信息技术公司PC机系统及桌面标准化说明

东方中安信息技术有限公司PC机系统及桌面标准化说明（初稿）发布时间：2018.4发布部门：版本号：批准人：目录一、统一电脑设置： 8二、标准电脑软件安装及配置： 8三、信息资产分类分级管理程序 91. 目的和范围 92. 引用文件 93. 职责和权限 104. 信息资产的分类分级 105. 信息分级标识 126. 公司秘密信息使用管理 137. 保密原则 19四、访问控制制度 221. 目的和范围 222. 引用文件 223. 职责和权限 224. 用户管理 225. 权限管理 236. 操作系统访问控制 247. 应用系统访问控制 258. 网络和网络服务访问控制 259. 网络隔离 2610. 网络设备 2611. 信息交流控制措施 2612. 远程访问管理 2713. 无线网络访问管理 2814. 笔记本使用及安全配置规定 2815. 外部人员使用笔记本的规定 2916. 服务器安全控制 2917. 实施策略 2918. 相关记录 29五、密码控制管理制度 311. 目的和范围 312. 引用文件 313. 职责和权限 314. 密码控制 32六、操作安全管理 36补丁管理 361. 总则 362. 适用范围 363. 职责分工 364. 补丁管理 375. 附则 39防范病毒及恶意软件管理规定 401. 目的和范围 402. 引用文件 403. 职责和权限 404. 病毒防治管理 415. 恶意软件管理 416. 实施策略 427. 相关记录 42软件管理规定 44目的和范围 441. 引用文件 442. 职责和权限 443. 软件管理 444. 软件使用 475 相关记录 47数据备份管理规定 491. 目的和范围 492. 引用文件 493. 职责和权限 494. 备份管理 49系统监控管理规定 521. 目的 522. 引用文件 523. 职责和权限 524. 系统监控管理 525.相关记录 54七、通信安全 55通信安全管理规定 551. 目标 552. 引用文件 553. 职责和权限 554. Internet访问控制 555. 网络隔离 566. 无线网络访问管理 567. 信息交流控制措施 56电子邮件管理规定 591. 目标 592. 总则 593. 管理权限和职责 594. 邮箱管理流程 595. 邮箱使用 60信息安全交流控制制度 621. 目标 622. 总则 623. 信息传输安全控制措施 624. 信息传输协议 625. 定期评审 63八、信息安全事件管理制度 651. 目的和范围 652. 引用文件 653. 职责和权限 654. 信息安全异常现象 665. 信息安全事件 686. 安全事故处理流程： 817. 信息安全事件的紧急处置和业务恢复 818. 信息安全事件证据的收集 829. 信息安全事件和信息安全异常现象的报告和反馈 8310. 改进和预防工作 8411. 实施策略 8412. 支持文件 8513. 相关记录 85九、业务连续性管理制度 871. 目的和范围 872. 引用文件 873. 职责和权限 874. 业务连续性管理流程 885. 制定应急预案 906. 演练与维护 917. 相关记录 92PC桌面标准化说明一、统一电脑设置：为规范公司的电脑配置与管理，提高工作效率，从而更好地为办公服务。计算机机器名称的统一规范化命名，便于通过计算机识别设备所在区域和用户例：东方中安-JasonWINDOWS操作系统安装公司采购的正版系统，开启自动更新功能的实现，使每台能够上网的机器都能及时从互联网上下载最新补丁程序，有效防范病毒等恶性事件的发生。取消域用户的本地系统管理员权限（设为PowerUsers），防止用户擅自安装非法软件和更改系统配置按新的密码规则修改本地Administrator的密码（新员工PC机初始密码：000000）二、标准电脑软件安装及配置：常规系统及软件1、Windows10系统及语言包2、赛门铁克杀毒软件及病毒库数据更新（病毒库每周更新一次）3、Altiris（硬件资产管理)4、Office2016中小企业版5、工具软件：WinRAR（可以安装，但不是标准软件）6、AdobeReader7、其他需要安装的软件需和上级部门主管批准针对任何游戏软件及非工作需要的软件，均应立即卸载并删除如果电脑有问题，请先排除故障后再做以下操作。三、信息资产分类分级管理程序目的和范围为降低公司重要资产因遗失、损坏、篡改、外泄等事件带来的潜在风险，这些风险将对公司的信誉、经营活动、经济利益等造成较大或重大损失，需要规范信息资产保护方法和管理要求，特制订本管理制度。本规定适用于本公司信息资产的安全管理，适用对象为本公司员工和所有外来人员。特殊岗位或特殊人员，另有规定的从其规定。公司信息资产是指一切关系公司安全和利益，在保护期内只限一定范围内人员知悉、操作、维护的事物、文档、项目、数据等资源。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则《备份管理规定》《访问控制程序》《文件控制程序》职责和权限本管理规定作为全公司范围信息类资产的最低管理要求，各部门或各项目组，均可以根据客户要求，添加补充策略，并在本部门、本项目组内实施，与本规定一起，作为信息安全管理的工作指南。信息安全管理领导人组：是本公司信息资产安全管理工作的最高领导组织，总体负责信息资产的安全。信息安全管理工作小组：负责具体的协调组织实施及解释答疑等工作。各部门经理：作为本部门信息资产安全管理的最高责任者，有责任和权限保证本部门信息资产的安全。