员工信息安全守则-FA实用文档

目的为保证桑菲财务信息资产的安全，防止财务信息资产被恶意破坏、窃取或遭到无意损坏，保障系统和业务的持续稳定运行，特制定本守则。适用范围本规定适用于桑菲财务部全体员工，特指桑菲所有的信息系统和计算机的用户。定义无职责桑菲财务部员工：保护桑菲各种财务报表及财务信息资产的安全信息资产的安全，每个财务部员工必须认识到桑菲财务信息资产的价值，负责保护好自己生成、管理或可触及的涉及桑菲财务数据和信息。员工必须遵守桑菲《信息分类管理规定》，了解信息的保密级别。对于不能确定是否为涉密信息的内容，必须征得相关管理部门的确认才可对外披露。员工必须遵守《信息安全策略》和信息安全相关的各项制度和规定。信息安全管理部门：保证桑菲的系统、网络、数据仅限用于桑菲的各项工作相关的用途，不得滥用。将员工访问互联网、使用桑菲网络和系统的所有操作自动记录。程序关于应遵循的安全准则当员工离开自己所使用的计算机时，必须立即锁定屏幕或退出系统；所使用的计算机应设置成10分钟自动启用有口令的屏幕保护。员工离开自己的座位时，必须清空桌面上的文件及可移动存储介质。员工所使用的系统口令，必须是字母、数字和符号组合，且不少于6位。必须具复杂性以免被猜测（不得是自己的号码、生日、姓名的拼音、英文名等），必须不超过三个月更改一次口令。员工必须确保自己所使用的计算机上安装了公司统一的防病毒软件，同时留意病毒特征码是否处于最新状态。若未安装防病毒软件或病毒特征码未更新，应立即通知IT部门的计算机维护人员。员工对公司公布的防病毒措施应及时完成。一旦发现或怀疑有计算机被病毒感染，必须马上断开该计算机的联网，同时通知IT部门前来处理。当外来人员进入桑菲财务部办公区域时，员工应当主动询问来客身份及来访目的，不允许外来人员在无桑菲员工陪同的情况下逗留。员工必须对自己使用的办公系统、电子邮件系统以及其他应用系统的帐号、口令及进行的一切活动和事件负全部责任。员工在发现任何非法使用本人帐号、病毒爆发或其他任何威胁信息系统安全的的事件时，必须立即报告IT部门。对于员工所用计算机上的机密文件，应采取适当的加密措施，并妥善存放；关于不可接受的行为必须遵守国家有关信息管理的法规，不得利用网络从事违反中华人民共和国法律和法规的活动。必须注意保护自己的用户帐号和口令，不得在任何可能外露的地方写下口令。不得共享或透露个人用户名和口令，不得将内部用户名和口令借与外单位人员登录桑菲应用系统。所有使用桑菲电子邮件系统的用户必须遵守《电子邮件使用管理规定》，不得利用公司邮件系统从事任何与工作无关的、与法律法规相抵触的行为。不得随意在计算机内设置共享目录，如因工作需要，必须对目录设置口令保护和访问权限，并在共享完毕后立即取消共享功能。所使用的软件必须有可信来源；不得下载或自行安装未有合法授权的软件。员工不得私自装配并使用可读写光驱、磁带机、磁光盘机和USB硬盘等外置存储设备。不得擅自拆装办公设备，严禁自行开启机箱和拆装计算机机箱内设备。计算机用户不得擅自修改计算机的标准软件及系统配置，如用户名、用户IP地址等。未经相关管理部门批准，不得将重要信息随意存放在移动介质上或带出办公区域。禁止滥用桑菲的系统和网络资源，包括：下载大容量的与业务无关的数据或非法软件，占用网络带宽；在办公计算机上玩游戏；用IM工具如QQ、MSN等进行与工作无关的聊天。所有准许上网的计算机必须通过桑菲统一授权的网络出口上网。未经IT部门的审批，桑菲内的任何部门和个人不得私自通过拨号、ADSL或无线上网。附则本规定一经生效必须严格执行，由信息安全管理组负责日常管理和监督。对于违反本规定的人员将按照《桑菲员工手册》相关处罚规定给予处罚严重者直至追究法律责任。有授权的员工将笔记本电脑带离公司使用时，必须保证电脑中储存文件的安全，员工不得将公司的重要信息泄露出去；员工禁止将自己的笔记本电及和移动介质带到公司使用。