员工信息安全管理制度

员工信息安全管理制度下发层级：一级（通用）发布时间：9月7日编码：XX-13-26目录TOC\o"1-5"\h\z\o"CurrentDocument"制定目的2\o"CurrentDocument"适用范围2规范事项2一、职责2\o"CurrentDocument"二、员工录用安全管理2\o"CurrentDocument"三、员工岗位调动的安全管理3\o"CurrentDocument"四、员工离职的安全管理4\o"CurrentDocument"五、工作环境安全5\o"CurrentDocument"六、合作接待与信息交流6\o"CurrentDocument"七、计算机终端使用7\o"CurrentDocument"八、文档保密10\o"CurrentDocument"九、信息安全教育培训12\o"CurrentDocument"考核条款13附则13制定目的为了加强（以下简称“公司”）信息安全保障能力，建立健全信息安全管理体系，提升网络与信息安全水平，增强员工整体的信息安全意识，有效防范和化解安全风险，结合公司实际，制定本制度。适用范围本制度适用于公司部门、各分支机构及其员工。规范事项一、管理职责（一）各部门（机构）负责人是本部门（机构）信息安全的第一责任人，负责信息安全管理规定在本部门的推行和落实，对本部门（机构）人员的违规事件承担领导责任。（二）各部门（机构）应对员工进行培训、教育和宣传，帮助员工遵守公司的信息安全策略、标准和管理规定，报告信息安全隐患、漏洞或事故，树立主动保护公司信息资产的意识。二、员工录用安全管理（一）员工录用，除了应该遵守相关人事和劳动法律法规外，还必须考虑以下安全事项：除了严格考察该人员的业务技术水平和相关资质认证（相关计算机认证证书等）外，还必须考虑政治、社会和素质等多方面的因素。不考虑录用有犯罪前科、重大行政处分纪录和“黑客”经历的人员。如有特殊情况，需要经信息中心总经理同意后，方可考虑录用。优先从内部优秀人员中选拔担任关键岗位，并签署岗位安全协议，明确应尽的信息安全保护义务，保证其在岗工作期间和离岗后按照保密协议所规定的时期内，不得违反岗位安全协议。（二）除签订劳动合同外，必须签订《保密协议》，明确该员工应严格遵守的相关安全管理制度、安全技术规范和保守商业机密的要求以及违约责任等。（三）新员工入职后，需接受“信息安全与保密意识”培训。员工应积极学习和遵守公司各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中，要有强烈的信息安全和保密意识，要有职业的敏感性，有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。三、员工岗位调动的安全管理（一）公司员工进行岗位调动时，必须考虑以下安全事项：根据新岗位的需要，增加、删除或修改该人员的计算机信息系统访问权限，包括电子邮件系统、业务应用系统、网络系统和其他计算机信息软硬件系统。如有必要，重新创建相关管理员账号并修改其口令。如有必要，修改合同中有关条款和相应的保密条款或保密协议，并拟定新的雇佣合同，而且原合同中的保密条款或保密协议将继续有效，如有冲突以新合同为准。与原岗位有关的所有资料文件，包括其软硬拷贝都需要移交。（二）在进行工作交接时，应注意做好以下几方面的工作：保密信息的移交和清理；应用系统账号与权限的移交和清理；归还办公室、机房等的钥匙。（三）员工调动部门后，在工作交接完毕后，应及时、彻底地删除或销毁持有的所有与新岗位工作无关的文档，删除或销毁的方式必须符合公司规定，如要使用碎纸机销毁含保密信息的纸件，而不能直接扔垃圾箱或用手撕毁等。如在新岗位需继续保留原岗位保密信息，一定要经过保密信息所有人批准。四、员工离职的安全管理（一）公司员工在离职时，必须遵守以下安全操作流程：删除该员工的所有信息系统访问账号和权限，如有必要将重新创建有关管理员账号和口令。