《海油信息安全管理细则》由会员分享,可在线阅读,更多相关《海油信息安全管理细则(18页珍藏版)》请在金锄头文库上搜索。
1、1 目的规范计算机及计算机网络信息安全管理,提高信息安全保障能力和水平,维护国 家及企业安全。2 适用范围公司机关及所属单位。3 编制依据3.1 信息安全管理办法 (IT-01-07 , 2011,中国海油 )3.2 信息系统安全等级保护管理细则 (IT-01-07-02 , 2011,中国海油 )3.3 计算机信息网络安全规范 (Q/HS 5000-2009 ,中国海油 )3.4 信息安全管理办法(AM-01-08, 2015,公司)3.5 信息系统安全等级保护工作实施细则 (AM-01-08-01 , 2015,公司)4 职责4.1 行政管理部督促、检查、指导公司及所属单位计算机网络信息运
2、营的安全工作。4.2 公司机关部门及所属单位履行计算机网络信息安全的义务和责任。5 工作内容与要求5.1 安全防范5.1.1 基本要求5.1.1.1 各单位应按信息系统安全保护级别对信息系统采取安全防范措施,并确保 安全防范工作的有效落实。5.1.1.2 IT 支持服务中心应采取必要措施,提高网络的整体防护能力。5.1.1.3 各信息系统的数据、信息传输都应采用加密传输。5.1.1.4 各业务责任单位应制定其信息系统备份策略和灾备策略。5.1.1.5 IT 支持服务中心应提供备份和灾备的相应资源、服务,定期备份数据、进 行恢复测试并做好记录。5.1.1.6 各单位应对本单位信息系统的信息进行审
3、查、检查和复查,确保信息的合 法性、合规性。5.1.1.7 员工对所使用的终端、网络设施及其中的信息安全、账号安全、账号权限内的信息安全和上网行为负责,员工终端中严禁存储涉密(此处涉密系指涉及国家秘 密,下同)信息,终端中的商密文件不可设置为共享,工作邮箱电子邮件的收发要进 行病毒查杀。5.1.1.8 员工发现异常或发现其他人员非法使用计算机时,有及时向所属单位或公 司报告的责任。5.1.1.9 各单位要对移动存储介质进行登记、编号,移动存储介质要经IT支持服务中心检测合格、注册后入网使用。5.1.1.10涉及国家或企业秘密信息的存储、传输等应指定专人负责,并严格执行国 家、中国海油及公司有关
4、保密的法律、法规和相关管理规定。5.1.1.11涉密信息未经批准,不得在网络上发布或通过明码(明文)传输。5.1.2 信息加密管理5.1.2.1 涉及国家秘密的信息,其电子文档资料须加密存储。5.1.2.2 涉及国家和公司利益的敏感信息的电子文档资料应当加密存储。5.1.2.3 涉及国家秘密、国家与公司利益和社会安定的秘密信息和敏感信息,在传 输过程中应遵守国家的有关规定,视情况采用文件加密传输或链路传输加密。5.1.2.4 适度采用先进的加密解密技术对公司其他电子文档和数据进行加密管理。5.1.3 用户账号(ID)管理5.1.3.1 信息系统管理系统中或运维支持体系中应包括账号管理流程。5.