财务部员工应将自己的文件按照其机密等级进行分类，对于机密文件应存放在文件柜中并加锁；对于涉密文件，废弃时应用碎纸机销毁。制定：腾讯控股集团管理标准GL/YY001-2021V1.0-L1外包员工信息安全管理规范2021—1-4发布2021—1-4实施————————————————-—--———————-——-—--—-———腾讯控股集团发布前言本规范系公司第一次发布，为规范公司外包员工合理使用公司信息系统资源,制定外包员工信息安全管理措施提供依据，特制定本规范。本标准由企业IT部和安全平台部负责起草、解释，自发布之日起实施。本标准主要起草人:wilsonwang(王森）；chanche(车世华）；veeqihe（何林如）；本标准主要审核人:robynliu（刘若潇）;coolcyang(杨勇）本标准批准人：ponyma（马化腾）；Charles（陈一丹）；ls(卢山);leon（郭凯天)本标准首次发布日期：2021年1月4日本标准适用范围：全公司1.目的本管理规范专为腾讯的外包员工设立，主要为了建立完善的外包员工信息安全管理制度，明确外包员工在场和离场需遵守的规范,包括但不限于：机器使用规范、帐号使用规范、场外接入规范、离场规范等。2。适用范围本管理规范适用全公司范围内所有外包员工。3。相关定义劳务派遣单位与劳动者建立劳动关系后，按照与用工单位订立的派遣协议将劳动者派到用工单位劳动，这类劳动者称之为外包员工：即企业将其非核心的业务外包出去,利用外部优秀专业团队承接业务,从而使其专注核心业务，达到降低成本、提高效率、增强企业核心竞争力和对环境应变能力的目的，这类服务外包及项目外包的员工统称为外包员工。腾讯集团域：因投资并购等原因与腾讯构成合作关系的法人企业。在场外包员工：外包员工在腾讯公司自有或租用办公环境内进行办公的称为在场外包员工.场外外包员工：外包员工在腾讯公司自有或租用办公环境外进行办公的称为场外外包员工。腾讯公司办公内网主要包括三类:办公网、开发网、体验网，使用原则是“专网专用，专机专用"，相关定义如下：办公网：从事日常办公行为，如公文处理、访问内部OA系统、访问授信互联网网站、使用RTX、使用Tencent域收发邮件等.开发网:从事软件开发、测试等研发行为，如访问SVN代码管理系统、使用开发环境编写代码、对代码进行测试、访问运维接入平台等。体验网:从事外部互联网产品体验行为，比如访问非授信互联网网站、访问非腾讯公司业务等。4。在场外包员工信息安全管理4。1责任人4。1。1外包员工在场办公必须使用腾讯公司提供的办公和开发主机.4.1.2外包员工本人对所使用的办公、开发主机和外包帐号负直接责任,应尽到保全资产完整性以及合理使用帐号的义务。4。1.3管理外包员工的腾讯员工对外包员工使用的办公、开发主机和外包帐号负管理责任。4.2办公主机使用管理外包员工通过办公或开发机接入腾讯公司内部网络进行工作,须遵守公司《办公PC使用管理规范》(见附录A）和《防止办公网内高危行为管理办法》（见附录B）。4。2.1外包员工使用的办公或开发机必须满足以下要求，才允许接入腾讯内部办公或开发网：必须安装腾讯指定的标准化操作系统；安装腾讯指定办公安全接入软件;安装腾讯指定的防病毒软件和办公安全接入软件.4.2。2严禁办公或开发机在接入内网的同时接入其他网络,包括但不限于：使用双网卡，在连接内网的同时连接其他网络;在连接内网的同时,使用GPRS或3G；在连接内网的同时,使用拨号或专线的方式连接到公司外部网络.4。2。3外包员工必须使用开发机接入开发网访问腾讯内部研发资料.4.2.4禁止外包员工在办公和开发主机中安装任何类型的扫描、窃听或攻击性质的应用程序。4.3帐号和访问权限管理4.3。1内网信息系统分级规定：安全级别信息系统一级RTX、内部邮件系统、互联网基础OA应用系统（见附录C)二级源代码管理系统、文档系统、项目管理系统、业务管理系统三级VPN、跳板机、IDC生产系统外包员工默认使用腾讯集团域办公帐号，若有特殊需求，可申请腾讯公司内部帐号：以小写v开头，后跟下划线_和英文ID，如v_waibao.4。