员工信息安全手册-中国科学院继续教育网.docx
- 文档编号:268440
- 上传时间:2022-10-08
- 格式:DOCX
- 页数:17
- 大小:41.70KB
员工信息安全手册-中国科学院继续教育网.docx
《员工信息安全手册-中国科学院继续教育网.docx》由会员分享,可在线阅读,更多相关《员工信息安全手册-中国科学院继续教育网.docx(17页珍藏版)》请在冰豆网上搜索。
CNNIC信息安全管理体系
员工信息安全手册
文档编号:
ISMS-02013-1004
文档日期:
2013/02/28
文档版本:
1.2
本文档所包含的信息在未事先得到中国互联网络信息中心书面同意之前,本文档全部或部份内容不得用于其他任何用途或交与第三方。
目录
第1章总则 1
第2章总体原则 1
第3章管理规定 2
第一节桌面系统使用规范 2
第二节密码使用规范 3
第三节病毒防护和可移动代码管理规范 4
第四节电子邮件使用规范 5
第五节办公自动化使用规范 7
第六节保密信息使用规范 8
第七节网络使用规范 8
第八节办公设备使用规范 9
第九节工作环境安全规范 10
第十节移动存储介质使用规范 11
第十一节信息安全事件报告规范 11
第十二节安全奖惩条例 12
第十三节其他 14
第4章附则 14
第5章附件 16
CNNIC日富愁检查表 16
1.分发控制
文档权限
说明
CNNIC内部员工
只读
本文件于CNNIC内部网站中发布,路径为cos2主页・>规章制度->CNNIC信息安全管理体系规章制度(ISMS体系文件)
2.文件版本信息
"号
修订日期
变更描述
批准发布日期
批准人
0.9
2010.4.1
试运行发布
2010.4.15
1.0
2010.5.7
正式发布
2010.6.18
领导小组
1.1
2011.7.25
根据CNNIC组织结构及部门职能的变化,结合ISMS体系运行的实际情况,安全管理中心与办公室一起修订了本制度,将《信息安全职责与考核管理规定》、《物理和环境安全管理规定》中相关部分纳入进来,从而将与员工个人信息安全相关的制度整合修订为一个制度,便于ISMS体系范围内所有员工学习、培训和落实本制度
2011.8.18
领导小组
1.2
2013.2.28
根据ISMS体系执行实际情况,对以下内
容进行修订:
a、 对安全软件(包括防病毒软件)的统一安装问题设定了例外情况
b、 根据《信息保密管理规定》,对保密
相关的内容进行了修订
C、对密码的设置和使用要求进行了微调
3.文件版本信息说明
文件版本信息,记录本文件提交时当前有效的版本控制信息,当前版本文件有效期将在新版本文档生效时自动结束。
文件版本小于1.0时,表示该版本文件为草案,仅可作为参照资料之目的。
第1章总则
第一条【目的】信息安全是中国互联网络信息中心(以下简称“CNNIC”)一项重要工作,对信息安全的关注涉及到日常工作的方方面面。
为了更好地维护CNNIC的整体利益,实现信息安全目标,特制定本手册,作为CNNIC信息安全策略和规章制度中员工行为准则相关内容的集合。
第二条【范围】本手册适用于CNNIC全体员工,包括服务商驻场人员、借调或外调员工及短期工作人员。
本手册亦适用于往来CNNIC的外部长期或短期工作人员,包括但不限于客户、合作伙伴、供应商、承包商人员等。
第三条【职责与权限】CNNIC全体员工应以本手册为准绳,结合现有信息安全相关规章制度要求,确保信息安全目标的实现。
第2章总体原则
第四条【信息安全意识】
员工应积极主动地提高自身的信息安全意识和知识水平,主动参与CNNIC的信息安全保障工作。
在日常工作中如发现可疑的异常情况,或在系统及服务中发现疑似的安全漏洞和技术薄弱点,应及时通知部门信息安全员,并依据相关制度具体要求及时上报。
同时,对于CNNIC内部信息(如经营战略、员工信息、部门规划、工作计划等)禁止对外散播。
未经证实的情况和信息禁止对内、对外随意扩散。
已明确要求保密的信息,禁止对外散播。
第五条【信息保密职责】
员工应自觉遵守CNNIC规章制度和职业道德,维护CNNIC利益,保护CNNIC的敏感信息。
第六条【资产使用职责】
日常工作中,以各种形式存在的信息和用以生成、获取、处理、传递、存储信息的软、硬件设施,以及保障软硬件资产正常运行的各种辅助设备均属于CNNIC的信息资产,员工在使用这些信息资产的过程中承担相应的保护信息资产的责任。
第七条【遵守制度法规】
员工在日常工作中应自觉遵守国家法律法规和CNNIC信息安全相关的各项规章制度,包括但不限于与信息安全相关的管理规定、技术标准、行为准则和实施指南等,应确保自己的行为符合国家相关法律法规的要求,符合CNNIC信息安全管理的要求。
第八条【知识产权保护】
所有员工都应该根据知识产权保护相关法律法规以及CNNIC制度,自觉保护CNNIC自主知识产权和第三方的知识产权,既不能非授权泄露CNNIC的自主知识产权保护信息,同时也不能非法使用第三方的自主知识产权。
第3章管理规定
第一节桌面系统使用规范
第九条CNNIC全体员工应尽量使用正版软件。
正版软件由CNNIC正常的采购流程获取。
桌面系统的安装和初始设置应由CNNIC办公室负责。
第十条桌而办公系统应尽量避免使用服务器类操作系统,不得将自己的个人办公机设置成服务器。
如确因工作性质而有特殊需求的,应在经过本部门相关负责人批准后方可使用。
第十一条操作系统硬盘应保证至少两个分区,即系统分区和工作分区。
如无特殊需要,员工不应在办公桌面计算机上设置共享文件夹。
如必须设置时,应设置保护口令、只读权限等安全措施,并在共享完成后及时取消共享设置。
第十二条安全软件是指为保障桌面计算机系统的正常运行和使用而必须安装的桌面安全防护软件,包括企业级防病毒客户端软件、桌面管理客户端软件等。
安全软件一般由CNNIC办公室在操作系统安装时统一进行安装并负责日常技术支持,严禁用户随意卸载。
第十三条员工应确保自己的桌面计算机系统安装了CNNIC指定的安全软件,一旦发现未安装或软件功能异常应及时联系CNNIC办公室。
若员工由于长期出差在外等原因无法由办公室帮助安装安全软件,则在自行安装时必须使用CNNIC提供的软件包,按照办公室的指导意见进行安装。
第十四条员工在日常工作中必须保证安全软件的正常运转,并确保安全软件及时升级和更新,若发现问题应及时联系办公室。
第十五条禁止员工以任何方法强制关闭常驻内存的安全软件进程。
禁止员工以任何方式修改统一的安全软件客户端参数配置。
禁止员工在未经信息安全管理部同意的情况下,卸载删除统一安装的安全软件客户端程序,或是使用同类产品的其他版本覆盖统一安装的安全软件客户端。
如确实因工作原因等现实情况需要卸载安全软件或使用其他同类产品,应经信息安全管理部认可同意。
第十六条严格禁止在桌面办公设备上安装或使用对CNNIC信息安全造成威胁、非法获取CNNIC或他人信息的、带有攻击性的各类软件。
信息安全部门进行相关安全检查时如确实需要安装、使用此类软件,应经过部门负责人的批准。
第十七条员工对于自己所使用的桌面办公系统的安全保护承担最终责任,除非有特殊情况,否则不应授权他人使用自己的桌面办公系统。
第二节密码使用规范
第十八条员工在设定系统或网络登陆密码时,应根据密码策略的要求选择长度不少于8位的密码,密码应是具有一定复杂度的字母、数字和符号的组合,且不应是连续的数字或字母。
员工应避免办公系统或网络的密码与私人密码雷同,避免在多个系统中设置相同的密码,以防密码被非法获取后造成连锁影响。
第十九条员工应妥善保管自己的密码。
在输入密码时,应保持必要的警惕性,以防止被他人通过偷窥等手段非法获取A己所拥有的密码。
第二十条禁止员工对终端系统开机登录启用任何形式的“自动保存密码”功能。
在非个人专用计算机上禁止使用“自动保存密码”功能或使用自动密码输入程序登录应用
系统。
第二十一条员工在使用新的或经密码重置过的系统或终端时,必须在第一时间对初始、默认或重置密码进行更改。
员工必须严格按照所使用系统或终端的具体要求定期更改自己的密码,在没有明确规定的情况下应保证至少每6个月更换一次密码。
