ISCOC- 信息安全行为规范

ISCoC

信息安全行为规范

版本 01 日期 2005年9月15日 创建人 IT运作经理 审查人 中国区IT经理 备注 核准人 业务总监－IT及CRD

日期:

总经理

日期:

________________________________________________________________________________________

信息安全行为规范 ISCoC 文件名： 14128216.docx 页码： 2/ 9 日期： 2005/09/15 版本： 01 目录

1. 2. 3. 4. 5. 6.

信息分类和控制 ............................................................................................................................................................... 3 密码和加密 ....................................................................................................................................................................... 4 个人电脑和软件管理 ....................................................................................................................................................... 5 互联网和邮件系统（Notes）管理 .................................................................................................................................. 6 手提电脑管理 ................................................................................................................................................................... 7 事故报告 ........................................................................................................................................................................... 8

ISCoC是依据“***信息安全政策、标准、程序和指引（IS PSPG）”所制定的针对信息安全的行为规范。所有的员工都必须阅读并遵守本规范所列条款。对于违反者，将视情节轻重及所造成的后果程度给予相应的处罚、罚款、开除，甚至追究法律责任。 请仔细阅读此文后，在文件所附的签名页上签名表示”我已经阅读、理解并同意遵守《信息安全行为规范》中的指引和标准。”，并将此签名页交还人力资源部以作归档之用。 _______________________________________________________________________________________

信息安全行为规范 ISCoC 文件名： 14128216.docx 页码： 3/ 9 日期： 2005/09/15 版本： 01 1.

?

信息分类和控制 ***信息分类

在***，信息分为”***保密类的信息”、”***非保密类的信息”和”一般信息”。

分类

***保密类的信息:

“公司机密”

“机密” “员工机密”

定义

指那些一旦泄露给外部人士或者未经授权的员工将严重损害公司利益的信息

指那些一旦泄露给外部人士或者未经授权的员工将存在对公司利益造成损害的可能或损害但不严重的信息 指那些有关某人或者某些人的特定信息，如果被不适宜的人看见可能对前者造成损害或者感到尴尬

示例

公司战略规划，产品配方 媒体计划，客户资料，会议记录 薪水，简历，奖金信

***非保密类的信息:

“非保密类”

指那些即使被公司外部的人员看见也不会引起很大损害的信息

指那些纯属私人的信息，与***的业务毫不相关

一般信息:

“私人”

? 1.1. 1.2.

如何处理保密类的信息：

不得在飞机、饭店、公共交通或者其他公众地点阅读、讨论、暴露***保密类的信息。

若需要传送公司机密、机密和员工机密的打印文件，必须将该文件放在密封的信封中，并标记“公司机密”、“机密”或“员工机密：仅供署名者打开”的字样。

对于公司机密类的信息及文档，请在信息中标记“仅限XXX的个人使用的信息”，在会议中发送的打印文档请标明“留在桌上请勿带走”的字样。

不得对公司机密文档进行整体或部分复制，除非有紧急需要。在任何情况下，未经文档起草人或部门最高主管同意，不得复制或传播公司机密文档。

保密类信息的打印文件或者存储该类信息的移动存储介质（如磁盘、光碟等）在不用时应锁起来，特别是在无人看管的办公室或办公场所时。

不得将保密类信息显示在无人照看的计算机的屏幕上以及那些可能被未授权者看到的屏幕上。 保密类信息打印或者复印后，必须立即从打印机或者复印机上拿走。

未经信息所有者批准并用加密软件或功能进行加密处理， 不得用电子邮件传递公司机密、机密以及员工机密信息。 不允许通过传真传递公司机密文件。 不得在电话中公开讨论保密类信息。

员工不得在大厅、电梯、走廊、餐厅和咖啡馆等公众场所讨论敏感信息。 员工不得与家人或朋友讨论任何可能泄露***敏感信息的话题。

敏感信息不得留在告示板上、无人看管的挂图上及没有加锁的会议室里，会议记录以及任何通信记录上必须标明—保密类。

1.3.

1.4.

1.5.

1.6. 1.7. 1.8. 1.9. 1.10. 1.11. 1.12. 1.13.

_______________________________________________________________________________________

信息安全行为规范 ISCoC 文件名： 14128216.docx 页码： 4/ 9 日期： 2005/09/15 版本： 01 1.14. 1.15.

在散发 “机密”或者“员工机密” 信息前，须征得起草人和部门经理的同意。 在公众场所使用个人电脑时，请务必注意不要泄露保密类信息。 密码和加密

用户个人帐号仅供员工个人使用，如果员工允许他人使用自己或者第三者的帐号，将视为违纪行为。

员工不得尝试接触或者使用他们无权查看的***信息、信息系统/设备，不得擅自更改自己的登陆权限；未经授权，也不得获取或使用其他人的密码及登陆权限。

密码必须保密，容易记住但不易被人猜出来，同时还要定期更改。密码不得告知任何人，也不可以写下来（除非确保妥善保管此记录纸），不得显示在电脑屏幕上或者储存在可读的电子媒介上。

用户在设定密码时，不应选择那些外人容易获知的文字，如家人姓名、纪念日、电话号码、通用的单词或者工作相关的活动，在密码中应包含各种字符（如大写、小写、数字以及标点符号之类的“特殊字符”）。 用户必须使用至少8位的密码（建议尽量使用10-12位的密码以增强保密性）。 每90天必须更改一次密码。如果怀疑密码可能已经泄露，请立即更改密码。

开机密码以及屏幕保护密码必须作为登陆控制的一部分，屏幕保护应在电脑闲置10分钟后自动开启，或由用户手动开启。

机密或敏感文档必须使用系统中的加密软件或功能进行加密，如对office文件进行密码保护。 不得在公众网络（如互联网邮件）上传送未经加密处理的机密信息（包括数据、文件）。

2.

2.1. 2.2.

2.3.

2.4.

2.5. 2.6. 2.7.

2.8. 2.9.

_______________________________________________________________________________________