ISCOC- 信息安全行为规范

信息安全行为规范 ISCoC 文件名： 14128216.docx 页码： 5/ 9 日期： 2005/09/15 版本： 01 3.

3.1. 3.2. 3.3. 3.4. 3.5. 3.6.

个人电脑和软件管理

IT设备是公司资产，用户不得使用计算机设备从事个人或者与工作无关的活动，如播放影碟或者玩游戏。 用户不得私自拆装电脑或者安装其他附件（如硬盘、内存）。

未经IT服务经理的同意，用户不得移动计算机或者其他IT设备，（除便携式电脑设备外）。 未经授权，用户不得擅自更改IT设备的设定或者配置。

未经中国区IT经理的批准，用户不得擅自安装任何非法的、无许可证明的或私下取得的软件。

不得将由***获得许可权的软件复制到家用电脑中；不得将***获得许可权的软件复制给独立的承包商、***客户或者第三方。

在下班时，必须退出所有正在运行的软件，并关闭计算机。

对设备折旧报废清单上已经折旧完毕或者报废的计算机设备和组件必须按照ISO14001标准妥善处理。 替换下来的打印机组件或者打印机耗材（如硒鼓）必须按照ISO14001标准和公司SSHE的指引妥善处理。 用户必须定期整理电脑中的文件及文件夹，清除不用的文件，确保留出10%的磁盘空间供系统使用。 不得将盛放液体的杯子或者任何磁性物体放在计算机上面或计算机旁边。

在事先没有经过中国区IT经理同意的情况下，不得将私人电脑接到公司网络及邮件系统上。无论如何，用户都不得

在***系统、第三方或者其他未经授权的IT系统间安装、建立或者使用未经授权的连接或通讯设备(例如拨号modem)。 用户有责任确保所使用的计算机已经安装了防病毒软件并处于激活状态，同时对所有硬盘和可移动介质进行自动监测。防病毒程序必须至少每月更新一次。用户私自卸载或者关闭防病毒软件是一种违纪行为。

不要使用公司外部的任何可移动介质（如磁盘、U盘等）。如果确有需要，请使用防病毒软件对之进行扫描并确保其中没有病毒。如果有疑问或者发现病毒，请立即向IT部门报告。

用户有责任主动对存储在手提电脑、未联公司网络的个人电脑或者个人电脑硬盘上的信息进行备份，并必须定期将本机硬盘上的重要信息和文档备份到服务器或者磁盘/磁带上，磁盘/磁带必须存放在安全的地方，如保险箱中。

3.7. 3.8. 3.9. 3.10. 3.11. 3.12.

3.13.

3.14.

3.15.

_______________________________________________________________________________________

信息安全行为规范 ISCoC 文件名： 14128216.docx 页码： 6/ 9 日期： 2005/09/15 版本： 01 4.

4.1.

互联网和邮件系统（NOTES）管理

公司邮件系统和互联网仅供公司或集团公司的相关业务活动使用。***员工不得在未经相关信息所有人同意及没有使用适当的加密软件的情况下将机密信息发送出去。

未经授权不得使用其他员工的密码或加密锁去获得其他员工的邮件信息。 员工不得使用虚假的身份或者匿名方式发送电子邮件。 严禁用户访问非法、淫秽或者色情网站。

严禁员工使用***互联网或者邮件系统进行非法或者不道德活动。

员工要当心所有电子通信的内容，对电子通信内容的关注度应与书面文档相同。所有通信必须是专业和商业化的，不能包含任何贬损员工、顾客、竞争对手和其他个人或组织的语言。这些语言即使是玩笑性质的，也可能产生法律责任，如诋毁或者诽谤罪。

员工不得将可以理解为淫秽、冒犯、贬损、歧视或者骚扰的信息传递出去，也不得传递可以理解为违反***骚扰政策的信息；

除非与***的业务活动直接相关，员工不得使用***邮件系统进行邮件群发，包括任何关于宗教、政治、慈善、社会或者个人目的的邮件。同时，发送垃圾邮件（未经许可的广告邮件）、诋毁邮件（诽谤性的文字）以及转发“连环信”都是明确禁止的。

未经中国区IT经理的同意，用户不得从互联网下载软件（包括游戏、驱动程序、屏幕保护、黑客工具等）。 用户必须定期压缩/清理Notes邮箱。员工的Notes邮箱最大空间是150MB，经理是300MB。如需扩展空间，必须得到中国区IT经理的许可。

用户不得通过公司邮件系统发送大于5MB的邮件，如有例外情况必须得到中国区IT经理的同意。 用户不得通过公司邮件系统发送大于1MB的邮件给“PNTS_CN_GZ_ALL”和“PNTS_CN_SH_ALL”。 用户如果要离开座位超过10分钟， 必须按Notes系统中的F5键，目的是为了防止notes邮件或其他Notes应用系统被非法登陆。

用户在使用“Reply with History”或“Reply to all with History”回复邮件时，必须删除附件。

4.2. 4.3. 4.4. 4.5. 4.6.