3.3外包员工帐号须唯一对应一个外包员工,禁止外包员工共用帐号。4.3.4外包员工帐号默认不具有内网信息系统访问权限，根据实际工作需要可申请一级和二级信息系统访问权限，申请方式如下：源代码管理系统,权限申请链接：：//code.oa。com/workflow/home；业务管理系统，权限申请链接：：//sec。com/；其它系统，需用人部门经理同意，并通过邮件向IT负责人申请开通,邮件申请格式参照《外包员工访问内网系统权限申请表》(见附录D）.禁止外包员工使用开发电脑访问互联网。4。3。6禁止外包员工访问三级信息系统。4.3。7外包员工进出腾讯公司IDC机房，须由腾讯公司员工陪同,其它要求参照《腾讯IDC出入管理规范》(见附录E)。4。4信息使用管理4.4.1外包员工禁止以任何形式对腾讯公司敏感信息进行未授权访问和处理。4。4。2禁止对敏感信息做如下处理:1)非工作缘由将敏感信息携带出腾讯公司；2）向非腾讯公司授权方公布敏感信息；3)未授权浏览、篡改敏感信息。4。4.3敏感信息包括：1）源代码信息,包括但不限于：开发测试代码、已发布产品代码、已下架产品代码等;2）未发布产品信息，包括但不限于:产品属性、界面UI、功能和使用说明等；3)用户数据，包括但不限于：用户个人资料、产品使用记录等；4）人事信息，包括但不限于：薪酬、组织架构、职级等。5.场外外包员工信息安全管理5.1原则上要求所有外包工在腾讯公司提供的职场环境内办公，默认不开放外网接入腾讯公司内网系统进行办公的权限。如因实际工作需要,需从外网环境接入腾讯内网，必须经企业IT部与安全平台部联合评审,由涉及的业务负责方通过邮件发起评审，邮件申请格式参照《场外办公环境接入腾讯内网申请表》（见附录F）.5。2对场外办公的外包员工开放的内网系统,需与其它内网系统实施隔离措施，隔离方案由企业IT部与安全平台部制定。5。3对场外办公的外包员工开放的内网系统，不得对外提供如下信息：1)腾讯内部的开发测试代码和IDC运营系统数据。2）腾讯内部服务器运维操作权限。6.外包员工离场管理6。1外包员工离场前须配合腾讯公司完成文档、代码下载检查和访问权限回收工作.6。2外包员工离场流程、门禁使用等参照《外包员工入场离场管理规范》（见附录G).7。外包员工违规处罚7.1在场外包员工须遵守公司《员工行为准则》（见附录H）和《员工奖惩制度》（见附录I），若发现有违反本规范或触及高压线等行为者，停止此外包员工相关工作,退回到外包公司，由外包公司根据商务合同进行处理，并保留追究相关外包员工法律责任的权利。7.2管理外包员工的腾讯员工对外包员工的行为负管理责任.8.附录附录A（规范性附录）：《办公PC使用管理规范》附录B（规范性附录)：《防止办公网内高危行为管理办法》附录C（规范性附录):《基础OA应用系统》附录D（规范性附录）：《外包员工访问内网系统权限申请表》附录E(规范性附录)：《腾讯IDC出入管理规范》附录F（规范性附录):《场外办公环境接入腾讯内网申请表》附录G(规范性附录)：《外包员工入场离场管理规范》附录H（规范性附录)：《员工行为准则》附录I（规范性附录）：《员工奖惩制度》附录A（规范性附录)办公PC使用管理规范附录B（规范性附录）防止办公网内高危行为管理办法附录C（规范性附录）基础OA应用系统基础OA应用系统链接地址OA首页oa。comtoken平台token。oaHR首页内部论坛bbs.oa。com考核系统oliver。oa个人工作台my。oa招聘首页8000首页供应链系统Scm。oa。com流程门户网站Office.oa。com安全确认平台it-web.oa。com（myit.oa）会议系统Meetingroom。oa腾讯安全运营平台sec。itilHR报表系统hrms.oa。com费用管理系统cost。