华为内部信息安全管理制度.docx

1.新员工入职信息安全须知新员工入职后，在信息安全方面布-哪些注逆步项？接受“信息安全与保密意识”培训：每年应至少参加一次信息安全网上考试：办理员工卡：签署劳动合同（含保密职费）:根据部门和岗位的需要签署保密抄议.员工入职后，需要办理员工卡，员工卡的意义和用途是什么？工卡是公司员工的身份证明.所有进入华为公司的人员.在公司期间一律要正确眼嵌相附的卡证.工卡还有考勤、门禁验证等作用.工卡不仅关系到公司形象及安全，还关系到员工木人的切身利益，一定要妥醇保管。公司信息安全方面的规定都有哪些？在哪里可以查到信息安全的有关管理规定？网络安全部在参考国际安全标准BS7799和在顾问的物助下，制仃了一套比较完整的信息安全方面的管理规定，其中与普通员工关系密切的有信息保密管理规定、个人许算机安全管理规定、信息交流管理规定、病毒防治管理规定3、4办公区域安全管理现定3、£网络连接管埋规定3、信息安全奖惩管埋规定3、计算机物理设备安全管理规定、开发测试环境管理规定b、£供应商，合作商接待管理办法、4外部人员信息安全管理规定、C会议信息安全管理规定和帐号和口令标准F等。这些管理规定都汇总在信息安全策略、标准和管理规定（即信息安全白皮书）中,并且在不断的修改和完善之中.在“ISPOm1.”上您可以查到公司信息安全相关的所有信息，如信息安全方面的规定、制度、操作手册、培训胶片、宜传材料和宣传案例等.各体系细化的信息安全管理规定.可咨询本体系的信息安全专员.作为一名普通员工，应该如何做才能泌符合公司信息安全要求？积极学习和遵守公司各类信息安全管理规定和安全措脩招遵守安全规定融入自己的日常工作行为中.在工作中，要干j强烈的信息安全和保的意识，要有职业的极感性，有义务制止他人违规行为或枳极举报Ur能造成泄密.窃密或其他的安全防患。2.计算机的安全口令设附公诃规定的口令设置最低标准是什么.每次更换口令,都不容易记住新1.1.令.该怎么办？普通用户(公司一般员工均为普通用户设置口令的以低标准主要有以下几条：(I)口令长度不能少于6位且必须包含字母(2)口令至少应包含一个数字字符另外，一个好的11令除了符合口令的最低标准外，最好还应包含大小写字母和特殊的字符。设置而单的口令不安全，而处杂的口令又不容易记住。建议您用自己心中的一句话的拼白或英谱谱句的首个字母组合作为密码.如:就“我想去看2008奥运会”这一向己心中愿里的话，可以设置密码为WXqk2008ayh或拧用其他某段容易记住的字符小，稍加改造作为口令，如一个换过特殊字符的网站地址等，这样的口令非常好记，也非常玳猜。如果没行设置口令会带来哪些危害？对系统不设口令就像银行存折没有的码一样，是北附危险的.1)如果不设开机口令,那么他人可轻松启动或用新启动系统,从而探作您的计算机,还可通过在CMOS中给机器设置开机I令让您无法使用计算机：(2)便携机若不设硬盘1令，那么只要将您的硬盘接到别的计算机中硬盘上所彳)1资料就会一览无余的呈现出来；(3)如果不设屏幕保护口令，当您离开时，其他人可以轻翳的进入、使用您的计算机,将您的文件删除或发送出去：(4)共享文件夹时如果不设口令,任何能够和理计算机相连的人不Si授权，均可拿走你共享的资料。软件安装为了保证计算机安全，在第一次使用计算机时彳i哪几项安全措施需要立即完成？(1)需要首先加入公FChina城.量暗网址http：/Win2khc1.p.huawci.conV下毂加入域的工具JoinDomain.exe.(2)新要立即安装操作系统的安全补丁，可以从各地文件服务器指定路径下我.如总部路径为VJg-fsRootSofhvaneSys1.em'SPa1.ch.(3)需要立即安装Symantec防病雷软件.可以从各地文件服务曙指定路径下载.如总部路径为Mg-fnRcotSoftwarcSpp1.icationSystcmTo1.sSccurity''Svirus.(4)御要马上设定屏幕保护程序，并启用密码保护，注意等恃时间不能大于IO分钟，(三)设置开机口令，操作系统(adminiSIaHor)口令，如果是使掂机还应设置硬盘口令。(6)设置Notes邮箱IO分钟内自动惯定.