在前司写的办公安全要求,主要面向全体员工而非专业人士,公司规模中等,有类似需求的朋友可以参考一下。
目录
一、 目的 3
二、 适用范围 3
三、 员工办公安全准则 3
- 信息安全准则 3
1.1 人事安全 3
1.2 数据安全 4
1.3 账号安全 5 - 网络连接与使用规范 5
2.1 办公电脑连接规范 5
2.2 移动设备连接规范 6
2.3 远程办公连接规范 6
2.4 公司网络行为规范 6 - 邮件安全规范 7
3.1 禁止工作以外的场景使用工作邮箱 7
3.2 防范钓鱼邮件 7
3.3 禁止邮件内容外传 7 - 软件安全使用 7
4.1 使用官方途径下载软件 7
4.2 关闭捆绑下载和自动下载 7
一、 目的
为了更好的规范员工行为,保证公司信息资产的安全,降低公司信息资产被泄露或破坏的风险,我们制定了《员工办公安全指南》。本要求摘录了公司现有制度中与安全相关的内容,并结合这些内容提出了对员工具体行为规范的要求。
二、 适用范围
本要求适用于xx公司及其所有子公司、关联公司所有员工。
有效的安全是集体努力的结果,需要每位员工的参与和支持,所有员工都必须仔细阅读本指南,并根据要求规范自己的行为。
三、 员工办公安全准则
如下规定是针对XX员工日常行为的指导性原则,但并不是全部,后续基础安全组会根据实际情况不断的进行补充和完善。如果员工遇到了本文没有涵盖的情况,或者就本文所提到的事项产生了疑问,请联系信息安全部对有疑问的内容进行咨询,联系邮箱:anquanbu@xxx.cn。
1. 信息安全准则
1.1 人事安全
a) 员工在递交书面辞职申请或收到HR解聘通知后,必须向HR明确列出所有工作相关账户,HR确认全部删除后才可以办理离职手续。
b) 员工在递交书面辞职申请或收到HR解聘通知后,禁止以任何形式(包括但不限于复印、传真、复制)将因工作需要而获得的任何信息(包括但不限于公司内的各类知识分享平台中内容,如: 内部云盘等)带出公司,禁止从公司邮箱向外部邮箱发送邮件,包括向个人的非工作邮箱发送邮件。
c) 员工离职并完成工作交接后,必须立即删除或销毁所有与原岗位相关的信息。
d) 员工离职后,需遵守个人劳动合同,保守公司各类机密信息。
1.2 数据安全
1.2.1 即时通信工具使用
a) 禁止使用公司提供的即时通讯软件(竞技信联)以外的工具进行工作相关敏感信息沟通和文件传输。
b) 禁止使用工作相关敏感信息作为即时通讯软件的签名。
c) 通过即时通讯软件接收文件时,在打开前须先与对方确认发送内容。
d) 关闭即时通信工具(如:QQ、微信)的自动下载功能,确保下载文件行为获得本人的许可。
1.2.2 信息传播与发布
a) 禁止禁止在外部信息平台中记录工作日报、周报、部门例会等。禁止将工作资料存储在第三方平台(如网盘、代码托管平台)。
b) 禁止在外部信息平台中发布公司内部使用软件(特别是开源软件)的配置方法、软件类型、版本、当前的安全隐患等,避免关联性信息泄露。
c) 禁止在外部信息平台上讨论工作中参与的项目、下一阶段工作计划,项目进展,工作中遇到的问题。
d) 禁止对外泄露公司各种业务系统使用的软件类型,版本以及配置等信息。
e) 在含有保密信息的会议上,禁止邀请不必要、无权接触该保密信息的人员参加。
f) 禁止发布和传播反动、色情等违反国家政策和公司规定的信息。
1.2.3 重要数据权限管控
a) 员工必须妥善保管重要数据文件,并进行定期备份,防止因不慎丢失给工作带来损失。如需使用移动硬盘、U盘等外接存储设备传输或备份公司内部数据,须经过直属上级确认,并妥善保存备份介质,严禁外借使用。推荐使用公司内部云盘进行备份。
1.3 账号安全
员工必须严格按照如下要求保护自己的账号、密码:
