《信息安全策略.docx》由会员分享,可在线阅读,更多相关《信息安全策略.docx(3页珍藏版)》请在第一文库网上搜索。
1、1O目的为了建立本公司Internet使用规则,保证Internet的合理使用,防止非预期的信息安全事件。让每位员工知晓在使用Internet过程中的要求,明确Internet使用过程中的责任。2.0范围该Internet使用策略适用于公司能够上网的所有员工。3.0控制要求3.1下列行为是策略所禁止的A.下载没有授权的任何形式的计算机软件、音像制品、电子书籍等;B.未授权使用任何IM工具;C.使用任何P2P下载工具;D.传递公司秘密级别以上密级的信息;E.访问与工作无关的互联网服务,如股票信息;F.制作、复制、发布、传播含有下列内容的信息:1)反对宪法所确定的基本原则的;2)危害国家安全,泄露
2、国家秘密,颠覆国家政权,破坏国家统一的;3)损害国家荣誉和利益的;4)煽动民族仇恨、民族歧视,破坏民族团结的;5)破坏国家宗教政策,宣扬邪教和封建迷信的;6)散布谣言,扰乱社会秩序,破坏社会稳定的;7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;8)侮辱或者诽谤他人,侵害他人合法权益的;9)含有法律、行政法规禁止的其他内容的。3.2下列行为是策略所要求的A.鼓励通过互联网获取知识,支持日常工作,进行信息的传递与沟通;B.互联网的使用应经过授权,设置访问白名单;C.软件的安装及管理1)在无相关知识、相关批准、及其直属领导和IT人员协调的情况下,所有员工或合同员工都不可由自己或由销售商、
3、供应商代为安装可以访问公司网络的设备或软件;2) IT人员必须要控制并验证所安装的可以访问公司网络的设备、软件的配置,以确保安装时使用了适当的安全机制且所用网络地址符合公司的网络地址标准;3) IT人员必须确保:临时安装的设备或软件不能影响与客户公司的计算机及网络资源的正常操作或旁路安全标准。3.3硬件及软件的特许使用A.禁止非法复制或使用非法复制的软件;B.许可软件及版权软件拷贝件在无授权情况下不允许在技术部门计算机及网络资源上使用;D不允许使用未授权的设备配置来存储或处理客户公司的关键或敏感数据(用户的私人电脑系统);2) IT人员不定期扫描公司的电脑,检查未授权软件,若发现任何违规行为,
4、公司将采取相应的处分措施;3)若需使用公司授权标准资源以外的软件,必须联系IT人员并记录。3.4为员工提供的信息和传播资源仅限于用于和工作有关的活动。有些业务公司允许员工偶尔因私人需要使用公司的电子邮件和互联网,但员工应当将这种情况控制在合理范围之内。合理使用不包括下载音乐(如MP3)、电影(如MPEG、DVD、VCD等)或其他不适当的内容。3.5在创建及发送邮件时必须谨慎。所有沟通内容一一无论多么简短一一都应该在撰写时经过仔细的思考,并能够接受大众的检验。在发送或转发电子邮件之前,请仔细考虑是否适当。3.6公司组群邮件地址和个人邮件地址只能用于公司业务,不得发送私人信息。任何使用公司电子邮件
5、系统宣传政党、个人或是宗教、精神或社会组织的通信都属不当行为。3.7公司跟踪电子邮件以及互联网的使用,并对系统、网关和服务器进行常规监视,确保电脑资源的正确使用。公司内审员可以不经通知对电子邮件和互联网使用进行审核。这些日常检测活动收集的信息是非常详细的。任何使用电脑发送的邮件或访问的网站都不具有私密性。3.8当通过互联网发送机密或专有信息时,必须小心谨慎。可以考虑采取安全防范措施,包括加密、密码保护和增加机密标识。时刻记住在未获得授权之前,不得同公司以外的任何人分享公司专有或是机密的信息。3.9在传递个人信息的时候,尽可能地保证不侵犯个人隐私权。3.10管理授权公司有权对员工的互联网使用进行监视和记录。如需要使用或开通互联网需通过邮件申请并要得到相关部门总监审批后IT人员方可开通。4.0支持记录:无。制定:审核:批准: