14普通用户安全管理行为规范.doc

普通用户安全管理行为规范 保密申明 这份说明书涉及到EPSON的商业机密的信息。接受这份说明书表示同意对其内容保密，未经书面请求并得到EPSON的书面认可，不得复制，泄露或散布这份说明书。如果你不是有意接受者，请注意对这份说明书内容的任何形式的泄露、复制或散布都有可能引起法律纠纷。 密 级： 文档编号： 项目代号： Epson Security Framework Policy 普通用户安全管理行为规范 V 1.0 文档控制 属性 内容 客户名称: EPSON 项目名称: 项目编号: 文档主题: 普通用户安全管理行为规范 文档副标题: 拟制: 周发桂 审核: 金海 批准: 标准化: 金海 读者: EPSON、ISCA 版本控制 版本 提交日期 相关组织和人员 版本描述 V1.0 05月29日 EPSON、ISCA 初始化，建立文档框架 V1.0 06月07日 金海 文档审核 目录 第一章 总则 4 第二章 细则 4 第三章 监督和检查 7 第四章 附则 8 第一章 总则 第1条 为规范EPSON信息系统的安全使用管理，促进安全维护和管理工作体系化、规范化，提升EPSON服务质量，提高EPSON维护队伍的整体安全素质和水平，特制定本规则。 第2条 本规则的目标是为了规范员工合理安全的使用计算机资源，遵循EPSON客户信息安全的有关制度和规范。本规则是指EPSON客户进行计算机安全合理使用管理工作的基本依据。 第3条 本规则适用于EPSON客户拥有、控制和管理的所有信息系统、网络系统和桌面计算机的用户，适用于EPSON客户的所有部门。 第4条 本规则主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、行业规范和相关标准。 第二章 细则 第6条 员工应自觉遵守职业道德，有高度的责任心并自觉维护公司的利益，不能利用计算机私自收集、泄漏公司机密信息。 第7条 员工不应利用公司网络传播和散布与工作无关的文章和评论，特别是破坏社会秩序的文章或政治性评论。 第8条 员工不应下载、使用、传播与工作无关的文件，如：屏幕保护文件、图片文件、小说和音乐文件等。 第9条 未经允许员工不应使用未经公司许可的软件，特别是没有正式版权的软件。 第10条 计算机口令的设置： 1. 员工在使用自己所属的计算机时，应该设置开机、屏幕保护、目录共享口令； 2. 用户口令应当同时包含大、小写字母、数字和特殊字符的组合，口令长度不能小于8个字符，如：I’m1!@e；，口令必须难猜，不得写在纸上或记录于文件中； 3. 口令中不得使用以下组合：用户名、姓名的拼音、英文名、身份证号码、电话号码、生日以及其它系统已使用的口令等； 4. 口令至少每个月更改一次，6个月内不得重复； 5. 对于应用系统（如营业系统）终端用户的口令设置可通过应用系统来实现。 第11条 计算机设备的使用 1. 员工不得私自装配并使用可读写光驱、磁带机、磁光盘机和USB硬盘等外置存储设备； 2. 员工不等私自开启计算机机箱，如需拆机箱，应当向相应部门提出申请； 3. 员工不得将公司配备的工作用笔记本电脑借给他人使用； 4. 员工不应擅自携带硬盘、可读写光驱、计算机等设备离开公司，如需携带，须办理出门单手续。 第12条 软件使用 1. 员工应当安装、运行公司规定的防病毒软件并及时升级，对公司公布的防病毒措施应及时完成，不得私自安装运行未经公司许可的防病毒软件； 2. 员工应安装公司规定且拥有版权的操作系统和工具软件，不得私自安装与工作无关的应用软件，特别是盗版软件； 3. 如果员工发现公司规定的防病毒软件不能有效清除的病毒，应立即报告有关部门，在问题处理前禁止使用感染病毒的文件； 4. 在收到来自公司内部员工发来的含有病毒的邮件，除自己进行杀毒外，还应及时通知对方杀毒； 5. 员工不得制造、传播计算机病毒； 6. 