需安装SPES、ACC,可登陆网址hup:"SPghUawCi.co11V下裁安装最新版SPES客户端软f:可登陆hup"acc.huawci.co11v下段安装最新版ACC客户端软件.以上措脩完成后，请运行Acc进行自检，保证没有"红色违规j如彳r疑惑.可以咨询IThot1.ine<1e1.：+867552856OI6O)什么是非标准软件？要使用非标准软件.应如何申请?非标软件是针对标准软件来定义的，对于公司普通员工来说，凡是IT泉面标准、研发工具标准之外的软件均属于非标软件，如游戏.不含在IT及研发标准内的免费或自由软件、的响河络安全的工具软件等等.原则上非标软件不可以随便使用,若工作有需要必须填写“IT资产申请”电子流，羟审批后使用.对于涉及安全的工具软件,还需填写“ISAuthorityAPP1.iartion”中的“网络安全软件申请”电子流。我自己购买了一套软件,想安装在公司的计尊机上,不知是否可以？不可以。常用办公软件在公司文件服务器上都有相应的安装软件，比如IE、1.otusNotes,0n.ice等等，需要安装时可也接连到办公所在地文件服务涔上安装，不要安装自己购买的软件，因为：(I)存在版权问题：(2)购买的软件未羟公司测试，不能保证可权稔定运行和正常雉护：(3)更为浮重的是，还可能因购买的软件中带有木马、病毒程用、软件留有后门等给公司网络安全指来隐患.计算机雒修/使用计算机发生故障缁要修理时,应该注意哪些事项？员工应该要求维修人员尽愤在公司内iS行维修，并且监督整个维修过程。当雄撼人员需要将计算机带出公司维脩时，为了防止泄密，一定要记得拆卸卜硬盘，并存放在公司内的保密柜等安全的地方.计算机使用方面应注意哪些小项?(1)只有在因工作需要进行远程数据维护的时候,在保证物理上与公M的内部N络断开的情况下，经过部门二级主管和网络安全部批准后才能在办公区拨号上网.(2)私自转借计算机可能造成泄密密，因此未经批准，员工不得转借计算机“(3)对特殊存储设符及其介质(USB)的使用，箫要走“ISAuthOrityAPP1.iCation”电子流申请.(4)私自使用计算机进行刻录、扫描存在较大信息安全隐忠，因此，刻录和扫描的需求须羟审批后，由专人负资愫作，(三)公司配置给您的机器是公司的标准配置，未经批准，不得私自安装任何标准配四外的配件.网络配置和使用现在.也许你开始需要连入公司网络了.首先需要配置好网络.这时安全方向需要注意什么呢？个人计算机的IP地址应设置为自动获取方式,不能擅自配置固定IP地址,否则可能引起N络冲突,影响公H网络的安全运行.公司的网络标准协议为TCP/IP.公司办公网络不得只动除公司标准协议外的任何其他网络协议,SPXyiPX.NETB1.oS等.禁止普通员工在公司办公网络严禁安装启动DNS、Wins、DHCP等网络眼务。如果您的操作系统是WINDOWSSERVER或Unix等IM务普操作系统.可要非常小心这一点呀！网络设置好后，你就需要给您的计算机起一个名字，注意，可不能的便起，你知道计眸机的命名规则吗？公司的计算机非常多，为了便于管理和维护，公司要求计算机命名方式为：您的姓的第一位拼音字母+工号，如果您管理多台计算机,请在工号后加A、B、C、D-.个人能焦设置FTP、WinS等网络服务吗，为什么？未经批准，不得私自设置WWW.FrP以及BBS、NEWS、DNS、Wins、DHCP等各种形式的网络服务,更不能在公司网络上运行任何攻击或破坏网络服务的软件“因为设置这类Ifti务会对网络正常运行造成不良影响.如确实业务衢要，不接入公司大网（如.仅在实验室小网使用）同时不需要IT协助的服务申请，提交“ISAuIhOri1.yAPP1.iCaIiOn”电子流进行申请，其余服务的申请通过ITrequirmen1.流程中请。3.人员安全普通员工的职由作为普通员工.我在信息安全中的职责是什么？枳极学习和遵守公司各类信息安全管理规定和安全措施，将遵守安全规定融入自己的11常工作行为中。在工作中要有强烈的信息安全和保密意识,要有职业的敏感性.有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他安全隐恐的行为.对于信息安全方面问题，应该向谁咨询或反馈？