5、1.3.2 信息系统用户要严格管理账号,不得把自己账号外借他人使用、不得在电 脑、屏幕和办公桌上贴条暴露账号信息,禁止索要、盗取、使用、传播任何未经授权 使用的账号。5.1.3.3 加强对离职员工的账号管理,各单位在员工离职时应办理注销其账号。5.1.4 用户权限管理5.1.4.1 信息系统权限设计要符合安全管理要求,实现最小权限和权限互斥原则。5.1.4.2 信息系统的用户权限要严格对应用户工作职责,权限申请和变更应按流程 办理审批手续。5.1.5 禁止活动5.1.5.1 涉密计算机必须与互联网物理隔离,禁止把涉密计算机直接或间接连入公 司局域网络和互联网,禁止在互联网计算机中存储或处理涉密
6、信息。5.1.5.2 禁止利用信息网络系统制作、传播、复制有害信息。5.1.5.3 禁止非法违规入侵计算机和信息系统,禁止未经授权对信息网络系统中存 储、处理或传输的信息进行增加、修改、复制和删除等。5.1.5.4 禁止未经允许使用他人在信息网络系统中未公开的信息。5.1.5.5 禁止未经授权查阅他人邮件和盗用他人名义发送电子邮件。5.1.5.6 禁止未经允许在互联网公共邮箱、即时通讯工具、云盘、网盘或免费空间 上处理、存储、传输公司业务和信息。5.1.5.7 禁止故意干扰网络的畅通运行。5.1.5.8 禁止其他危害公司信息网络系统安全的活动。5.2员工信息系统使用5.2.1 员工信息系统是指
7、员工利用公司内部计算机技术对业务和信息进行集成处理 的程序、数据、文档以及计算机终端、各种存储设备等公司重要资源的总称,每个员 工应该安全、可靠、有效地使用员工信息系统并保证数据的完整性和准确性。5.2.2 员工在使用员工信息系统时应具备安全意识、保密意识和合规使用信息系统 意识,应确保:a)设备安全;b)信息安全;c)信息系统安全。5.2.3 在使用员工信息系统前,员工应签署信息系统使用安全保密协议。5.2.4 员工有保护办公计算机和设备物理安全的责任和义务,并按规定正确放置、保管、使用和归还员工信息系统,具体要求如下:a)妥善保存可移动设备,不得存放涉密信息;b)使用便携式计算机的员工,应
8、当保管好计算机,防止遗窃;c)避免环境对计算机设备的损害,比如食物、烟火、液体、极高和极低湿度、 极高和极低温度等;d)禁止安装、使用未经授权的非公司标准软件和硬件;e)信息技术支持部门负责设备的安装、拆卸、更改和迁移,员工不得自行进行 以上操作;f)员工应当认真保管公司分配的电子设备,未妥善保管而致丢失或损害的,应 赔偿。5.2.5 员工在使用公司提供的互联网和员工信息系统时,应注意合法、安全和保密, 具体要求如下:a)员工根据公司有关规定申请互联网和员工信息系统的使用权;b)不得通过员工信息系统和互联网从事非法的、不道德的、损害公司利益的活 动;c)对通过员工信息系统和互联网接收的可执行文
9、件进行病毒扫描检查;d)禁止员工随意改动计算机网络参数配置;e)禁止企业网内的计算机通过 MODE拨号、私自搭建无线网络等未经审批同意 的方式联通到互联网;f)员工因工作需要使用公司电子邮件系统对200人以上群发邮件的,需经各单位信息化主管领导批准并报公司行政管理部备案;g)员工须以本人的真实身份和口令使用公司的信息系统,禁止以他人名义滥发邮件或盗用他人账号;口令必须定期更改并具有一定的复杂性,口令规则应 满足:1)密码长度为至少8位;2)密码组成方式不能包含用户的账户名,不能包含用户姓名中超过两个连 续字符的部分;3)必须包含以下四类中的三类字符:英文大写字母(A-Z)、英文小写字母(a-z
10、 )、10个基本数字(0-9 )、非字母字符(例如!、$、#、。示例:合格的密码:PaSs1234或p!ss1234或Pass!$#%不合格的密码:Cnooc或 cnooPASS或 PASS1234h)不得在信息系统上进行工作以外的活动;i)涉及公司秘密的信息,须遵守公司的保密规定,严禁在互联网上披露涉及国 家和公司秘密的信息。526 员工有防范病毒和恶意软件方面的责任和义务,具体要求如下:a)员工应定期查看计算机是否更新了病毒数据代码,若防病毒软件工作异常, 病毒特征库过旧(更新时间为两周前)等,应当及时通知计算机维护人员;b)控制来源不明的介质、不确定来源下载的软件或文档、不确定的邮件和超
