公司信息管理规定.doc

公司信息管理规定
为适应公司的快速发展,有效分配和合理利用资源,在执行公司各项管理制度的基础上,特制定公司信息管理规定。
本规定涉及的IT设备,包括公司内部网络设备如服务器、防火墙、交换机、集线器等及由IT部门负责安装在其它部门或公司的电脑设备及其他IT设备,同时也包括公司使用的软件如操作系统、相关业务软件、财务软件、办公软件、杀毒软件以及公司相关文档。
公司信息及网络相关管理及业务指导部门为IT部门,本规定未尽之处由IT部门负责补充完善。特别申明:公司内部所有IT设施均属公司财产,由公司按工作性质和需要统一分配和调配。
第一条对于IT系统的系统/数据的访问控制管理规定
不得与公司网络连接的同时以拨号的方式连接入公共网络。
只使用安全的远程访问控制方式(VPN)访问公司网络。
在传输重要文件时必须使用128位的强加密方法。
只用基于安全网络技术策略与指南中的远程登录。
与商业伙伴之间的访问连接要遵守安全网络拓扑结构。
第二条电子邮件收、发者的安全规定
邮件发送者的规定:
邮件接收者必须能够明确识别邮件发送者--不许隐藏或伪造邮件发送地址。
检查邮件和附件是否带有计算机病毒。
对于机密和绝密的信息只有在经过加密以后才进行传输。
使用电子签名来确保邮件信息的完整性和法律效力。
只允许将公司所有的信息资产传送给有契约关系的业务合作伙伴。
只将信息传送给指定的接收对象,而不是发给不必要的邮件列表成员。
输入邮件接收地址时必须格外小心,以避免输入错误。
不许制造和传播链式邮件或未经认证的警告信息。收到此类信息应将其传递给负责安全的人员处理。
邮件接收者的规定:
限制对邮件信箱的访问权限,只有邮箱的主人和经过其明确授权的人才可以访问邮件信箱。
不允许修改由系统管理员提供的安全设置。
如果用户自己安装了安全机制,那么对于电子邮件的安全设置必须在最高的安全级别。
在打开电子邮件之前必须检查邮件和附件是否带有计算机病毒。
对于电子邮件的管理规定与公司信息资产保护的规定一致。
不允许将邮件自动转发至公司外部的公共邮箱当中。
永远不要尝试打开、删除、复制、拷贝、修改、解密或转发他人的电子邮件。
第三条口令/密码的管理规定
合适的选择和保护密码,以使访问控制机制不受侵害
应该遵守的规则:
修改预设的密码
避免共享密码
避免常用单词
选择易记难猜的密码
按时修改密码,如果向人演示要立刻修改密码
对外部系统使用不同的密码
在任何时刻都要保持密码的保密性
创建安全密码方法
密码至少包含8个字母。
密码必须至少包含以下4类字符中的3类