企业员工办公安全指南

在前司写的办公安全要求，主要面向全体员工而非专业人士，公司规模中等，有类似需求的朋友可以参考一下。

目录

一、 目的 3

二、 适用范围 3

三、 员工办公安全准则 3

1. 信息安全准则 3
   1.1 人事安全 3
   1.2 数据安全 4
   1.3 账号安全 5
2. 网络连接与使用规范 5
   2.1 办公电脑连接规范 5
   2.2 移动设备连接规范 6
   2.3 远程办公连接规范 6
   2.4 公司网络行为规范 6
3. 邮件安全规范 7
   3.1 禁止工作以外的场景使用工作邮箱 7
   3.2 防范钓鱼邮件 7
   3.3 禁止邮件内容外传 7
4. 软件安全使用 7
   4.1 使用官方途径下载软件 7
   4.2 关闭捆绑下载和自动下载 7

一、 目的

为了更好的规范员工行为，保证公司信息资产的安全，降低公司信息资产被泄露或破坏的风险，我们制定了《员工办公安全指南》。本要求摘录了公司现有制度中与安全相关的内容，并结合这些内容提出了对员工具体行为规范的要求。

二、 适用范围

本要求适用于xx公司及其所有子公司、关联公司所有员工。

有效的安全是集体努力的结果，需要每位员工的参与和支持，所有员工都必须仔细阅读本指南，并根据要求规范自己的行为。

三、 员工办公安全准则

如下规定是针对XX员工日常行为的指导性原则，但并不是全部，后续基础安全组会根据实际情况不断的进行补充和完善。如果员工遇到了本文没有涵盖的情况，或者就本文所提到的事项产生了疑问，请联系信息安全部对有疑问的内容进行咨询，联系邮箱：anquanbu@xxx.cn。

1. 信息安全准则

1.1 人事安全

a) 员工在递交书面辞职申请或收到HR解聘通知后，必须向HR明确列出所有工作相关账户，HR确认全部删除后才可以办理离职手续。

b) 员工在递交书面辞职申请或收到HR解聘通知后，禁止以任何形式（包括但不限于复印、传真、复制）将因工作需要而获得的任何信息（包括但不限于公司内的各类知识分享平台中内容，如： 内部云盘等）带出公司，禁止从公司邮箱向外部邮箱发送邮件，包括向个人的非工作邮箱发送邮件。

c) 员工离职并完成工作交接后，必须立即删除或销毁所有与原岗位相关的信息。

d) 员工离职后，需遵守个人劳动合同，保守公司各类机密信息。

1.2 数据安全

1.2.1 即时通信工具使用

a) 禁止使用公司提供的即时通讯软件（竞技信联）以外的工具进行工作相关敏感信息沟通和文件传输。

b) 禁止使用工作相关敏感信息作为即时通讯软件的签名。

c) 通过即时通讯软件接收文件时，在打开前须先与对方确认发送内容。

d) 关闭即时通信工具（如：QQ、微信）的自动下载功能，确保下载文件行为获得本人的许可。

1.2.2 信息传播与发布

a) 禁止禁止在外部信息平台中记录工作日报、周报、部门例会等。禁止将工作资料存储在第三方平台（如网盘、代码托管平台）。

b) 禁止在外部信息平台中发布公司内部使用软件（特别是开源软件）的配置方法、软件类型、版本、当前的安全隐患等，避免关联性信息泄露。

c) 禁止在外部信息平台上讨论工作中参与的项目、下一阶段工作计划，项目进展，工作中遇到的问题。

d) 禁止对外泄露公司各种业务系统使用的软件类型，版本以及配置等信息。

e) 在含有保密信息的会议上，禁止邀请不必要、无权接触该保密信息的人员参加。

f) 禁止发布和传播反动、色情等违反国家政策和公司规定的信息。

1.2.3 重要数据权限管控

a) 员工必须妥善保管重要数据文件，并进行定期备份，防止因不慎丢失给工作带来损失。如需使用移动硬盘、U盘等外接存储设备传输或备份公司内部数据，须经过直属上级确认，并妥善保存备份介质，严禁外借使用。推荐使用公司内部云盘进行备份。