各信息的所有者：负责各信息资产的标识、分发和传递的控制；员工：应当熟悉本管理规定的内容，包括信息资产标识办法和使用管理规定，并切实贯彻到日常工作中。信息资产的分类分级4.1信息资产的分类公司信息资产分为：硬件资产、软件资产、数据资产、人员资产、外包服务资产、无形资产、文档资产、环境资产、第三方服务资产等。区分标准如下：硬件资产：日常工作、公司运作或系统运行所依赖的可见电子设备、设施和工具。主要包括：办公类用品，如桌椅、纸张等。计算机及配件、辅助设备类，如服务器、台式机、笔记本电脑、移动存储、打印机等。网络设备，如网络交换机等。其他设备，不属于上述3类的设备设施，如饮水机等。软件资产：依赖电子计算设备运行的非硬件资产。如：操作系统、杀毒软件、源代码、组件、程序、业务系统或平台等。数据资产：计算机软件运行时依赖的原始数据、配置数据，运行时产生的动态数据、结果数据以及能够给公司经济效益、信息安全带来潜在影响的所有数据，这些数据如遗失、非法复制传播、损坏等从经济或安全上可能给公司造成损害。如客户信息数据、系统配置数据、系统登录帐号密码、业务运行数据、电话号码资源等。4.2信息资产的分级管理信息资产的分级管理制度引用如下文件：硬件资产分级管理制度软件资产分级管理制度数据资产分级管理制度人员资产分级管理制度外包服务资产分级管理制度无形资产分级管理制度文档资产分级管理制度环境资产分级管理制度第三方服务资产分级管理制度4.3信息资产分类指导公司各部门依据分类定义和示例，对部门《资产识别表》中的各类资产进行分级，并报请本部门经理审核确认。公司一级、公司二级信息资产需要报信息安全管理工作小组汇总、审核后，请公司总经理确认审批。《资产识别表》需详细登记所有信息资产，并确定其分级和管理责任人。信息分级标识5.1分级标识编号硬件资产（H-hard）：H1、H2分别代表一级硬件资产，二级硬件资产等。软件资产(S-soft)：S1、S2分别代表一级软件资产、二级软件资产等。数据资产(D-data)：D1、D2分别代表一级数据资产、二级数据资产等。人员资产(P-person)：P1、P2分别代表一级人员资产、二级人员资产等。外包服务资产(T-team)：T1、T2分别代表一级外包服务资产、二级外包服务资产等。无形资产(N-none)：N1、N2分别代表一级无形资产、二级无形资产等。文档资产(F-file)：F1、F2分别代表一级文档资产、二级文档资产等。环境资产(E-environmen)：E1、E2分别代表一级环境资产、二级环境资产等。第三方服务资产(TS-thirdservice)：TS1、TS2分别代表一级第三方服务资产、二级第三方服务资产等。5.2公司绝密、机密信息定义标记为一级和二级的文档及敏感类的信息称为公司机密信息，三类信息为秘密信息，四类为可内部公开的信息，五类为可公开的信息。绝密信息，除文档资产外，不包含在其他信息资产的分级定义序列中，绝密信息一般由公司最高管理层负责管理和保密义务。5.3各密级知晓范围公司绝密级：高层管理级人员及与公司绝密内容有直接关系的工作人员，对其他任何人都需要保密。掌握核心公司绝密的关键岗位人员的变更、离职须经总经理同意。公司机密级：部门经理级及以上的管理人员以及与公司机密内容有直接关系的工作人员，允许知晓与本工作相关的公司机密事项，对非相关人员需要保密。公司秘密级：部门骨干管理人员以及与公司秘密内容有直接关系的工作人员，允许知晓与本工作相关的公司秘密事项，但对其他部门应保密。内部公开：公司内部所有人员，允许知晓在公司内部范围内属于公开的信息，但未授权不得对公司以外人员泄露公司的内部公开信息。公开：公司外面所有人员，允许知晓由公司内的授权人员宣布可公开的信息。可公开的文档必须转成PDF文档后，或使用其他方法变成只读不可修改的文档后再行发布。5.4分级标识编号可作为分级标识使用公司固定资产硬件设备必须标记分级标识编号。作为电子文件时必须在文件的第一页的显著位置标识分级。对于纸质文档，使用公司统一刻制的分级标识图章进行标识，对于“公司绝密”文档在需要时，通过骑缝章或每页敲章的方式进行“绝密”标识。使用信封等封装时，还需要在封装上标记“绝密”标识及分级标识。对于模板文档，其标识的分级是指填写内容后的分级，而非空白时的分级。如果使用光盘/磁带/软盘等介质，需要直接在介质表面上标识分级。需要提交给客户的信息资产（例如：项目开发成果物），必须有分级标识。对于应用系统中的显示画面、数据表单或打印输出等内容，必须有分级标识。公司秘密信息使用管理6.1涉密信息的保管公司绝密、公司机密信息：应该保管在一般人员无法随便进入的有安全保障的房间，比如：总裁办公室、各部门主管办公室、财务室、机房等。电子文档必须有可靠的备份机制；除非特别批准公司绝密信息不应保管在个人用计算机上。纸质文件以及电子存储介质（例如：移动硬盘/U盘/光盘/软盘等）应该保存在加锁的文件柜或保险柜内。在不使用或处于目光所及范围之外时，应将资料存放在锁闭的档案柜、桌式书架或书柜内；在携带至办公室以外的地方时，应将资料存放在随身携带的锁闭的箱包或手提箱内。其它涉密信息：也应该保存在安全的工作区域内。电子文档也必须有可靠的备份机制。纸质文档以及电子存储介质应存放于书柜、档案柜或桌式书架柜内，以防被非公司人员意外看到或获得。技术成果技术转让、技术入股、技术引进等途径获取公司秘密的过程中，根据合同或协议中规定提供的公司秘密，承办人应采取保密措施，保证不泄漏公司秘密。获取的公司秘密应及时移交财务部归档，不得个人保存。工作成果物：每个人的工作成果物（工作成果物指需要向客户或上级或组织提交的工作的结果）应该及时保存到指定场所。