4.7.

4.8.

4.9. 4.10.

4.11. 4.12. 4.13.

4.14.

_______________________________________________________________________________________

信息安全行为规范 ISCoC 文件名： 14128216.docx 页码： 7/ 9 日期： 2005/09/15 版本： 01 5.

5.1. 5.1.1.

手提电脑管理 手提电脑用户必须比台式机用户承担更多的责任，请特别注意以下几点：

登陆密码必须保密，并定期按照***密码管理标准（参见 Information Security PSPG IS-06-S-2020）进行更改，当有泄密的可能时也要更改密码。

每台手提电脑都必须设置“硬盘密码”或“开机密码”以保护其中的数据。用户在归还手提电脑给IT部门时必须解除所设密码或将密码告诉IT人员。

必须保留最新的数据和软件的备份，备份必须与手提电脑分开存放，并确保存放在安全的地方，如保险箱。 用户有责任保管好手提电脑。手提电脑不能遗留在无人看管的公众场所（包括办公室）；在非工作时间，不得将手提电脑遗留在无人看管的办公室中。

当你把手提电脑带回家，请务必看管好它。如无必要，不要给其他人使用。 严禁将手提电脑连接到公共的互联网网吧中进行互联网浏览。 不得将盛放液体的杯子或者任何磁性物体放在手提电脑旁边。 万一手提电脑丢失，必须按照以下流程处理：

应立即向当地派出所报告手提电脑丢失的情况，并拿到当地派出所提供的盖有公章的回执单；必须在7个工作日内将回执单提交给部门经理、人力资源经理—运营部和中国区IT经理作为手提电脑丢失的证据。

员工必须在24小时内将详细的有关手提电脑丢失的情况报告提交给部门经理、人力资源经理—运营部和中国区IT经理。报告应该包括有关丢失情况的详细描述，以及手提电脑中可能存放的机密数据或信息的清单。

部门经理、人力资源经理—运营部和中国区IT经理会评估该事件对信息安全的影响级别，并对这一事件定性，最后根据补偿条例采取相应措施。

员工必须按一定比例对所遗失手提电脑进行赔偿，具体规定如下（使用 时间及帐面净值以帐务记录为准）： - - -

5.2.5. 5.2.6. 5.2.7.

使用时间在12个月内的，按帐面净值的80%进行赔偿； 使用时间超过12个月的，按帐面净值的50%进行赔偿； 帐面净值少于人民币1000元的，按人民币1000元赔偿。

5.1.2.

5.1.3. 5.1.4.

5.1.5. 5.1.6. 5.1.7. 5.2. 5.2.1.

5.2.2.

5.2.3.

5.2.4.

员工必须填写“固定资产报废表”， 并取得所有规定的签名，将表格提交给财务部门进行手提电脑的报废处理。 丢失手提电脑的员工再次配备手提电脑必须获得部门经理和中国区IT经理的批准。 丢失手提电脑两次的员工不得再配备手提电脑。

_______________________________________________________________________________________

信息安全行为规范 ISCoC 文件名： 14128216.docx 页码： 8/ 9 日期： 2005/09/15 版本： 01 6.

6.1.

员工（包括承包商）必须尽快向直接经理和中国区IT经理报告以下事件，并提供尽可能详细的信息： - - - - - - - -

6.2. 6.3.

IT相关设备损坏、失窃或丢失。 关键服务器或系统失效或者损坏 个人电脑或网络受到病毒或黑客攻击 人员操作失误

可疑的、有意图的或真正的对***信息安全进行破坏； 怀疑或观察到的信息安全有漏洞或受威胁；

违反***信息安全政策、标准、程序、指引－PSPG（包括同事以及第三方不遵守规定） 发现有人想刻意尝试获取***的敏感信息。 事故报告 员工在任何情况下都不得试图验证信息安全漏洞的存在。探测漏洞的行为将被视为有意违反信息系统安全管理规范。 不清楚自己的信息安全职责或者不知道如何达到这些要求的员工应该从直属经理或者中国区IT经理处寻求建议或指引。

_______________________________________________________________________________________

信息安全行为规范 ISCoC 文件名： 14128216.docx 页码： 9/ 9 日期： 2005/09/15 版本： 01 申明

我已经阅读、理解并同意遵守《信息安全行为规范》中的指引和标准。

部门:

名字（打印）:

___________________________ ___________________________

___________________________

（签名和日期）

（请归还给人力资源部作为归档之用）

_______________________________________________________________________________________