您可以向直接向郃门主管，伯恩安全专员咨和或反馈：还可以通过公司的IT热线I1.1.iS:+86-755-28560160»Notes:itot1.ine12345»Emai1.:iihMine或信息安全问题受理电子流咨询或反馈.管理者的员任作为管理者，我在信息安全中的货任有哪些？各级部门的一把手是本部门信息安全的第一击任人.负成信息安全管理规定在本部门的推行和落实。对本部门人员的违规事件承担缴导或任。各级主管应负通本部门哪些与信息安全相关的活动？各级主管应负责本部门所有与信息安全相关的活动。具体有：确定各个资产、各个系统的管理员,使该管理员对该资产、系统的安全负责：在本部门内对员工进行培训.教育和宣传，使本部门每个员工那遵守公司的信息安全策略、标准和管理规定，报告伯恩安全陷患、漏洞或M故，树立主动保护公司信息资产的意识，员工出差在出差时，若需携带保密资料，应注意哪些事项？应注意如卜国项：(I)非因公外出时绝对不能携带绝密资料.(2)因公外出只允许携带工作相关文档，怏带外出的保密资料制首先通过审批，在离开公司时出示经过审批的有效凭证；(3)出差前请确认出差目的地的网络情况，如果完全无法接入网络，请确认便携机上使用RMS加密的。伍CC文档至少在本机上打开过一次.(4)绝密级别的资料在出基期间必须1身携带,妥善保管：(5)一股情况下，乘坐飞机、火车等公共交通工具时，含有保密信息的便携机等移动存储设备需随身携带，不能托运(但若与当地法律法规冲突，则以当地法律法规为准)；(6)从酒店外出时如确实无法随身携带,应将使携机、保密文件存放在保密柜中,不要交酒店前台保管：(7)应做好访问控制的设置，如给便携机设汽开机、屏保和硬盘口令等。岗位调动由于工作密要，在进行工作交接时，应注意哪些信息安全何SS?进行交接时,桢注意做好以下几方面的工作：(I)保密信息的移交和清理：(2)应用系统帐号与权限的移交和清理；(3)归还办公室、机房等的钥匙。员:调动部门后,如何处理与新H1.位工作职由无关的文档？在工作交接完毕后.应及时、彻底地删除或销毁您仍持有的所有与新岗位工作无关的文档.删除或怕式的方式必须符合公司规定,如要使用碎纸机俏毁含保密信息的纸件,而不能直接扔垃圾箱或用手撕毁等.如在新H1.位霜继续保留原冏便保理伯恩.一定要经过f条密信息所有人批准，信息安全奖惩规定信息安全奖励分为几个等级？具体的奖励办法是什么？根据对公M信息安全的贡赋大小.共分为三个等级.一等奖：举报泄密、窃密或其他严重损害公司利益事件的人员,根据具体情况给予2000元以上的奖励，并记入关键十件库。对举报人员只奖励，不公布，二等奖：可于制止他人违规行为或及时向信息安全部反馈可能造成泄率、窃密或其他安全吃患的人员,给予500-1000元的奖勘,并记入关犍事件库.三等奖：匕期遵守信息安全管理规定的，在估息安全管理中一贯良好的部门或个人给予100500元奖励，并记入关键货件,库。信息安全违规可分为哪几个等级？对于触犯国家法律的，公司会移交国家司法机关依法处理。此外，则根据比规行为的后果、性质以及违规人的主观意愿,将违规行为分为如卜,四个等娘：一级：有意盗窃.泄假公司保密信息,或有意违反信息安全管理规定,性质严重造成重大损失.二级：有意违反信息安全管理规定，性旗严至或造成损失，三级：无意速反信息安全管理规定，造成公司损失：或者有意违反信息安全管理规定.但性质不严重且没有造成产重损失.四级：违反信息安全管理规定,性质较轻，没有造成公司损失.常见违规行为（I）常见四级违规未经批准,安装非标准软件未经批准.密贝、保存工作无关的文档资料等未经批准，在公司办公区域排像、摄影发送与工作无关文件（人数少,性鲂不产Hi）没有安装、运行公司规定的防病褥软件，或未设置集中管理没有设置屏保口令、开机1.1.令、共享口令、硬盘口令便携机）、Administrator11接待客人时，未按规定进行陪问（2）常见三级违规未经批准，访问游戏站点未经批准，拨号上In1.eme1.网无意启动DHCP服务，影响公司网络正常运行未经批准,转借信息系统帐号未经批准，使用特殊存储设备持有与本岗位无关的保密文档非正当渠道获取或传递保密文档未经批准.