oa公司发文policy。oa。com内部申诉系统ss。oa。comQQ安全平台qq。oa。comQQ安全中心st.oa。comvpn申请跳转页面合同管理系统contract。oaK2平台员工成长与发展营销活动管理系统mkt.oa。com财经服务平台fm。oa流程维度维护bryony.oa。com附录D(规范性附录)外包员工访问内网系统权限申请表发件人:管理外包员工的腾讯员工收件人：8000抄送：外包用人方Leader主题:【申请OA权限】内容格式:申请内容：需访问的系统名称和URL。申请原因：使用系统的用途和原因描述清晰。其它：申请使用的有效期等。附录E（规范性附录）腾讯IDC出入管理规范附录F（规范性附录)场外办公环境接入腾讯内网申请表发件人：管理外包员工的腾讯员工收件人:企业IT部和安全平台部安全评估接口人抄送：外包用人方Leader、管理外包员工的腾讯员工leader主题:【XX场外办公环节接入腾讯内网申请】内容格式：申请内容：需访问的资源名称或URL。申请原因：使用系统的用途和原因描述清晰。其它：申请使用的有效期等.附录G（规范性附录)外包员工入场离场管理规范附录H（规范性附录）员工行为准则附录I（规范性附录）员工奖惩制度技术方案专用表格信息服务平台所在城市北京市填表说明请勾选你公司信息服务平台建设所在城市名称，若在多个城市建设信息服务平台，请如实勾选多个城市名称.网络与信息安全保障措施专用表格网络与信息安全责任人孙丕春联系（）网络与信息安全管理组织机构设置及工作职责一、组织机构设置1、公司成立网络与信息安全领导小组，是网络与信息安全的最高决策机构，下设办公室，负责日常事务。2、网络与信息安全领导小组下设两个工作组：网络与信息安全工作组、应急处理工作组。组长分别由李四、王五担任。二、工作职责（一）网络与信息安全领导小组主要职责包括：1、根据国家和行业有关政策、法律和法规，批准公司网络与信息安全总体策略规划、管理规范和技术标准；2、确定公司网络与信息安全各有关部门工作职责，指导、监督信息安全工作。(二)网络与信息安全工作组的主要职责包括:1、贯彻执行公司网络与信息安全领导小组的决议，协调和规范公司网络与信息安全工作；2、根据网络与信息安全领导小组的工作部署，对网络与信息安全工作进行具体安排、落实；3、组织对重大的网络与信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；4、负责协调、督促各职能部门和有关单位的网络与信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行;5、组织信息安全工作检查,分析网络与信息安全总体状况，提出分析报告和安全风险的防范对策;6、负责接受各单位的紧急网络与信息安全事件报告，组织进行事件调查,分析原因、涉及范围，并评估安全事件的严重程度，提出网络与信息安全事件防范措施；7、及时向网络与信息安全工作领导小组和上级有关部门、单位报告网络与信息安全事件.8、跟踪先进的网络与信息安全技术,组织网络与信息安全知识的培训和宣传工作。（三）应急处理工作组的主要职责包括:1、审定公司网络与信息系统的安全应急策略及应急预案；2、决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障,恢复系统；3、每年组织对网络与信息安全应急策略和应急预案进行测试和演练。网络与信息安全管理人员配备情况及相应资质网络与信息安全负责人一：郝小杰,专业:计算机科学与技术学历：本科联系方式：归属部门：技术部工作内容：—负责在线交易相关安全制度、规范、流程、风险指标的建立和宣传

-负责各业务线安全模型的建立与完善，并基于模型进行风险梳理工作类型：全职网络与信息安全负责人二：任璐璐专业：计算机应用技术学历：大专联系方式：归属部门：技术部工作内容：

—负责协调各业务线,将安全制度、规范、流程等安全指标进行落地