1.3 账号安全

员工必须严格按照如下要求保护自己的账号、密码：

a) 禁止员工将工作相关的各系统中的个人账户、与其它非工作访问账户（如个人非XX邮箱、外部论坛等）使用相同的密码。

b) 员工必须注意账号密码的私密性，并确保：

 不将员工使用的网络密码告知非XX员工。

 不以电子或纸质方式明文保存和传输口令。

 不以使用第三方软件发布、记录和传输账户/密码信息。

c) 工作帐号密码须满足一定的复杂性，并定期修改，公司建议的密码规则如下：

 长度8位或以上。

 包含大、小写字母、数字和特殊字符四类字符中至少三类。

 口令有效期最长180天。

 不包含账户名、公司特征（如密码存在abc**公司相关字符串）、键盘特征（密码存在qwerty等键盘上连续的字符串）、个人信息（密码存在手机号，身份证号等特征）等有规律性特征。

1.4 身份与访问管理

a) 当员工的工卡丢失或不再使用时，应立即通知人力部门，以便及时禁用或作废工卡，并重新发放新的工卡。

b) 禁止与他人分享工卡、禁止使用任何方式复制工卡、及时报告丢失或损坏的工卡。

c) 所有外部访客在进入公司办公区域之前必须进行登记，提供个人身份信息和访问目的等必要信息。

d) 外部访客访问公司时，只能申请使用访客WiFi，禁止员工将自身的WiFi账号借用给访客使用。

e) 访客在公司内部必须由员工陪同，并确保访客在访问期间的行为符合公司的规定和政策。

2. 网络连接与使用规范

2.1 办公电脑连接规范

a) 公司员工不得私自更改电脑的IP地址、DNS、网关等信息。

b) 办公区之间内网默认不互通(不同中心/工作室之间不互通， 同一中心内部无限制)，如因工作需要，通过 xx 工单向系统部申请开通。 禁止员工越权访问其他网络分区。

2.2 移动设备连接规范

a) 强烈建议设备不要安装不明/不可信来源（如来自即时通信消息、论坛、黄赌毒网站等）的APP。【建议项】

b) 设备需设置锁屏密码或faceID、指纹等生物识别锁屏。

c) 移动设备连接内网之后，禁止开启网络代理工具、隧道服务。

2.3 远程办公连接规范

a) 远程连接公司内网仅可使用公司官方发布的软件（VPN、零信任）。

b) 需要保证远程连接工具始终处于最新版本。

c) 禁止在公司内网使用未经公司批准的远程连接工具（比如teamviewer、向日葵等）。

2.4 公司网络行为规范

a) 禁止下载或安装恶意软件/工具，若发现任何可疑文件或者行为，应立刻向安全部门报告，不要自行处理，以免由于不当或者错误处理带来破坏性危害。

b) 禁止接入办公网的设备为其他设备搭建网络代理、端口转发、或提供隧道服务（如基于反弹shell、nc、ssh实现这些服务）。

c) 禁止搭建公网到办公网的代理服务，包括花生壳，NAT等内网穿透服务。

d) 禁止实施任何形式的网络监控。

e) 禁止以任何形式对内网进行扫描、攻击。

禁止安装和使用网络侦查、攻击工具（包括但不限于网络扫描、网络侦听、后门、木马和密码破解软件），除工作需求外。

f) 接入办公网的办公设备禁止在办公网内开放服务。

g) 离开工位时需要手动锁定屏幕，下班时电脑必须关机。

h) 禁止浏览访问包含如色情、赌博、反动等内容的恶意/非法网站。

3. 邮件安全规范

3.1 禁止工作以外的场景使用工作邮箱

原则上尽量避免直接使用员工办公邮箱用于外部产品或系统注册，如确需使用时（如github、企业认证等），应注意密码不得与办公邮箱密码一致，且均需使用强密码。

3.2 防范钓鱼邮件

为防止办公设备被病毒或木马攻击或工作账号被钓鱼，邮箱中接收到的任何可疑/非预期的邮件（包括：可疑附件、可疑域名或者链接等），须与发送方确认发送内容，若不确定邮件是否安全，可以以附件形式，将邮件转发至xx@xx.com协助排查。

3.3 禁止邮件内容外传

禁止把公司内部工作相关邮件（包括内部公开邮件）转发到公司外部邮箱，包括个人的非工作邮箱。

4. 软件安全使用

4.1 关闭捆绑下载和自动下载

办公电脑需要关闭即使通信工具或者其他软件的自动下载（比如"微信"的文件自动下载）和浏览器的下载后自动打开功能，防止自动下载或执行恶意软件。

4.2 保持软件更新到最新版本

及时更新，保持软件更新到最新版本，包括操作系统、办公软件和其他应用程序。更新通常包含安全修复和漏洞修补，可以提高系统的安全性。