私自将公M保密文档或信息授予未经授权的任何其他人员（包括公11J人员和非公司人员）系统管理员未按公司规定设置相关系统的安全配汽标准（3）常见二级违规发送与工作无关连环邮件访问不健康网站系统管理员未经正常流程,私自授予系统权限在公告栏发布与工作无关内容或造成泄密未经允许，在各种媒体、公众场合发表与公司有关的评论或言论未经批准,私自转借个人计算机私自刻录文档盗用他人帐号非法收集大址与本同位工作无关保密文档（4）常见一级违规未经批准，系统管理员i看、传播公司业务取整数据编制或运行黑客程序编制或传播病错程序攻击公司网络和信息系统悌取、盗卖公司保费信息4.文档保密信息保密相关的基本原则和定义访问保密信息有碇”基本原则？如何卉解这些原则？有项基本原则：最小授权原则、审批受控原则、工作相关原则.（I）Ai小授权原则：就是授予的权限刚好满足员工的工作需要。（2）审批受控潦则：就是要严格控制信息的传递过程和审散范I乩保证做到“先审批，再获取：先登记，内传递”.（3）工作相关原则：要求短一位员工只能查阅与本人工作有关的文档，严禁员工私自收傀、保存与自己工作无关的文档，对公司来说,哪些信息属保密信息？公司对于信息从保密性的城度分为两大类：公开信息和保密信息，既包括公司内部业务运作过程中产生的信里，也包括客户、供应商、国家政府机关等相关方提供给公司的信息，(1)公开信息指可对公司外公开发布的信息.如：公F对外的相关宣传资料、产品介绍资料等.(2)保密信息指仅可在定范围内发布的信只，如果泄漏，可能给公司或相关方造成损失和不良影响.华为公司的保密信息是怎样进行密级划分的？保密信息根据其价值、内容的敏感程度、影响及发放范围不同，划分为绝密、机密、秘密、内部公开等四个级别.“绝密”信息是指包含公司最屯要和最触感的伯思关系公司未来发履的前途和命运，对公司根本利靛有者决定性影响的保密信息，例如公司的年段预算方案、服务销包费用预算等文件.“机密”信息是指包含公司的重要秘密,其泄乐会使公司的安全和利益遭受严重损害的保依伯恩.例如，客户投资计划、第三方咨询报告、未发布的任命文件等.“秘密”信息是指包含公司股性信息，其泄露会使公司的安全和利靛受到损吉的保密信总。例如，供应商选择评估标准、部门审计报告、部门招附计划等文件。“内部公开”信息是指仅在公司内部或在公M某一部门内部公开,向外扩散有可能对公司的利益造成损害的保密信息，例如，用户悚作手册、已发布的任命文件、一般部门的例会纪要、友Ifii公开信息等。谁是“信息所有人”？公司按信息密级划分的信息所有人分别如下：绝密信息所有人是信息所属一娘部门及以上主管；机密信息所有人是信息所同二级部门及以上主管：内部公开、秘梏信息所有人是信息所属.级部门及以上主管，密级的标识和分类什么时候衢要确定文档的密欲标识？当您初步完成一篇文档，并准符将文档传递给主管或同事进行评审,修订时，这时就应确定文档的密级.初步确定文档密级时.您可以先参考“信息资产密级管理”数据阵中对同类文档的密徼分类，可以根据何类文档的诙级分类来初步确定文档的密级，如新拟制的文档在该数据陈中找不到同类的文档供参考，您可根据文档涉及内容的价值、敏感程度碉定一个初步的密级.保密文档由拟制人初步判定其密欲后,提交相应信息所有人进行密级确认“关于信息所有人的定义，请参考4.1.4节。在日常工作中如何标识文档密级？CKjfOffke文档，公司要求每位员工都使用公司提供的模板创建文档，创建后根据内容在页眉处添加正确的密级”(2)对于打印资料,每一页都需要有明确的密级标识：(3)对于装订的硬拷贝资料.辐至少在开启前贡、标Sfi页和尾页上放盥资料密级标签：(4)对于印刷的、手写的保密敏粥信息衢要在其某个醒目地方设置保密标签；(5)电子文档和纸件文档，均需注明“华为机密，未经许可不得扩散”或类似字样.文档的使用和交流公司内部文档传递中有哪些保密要求和注意事项？公司规定，公司内部的所有绝密、机密和秘密级文档是要求加密的.对于内部公开级文档，各业务部门可根据实际业务情况决定是否需要加密，对于OffIe类保密文档，需要使用RMS进行加密，在无法使用RMS加密的情况卜，需使用WinRar压缩加密，机密以上文档必须采用双重加密(文档本身加密+WinRar压缩加密),两个密码不能相同,密码设徨须符合公司E帐号和口令标准(特别对于箱1与服务体系，密码位数必须大于IO位，且由特殊字符、大小写字母、数字混合组成。