电子文档应该保存到公用机器上的指定位置，从而得到可靠的备份和访问控制，对于纸质文档和电子介质应该保存到指定文件柜内（除非被批准，不得保存在个人文件柜内），并做好清晰标示，从而保证他们的可用性。员工在公司任职期间的工作成果归公司所有，并按《保密协议》及本制度进行管理；客户信息在公司日常业务（包括营销等相关活动）中接触到客户的信息以及客户提供的信息同样应该作为公司的涉密信息实施管理和控制。重要信息应该被指定为公司绝密，其余都按照“公司秘密”密级来对待。特别是客户真实数据，属于“公司机密”，除非得到客户明确授权，不得使用；使用时必须按照严格的流程和管理规定（事先备份等），不得在其它任何场合使用或透露相关信息。6.2涉密信息的访问限制日常工作中需使用含公司绝密、公司机密性数据的设备，或需处理公司绝密、公司机密性数据的员工，须根据公司相关要求签订《知识产权及保密协议》；本公司委外开发或加工的外包合同/协议中须包含所涉及信息资产的保密条款，必要时，须与相关人员签署保密协议；涉密信息的访问范围应限制在满足需要的最小限度。公司绝密信息应该存放在非相关部门员工无法访问的独立的VLAN内，存放“公司绝密”信息的个人用计算机应该安装防火墙，保证其他机器无法主动访问，通过网络共享目录不允许存放“公司绝密”信息；存放涉密信息的计算机的用户密码必须得到严格控制和有效管理；“内部公开”及以上信息未经授权，严禁以任何方式向公司以外人员泄露。“公司绝密”信息由公司领导、信息安全主管部门和相关应用部门协商确定访问权限，由信息安全主管部门委托人员（一般是总裁办管理）具体控制。“公司机密”和“公司秘密”信息由各部门，各项目组的负责人确定访问权限，由他们或委托可靠相关人员进行访问权限的具体控制措施。为了保证涉密信息安全，全体员工必须严格遵守《访问控制管理程序》中所具体规定的各项控制策略。6.3涉密信息的使用不得使用任何手段主动获取与工作职责无关的涉密信息。不得以任何工作需要以外的目的复制、复印、摘抄涉密信息，未经管理者许可，禁止复制、复印“公司机密”以上级别信息。因工作需要将涉密信息复制到非相关设备或公用设备中时，必须在使用完毕后，立即删除作业遗留的涉密信息。因工作需要复印的涉密信息，使用完毕后，按照涉密信息废弃处置方法处置。涉密信息的使用必须严格限制在工作必须的物理和人员范围内，除非工作需要并得到批准，不得把存放涉密信息的设备和存储介质以及含有涉密信息的纸质文档带出公司。“公司绝密”信息的使用必要时可以通过签名登记的方式加以控制。因工作需要，需要对敏感的涉密信息共享时，必须对涉密信息进行加密处理。不在有非相关人员在场的情况下谈论/使用涉密信息。包括：和客户接触时避免涉密信息的泄露，制作提供给客户的资料文件时原则上使用PDF格式，并需要注意涉密信息的保护。不能在公共场所或者敞开办公室、没有良好隔音的会议室谈论公司绝密信息。使用纸质文件是，要注意：“公司机密”以上级别信息的纸件不得重复使用，含其它涉密信息的纸件文件也不得跨项目使用；下班后应清理桌面，将含有重要涉密信息的纸质文件放入文件柜；发出打印命令后，及时去取打印文件，保证打印机处无遗留纸质文件。打印“公司绝密”信息时，尽量使用非公用打印机；复印完毕后注意检查，保证复印机处无遗留纸质文件。复印“公司绝密”信息时，尽量在人少时段；传真完毕后注意检查，保证传真机处无遗留纸质文件。对于外来的传真，应该马上收取，再通知或送达收件人。对于涉密的技术文件的发放和回收，参考《文件控制程序》。计算机数据安全管理：在从事涉及保密信息的工作时，不得离开计算机，使之处于无人照看状态；人员因故离开座位时，必须退出系统或使用屏幕密码保护，防止账号被盗用或数据被窃取。下班或因公外出离开办公室前，必须关闭计算机设备并将桌面收拾干净，避免保密信息失窃或系统被侵入；保管好所有的数据存储设备，并作适当标识；公司绝密或公司机密性数据如需通过电子邮件传送，应经加密处理后传送；公司绝密或公司机密性数据，不得存放于无账号权限、密码限定的信息系统中。6.4涉密信息发送任何涉密信息的发送，都必须保证收件人的合法性；“内部公开”信息未经许可，严禁发送给公司以外人员；“公司秘密”，“公司机密”“公司绝密”只发给管理者授权的收件人。涉密信息传送后，必须通过e-Mail/MSN/电话等手段，获得对方的确认或主动向对方确认。在公司内部传送纸质数据时，委托他人传送时，必须加以封装；“公司绝密”信息传送时必须保证直接交给收件人本人；其他涉密信息传送时，尽量直接交给收件人，如果放置在收件人坐席上必须将传送的背面朝上，并且事后要和收件人确认。利用电子手段传送数据时，“公司绝密”信息必须使用加密手段，而且密码不得同时发送；在可能的条件下，鼓励所有涉密信息都采用加密手段传送。“公司绝密”信息除非特别需要必须使用公司的网络服务传送；所有涉密信息都应该尽量避免使用公司外部电子信箱以及MSN/QQ/Skype/公用FTP/网络存储空间等手段来进行传送。必须利用最新的防病毒库对收发的文件进行病毒检查。利用传真进行涉密信息传送时，不得委托非相关人员代为传送；传送时必须始终等待在侧；传送完毕后立刻回收；不特别必要，不利用传真方式进行“公司绝密”信息的传送；收发“公司绝密”信息时，应事先和对方联系，保证传真不经过其他人手。利用快递/邮寄手段进行涉密信息传送时：对传送的信息必须加以封装；不特别必要，“公司绝密”信息的传送不利用快递/邮寄手段进行，而应尽量利用公司内部人员以专程的形式来进行传送工作；传送“公司绝密”信息时，应事先和对方联系；在确认收到时，还必须确认封装没有损坏；非收件人不得随便拆阅。6.5涉密信息的废弃处置过期或作废的涉密文件需要废弃处置处理时，首先需得到批准。“公司绝密”信息的废弃处置要得到公司总经理书面批准，并指定可解除该信息人员实施或全程监督实施。