-负责安全事件评级制度、安全应急响应流程的建立与落地

-负责承接各业务线安全评估与审计需求,并协调资源保证需求按时完成工作类型：全职网络与信息安全工作人员一：王福涛专业：社会工作，计算机科学与技术学历：大专联系方式：归属部门：技术部工作内容：

-实施代码安全审查和检测，配合完成渗透测试及相应的后续修复及二次测试工作;

—负责系统及各类应用软件的安全评估、漏洞修复和更新等工作；

-.负责安全问题、安全事件的跟踪和分析,提供相应的预警及事后报告;

-帮助完成安全相关的测试用例,协助完成安全测试报告；

工作类型：全职网络与信息安全责任承诺我公司在取得经营许可证以后，在从事电信业务经营活动中,严格履行国家要求的网络与信息安全责任，将遵守如下承诺：1、建立信息安全管理制度，包括信息安全管理责任制、信息安全评估、用户信息安全管理、违法违规互联网信息服务和违法信息的巡查与处置、重大信息安全事件应急处置和报告制度、信息安全教育培训、用户举报和投诉处理等制度。2、制定并落实网络与信息安全管理责任制，通过文件形式明确企业网络与信息安全主管部门工作职责、企业其他部门的网络与信息安全工作职责、网络与信息安全工作考核及奖惩机制等内容。工作职责至少包括制定网络与信息安全年度工作计划、制定网络与信息安全相关工作制度、负责网络与信息安全事件的响应/处置/协调、负责网络与信息安全教育培训及应急演练等。3、严格落实违法违规信息发现处置机制，阻断违法违规信息发布，对于已发布的违法违规信息应当立即停止传输,保存有关记录，并向国家有关机关报告。4、严格落实违法违规信息投诉受理处置机制,设立网络、、邮件等多种违法违规信息投诉渠道，对于举报的违法违规信息进行及时核实并处置。5、严格落实重大信息安全事件应急处置和报告制度，对于涉及业务相关数据安全、涉及国家网络信息安全的重大事件进行紧急处置，并向主管部门上报。6、定期开展信息安全相关法律法规及安全政策文件、配合政府监管机制、信息安全保障制度、信息安全技术手段等方面培训，培养员工信息安全意识，提高员工信息安全工作能力。7、按照相关法律法规及行业主管部门要求建立违法违规信息发现和过滤技术手段,能对违法违规信息进行隔离、过滤处置.8、按照相关法律法规及行业主管部门要求建设用户日志留存系统，留存规定的日志信息，留存时间满足法律规定要求。9、制定网络安全防护管理制度,明确并落实网络安全“三同步”、定级备案、符合性评测和风险评估等要求。10、制定并落实网络安全事件应急预案和网络安全事件应急处置报告制度,明确网络安全事件应急处置机制、网络安全事件上报和网络安全应急演练等要求.11、按照通信网络安全防护相关标准配套落实网络安全防护技术手段，至少应涉及业务及应用安全、网络安全、设备及软件系统安全和物理安全等相关技术手段。12、网络与信息安全联络员或联络方式变动时，在两个工作日内主动向申请机关报备。承诺□不承诺□法定代表人签字：(公司盖章）日期：填表说明公司盖章且法定代表人签署的依法经营电信业务承诺书示例图片说明:示例图片隐去相关隐私信息,企业提交的扫描图片应清晰可见全新信息。常见错误:1、承诺书扫描图片过于模糊；2、下载填写的承诺书模板与批准业务种类不一致;3、承诺书没有法定代表人亲笔签字；4、图片倒立或横着上传，导致查看不方便。填表说明请下载模板，并根据当前许可证下的已有业务在对应的依法经营承诺书上签字盖章后上传；若申请法定代表人变更业务，则需要新法定代表人签署。公司企业法人营业执照副本、法定代表人身份证示例图片说明：示例图片隐去相关隐私信息，企业提交的扫描图片应清晰可见全新信息。常见错误：1、企业法人营业执照副本、法定代表人身份证扫描图片过于模糊；2、法定代表人身份证缺少背面原件彩色扫描件;3、企业法人营业执照副本、法定代表人身份证已过有效期限。填表说明企业法人营业执照副本原件彩色扫描上传;法定代表人有效期内的二代身份证原件正反面彩色扫描上传。