11、级 链接等;c)严禁员工以任何方式卸载防病毒软件、停止防病毒服务和更改防病毒软件配 置;d)员工发现计算机感染病毒时应当立刻关闭计算机,并报告1331服务热线或本单位的技术支持部门;e)员工在向信息系统上传数据前要做好查毒、杀毒工作,确保信息文件无毒上 传;f)移动办公计算机,应当定期接入公司企业网更新病毒库和查杀病毒;g)外来移动存储介质应检查病毒、杀毒、检测并注册后,方可使用。527 员工应采取有效访问控制措施,以确保访问安全,具体要求如下:a)员工应明确和采取措施,保护办公计算机不受非法进入;b)员工有合法使用和保护各类系统密码的权利和义务;c)应妥善保管计算机设备账号和密码;d)必须设
12、置屏保及密码,屏保等待时间小于 15分钟,并在离开计算机时注销 登录、启动屏保;e)不能使用容易被人破解的密码;f)应定期更改密码;g)不得向其他人公开密码,在别人有可能已经获知密码时,须立刻更改密码, 不得将密码记录在容易获得的地方;h)不得索要、盗取、使用、传播他人的任何账号和密码。5.2.8 员工在使用信息系统时应确保信息安全,具体要求如下:a)员工不得通过互联网传递属于国家和公司保密规定范围内的任何信息;b)员工应对终端内公司业务文件数据的完整和安全负责,包括保护公司的信息和软件;c)公司商秘数据不得保留在私人计算机中;d)应定期备份工作计算机终端数据;e)需使用移动存储介质向有关机关
13、、单位提供信息时,应由该信息的负责人审批;须一事一盘,严禁提供与该项工作无关的其他涉密信息,传递时应检查;f)员工在离开原工作岗位时,需将计算机、移动存储及业务文件数据完整地交 回所属单位;g)员工未经授权,不得将获取的信息数据与软件扩散至第三方,因此而引起的 法律纠纷应由扩散人员负责;h)敏感、重要信息不得遗留在打印设施,例如复印机、打印机和传真机等;i)便携式计算机在接入国际互联网时,不得连接任何涉密移动存储介质,不得访问涉密信息;j)使用可移动办公工具的员工,有义务保证公司业务数据的安全性和机密性,不得泄漏公司信息,不得处理涉密信息,不得使用未取得中国国家合法入网 许可的移动办公工具,并
14、应自觉遵守公司制度,安装正版软件、公司统一的 防护软件并及时升级,其移动办公工具应设置开机口令和屏幕保护口令,口 令规则应满足525款g)项所规定的要求;k)计算机终端和移动办公工具需要外部人员维修时,应采取有效防护措施防止 泄密或泄露公司信息。529 员工必须遵守国家关于知识产权保护的法律法规,安装新的软件需经信息技 术部门登记、检查和授权,包括公司拥有所有权的、公司已经购买版权的、或者是员 工或供应商使用公司资源开发的所有软件。5.2.10员工应正确使用移动邮件和远程访问。具体要求如下:a)应当妥善保管可访问公司邮件的移动设备;b)应当设置一定复杂程度的开机密码;c)丢失可访问公司邮件的移
15、动设备的,应及时报告技术支持部门;d)除获得授权的远程漫游账户员工外,公司员工只能在公司内通过局域网访问公司网络资源,严禁以其它方式访问;e)远程漫游账户员工应遵守公司的相关制度,并采取以下措施以保证其计算机访问公司网络的安全:1)仅通过信息技术部门提供的加密漫游账户接入公司网络;2)安装并启用公司规定的防病毒软件,并保证及时更新;3)安装并启用公司规定的防火墙软件;4)保管好计算机、密码。5.2.11应当加强对第三方人员使用本公司信息系统的管理,具体要求如下:a)严格控制第三方人员在公司内使用计算机和网络;b)第三方人员必须签订保密协议,限制必要的访问权限(如公司内部网络访问权限、VPN访问权限等),规定使用期限,明确公司内责任人;c)第三方人员使用本公司信息系统时,应遵守本规定。5.3 对外网站安全管理5.3.1 对外网站信息系统管理员应当严格按照制度规定实施管理,负责网站防病毒、 防黑客攻击及为网站的运行提供技术支持与保障。532 对外网站信息系统管理员须及时向