其它涉密信息的废弃处置要得到相关部门，相关工作组的负责人的批准，并指定人员实施。公司绝密数据必须退回资料来源处，或者在经资料来源处授权情况下，将其存放在安全的文件贮存处或加以销毁；电子档案必须采用总裁办许可使用的专用销毁文件的计算机磁盘工具予以消除，必须保留销毁文件的记录。“公司机密”和“公司秘密”信息，进行处理时，纸质文件要通过专门设备彻底粉碎；电子档案必须采用行政部许可使用的专用销毁文件的计算机磁盘工具予以消除，必须保留销毁文件的记录。客户方面特别提出要求时，按照客户要求的方法实施。个人工作中使用的纸质文档不得随意丢弃或作其它用途，废弃后要及时粉碎处理；电子文档需要及时整理和清除。对一级硬件信息资产进行专人监督物理破坏。保密原则所有公司员工都有义务和责任保守公司公司秘密。严格遵守公司关于保密方面的各项政策和制度规定；保护并按照规定的方式处理包含公司保密信息的各种记录、草稿、文本副本、打印机色带和图表；不在公司以外公共场合及同亲友及家人谈论公司的业务情况及保密信息；在向非公司员工发表演讲、宣传时不得援引保密信息；未经资料来源处授权，不得复制或复印任何公司保密数据资料；未经必要的审批手续，不得将公司保密数据资料从公司带出；不得使用规定以外的其它方式，用电子手段传送或调用保密数据材料；论文发表前，要经过部门领导和信息安全工作小组审核；员工必须具有保密意识，必须做到不该问的绝对不问，不该说的绝对不说，不该看的绝对不看。未经领导批准，不准开展本岗位外的业务活动，不准串岗。在日常工作中，全体人员都应该按照“知所必需”的原则，获得完成其工作职责所必需的最小范围的涉密信息和最小的逻辑访问权限，并且以尽量安全的方式在最小范围内使用。对公司公司秘密的知晓范围执行压缩控制的原则，员工只在管辖范围内根据工作需要知晓相关的公司公司秘密。公司鼓励员工在一定的程度上使用常识性的办法来保护公司涉密信息，如果员工不知道某项资产的密级，默认情况下至少按“公司秘密”的密级来对待。对于研发进行中的项目，除公司统一制定的产品目标对客户进行宣传以外，公司任何员工均需对公司正在研发的项目内容、项目进度等信息进行保密，尤其是器件供应商，与竞争对手关系密切的客户等。对于公司的商务信息仅限市场人员、商务人员及其管理人员知悉。不同市场区域之间的信息，原则上也要求保密。对外交往与合作中如需要提供公司的公司秘密事项，应先由部门经理批准，特殊情况须经公司相关领导审核、公司总经理批准。因工作需要知悉非本职范围内的公司公司秘密的，须经相关领导批准，公司秘密级信息由部门经理批准，公司机密级信息由分管副总批准，公司绝密级信息由公司总经理批准；公司员工发现公司公司秘密已经泄露或可能泄露时，应立即采取补救措施并及时报告上级主管，上级主管须立即做出相应处理。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：四、访问控制制度目的和范围通过控制用户权限正确管理用户，实现控制办公网系统和应用系统访问权限与访问权限的分配，防止对办公网系统和应用系统的非法访问，防止非法操作，保证生产系统的可用性、完整性、保密性，以及规范服务器的访问。本访问控制制度适用于系统维护部以及其他拥有系统权限的管理部门。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则职责和权限各部门必须遵照本管理规范实行对用户、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。用户管理4.1用户注册只有授权用户才可以申请系统账号，账号相应的权限应该以满足用户需要为原则，不得有与用户职责无关的权限。一人一账号，以便将用户与其操作联系起来，使用户对其操作负责，禁止多人使用同一个账号。用户因工作变更或离职时，管理员要及时取消或者锁定其所有账号，对于无法锁定或者删除的用户账号采用更改口令等相应的措施规避该风险。管理员应每季度检查并取消多余的用户账号。4.2用户口令管理和使用引用文件：《密码控制管理制度》权限管理5.1用户权限管理原则所有的重要服务器应用系统要有明确的用户清单及权限清单，每季度进行一次权限评审。重要设备的操作系统、数据库、重要应用程序相关的特殊访问权限的分配需进行严格管理。对一般用户只拥有在注册时所审批的权限。每个人分配的权限以完成相应工作最低标准为准。服务器日志的安全审查职责与日常工作权限责任分割。新账号开通时提供给他们一个安全的临时登录密码，并在首次使用时强制改变。为防止未授权的更改或误用信息或服务的机会，按以下要求进行职责分配：a)系统管理职责与操作职责分离；b)信息安全审核具有独立性。5.2用户访问权限设置步骤权限设置：对信息的访问权限进行设置，添加该用户的相应访问权，设置权限，要再次确认，以保证权限设置正确。定期检查用户账户：管理员每季度对应用系统进行一次权限评审。取消访问权：离开公司应立即取消或禁用其账号及所有权限，将其所拥有的信息备份保存，或转换接替者为持有人。用户的岗位发生变化时，要对其访问权限重新授权。操作系统访问控制6.1安全登录制度UNIX、LINUX系统使用SSH登录系统。进入操作系统必须执行登录操作，禁止将系统设定为自动登录。记录登录成功与失败的日志。日常非系统管理操作时，只能以普通用户登录。启用操作系统的口令管理策略（如口令至少8位，字母数字组合等），保证用户口令的安全性。6.2会话超时与联机时间的限定重要服务器应设置会话超时限制，不活动会话应在一个设定的休止期5分钟后关闭。应考虑对敏感的计算机应用程序，特别是安装在高风险位置的应用程序，使用连机时间的控制措施。这种限制的示例包括：使用预先定义的时间间隔，如对批量文件传输，或定期的短期交互会话等情况使用指定的时间间隔；如果没有超时或延时操作的要求，则将连机时间限于正常办公时间；应用系统访问控制根据《重要服务器-应用系统清单》，填写《重要应用系统权限评审表》，每季度评审一次。各应用系统必须确定相应的系统管理员、数据库管理员和应用管理员。应用系统的用户访问控制，用户的申请应填写相关系统的申请表，须经过应用系统的归口主管部门审核同意，由系统管理员授权并登记备案后，方可使用相应的应用系统。如果发生人员岗位变动，业务部门信息安全主管通知部门信息安全员与相关应用系统管理员联系，告知系统管理员具体的人员变动情况，便于系统管理员及时调整岗位变动人员的系统访问权限。应用系统的用户必须遵守各应用系统的相关管理规定，必须服从应用系统的管理部门的检查监督和管理。禁止员工未经授权使用系统实用工具。应用系统用户必须严格执行保密制度。对各自的用户帐号负责，不得转借他人使用。重要应用系统用户清单及权限必须进行定期评审。网络和网络服务访问控制所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内容。客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问Internet，客户及第三方人员如需访问Internet应当在专设的隔离区进行。员工须通过VPN访问公司相关网络和网络服务。需要访问各种网络服务的用户须向本部门主管申请VPN帐号，由本部门主管通过邮件提交VPN帐号管理员，由VPN帐号管理员为其分配密钥和帐号。网络隔离公司与外部通过防火墙隔离，制定严格的VLAN划分，对公司内重要部门的访问进行控制。运行中心制定VLAN访问控制说明。网络设备网络设备配置管理员帐号由系统服务部指定专人统一管理，保存帐号及密码的电子文件需加密保存，并存放在可靠的安全环境下。系统管理员密码须符合服务器安全控制的密码安全规定；管理人员不得向任何非授权人员泄露网络设备的管理员帐号及密码。信息交流控制措施信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录音、会议、传真、短信、IM工具等；可交流的信息，须符合《信息资产分类分级管理制度》里的密级规定;公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、上级主管机关以及本公司安全管理规定的要求；不能在公共场所或者敞开的办公室、没有屋顶防护的会议室谈论机密信息；对信息交流应作适当的防范，如不要暴露敏感信息，避免被通过电话偷听或截取；员工、合作方以及任何其他用户不得损害公司的利益，如诽谤、骚扰、假冒、未经授权的采购等；不得将敏感或关键信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员的访问；在使用电子通信设施进行信息交流时，所考虑的控制包括：防止交流的信息被截取、备份、修改、误传以及破坏；保护以附件形式传输的电子信息的程序；有业务信件和消息的保持和处置原则，要符合相关的国家或地方法规；使用传真的人员注意下列问题：未经授权对内部存储的信息进行访问，获取信息；故意的或无意的程序设定，向特定的号码发送信息；向错误的号码发送文件和信息，或者拨号错误或者使用的存储在机器中的号码是错误的。远程访问管理12.1远程接入的用户认证凡是接入公司的远程用户的访问必须通过VPN并经过认证方可接入。认证用户必须使用8位以上复杂密码。任何远程接入用户不得将自己的用户名、密码提供给任何人，包括同事，家人。所有远程接入用户的客户端或个人电脑必须安装防病毒软件并且病毒库升级到最新。12.2远程接入的审计远程接入用户的操作必须要经过接入设备的审计。应记录相关日志，对用户行为监控。无线网络访问管理行政部应协同系统服务部对无线网络进行授权管理；对需要使用无线网络的设备，通过绑定其MAC地址授权访问，其他人员不允许通过公司无线网络上网。如有已授权访问的设备，取消授权，应即时对其MAC地址解绑。笔记本使用及安全配置规定笔记本电脑设备必须有严格的口令访问控制措施，口令设置需满足公司安全策略要求。对无人看守的笔记本电脑设备必须实施物理保护，必须放在带锁的办公室、抽屉或文件柜里。重要业务笔记本电脑设备丢失或被窃后应及时报告给部门经理和行政部。凡带出公司使用而遗失、被偷盗等均由个人负全责赔偿。除自然损坏外，凡人为损坏（如撞坏、跌坏、电源插错烧坏等）由本人负责修好，费用由个人承担。笔记本电脑中除工作所需的软件外，不得安装与工作无关的软件。授权使用的笔记本电脑设备必须安装公司要求的防病毒软件。各部门对笔记本电脑设备定期进行一次病毒软件和操作系统补丁自检，行政部进行不定期抽查。笔记本电脑外出时禁止托运，必须随身携带。笔记本电脑上的重要资料应即时做好备份，防止意外丢失。备份的设备或介质应符合《信息资产分类分级管理制度》中的保护要求。外部人员使用笔记本的规定出于安全考虑，一般不予考虑来访人员接入公司内部网络。服务器安全控制引用文件：《讯鸟服务器安全管理规范》实施策略访问控制制度涉及的包括《重要服务器-应用系统清单》《重要应用系统权限评审表》。用户申请权限时，填写相关系统的申请表。每季度评审并填写《重要应用系统权限评审表》。相关记录序号记录名称保存期限保存形式备注1重要服务器-应用系统清单三年电子2重要应用系统权限评审表三年电子文档编号（由总裁办填写）密级内部公开 文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人签字：日期：修订说明合并网络、网络服务;增加了通过VPN访问描述，增强了控制策略。