另外，密码第一位须为特殊字符。所设定的密码禁止使用短信或邮件传递，仅允许通过电话语音通知)。非0伍Ce类的保密文档，需使用其它方式进行加密.例如Winrar等.所设定的密科禁止使用短信或邮件传递，只能通过电话语音通知.传送含保密信总的纸件时,一定要用质麻好的信封等进行封奘并且只能发给收件人本人或其机要秘书，同时做好传送记录，另外，不能使用手机短信发送机塞或机密级以上的保密信息。我可以将经过正常授权获得的保套文档提供给其他同事吗？不可以。公司规定,未经信息所行人批准,员工无权招自己所获得的保密信息再授权或提供给他人.因为羟过授权后，您是佶息的合法使用人，而不是伯忠所有人.羟授权兼得保密信息的人员也不能私下与他人交流该保的信息。对不用的保密信息应如何俏毁？对作废的、或者己无权再接触的保密信息要删除和销毁，删除和销毁晚始保密信息应征得相应主管同意，对纸件、电子件、存储有保密信息的存储介质销毁时的注意事项如M(1)纸件：含保密信息的纸件必须用碎纸机销毁,而不能直接扔垃圾箱或川手撕毁：含秘密级以上信息的纸件不能重复使用.(2)电子件：删除后注意清空垃圾箱。(3)存储有保密信息的存储介质：存储有保密信息的存储介质作成时，应采取不能恢或的物理性销毁：如符硬盘送到我可指定地方进行俄轧或消磁等：在计算机转移给公司其他员工前，要对硬盘进行格式化：在计究机转移到公司之外(如超过规定使用年限的便携机转移给个人)前，要时硬盘进行低级格式化.员工调动部门后,如何处理与新岗位工作职责无关的文档？在工作交接完毕后，应及时、彻底地（W除或销毁您仍持有的所有与新岗位工作无关的文档，删除或销毁的方式必须符合公司规定，如要使用碎纸机销毁含保密信思的纸件，而不能直接扔垃圾箱或用手撕毁等.如在新岗位需继续保留原岗位保密信息.一定要经过保密信息所有人批准.5.应用系统使用Notcs'Emai1.1.Proxy系统我要用No<e$发送秘密级以上（含秘密）邮件，需要采取哪些安全措施？在发送秘密级以上信息时.为防止泄密.员工必须采取始件加密发送的方式.并设置回执（可以从自己收到的PI执杳看接收并阅读邮件的人）.我是否可以发送群加她件？如果业务需要向多人发送帆件，我应如何做？按照公司规定，未经批准，员工不可以使用群组发送蜘件.在特殊情况下，由于工作需要发送群组邮件，员工必须首先确定群组的每个人都是自己要发送帕件的接收人,然后经过部门主管批准，才可以使用群纲发送加件.具体要求可参考£Notes群组管理规定.使用Emai1.发送保密邢件时，应该采取什么安全措施？发往公司内部的Emai1.保客邮件及其Office文档类保密附件,须使用RMS岫密.发给公rij外部人员的觇件，如客户、供应商等，可以不用RMS加密，但须使用其它方式加密，如WinW或Offke自带的加密功能，密码可单独通过电话等方式通知。现在Emai1.r.的病毒越来越多,我应该采取哪些措循求预防呢？在收到来历不明的即件时，清不要打开，直接削除即可.因为目前大多数稀毒和果客软件就是通过邮件传播的，一些病毒程序,甚至你没有打开始件内容，只要把依点移到始件标题上就会执行.因此,请记住不要设置“自动预览/预览窗1”的功能，取消的方法毡，在Out1.ook的“视图”菜单中点击“自动预览”取消此功能“我经常收到一些广告批件、无聊的垃圾邮件,如何防范垃圾配件呢？由于外面有人专门收集Emai1.地址出售，所以您的Emai1.地址可能被列入其他人的邮件列表,经常会收到别人发的广告怅件和其它垃般邮件。为避免接收到这线垃圾部件，用户可以在客户端设置禁止接收特定内容的Ema>1.（目前极务擀端可以过注部分垃圾邮件.方法如下：在OHook中，先选中不想再接收发件人发送的眺件，然后选择菜单“动作”，在选项“垃圾邮件”中选择“将发件人添加到阻止发件人名单，”即可。也可以转发垃圾由口件到antispam.由系统拦截.方法如下：（I）MicrosoftOut1.ookExpress111户a.选中收到的垃圾部件。b.单击右犍.选择做为附件转发.您将会主题栏下看到一件附件.c.填写收件人：antispam.&发送邮件。如果提示主SS为空，点击.确定”即可.（2） Foxinai1.用户在FOXmaiI中选中（可以按住CE犍多选）垃圾幌件,将其拖至桌面或一个文件夹.