由相关人员和该员工一起回顾其签订的保密协议，并使该员工明确所有保密事项，以及在离开公司后协议期内不得披露、使用原公司的技术资料的规定。（二）员工在其离职两年内仍要按照进公司时签订的合同，承担下列保密责任，否则将承担违约的民事或刑事责任：不带走从公司获取的任何资料，包括但不限于记载于纸件或胶片上的文档、文件、图表、目录，存储于磁盘、光盘上的软件、程序等。离职后一年内不得到与公司有竞业关系的公司从事与在公司工作期间工作性质相同或者相似的工作。未经公司书面同意，不向任何单位和个人透露或使用在公司就职期间获得的商业秘密，包括技术秘密、商务秘密、财务秘密、管理秘密以及其他经营秘密。（三）员工的隐私和个人身份信息保护应确保符合相关法律、法规的要求。（四）对关键岗位转岗和离岗人员需要向其重申调离后的保密义务，要求调离人员在保密承诺文档上签字，承诺相关保密义务后方可离开。五、工作环境安全（一）桌面上不能放有秘密级以上文件。秘密级以上文件应放在带锁抽屉或保密柜内。下班或离开办公桌5分钟以上，应关闭或锁定计算机。（二）会议安全注意事项：开会前，需要确保选取的会议室和开会内容的安全级别相匹配。例如：召开部门例会，可以选取部门公用会议室。如果是特别保密或敏感的会议建议在公司内的会议室召开。特殊情况下（比如时间和空间条件限制、会议与会者的情况限制等）才可以在公司外部场所召开会议，召开之前需要得到会议组织部门领导的批准。会议召集人负责会议的信息安全。在会议前就应明确与会者名单；开会时确定与会者的身份及其参会资格，比如，要求与会者佩戴工卡并核对签到等；会议期间，会场的出入口应有专人值守；确认除主入口外，其他入口已经关闭或是有专人值守。参会人员应自觉将会议资料保管好，不得在离开会议现场时随意将其放置在桌面上或是在人离开后放置在宾馆房间里，更不能将保密资料丢弃至酒店。如果需录音、录像或者拍照等，需要经过会议组织部门负责人批准。会议结束后，要带走相关的会议资料，同时清理会议室场所（包括相关机器设备上的电子件材料、白板上的板书信息、纸质材料等），保证会议信息无泄漏和会议室使用后的整洁。（三）员工因公外出，若需携带保密资料，应注意如下事项：因公外出只允许携带工作相关文档，携带外出的保密资料需首先通过审批，在离开公司时出示经过审批的有效凭证;绝密级别的资料在出差期间必须随身携带，妥善保管；一般情况下，乘坐飞机、火车等公共交通工具时，含有保密信息的便携机等移动存储设备需随身携带，不能托运（但若与当地法律法规冲突，则以当地法律法规为准）；从酒店外出时，如确实无法随身携带，应将便携机、保密文件存放在保密柜中，不要交酒店前台保管；应做好访问控制的设置，如设置便携机开机、屏保和硬盘口令等。六、合作接待与信息交流（一）外部合作单位人员进入公司，根据公司的信息安全管理策略，接口部门主管或项目经理负责外部人员的信息安全管理工作，接口人应全程陪同外部人员，确保只能在经批准的办公区域进行本次业务相关的活动。（二）外部合作单位人员在批准的办公区域使用便携式电脑，需遵守相关网络管理规定。（三）因工作需要，向公司外人员发送保密信息应注意以下事项：向外部提供文档资料时，应遵照相关规定，首先获得接口部门主管许可，然后向信息归属部门申请：发送的资料要加密，以防止保密信息泄密；发送绝密、机密级文件，发送的方式范围、对象需经过信息所有人审批；保密信息必须加密发送并设置回执，如：口令、研究报告、开发信息和其他的敏感数据；需事先与接收方签署保密协议。（四）接待人员对外接待交流中需要注意以下信息安全事项：接待人员不应向供应商/合作商透露业务范围之外的公司技术、商务情况，不随意承诺，不在授权范围之外行事，已经承诺和双方达成意向的事宜应当做正式记录。供应商/合作商需要查看公司文档、资料，按如下优先顺序提供：查阅（不借）-＞纸件借阅-＞电子档借阅。向供应商/合作商提供含有公司保密信息的文件、资料或实物的，接待人应获得部门主管批准，并与供应商/合作商签订保密协议后再行提供。