公司章程(加盖工商局档案查询章的原件）示例图片说明：示例图片隐去相关隐私信息，企业提交的扫描图片应清晰可见全新信息。常见错误：1、工商档案查询章程扫描图片过于模糊；2、公司章程未加盖工商局档案查询章;3、公司工商档案查询章程时间过久，章程中的股东出资情况不是最新的；4、公司工商档案查询章程不完整，缺少历次章程修正案。填表说明1、加盖工商局档案查询章的公司章程原件彩色扫描上传;2、如果图片超过10张,建议整理后放在word或pdf文件中上传，且文件命名应与文件内容相符。完整详细的股权结构图（法人签字并公司盖章）及其相关证明示例图片说明：示例图片隐去相关隐私信息，企业提交的扫描图片应清晰可见全新信息。常见错误：1、股东股权结构图未逐级追溯到自然人或国有独资公司或境内上市公司为止；2、股东股权结构图缺少法定代表人亲笔手写签字和公司盖章;3、缺少逐级追溯出来的企业法人股东的下述证件材料；4、申请企业提交的二级及二级以上企业法人股东全国企业信用信息公示系统截图与全国企业信用信息公示系统中的真实公式信息不一致.填表说明1、公司盖章法定代表人签字的股东股权结构图，应一直追溯到自然人或国有独资公司或境内上市公司。股东股权结构图至少应包括：股东名称、股权比例，并根据实际情况写明是否含有外资成分。如追溯到任何一级股东都不含外资成分,请在股东股权结构图下方承诺(已批准的外商投资企业除外）“本公司向上追溯到任何一级股东都不含外资成分”;如某一级股东含有外资成分,请在股东股权结构图下方写明“本公司第X级股东XXX是外资”，并对外方资本做简要说明.2、公司一级股东为自然人的，需上传其二代身份证原件彩色扫描件。3、公司一级股东为企业法人的，需上传企业法人营业执照副本原件彩色扫描件和加盖工商局档案查询章的公司章程原件彩色扫描件。4、公司二级及二级以上股东为企业法人的，需提交其在全国企业信用信息公示系统(：//gsxt。saic。gov）查询出的工商公示信息中的“股东信息"截图。若系统中的某股东信息与实际情况不符，需上传该股东的企业法人营业执照副本原件彩色扫描件和加盖工商局档案查询章的公司章程原件彩色扫描件。5、若某级股东为新三板上市公司,需提交中国证券监督管理委员会发放的《关于核准XX公司股票在全国中小企业股份转让系统公开转让的批复》原件彩色扫描件，以及全国中小企业股份转让系统更有限责任公司出具的《关于同意XX公司股票在全国中小企业股份转让系统挂牌的函》原件彩色扫描件。6、如果图片超过10张,建议整理后放在word或pdf文件中上传,且文件命名应与文件内容相符。主要管理、技术人员身份证……示例图片说明：示例图片隐去相关隐私信息，企业提交的扫描图片应清晰可见全新信息。常见错误：1、主要管理、技术人员身份证扫描图片过于模糊；2、主要管理、技术人员缺少背面原件彩色扫描件；3、主要管理、技术人员身份证已过有效期限；4、主要管理、技术人员身份证扫描图片与公司概况表中的所有主要管理、技术人员名单、顺序不一致。填表说明请按照公司概况表中的所有主要管理、技术人员顺序,依次上传其二代身份证原件彩色扫描件。公司近期为员工所上的社保证明(应加盖社保机构红章）示例图片说明:示例图片隐去相关隐私信息，企业提交的扫描图片应清晰可见全新信息.常见错误：1、社保证明查询时间过久，已过社保平台核验查询时效，或不能体现公司最新人员在职情况；2、社保证明未包含公司概况所填人员中的至少三人;3、社保证明中的公司名称与申请公司名称不一致；4、采用劳务派遣形式的，缺少双方签署的劳务派遣合同、劳务派遣机构的营业执照、劳务派遣经营许可证原件彩色扫描件。填表说明1、社保证明应包含公司概况所填人员中的至少三人。2、社保证明需包含以下要素：公司名称、人员姓名、身份证号、缴纳社保期限、社保部门公章等。3、若公司员工采取劳务派遣形式，还需要提交双方签署的劳务派遣合同，以及劳务派遣机构的营业执照、劳务派遣经营