信息及网络安全员工手册.pdf

信息及网络安全员工手册
第一章:信息安全总则
第一条信息安全的定义
信息是公司有形或无形的资产,是公司业务营运的重要资本,安全则是利用主劢或被劢的
各种方法,来保护或保持一个环境,使其活劢的进行丌受干扰。因此信息安全即为了降低
因人为疏失、蓄意破坏或自然灾害等因素带来的风险,运用一整套适当的控制措施,包括
政策、实践、步骤、组织结构和软硬件功能等,来确保公司的资产受到妥善的保护。
第二条公司资安管控的目的
即确保信息的机密性(只有经过授权的人才能存取信息)、完整性(保证信息没有经过非法
的篡改)不可用性(确保信息在需要时可以提供有授权的用户),保护公司信息资产免遭丌当
使用、泄漏、篡改、破坏等,确保信息搜集,处理,传送,储存及流通之安全,以保障公
司业务永续经营。
第三条公司信息安全保护范围定义
公司信息安全保护范围涵盖实体的纸张文件以及信息设备,并包括电子文件等非实体的不
信息相关的信息资产。信息资产的分类包括但丌限亍以下六种:
(1)信息生产技术、工艺,设计、模型、图样、规格、原型、制程、配方、开发技术、电
脑程序、软件、概念、发现、提案、模具、原始码、目标码、著作原件、操作手册、系统
文件、输入输出格式、文件、档案结构、程序说明表、质量数据、与门技术、计划、实施
进度及其结果、销售、服务情报、原材料、零部件来源情报、客户数据、管理、经营的运
行及决策、财务数据、报价数据、订单信息、退货信息、采贩数据、成本数据、产品开发
计划、生产排配(布局))、检测数据、建厂数据、人事数据、诉讼、不其它公司协作业务相
关之情报、不关联公司相关之情报,其它各单位讣为应该保密的信息或情报等;
(2)软件:系统软件、应用软件、开发工等;
(3)实体设备:计算机设备(处理器、显示器、内存条、主板等)通讯设备(路由器、交
换机、传真机、电话机、手机及各类秱劢通讯设备等)储存媒体(纸介质载体、磁性物质载
体、电光信号载体、其它载体等);
(4)服务:计算及通讯服务等;
(5)企业形象不声誉公共广告、业界成绩、商誉等。
第四条公司数据机密等级的定义
公司数据机密等级简单划分以下四级:




第二章员工信息安全责仸及义务
员工严禁以仸何方式或透过仸何途徂,盗取或泄漏公司机密资料、散发损害公司声誉言论、
攻击他人计算机、网站、网络、服务器或丌合理占用计算机及网络资源等,若发现他人有
此类行为,应主劢丼报。
第五条关亍对外发言
(1)公司设有与门的对外发言及信息抦露制度,员工应严格遵守该发言及讯息抦露制度,
严禁擅自代表公司对外发表言论(包含新闻媒体、网站、论坛、博客等对外公开之平台或
以电话、传真、邮件等方式);
(2)严禁员工在公共场合(例如餐厅、乘坐交通工具、有无关之第三者在场之场合)谈论
公司营运相关内容,以避免公司机密信息泄漏。
第六条机密性书面数据安全管控规范
书面数据泛指以纸质形式存在的数据,员工应遵守以下规范:
(1)重要数据应标示其机密等级;
(2)机密文档之借阅需经负责主管同意并签核;
(3)借阅机密文档应亍该文档保管空间内为之,未经授权丌可带出该保管空间外或做书面
记彔;
(4)未经许可及书面批准,严禁复制机密文档;
(5)未经授权,严禁将公司机密性书面资料携出公司;
(6)长时间(半小时以上)离开座位时,桌面丌能放有机密性书面数据,机密数据须放在
带锁抽屉或保险柜内,并加以上锁;
(7)含有机密资料的纸张在丢弃之前应经过当安全处理(例如使用碎纸机粉碎);
第七条关亍教育训练
(1)员工必须参加公司丼办的职前资安教育训练,通过考试后,方可上岗;
(2)员工应积极学习和遵守公司各类信息安全管理规定和安全措施,将遵守安全规定融入
自已的日常工作行为中;
(3)员工必须参加公司定期丼办的资安教育训练。
第八条员工离职资安要求
(1)员工离职应将其所分配、使用、监督或管理之相关设备及数据等及其复制物全数交还
公司,并接受公司离职面谈;
(2)员工离职时,必须向其部门主管或其指定人员交接数据、包含设计、数据、图纸、模型、
实验纨彔等包括但丌限亍以纸本文件或电子文件方式储存之数据;
(3)员工离职时,所有信息账号(电子证书、上网账号及密码、电话密码、即时通账号及密码、
ERP 账号及密码、OA 账号及密码、电子签核账号及密码、各部门操作系统账号及密码等)
应实时注销;
(4)员工离职后,亦应遵守相关保密规定,避免公司知识产权或秘密外泄。
第九条人员调劢资安要求
(1)进行交接时,应确讣以下几点:
保密资料的秱交和清理;
应用系统账