备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：五、密码控制管理制度目的和范围为确保安全成为所开发的信息系统一个有机组成部分，保证开发过程安全，特制定本制度。适用于本公司所有信息系统的开发活动，信息系统内在安全性的管理。本制度作为软件开发项目管理规定的补充，而不是作为软件开发项目管理的整体规范。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则职责和权限开发部门：确保适当和有效地使用密码技术以保护信息的保密性、真实性和（或）完整性。密码控制4.1使用密码控制的策略控制描述应开发和实施使用密码控制措施来保护信息的策略。实施指南制定密码策略时，应考虑下列（但不仅限于）内容：组织间使用密码控制的管理方法，包括保护业务信息的一般原则；使用加密技术保护通过可移动介质、设备或者通过通信线路传输的敏感信息；基于风险评估，应确定需要的保护级别，并考虑需要的加密算法的类型、强度和质量；加密可能带来不利影响。由于某些控制措施依赖于内容检查（例如病毒检测等），要求数据处于未加密状态。3)用户口令管理初始密码在创建用户时设定，初次登录时操作系统或者管理员必须强制修改密码，不能使用缺省设置的密码。初始密码样本：orient11用户忘记口令时，管理员必须在对该用户进行适当的身份识别后才能向其提供临时口令。在向用户提供临时口令时，必须采用加密或其他安全传输途径，以确保初始密码不会被中途截取。不允许在计算机系统上以无保护的形式存储口令。对于泄漏口令造成的损失，由用户本人负责。不准与其他人互相借用各类工作账号。测试环境的账号与生产环境的账号使用不同的口令。4)口令的使用用户应保证口令安全，不得向其他任何人泄漏。应避免在纸上记录口令，或以明文方式记录计算机内。一旦有迹象表明系统或口令可能遭到破坏时，应立即更改口令。口令的选择应参考以下规则：最少要有8个字符，且为数字和字母组合。密码不可包含用户帐号名称的全部或部分文字。不要使用别人可以通过个人相关信息（如姓名、电话号码、生日等）容易猜出或破解的口令。不要连续使用同一字符，不要全部使用数字，也不要全部使用字母，不要用英文单词或重要记念日。系统用户至少每季度更改一次口令，避免再次使用旧口令或半年内循环使用旧口令。检查重要服务器的系统口令是否定期进行更改。首次登录时应更改临时口令。不要在任何自动登录程序中使用口令，如在宏或功能键中存储。不要共享个人用户口令。4.2密钥管理控制描述应有密钥管理以支持组织使用密码技术。实施指南应保护所有的密码密钥免遭修改、丢失和毁坏。另外，密码和私有密钥需要防范非授权的泄露。用来生成、存储和归档密钥的设备应进行物理保护。对于一些部门所使用的USBKEY密钥必须做到专人保管、专人使用，不用时必须放置在保险柜内或带锁的铁柜中妥善保管。软件密钥或证书须专人管理分发。4.3敏感数据加密1)控制描述组织就对敏感数据制定传输全程加密和保存进行加密制度，对敏感字段也要进行加密保存2）实施指南应保护所有敏感数据免遭修改、丢失、泄漏。对敏感数据内的敏感字段须加密保存。传输过程是要求全程不落地传输。在程序自动执行传输过程中，组织应定义对敏感数据进行全程加密和不落地传输的方案，并加以执行。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：六、操作安全管理补丁管理总则1.1为加强公司补丁的管理，规范补丁部署流程，保证信息系统补丁及时更新，确保公司企业信息网络安全稳定的运行，特制定本规定。1.2本规定所涉及的补丁包括操作系统补丁、数据库补丁和应用系统补丁。适用范围本规定适用范围为东方中安信息技术有限公司公司。职责分工3.1操作系统补丁管理员3.1.1负责各操作系统（含浏览器、办公软件）补丁的管理。3.1.2负责收集操作系统漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。3.1.3负责提出操作系统漏洞修补要求和相关防护措施审批变更计划。3.2数据库补丁管理员3.2.1负责各数据库补丁的管理。3.2.2负责收集数据库漏洞信息，跟踪最新补丁信息，评估漏洞威胁、成因和严重性。3.2.3负责提出数据库漏洞修补要求和相关防护措施，审批变更计划。3.3应用系统补丁管理员3.3.1负责各应用系统（含中间件）补丁的管理。3.3.2负责收集应用系统漏洞信息，跟踪最新补丁信息。评估漏洞威胁、成因和严重性。3.3.3负责提出应用系统漏洞修补要求和相关防护措施，审批变更计划。3.4补丁测试员3.4.1负责搭建测试环境，负责测试补丁和测试结果的记录。3.4.2负责跟踪最新补丁信息和下载补丁。3.5补丁安装员3.5.1负责补丁的安装或分发，负责制订补丁修补计划。3.5.2负责解决补丁安装或分发过程中出现的问题。补丁管理4.1补丁由测试部或系统服务部统一进行下载、测试和安装，重要一级二级硬件或系统，未经许可不可私自下载安装补丁。4.2补丁来源须为原厂商官方网站或原厂商工作人员，对于非法的补丁禁止安装。4.34.3补丁安装前应先做好系统和数据备份工作，避免出现问题进行回退。经严格测试通过后方可安装。对测试不成功的补丁严禁安装，测试结果记录表见《补丁安装计划和实施方案》。4.4测试中发现的问题应做详细分析，判断发生问题的原因并及时解决如果不能解决，须记录发生问题的环境，立即反馈给原厂商。4.5对于刚发布的严重等级漏洞，无补丁或未通过测试的补丁，可采用临时解决办法消除漏洞的威胁或者暂时接受该风险。