公司信息管理规定.doc

公司信息管理规定(暂行)1-

为适应公司的快速发展,有效分配和合理利用资源,在执行公司各项管理制度的基础上,特制定中安公司信息管理规定如下,本规定涉及的IT设备,包括公司内部网络设备如服务器、防火墙、交换机、集线器等及由IT部门负责安装在其它部门或公司的电脑设备及其他IT设备,同时也包括公司使用的软件如操作系统、相关业务软件、财务软件、办公软件、杀毒软件以及公司相关文档。公司信息及网络相关管理及业务指导部门为IT部门,本规定未尽之处由IT部门负责补充完善。特别申明:公司内部所有IT设施均属公司财产,由公司按工作性质和需要统一分配和调配。
(一)对于IT系统的系统/数据的访问控制管理规定
q 不得与公司网络连接的同时以拨号的方式连接入公共网络
q 只使用安全的远程访问控制方式(VPN)访问公司网络
q 在传输重要文件时必须使用128位的强加密方法
q 只用基于安全网络技术侧策略与指南中的远程登录
q 与商业伙伴之间的访问连接要遵守安全网络拓扑结构
(二)电子邮件收、发者的安全规定
邮件发送者的规定:
q 邮件接收者并需能够明确识别邮件发送者-不许隐藏或伪造邮件发送地址。
q 检查邮件和附件是否带有计算机病毒。
q 检查邮件和附件是否带有计算机病毒。
q 对于机密和绝密的信息只有在经过加密以后才进行传输。
q 使用电子签名来确保邮件信息的完整性和法律效力
q 只允许将公司所有的信息资产传送给有契约关系的业务合作伙伴。
q 只将信息传送给制定的接收对象,而不是发给不必要的邮件列表成员。
q 输入邮件接收地址时必须格外小心,以避免输入错误。
q 不许制造和传播链式邮件或未经认证的警告信息。收到此类信息是应将其传递给负责安全的人员处理。
邮件接收者的规定:
q 限制对邮件信箱的访问权限,只有邮箱的主人和经过其明确授权的人才可以访问邮件信箱。
q 不允许修改有系统管理员提供的安全设置。
q 如果用户自己安装了安全机制,那么对于电子邮件的安全设置必须在最高的安全级别。
q 在打开电子邮件之前必须检查邮件和附件是否带有计算机病毒。
q 对于电子邮件的管理规定与公司信息资产保护的规定一致。
q 不允许将邮件自动转发至公司外部的公共邮箱当中。
q 永远不要尝试打开、删除、复制、拷贝、修改、解密或转发他人的电子邮件。
(三)口令/密码的管理规定
密码: 合适的选择和保护密码,以使访问控制机制不受侵害
q ‘雇员所知道的’–一个主要的访问控制工具
q 修改预设的密码, 比如 GUEST
q 应该遵守的规则:
§ 避免共享密码,
§ 避免常用单词,
§ 选择易记难猜的密码
§ 按时修改密码,如果向人演示要立刻修改密码
§ 对外部系统使用不同的密码
q 在任何时刻都要保持密码的保密性
q 创建安全的密码
q 密码至少包含8个字母
q 密码必须至少包含以下4类字符中的3类
§ 大写字符 A, B, C, ... Z
§ 小写字符 a, b, c, ... z
§ 数字字符 0, 1, 2, ... 9
§