员工不得私自编制与其工作职责不相符的软件； 7. 员工在安装Windows 2000和Windows NT系统时，如无特殊需要，不得安装IIS服务； 8. 员工在安装Windows 98时，不得安装PWS服务； 9. 员工不得安装、使用黑客工具软件，不得安装影响或破坏公司网络运行的软件，如：Sniffer、流光等黑客工具软件； 10. 对本机上的机密文件，应采取适当的加密措施，并妥善存放。 第13条 网络使用： 1. 未经允许员工不能随意更改自己的IP地址； 2. 公司的网络标准协议为TCP/IP，未经允许不得启用任何其它网络协议，如SPX/IPX，NETBIOS等； 3. 未经批准员工不能在公司私自拨号上网； 4. 对经批准可以拨号上网的，确认使用的计算机与公司网络断开后才可与外部网络连接时； 5. 员工因工作需要在计算机上安装两块或多块网卡并连接到不同网络设备时，应提出申请由网络管理员负责安装和调试，同时应注意在计算机上不要启动路由网关功能； 6. 员工不应私自更改到网络设备的连接，需要变动时应提出申请，由网络管理员负责更改。 第14条 Email： 1. 员工Email邮箱的设置应符合公司的配置要求，回复地址应设为本人的邮箱地址； 2. 员工如收到可疑的Email邮件，不要打开并及时通知有关部门处理，以免感染上可能存在的病毒； 3. 外部Email邮件的附件在使用前应进行病毒检查，确保无病毒后才能使用； 4. 对发送到公司外部的涉及公司机密信息的邮件必须加密； 5. 员工不应利用公司邮箱进行与公司无关的事情。 第15条 互联网： 1. 员工不应利用公司上网资源访问与工作无关的站点，特别是淫秽、游戏、反动等类型的网站； 2. 员工不应利用公司上网资源下载屏幕保护文件、图片文件、小说和音乐文件等与工作无关的文件； 3. 员工不应利用公司上网资源使用聊天工具，如OICQ，ICQ等。 第16条 远程拨号： 1. 远程拨号用户须严格控制，应当由部门负责人确认； 2. 远程拨入公司内部的员工须使用一次性口令、VPN技术或采用回拨功能； 3. 远程拨号用户不得将拨入号码告知他人。 第17条 无线网络： 对使用无线设备接入公司网络的个人计算机、笔记本或PDA等须采用网络号码、WEP加密传输技术。 第18条 其它： 1. 员工不得私自设立WWW、FTP、TELNET、BBS、NEWS等应用服务； 2. 员工不得设立网上游戏服务，如Doom； 3. 员工不得私自设立拨号接入服务； 4. 员工之间不得私下互相转让、借用公司IT资源的账号，如Email账户； 5. 在工作岗位调动或离职时，员工应主动移交公司各种应用系统的账号； 6. 员工完成应用系统的操作或离开工作岗位时，应及时退出应用系统； 7. 员工离开自己办公计算机时，应将计算机屏幕锁定； 8. 员工如果发现计算机被入侵，应马上通知公司安全紧急响应小组，按相关规定操作。 第三章 监督和检查 第19条 各部门领导及管理员应当对本部门计算机用户进行有效监督和管理，对违反管理规定的行为要及时指正，对严重违反者要立即上报。 第20条 公司安全审计小组应当对定期或不定期对各个部门的计算机用户的使用状态进行审计，对违反管理规定的情况要通报批评；对严重违反规定，可能或者己经造成重大损失的情况要立即汇报公司最高领导。 第21条 对于违反本规则规定的直接责任人给予其相应的处罚，给公司造成重大损失或重大影响的按照中华人民共和国有关法律的规定追究其民事、刑事或行政责任，并追究其直接上级领导的相应责任。 第四章 附则 第22条 为了确保本安全规则的可用性和可操作性，需要定期进行审查，对发生变更的进行更新。 第23条 本规则由EPSON每年审查一次，根据审查结果进行修订并重新颁布执行； 第24条 本规则的解释权归EPSON； 第25条 本规则自签发之日起生效。 Epson Security Framework Policy Page 8 of 8