4.6制订补丁修补计划须先分析信息资产、IT系统环境、IT网络环境和信息资产重要等级，确定需要安装的补丁和相应严重等级，同时明确修补时间、修补方式和修补范围。4.7补丁安装须先填写变更工单，或工作票。相应补丁管理员和应用系统管理员对变更的必要性、风险和修补计划进行评审，评审通过后由应用系统管理员安排各级系统服务人员全过程配合补丁安装员完成补丁的安装和应用系统的测试。4.8补丁安装顺序遵循“资产价值大、威胁等级高优先安装”的原则。对于漏洞级别为严重的补丁，无特殊情况须在补丁发布后1星期内安装。4.9补丁安装完成后应进行全面检查，以确认补丁安装情况，同时制定补丁清单列表。附则文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：防范病毒及恶意软件管理规定目的和范围为了加强对计算机病毒的预防和治理，保护计算机系统安全，保障计算机系统的应用与发展，特制定本规定。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则《中华人民共和国计算机信息系统安全保护条例》《信息安全事件管理制度》职责和权限信息安全工作小组：是公司的病毒和恶意软件防治管理部门，负责公司的计算机病毒及恶意软件防治管理工作，建立公司的计算机病毒防治管理制度。采取计算机病毒安全技术防治措施。对公司计算机信息系统使用人员进行计算机病毒防治教育，及时检测、清除计算机信息系统中的计算机病毒，并备有检测、清除的记录。病毒防治管理任何部门和个人必须在所管辖的计算机（包括虚拟系统，笔记本电脑）中安装杀毒软件。信息安全工作小组每个月对各部门的PC机和笔记本电脑的查杀毒情况进行抽查。当系统服务部或测试部发现重大系统漏洞时，将下发系统补丁安装通知，信息安全小组负责收集和反馈安装情况。任何部门和个人不得有下列传播计算机病毒的行为：故意输入计算机病毒，危害计算机信息系统安全。向他人提供含有计算机病毒的文件、软件、媒体。其他传播计算机病毒的行为。任何部门和个人应当接受对计算机病毒防治工作的监督、检查和指导。任何部门和个人有违反本办法规定的，将予以警告，并责令其限期改正，逾期不改正的或因违反本办法规定而引发如计算机信息系统瘫痪、程序和数据严重破坏等重大事故的，按公司《信息安全事件管理制度》等相关规定处理。个人电脑必须启用防火墙控制安全。恶意软件管理所有计算机（包括服务器和个人电脑）都使用杀毒软件对恶意软件进行防护和检查，并将软件设置为自动升级病毒库。自管服务器的责任人需要定期对服务器的病毒库及扫描内容进行检查并记录。员工使用杀毒软件对个人电脑进行扫描，每季度至少一次。实施策略信息安全工作小组抽查各部门个人电脑查杀病毒情况，每个月进行一次，填写《电脑防病毒及软件表》。相关记录序号记录名称保存期限保存形式备注1电脑防病毒及软件表（赛门铁克）三年电子文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：软件管理规定目的和范围为加强公司设备安装软件的管理，特制定本规定。引用文件职责和权限系统服务部：是办公软件的归口管理部门，负责每个季度对公司办公软件的安装情况进行检查。各开发和测试部：是开发类软件的管理部门。软件管理3.1收集公司内软件来源主要有以下几个方面：购买商业软件；自主开发的内部应用软件；免费软件的下载；系统服务部分发的办公软件。3.2登记信息安全工作小组登记分发的办公软件、公司购买的商业软件的安装情况。各部门负责《电脑防病毒及软件表》的填写。3.3商业软件的归档和存放购买的商业软件由公司自行归档和存放。购买的商业软件统一存放于指定位置。磁盘文件存放于指定存储空间中，由专人负责整理，各软件建立独立的文件夹，标识明确清晰，并做好软件的备份工作。光盘统一存放入文件柜中，并有明显易辨认的标识，便于整理和取用。3.4开源软件的管理3.4.1开源软件的选择依据：(1)开源协议谨慎使用GPL协议，GPL协议规定使用了该开源库的代码也必须遵循GPL协议，即开源和免费。(2)功能、文档、稳定性、扩展性功能是否能满足业务需求，是否足够稳定(稳定性测试)、文档是否齐全、扩展性是否足够。性能要求较高库需要性能对比测试。

(3)源码修改a.个性化业务带来的修改

尽量使用Wrap方式，而不要直接改源码。实在绕不开，可在Git上打上Tag，并注明详细原因。

b.通用需求的修改

按源项目要求修改代码，反馈回开源社区，请求合并进主分支。

源代码修改原则：不要让clone的副本变成孤岛。(4)其他是否附有构建脚本（buildscript）该开源项目小组是否持续使用同一集成开发环境。该开源项目是否有清晰的roadmap。该项目是否设有问题跟踪器（issuetracker）？是否很快就有社区补丁推出？在社区中，关于该项目的问题反馈是否迅速？其他的开发者是否乐于使用该开源项目，在社区中关于该项目的知识技巧是否很快传播。有多少活跃的项目贡献者？版本号管理是否清晰？对于来自社区的具体需求，该项目的改进和集成情况？3.4.2开源项目的标准(1)合适的文件和代码合适的文件指的是要有自己的gitignore，合适的代码是指代码要符合代码规范（如很简单的四空格缩进很多Java开源项目都做不到）。

(2)README.mdREADME.md是一个项目必不可少的，其中要求示例、文档、引用方式、开源的Licence齐全。对Android来说示例可能包括DemoAPK、截图。引用方式可以是Maven和Gradle引用方式。