七、计算机终端使用（一）员工办公PC客户端必须遵守关于终端安全、上网行为管理、邮件安全等相关管理规定，不得随意修改计算机配置，不得私自安装软件、不得卸载或停用公司统一安装的管理软件。所有对PC客户端的变更，均需通过桌面运维人员进行。（二）不能擅自配置固定IP地址，不得启动除公司标准协议外的任何其他网络协议，严禁在PC客户端运行网络服务程序，严禁利用个人计算机架设无线网络接入。（三）上互联网不得访问与工作无关网页，注意不要访问不熟悉的网站、不要下载来历不明文件，不要点击不明链接。（四）计算机发生故障需要修理时，员工应交付桌面运维人员在公司内进行维修，如涉及密级以上信息，员工应监督整个维修过程。（五）员工在使用自己所属的计算机时，应该设置开机、屏幕保护、目录共享口令，口令标准参见《密码管理规范》。（六）员工不应私自开启计算机机箱，如需拆机箱，想公司信息中心或机构信息技术专员提出申请。（七）非公司配备的计算机部件不能在办公室使用，如自购的声卡、音箱、MODEM、光驱、光盘、话筒、硬盘等。（八）严禁利用公司计算机从事玩游戏、看视频等与工作无关的娱乐活动。（九）员工机器上不得安装非标准软件或未经申请的软件。（十）严禁安装黑客、破解等工具软件，员工不得安装和使用黑客工具软件、影响或破坏公司网络运行的软件。（十一）员工应安装、运行公司标准规定的防病毒软件并及时升级，对公司公布的防病毒措施应及时完成；在安装完公司的防病毒软件后，员工应立即进行查毒、杀毒工作；员工不应安装未经公司许可的防病毒软件。（十二）员工严禁制造、传播计算机病毒；在收到公司内部员工发来的文件中发现病毒，应及时通知对方杀毒。（十三）不打开来历不明的邮件，在收到外部的Email邮件中，如发现携带病毒，应及时通知公司信息中心。（十四）员工的计算机网络设置应符合公司制定的标准，不得使用可以隐含和伪造上网终端基本信息。（十五）员工不得私自与其工作职责不相符的软件。（十六）计算机上不能放与工作无关的内容，如黄色内容、VCD、图片、BBS、娱乐站点、游戏等有害信息；员工不应下载、使用、传播与工作无关的文件，也不应下载的来历不明的文件，如：屏幕保护文件、图片文件、小说、音乐文件等与工作无关的文件。（十七）严禁员工利用公司网络传播和散布破坏社会秩序的文章或政治性评论；员工不应在公司网上传播和散布与工作无关的文章和评论。（十八）员工不应利用公司互联网服务访问与工作无关的站点，特别是反动、淫秽、游戏、聊天等类型的网站。（十九）公司的网络标准协议为TCP/IP，未经信息中心许可，不得启动除标准协议外的任何其他网络协议，如SPX/IPX，NETBios等。（二十）如果员工有使用其他网络协议的需要，应向信息中心提出申请，并应严格按照批准的方式（包括地点、时间、使用人、环境）执行。在使用期限之后，应立即恢复为规定的网络协议配置。（二十一）如果员工工作需要使用固定IP地址，须向当地网络管理员或指定授权人申请，按照管理员指定的IP地址设置，以避免擅自设置的IP地址与其他员工计算机的IP地址或服务器的IP地址冲突。（二十二）对经批准可以拨号上网的，与外部网络连接时，使用计算机应与公司网络断开，以免来自Internet上的攻击影响公司网络运行。（二十三）员工需增加、拆离或更换网络设备（HUB、交换机等）时，须向信息中心提出申请，由网络管理人员负责设备的安装和调测。（二十四）员工需要用网线连接两台或多台网络设备（HUB、交换机、路由器）时，应向信息中心提出申请，由网络管理人员负责设备的安装和调测。（二十五）开发和测试公司网络产品的人员在测试、研发网络产品或其他网络产品时，注意不要将其连接到公司网络上。（二十六）员工在计算机上安装两块或多块网卡时，应注意不要启动路由/网关功能。（二十七）员工在测试一些应用系统时，如须启动WINS、DHCP、DNS等网络服务时，应注意不要和公司网络连接。（二十八）员工不应私自设立WWW、FTP、BBS、NEWS、DOMINO等应用服务；员工不得设立网上游戏服务，如DOOM等。