种用于身份认证账号、口令、门卡等,一旦发生遗失须立即上报有关部门。第二十条账号、口令、门卡等用于身份认证工具仅限于其所属员工使用,任何个人不得私自与他人共享,或者随意放置。第二十一条员工应根据所使用信息系统安全敏感程度定期修改口令,且口令长度不得低于6位。第二十二条口令提议由小写字母、数字及符号构成,但不可采用持续

8、等同字符群或数字群。防止使用与个人有关数据(如生日、身份证字号、单位简称、电话号码、名字等作为口令。同步尽量防止使用某些常用单词(如平常用语,计算机术语等作为口令。第二十三条员工应明确使用个人口令责任。应当保守口令秘密,严禁共享口令信息,不应将口令告诉任何人,包括系统管理员或秘书。员工也不应将口令通过Email、电话等任何方式传播出去。第二十四条员工不应保留口令字面记录或电子记录。第二十五条员工应防止在不一样应用系统中使用同样口令。任何时候有迹象表明某一口令也许已经泄漏或受损害时,要立即更换该口令和也许被牵涉到其他系统中口令。第二十六条不要把口令保留在任何自动登录过程中(如不要使用在浏览器中“

9、自动记住口令”功能。第二十七条在信息系统中冒充、混淆、隐瞒或者替代其他顾客都是不容许。电子邮件或者电子文档中包括顾客名、Email地址、组织联络及其他有关信息必须真实地反应当文档来源。第七章安全区域进出第二十八条员工应当在自己职权范围内安全区域内进行活动,在工作期间应当佩带工作标示证件以明确身份。第二十九条未经同意员工不得随意进入自己职权范围以外安全区域(如非机房工作人员进出机房,必须事先向有关部门提出申请,通过审批确认后方可进入。第八章清除桌面和屏幕第三十条清除桌面和屏幕是保护信息资产防止其泄漏或丢失重要措施之一,即在不使用信息设备时,采用措施将其中信息资产保护起来,使未经授权顾客无法访问。

10、第三十一条个人计算机、计算机终端、各类服务器和打印机等信息处理设备在无人值守时,应将其设置于未登录状态;在不使用时应通过键盘锁定、口令保护程序或其他控制措施加以保护,以防止非法访问发生;个人计算机若长时间不使用,宜将其电源开关置于关断位置。第三十二条在非工作时间,员工应将寄存有企业信息资产移动式计算机设备放置在上锁文献柜或其他形式保险设备中。第三十三条在打印敏感信息或资料时,应在打印完毕后立即从打印机中移除这些资料。第九章信息媒介使用和处置第三十四条股份企业业务敏感资料(含第三方,包括文献、数据介质、系统文档等,任何部门或个人,未经授权,不得调用、存储、传送或复制。第三十五条员工应将一切具有敏

11、感信息媒介保留在安全可靠地方,并符合生产厂家阐明书安全规定。当对应媒介使用完毕之后,应将其中不再需要敏感信息删除。第三十六条员工从安全区域带走具有敏感信息媒介都应通过授权,所有可移动媒介借用、使用,应有详细记录和审核跟踪。第三十七条存储介质如需要调换、更新、废弃,必须进行信息整顿和信息清洗。第十章操作系统使用第三十八条员工所使用WindowsNT/XP操作系统应尽量使用NTFS文献格式。第三十九条除确实必要外,在同一台客户机上应只安装一套操作系统,并且将操作系统安装在一种单独磁盘分区中,把应用系统和数据文献放在此外磁盘分区中。第四十条在Windows系统中当一种文献被复制到一种新目录里时,这个

12、文献将继承目目录访问权限,因此员工在移动和复制后来必须要确认新文档具有合适访问权限。第四十一条除特殊需要外,员工不得在企业电脑上使用软盘和光盘启动功能,在必要状况下,应将软盘和光驱物理拆除。第四十二条员工应遵照系统管理员规定,安装和配置系统设置,严禁自行更改操作系统中企业预先设置好安全配置。第四十三条员工应关注企业有关系统弱点漏洞公告和病毒防止告知,并应按照公告和告知指导对客户端系统安全漏洞及时安装补丁,并定期进行客户端病毒扫描。第十一章电子邮件使用第四十四条员工应签订并遵守中国石油电子邮件顾客遵守协议以及所有规范电子邮箱服务使用协议、规定、程序和通例。第四十五条员工应遵照邮件系统管理员规定安