第二十二条员工更新的密码应保证至少和上次使用的密码不相同。
员工更新的密码不应是上次所使用密码的简单更改,比如在上次所使用的密码后而增加一位数字等。
第二十三条员工不应在电子邮件、手机或电话、调查文件或表格中泄^密码信息,不应在任何人面前谈及自己设定的密码。
第二十四条如非必要,员工应尽量避免将密码书写在纸面上或是存放在电子文档之中,必须要将密码记录在纸质或电子文档中时,禁止将记录有密码信息的载体任意放置在工作区域,必须加锁或加密保管。
一旦发现或怀疑自己的密码被人非法获取,应立即进行密码更新,并及时向部门信息安全员报告情况。
第三节病毒防护和可移动代码管理规范
第二十五条员工桌面计算机系统必须安装和使用CNNIC统一部署的企业级防病毒客户端软件,并保持桌面计算机上所安装的防病毒软件能够及时更新。
第二十六条未经信息安全管理部同意,禁止卸载删除统一安装的防病毒软件客户端程序,或是使用同类防病毒产品的其他版本覆盖统一安装的防病毒软件客户端。
禁止以任何方式强制关闭常驻内存的防病毒程序进程。
禁止以任何方式修改统一安装的防病毒客户端程序的配置,包括通过注册表修改软件强制关闭防病毒软件的开机启动选项等。
如确实因工作原因等现实情况不能安装统一的企业级防病毒客户端软件,应经信息安全管理部认可同意后,才能安装其他防病毒软件。
第二十七条员工应经常关注CNNIC内部发布的病毒警告通知、安全漏洞警告通知,并采取必要的预防措施。
第二十八条CNNIC在所有桌面计算机上都配置了定期自动执行的病毒扫描功能,员工应尽可能保证自动查毒功能的顺利执行,在没有特殊原因的情况下不得中断或关闭自动查毒的进程。
如果由于工作上受到影响而确实需要中止病毒扫描进程时(如在演示PPT,或需要紧急处理相关工作等),员工应在完成工作后及时手动开启防病毒软件进行查毒。
第二十九条当发现异常情况时,员工应立即断开网络连接,启动防病毒软件进行查毒。
当防病毒软件提示发现病毒时,员工应根据防病毒软件的提示完成病毒清除的过程,或向办公室寻求技术支持。
第三十条若防病毒软件未发现病毒,或遇到无法独立完成病毒清除等特殊情况时,应及时向办公室报告并寻求技术支持。
员工不应自行采取一些未经验证的处理方式,或是随意在CNNIC内发出病毒警告,影响正常工作的开展。
第三十一条移动代码(又称移动代理、可下载代码、可执行内容、远程代码等,指在本地执行的远程代码)的使用应符合CNNIC的信息安全策略,并事先得到管理层的授权,禁止员工使用未经授权的移动代码。
第四节电子邮件使用规范
第三十二条禁止员工利用CNNIC的办公邮件或类似系统制作、复制、发布、传播含有下列内容的电子邮件或信息:
1.违反我国宪法所规定的基本原则的:
2.危害国家安全、泄露国家秘密、颠覆国家政权、破坏国家统一的:
3.损害国家或CNNIC声誉和利益的:
4.煽动民族仇恨,民族歧视,破坏民族团结的:
5.破坏国家宗教政策,宣扬邪教和封建迷信的:
6.散布谣言,扰乱社会秩序,破坏社会稳定以及CNNIC正常业务的;
7.散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的:
8.侮辱或者诽谤他人,侵害他人合法权益的:
9.含法律、行政法规禁止的其他内容的:
10.其他CNNIC制度所规定的不准在网上传播的信息。
第三十三条在非必要的情况下,员工不应在CNNIC内部以群发方式发送容量过大附件的邮件。
员工不应在附件中直接添加各种可执行的文件,如后缀名为EXE、COM的文件。
如有特殊需要必须发送可执行程序或文件时,应使用压缩软件进行打包发送并事先告知对方。
第三十四条在下载邮
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 员工 信息 安全 手册 中国科学院 继续 教育网
![提示](https://static.bdocx.com/images/bang_tan.gif)