这些坨圾邮件会以一时一对邮件文件的形式保存的。然后，将这些保存的垃圾即件作为附件发送到an1.ispam。（3）OuUcok反馈方式（以下方法才可以保留腑件头,有效更新规期）：a、在桌面新建一个SPam文件夹：b、请您使用Ctr1.选中多个垃圾邮件后,拖到Spam文件夹中;c.将这些Spam文件夹打包成压缩包文件spam.mr：d、将SPam.rar作为附件通过Out1.ook反馈到antispam-岗位变化后，能否继续使用以前中请的ProXy帐号？通过邮件征得新部门主管（同巾请时审批者级别）同意后，方可继续使用以前申请的Proxy怅弓、访问外部网站应注意哪些何时？公司为部分员工开通Proxy权限，目的是为员工从网上收集对工作有用资料、了解与工作有关的行业信息等提供方便，在访问过程中,应注意：不能利用Proxy访问与工作无关的网站和内容,更不能从网上下我游戏、黑客工具等内容.特别强网-点，不要通过P1.Xny访问个人外部掘箱.我能否在公司内登录到外网出箱（如网易、SOHU等）收发邮件?公司禁止员工访问公司以外的肥箱.6.物理安全2.6负贵组织公F的信息安全培训和宣传.附录三：信息安全案例汇编(一)公司信息案例汇编1私自转借工卡【事件描述】2004年S月，深圳总部某安全肉值班员在时进出人员K证做嵌情况进行检查时发现一名以戴华为正式工卡的人员与工卡上照片不符,当即求助相关部门对该工卡的真伪进行鉴别,同时要求当事人配合安全岗进行调15,并报行政管理部处理.经杳，该以戴华为员工工卡的人员为固网产品戏的外协文员，因自己的临时通行证没有在生产中心通行的权限,所以借用华为员工工卡通行.【违规等级】四级【事件描述】2004年8月，公司某部门员工接待一名供应商进入研发区域，在接待过程中，该员工私自将工卡借给供应商,让其独自到机要塞拷贝资料，供应商Sfi身携带的U盘也未在门内登记，出按被带入了研发办公区域“【违规等级】三级【事件点评】工卡是公司员工的身份证明，只限于员工本人使用，是不允许私自转借的.它不仅关系到公司的形象和安全，而且还关系到员工木人的切身利益，另外，口时出入公司的客户、供应商等人员，接待人员需要全程陪同。需要注遨的是，在接待过程中,接待人员是要对来访人员的所有信息安全行为负责的！2未升级防病而软件造成府络瘫痪【事件描述】2006年初,某员工到一外研所出差.该员工计算机安装的防病毒软件为Nonon7.6版本.且病毒库版本为05年9月.未及时升级到SymaniccAntivirusIO企业版并实行集中管理,辱致无法杳出病毒。在外研所办公期间，由于该员工的便携机携带了病毒并且该病毒自动向网络发送大地数据包，数据流量大大超过日常办公时的流里，导校外研所网络服务器CPU过载，网络癖疾达1小时之久.给外研所的办公希来较大影响.【违规等级】三级【小件点评】协希计籁机技术的发展，病毒的种类越来越i多，危书越来越大。据GnibrmaIiOnWgkg研究部和埃森哲咨询公司(ACCCnu1.re)合作进行的第九年度“全球安全调查”显示,在所有受访者当中,有57%的美国公司在过去一年中曾遭受病毯攻击,34%曾受到贴虫的攻击！这些数据足以握胆我们每位员工一定按照公司要求，及时安装杀揖软件并执行集中管理，防止这类小故的再次出现。3违规安装非标软件.影响公诃网络【4件描述】2003年5月，技术支援系统某员工未经批准，私力在其便携机中违规安装Syga1.e软件，结果在公司网上无意启动了DHCP服务，影响了公司网络的正常运行，使得该员工所在代表处的网络期痪达2个小时之久.【违规等级】三级【任件描述】2006年2月份，在信息安全例行检在中，发现供应钺某业务部，位员工未经批准私自从外网F栽了并安装了危及网络安全的迨规软件EthCTCaI,【违规等级】四级【邪件点评】安袋违规软件是公司员工最典型的伯恩安全违规行为之一.尽管公司一再充中相关规定，但仍有个别员工无视这些规定的存在。一些违规软件（如Wingate,Sygatc等）可能会影响公司网络正常运行,而诸如Etherea1.,NetXray.SnifTer等软件则公危及公司的网络安全.请各位员工遵守公司要求,安装符合公F标准的应用软件.4违规使用USB【生件描述】全球技服某员工未经允许.