软件使用各部门负责软件的使用，如有问题及时反馈给信息安全工作小组。个人电脑办公软件首选安装wps办公软件和任一款主流杀毒软件。未经许可，任何人不得将内部使用的软件外带、传播、贩卖，不得将软件用于任何违法或非正当用途。计算机设备使用人员不得使用计算机设备处理正常工作以外的事务，不得私自改变计算机的安全配置，不得私自安装与工作无关的软件。相关记录序号记录名称保存期限保存形式备注1电脑防病毒及软件表三年纸质/电子文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：数据备份管理规定目的和范围为确保数据的完整性及有效性，以便在发生信息安全事故时能够准确及时的恢复数据，避免业务的中断，特制定本规定。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求职责和权限各部门：负责对各自部门的重要信息进行相关备份工作。备份管理4.1数据类型各部门根据业务的实际情况，识别需要备份的数据。备份数据包含但不仅限于各部门核心业务数据。涉及的部门备份数据如下：服务部：项目资料人力资源部：培训资料、合同财务部：财务系统账套研发服务体系：源代码4.2备份过程人力资源部由专人负责合同备份，定期将合同扫描，备份到U盘并妥善保管；人力资源部由专人负责培训资料的备份，出现新增内容时，将所有培训资料备份到U盘并妥善保管；财务部的财务账套由财务部自行进行备份；研发部源代码均通过SVN或VSS服务器集中管理，服务器备份工作由系统服务部负责；生产系统备份数据存放于NAS或其他存储设备上，相关设备放置于安全的区域，由系统服务部负责。每一月做一次恢复性测试。文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：系统监控管理规定目的了解服务器的运行状态，检测未经授权的信息处理活动，为安全事故提供证据，确保业务系统的稳定性、可靠性、安全性。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则职责和权限系统服务部：负责公司网络和系统访问活动的监控管理。系统监控管理4.1日志的分类需监控的日志包括但不仅限于以下类型：服务器事件日志管理员和操作员日志运行中心监控人员定期进行日志的检查。4.2日志的管理只有超级用户可以访问和管理日志文件。由系统服务部管理员定期对服务器的日志进行检查、处理，并记录确认需要开启的审计项目，服务器的操作系统要根据安全需求开启安全日志审计功能，并对系统管理员组成员的系统活动进行审计。4.3容量管理系统管理员确定检查频率，监控人员定期登录系统查看CPU，硬盘、内存的使用情况，发现问题时第一时间通知各产品线负责人。管理员要做预防性维护，在服务器没有业务操作时，每个月对服务器重起，防止服务器内存泄露，防止系统意外崩溃；并查看服务器重起后所有服务是否启动,业务系统是否正常运行。4.4时钟同步设置时钟同步，服务器及监控设备应保持时钟的一致性，公司配置时钟服务器，其他设备通过NTP服务与时钟服务器同步。所有生产系统的时钟同步工作由系统管理员完成。5.相关记录序号记录名称保存期限保存形式备注1日志检查评审记录三年纸质/电子2重要服务器容量监控评审表三年纸质/电子3重要服务器和设备日志明细表三年纸质/电子文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围制度试行日期（可选）制度执行日期文档起草人签字：日期：文档修订人：签字：日期：修订说明：备注：文档负责人：签字：日期：文档审批信息安全管理者代表签字：日期：文档审批人签字：日期：七、通信安全通信安全管理规定目标通过控制网络访问权限以及公司与外部的信息传递，防止对办公网系统和应用系统的非法访问。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则职责和权限各部门必须遵照本管理规范实行对网络、口令和权限的管理，用户必须按照本管理规范访问公司办公网系统和应用系统。Internet访问控制所有员工在工作时间禁止利用公司网络和互联网专线访问违法网站及内容。客户及第三方人员不允许直接通过可访问公司资源的有线或无线网络访问Internet，客户及第三方人员如需访问Internet应当在专设的隔离区进行。网络隔离公司与外部通过防火墙隔离，制定严格的VLAN划分，对公司内重要部门的访问进行控制。系统服务部制定VLAN访问控制说明。对不同的应用系统的用户信息及其他信息进行网络隔离。无线网络访问管理服务部对无线网络进行密码控制管理；员工对密码的保密要求在《密码控制管理制度》文件里做详细规定。信息交流控制措施信息交流方式包括数据交流、电子邮件、电话、纸质文件、谈话、录音、会议、传真、短信、IM工具等；可交流的信息，须符合《信息资产分类分级管理制度》里的密级规定;公司使用的信息交流设施在安全性上应符合国家信息安全相关法律法规、上级主管机关以及本公司安全管理规定的要求；对信息交流应作适当的防范，如不要暴露敏感信息，避免被通过电话偷听或截取；员工、合作方以及任何其他用户不得损害公司的利益，如诽谤、骚扰、假冒、未经授权的采购等；不得将敏感或关键信息放在打印设施上，如复印机、打印机和传真，防止未经授权人员的访问；在使用电子通信设施进行信息交流时，所考虑的控制包括：保护以附件形式传输的电子信息的程序；有业务信件和消息的保持和处置原则，要符合相关的国家或地方法规；在对外联系中，应注意安全保密，用Email发送机密信息必须符合公司的相关规定；因工作需要而传递公司或项目保密文件时，经批准后，可通过加密渠道传递；通过E-MAIL发送机密附件时，如有必要，附件必须加密，密码通过其他方式告知对方。使用传真的人员注意下列问题：故意的或无意的程序设定，向特定的号码发送信