13、装和配置客户端系统,并按企业规定配置邮件客户端安全选项。第四十六条员工在自己邮箱账号开通后应及时修改口令。应常常更改邮箱账号口令以防止他人盗用。不得试图猜测和打开其他任何未经许可顾客邮箱。第四十七条员工应对自己邮箱账号和口令安全负责,不得将邮箱账号借与他人。一旦发现邮箱账号口令泄露,应及时更换口令。若发现邮箱存在任何安全漏洞状况,应及时告知企业邮件系统管理人员。第四十八条员工应定期接受邮件,及时删除过时和无保留价值邮件,以节省企业存储资源和网络资源。第四十九条具有重要信息邮件传播应加密并采用安全传播方式。第五十条对违反上述规定者,一经核算,邮件系统管理员有权停止或取消该员工邮箱使用权限。第十二

14、章互联网访问和使用第五十一条员工访问互联网应遵守中华人民共和国国家安全法、中华人民共和国保守国家秘密法、计算机信息系统国际联网保密管理规定、中华人民共和国计算机信息网络国际联网管理暂行规定、维护互联网安全决定等有关法律法规,如有违反应独立承担一切责任。第五十二条员工通过企业网络在互联网上一言一行都代表了股份企业形象,因此必须规范自己访问行为。要遵守道德规范和法律法规,员工不得通过互联网进行如下活动:1.通过互联网窃取、泄露企业未公布信息;2.运用互联网侵犯他人知识产权;3.在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片;4.运用互联网欺侮他人或者捏造事实

15、诽谤他人;5.非法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯企业通信自由和通信秘密;6.运用互联网进行盗窃、诈骗、敲诈讹诈;7.故意制作、传播计算机病毒等破坏性程序,袭击计算机系统及通信网络。第五十三条员工必须意识到在互联网上传播数据都是公开,有被他人非法获取也许。因此,在通过Email、FTP、网页等传送敏感数据时应对数据加密并采用安全传播方式。第五十四条员工在发送有关数据和文档之前必须考虑该信息与否会侵犯版权。第五十五条员工在互联网上分发与业务有关数据或文献,必须得到上级领导事先同意。第五十六条员工在企业电脑上安装从互联网上下载可执行程序必须得到有关部门许可,并通过防病毒软件扫描,

16、确认无病毒后才可安装。下载、安装和使用第三方程序必须不违反企业安全规定和软件版权规定。第五十七条员工不得在工作时间运用企业网络资源访问和工作无关网站。第五十八条严禁员工在工作时间使用需要消耗大量带宽并和业务无关应用程序(如网络视频/音频点播、大量文献下载等。第五十九条严禁员工对企业网络设备进行登录,以及对网络服务设置随意更改。员工之间计算机互相共享和访问应当符合有关规范。第六十条员工一旦发既有未经授权或是不合适互联网访问行为,应立即向有关负责人员汇报,一旦察觉企业内部系统也许遭到入侵也应及时向有关部门反应。第六十一条员工应遵照系统管理员规定安装和配置浏览器,并按企业规定配置浏览器客户端安全选项

17、。第六十二条员工在自己Web账号开通后应及时修改口令和口令提醒问题。应对自己账号和口令安全负责,不应将账号借与他人,一旦发现账号口令泄露,应及时更换口令。若发现股份企业Web站点存在任何安全漏洞,应及时告知企业系统管理人员。第六十三条员工不得盗用他人Web账号,不得下载任何未经许可数据,未经同意不得上传任何有关企业信息。第六十四条企业将保留对员工使用互联网进行监控权利,任何人如经查实违反上述规定,将予以对应惩罚,系统管理员有权停止或取消该员工使用权限。第十三章 防御恶意代码和计算机犯罪 第六十五条 员工必须保证使用计算机上安装了防御恶意代码软件， 并保证安装 软件进行了合适配置，同步必须保证所用操作系统和应用软件进行了合适配置。 第六十六条 员工不得私自更改所用操作系统应用软件安全设置和防御恶意代码软 件设置。 第六十七条 员工应在技术人员提醒和协助下， 保证操作系统和应用软件进行了最新 安全更新。 第六十八条 对于如下行为， 员工必须通过防御恶意代码系统进行扫描， 确认安全后才 可以执行： 1通过互联网下载文献和应用程序；