私自使用优盘拷贝便携机上的资料,准备复制到家中的私人电陋中,其中包括部分公司保密资料.此事的即被网络安全部查获.【违规等级】三级【事件点评】公司明文规定，因工作需要使用USB是可以的，但需要申请。而未经批掂，私自使用USB的话.一经发现,就会被严恁.5私拆现盘刻光盘【事件描述】2006年4月270.北研所某员工利用工作之便,在未经批准的情况下,私自撤除计算机封条,取出硬盘带到外面进行光盘刻录.【违规等级】一级，辞退【事件点评】私自拆除硬盆，流失的文档包含着公司各位员工的血汗,我们辛辛苦苦才收获到这些粮食,切记不可让别人随他便便就偷走.各位员工如果发现有人盗窃公司信息资产，一定要挺身而出，保护大家的利益.也保护自己的利益.6计算机密码管理不善造成泄密【事件描述】2006年3月，供应鞋管理，离开工作岗位而又有外部人员在场的情况下，未手动锁定电腑,存在信息泄密的风险：第三方物流公司的两名员工趁我司员工不在场.多次私自使用公司电脑，【违规等级】四级【事件描述】某员工在外出差期间，利用宾馆局域网上网,共享了存有公司保密文档的文件夹，但未设置共享口令。此再被宾馆其他人员发现，并及时向公司报告，避免了保密文档的外流。【违规等级】四级【邪件点评】幸好及时发现，没有给公司造成损失，否则三级违规就不可避免了！每位员工都应注意，在设置了计算机密码的同时，还r方不要忘记离开座位时及时锁定电脑，设设了密码但没有启用密码锁定的电脑就如同于保密柜虽然配符了俄头但把锁头丢在-旁.对于盗贼而有.密码或快头都如同虚设.另外还要注意.员工在出差时如需通过脚络传递电子件形式的保密资料必须加密后才能通过计算机网络进行传送，在传送时要设置可执.如因技术原因无法设附回执时，则应该做好传送记录.现在很多宾馆都有上网的专线,员工在宾馆上网要注意取消计算机内所有的文件共享。通过宾馆的专线发送部件时，一定要对发送的文件在本地进行加密后才发送.计算机自身的安全防护措施也要Ai!置好.比如安装个人防火堵软件、防病送状件以及设置AdminiStragr和硬盘11令等等.7保引违规文档并逃避枪告【界件描述】2002年11H,在信息安全例行检查中，发现研发某员工在工作已完成交接后，未删除过去工作中涉及到的大收保密文档，并以更改后缀的方式保留以逃避检杳。【违规等级】三级【事件点评】这种更改后缀.有意逃避信息安全检查的行为实在是比较恶劣.也体现了该员工的人品素质比较差,幸运的是没有给公司造成损失，否则信息安全一级违规、辞退或司法机关处理也不为过。奉劝那些打公司注意的少数人，定要保持清醒的头脑，想清他仅因一时贪念而影响了个人前途是否值得？8私自外发公司保密信息【事件描述】2006年初，国际营销系统某海外机构某员工未经批泡，通过多方渠道获取公M的一些产品价格清单通过E-Mai1.外发给外部人员,对公司业务产生重大影响.【违规等级】一欲,辞退【出件描述】2005年6月，全球技术眼务部，违规将绝雷文件发给没有与我方答仃保密协议的笫三方工程师.【违规等级】二级【事件描述】2（X）5年12月，内部服务管理部某员工未羟公司批准,将工程招标文件及相关附件清单通过E-mai1.发送至个人外部邮箱。后来还发现此员工多次私自通过Emai1.将公司相关主管及秘书通讯录、我司认证的相关供应商信息以及工程文件发送至公司外部其期友邮箱【违规等级】二级【少件描述】国内营销部员工刘某将公司电话号码直前数据陈或制后，发往公司外部同学的邮箱，以方便其同学的夫人向公司员工进行吩地产推销，【违规等级】三级【事件点评】保密信恩外泄占公司员工信息安全违规的一个很大比例,少数员，存在侥幸心理，为一时金会就挺而走险，有意触犯公司的信息安全高压规，以为可以逃脱公司的依查和审计,殊不知“法网恢恢.疏而不潮”,总有一天他们要为自己的贪婪付出悔痛代价。也存在很多员工,无意间就违反了公F的信息安全规定。妇根结底,这是他于安全意识低,安全知识匮乏等造成的.还请这些员工多多关注公司的佶息安全制度流程，培养信息安全意识。针对上述的几个案例，特别覆调以下几点：（1）在与合作方合作期间,接口部门千万不要忘记与他们签署保密协议.这是对公司负南，也是对员工个人工作负费.但即使是签署了保密协议,员工也不能说!