（二十九）员工安装的WinNT\W2000\UNIX\LINUX等网络操作系统，不得启动动态路由（RGP\OSPF、EIGRP等）服务；应注意查看是否安装和启动DNS、WINS、DHCP等网络服务，如已安装，应立即删除或禁止启动该服务。（三十）员工注意查看自己机器是否启动了WWW等服务，如已启动安装，应删除或停止该服务,WWW服务可由以下软件提供:WINDOWSNT\WINDOWS2000的IIS、WIN98的PERSONALWEBSERVER（PWS）、UNIX操作系统下的ApacheWEBSERVER等。（三十一）员工不得私自设立拨号接入服务。（三十二）员工应正常使用公司的应用系统，不得在公司网络上运行有攻击公司应用系统的黑客软件。（三十三）员工之间不应私下互相转让、借用公司IT资源的账号，如MAIL账户、ORACLEFINANCIAL账户、业务系统账户、OA账户等。（三十四）对公司应用系统（OA、EMAIL、业务系统等）的账户口令，应定期更改。（三十五）员工发送电子消息时，应对发送消息进行一定程度的保护，例如采用加密的方式。（三十六）对工作需要授权他人查看自己的邮箱或自己有权的其他应用系统的信息时，应尽量通过增加对方权限或临时授权的方式，而不应将自己的账户和密码告诉被授权人。（三十七）在工作岗位调动或离职时，应主动填写移交或账号变更申请表（公司各种应用系统的账号）。（三十八）员工完成应用系统的操作或离开工作岗位时，应及时退出应用系统。（三十九）用户在使用公司应用系统时应该输入或下载与自己工作有关的信息，不应输入一些与工作无关的信息。八、文档保密（一）在日常工作中标识文档密级应达到如下要求：对于Office文档，公司要求每位员工都使用公司提供的模板创建文档，创建后根据内容在页眉处添加正确的密级。对于打印资料，每一页都需要有明确的密级标识；对于装订的硬拷贝资料，需至少在开启前页、标题页和尾页上放置资料密级标签；对于印刷的、手写的保密敏感信息需要在其某个醒目地方设置保密标签；电子文档和纸件文档，均需注明“机密，未经许可不得扩散”或类似字样。（二）公司内部的所有绝密、机密和秘密级文档是要求加密的。对于内部公开级文档，各业务部门可根据实际业务情况决定是否需要加密。对于Office类保密文档，需使用加密软件（如：zip等）压缩加密，密码设置须符合公司《密码管理规范》。所设定的密码禁止使用短信或邮件传递，只能通过电话语音通知。传送含保密信息的纸件时，一定要用质量好的信封等进行封装，并且只能发给收件人本人或其机要秘书，同时做好传送记录。另外，不能使用手机短信发送机密或机密级以上的保密信息。（三）未经信息所有人批准，员工无权将自己有权使用的保密信息再授权或提供给他人。经授权获得保密信息使用权的人员也不能私下与他人交流该保密信息。对作废的、或者已无权再接触的保密信息要删除和销毁，删除和销毁原始保密信息应征得相应主管同意。（四）关于信息介质销毁应注意事项如下：纸件：含秘密级以上信息的纸件不能重复使用，必须用碎纸机销毁，不能直接丢弃或用手撕毁。电子件：删除后注意清空垃圾箱。存储有保密信息的存储介质：存储有保密信息的存储介质作废时，应采取不能恢复的物理性销毁，如将硬盘送到我司指定地方进行碾轧或消磁等；在计算机转移给公司其他员工前，要对硬盘进行格式化；在计算机转移到公司之外（如超过规定使用年限的便携机转移给个人）前，要对硬盘进行低级格式化。（五）严禁员工机器保留与工作无关的文档和未经批准的业务、产品文档。（六）己作废的密级文件应及时用碎纸机销毁，不得随意丢弃。（七）对于本机上的机密文件，应采取适当的加密措施，妥善存放，如对Word文档可用Word的加密口令进行加密，也可用winzip或winrar对文件进行压缩并加密。（八）严禁员工私自收集、泄露公司机密信息。（九）员工EMAIL邮箱的设置应符合公司配置要求，回复地址应设置为本人邮箱址。（十）员工如收到可疑的EMAIL邮件，不要打开并及时通知信息中心处理，以免感染上可能存在的病毒。（十一）对发送到公司外部的涉及公司机密信息的