彦将公司的保密文件发送给合作方，必须经过业务部门主管批准才可以.（2）因工作需要发送涉密文档，须经过信息所有人批准之后才可外发，发送的时候要先给文档加密.（3）不仅公司的产部相关文档需要保密，公司的管理制僮、业务近程、工作职击、部门结何以及电话号码信息等类文档，都是不要的信息资产，未经批准，都是禁止外发的,9私自记录并使川他人PrOXy帐号"件描述】2006年2月，研发某城工A在用助员B工配置ProXy帐号时私自记下了该员工的怅号密码，并通过该帐号上传公司内部保密资料到外部盹箱，当即被公司网络安全部查获.【违规等级】二级出件点评】这种盗取他人帐号的行为足以显示员工A的人品素存在问题,现在这个信息化社会里，作法使用他人帐号就相当于臼用他人身份.任何人都不会希柒别人用自己的身份去做坏事.所以,一方面我们应该保护好自己的帐号,不要被他人盗用：另一方面，由人及己,也不要做擅自使用他人帐号这种不诚信的事.IO发送工作无关邮件【事件1描述】02年3、4月间,部分员工在公司网上传播一笈工作无关的Notes邮件.经杳明，先后有225人参与了该邮件的发送或转发.【违规等级】二级【事件2描述】05年,某员工用一大群组发送内容为租房信息的Notes邮件.邮件发送后又有多人直接对所有收件人进行I可复，导致多名员工收到多封工作无关邮件.【违规等级】三级【事件3描述】06年2月，某员工利用No<es发送内容为含“2天内把该信息转发给20人.幸运就会降临：反之则有厄运降临”的连环坨圾邮件,导致帆件迅速在公司网络中传播C【违规等级】：级【事件点评】某线利用公司网络资源发送的工作无关连环批件，不但浪费公司的IT资源，也浪费收件人的时间.甚至有些工作无关加件收件成员中包含了很多公司海外网络条件比较差地区的海外员工，收这些垃圾吃件产重影晌了他们的的正常工作.如果将这些浪费的资源和时间的成本转换为金钱，可是一个大数目。时公司来说，也是一怎不小的浪也！还请每位员工专注本职工作，连环垃圾邮件切莫发。U有意利用系统漏洞【事件描述】公司某员工，于2006年将朋友发至其E-mai1.IIe箱中的团购公告绕过正常审批程序直接在No<cs数据即“行政服务之窗”上发布为其朋友进行广告宣传,且故意虚构发布人信息.网络安全部于当天下午两点三十分收到员工举报，仅用半个小时便查明本件真相，随即对员工的非法操作行为进行了处理。【违规等级】一皴“件点评】这种有意利用公Err系统漏洞的行为,无论产生的后果是否严重都是应该严您的.作为公司的员工，我做应该保护公司的利益，一旦发现了漉程或系统中存在的混洞，应及时向有关部门反馈，进行弥补，断不可利用其为己牟利，12私设论坛发衣恶劣言论被除名【步件描述】2005年10月，供应链某员工，利用工作时间窃录公司内部NoteS邮箱私设论坛.并多次发布极其恶劣的辱骂性话语。【违规等级】i级,辞退.【事件点评】公司IT资源只能用于工作需要，利用公司网络资源私设论坛，并多次发布极其恶劣的辱骂性话语，不但浪费FT资源，还在公司莅围内造成了极其恶劣的影响，13门禁尾的不以为意,引狼入室埋下祸根件描述】2004年12月，供应链管理部电装部某员工因当晚有培训，经由厂房三楼门禁进入实脸楼，在刷开进入实验楼的门禁时，有一名瞅喊临时通行证无门禁R的外协员工尾随其进入了实5金楼办公区,该员工未在通.更未过问.在随后的一个小时内该名外协员工在实验楼利用工具盗窃办公电脑软件标签十余张.后羟严密布控，嫌疑人于再次潜入作案时被当场抓获。【违规等级】三缎【事件点评】该员工安全意识薄弱,导致被窃喊利用.公司规定.非工作箭要不得引额无权限人员进入非授权门禁区域.In然该员工行为无意，但齐观上为该外协员工盗物电脑标卷提供了便利，给公司造成的损失是他必须承担的，14在办公区拨号上网处罚案例【犷件描述】技术支援部某员工，在驻外某研究所办公场所和户拨号上同。自2003年5月21日至6月20日，累计拨号上网看新网等内容34次、301分钟，给公司的网络安全带来极大的隐患,也产揖浪费广公司的资源.【违规等级】三级【零件点评】尽管公司三令五巾：未经批准严禁在办公场所拨号上网，但仍有少数人说若罔何。要知道在办公区拨号上网不仅浪野公司的资源、影响正常业务，更可能将黑客、病毒、木马以及间谍软件通过网络传播到公E来