a) 禁止员工将工作相关的各系统中的个人账户、与其它非工作访问账户(如个人非XX邮箱、外部论坛等)使用相同的密码。
b) 员工必须注意账号密码的私密性,并确保:
不将员工使用的网络密码告知非XX员工。
不以电子或纸质方式明文保存和传输口令。
不以使用第三方软件发布、记录和传输账户/密码信息。
c) 工作帐号密码须满足一定的复杂性,并定期修改,公司建议的密码规则如下:
长度8位或以上。
包含大、小写字母、数字和特殊字符四类字符中至少三类。
口令有效期最长180天。
不包含账户名、公司特征(如密码存在abc**公司相关字符串)、键盘特征(密码存在qwerty等键盘上连续的字符串)、个人信息(密码存在手机号,身份证号等特征)等有规律性特征。
1.4 身份与访问管理
a) 当员工的工卡丢失或不再使用时,应立即通知人力部门,以便及时禁用或作废工卡,并重新发放新的工卡。
b) 禁止与他人分享工卡、禁止使用任何方式复制工卡、及时报告丢失或损坏的工卡。
c) 所有外部访客在进入公司办公区域之前必须进行登记,提供个人身份信息和访问目的等必要信息。
d) 外部访客访问公司时,只能申请使用访客WiFi,禁止员工将自身的WiFi账号借用给访客使用。
e) 访客在公司内部必须由员工陪同,并确保访客在访问期间的行为符合公司的规定和政策。
2. 网络连接与使用规范
2.1 办公电脑连接规范
a) 公司员工不得私自更改电脑的IP地址、DNS、网关等信息。
b) 办公区之间内网默认不互通(不同中心/工作室之间不互通, 同一中心内部无限制),如因工作需要,通过 xx 工单向系统部申请开通。 禁止员工越权访问其他网络分区。
2.2 移动设备连接规范
a) 强烈建议设备不要安装不明/不可信来源(如来自即时通信消息、论坛、黄赌毒网站等)的APP。【建议项】
b) 设备需设置锁屏密码或faceID、指纹等生物识别锁屏。
c) 移动设备连接内网之后,禁止开启网络代理工具、隧道服务。
2.3 远程办公连接规范
a) 远程连接公司内网仅可使用公司官方发布的软件(VPN、零信任)。
b) 需要保证远程连接工具始终处于最新版本。
c) 禁止在公司内网使用未经公司批准的远程连接工具(比如teamviewer、向日葵等)。
2.4 公司网络行为规范
a) 禁止下载或安装恶意软件/工具,若发现任何可疑文件或者行为,应立刻向安全部门报告,不要自行处理,以免由于不当或者错误处理带来破坏性危害。
b) 禁止接入办公网的设备为其他设备搭建网络代理、端口转发、或提供隧道服务(如基于反弹shell、nc、ssh实现这些服务)。
c) 禁止搭建公网到办公网的代理服务,包括花生壳,NAT等内网穿透服务。
d) 禁止实施任何形式的网络监控。
e) 禁止以任何形式对内网进行扫描、攻击。
禁止安装和使用网络侦查、攻击工具(包括但不限于网络扫描、网络侦听、后门、木马和密码破解软件),除工作需求外。
f) 接入办公网的办公设备禁止在办公网内开放服务。
g) 离开工位时需要手动锁定屏幕,下班时电脑必须关机。
h) 禁止浏览访问包含如色情、赌博、反动等内容的恶意/非法网站。
3. 邮件安全规范
3.1 禁止工作以外的场景使用工作邮箱
原则上尽量避免直接使用员工办公邮箱用于外部产品或系统注册,如确需使用时(如github、企业认证等),应注意密码不得与办公邮箱密码一致,且均需使用强密码。
3.2 防范钓鱼邮件
为防止办公设备被病毒或木马攻击或工作账号被钓鱼,邮箱中接收到的任何可疑/非预期的邮件(包括:可疑附件、可疑域名或者链接等),须与发送方确认发送内容,若不确定邮件是否安全,可以以附件形式,将邮件转发至xx@xx.com协助排查。
3.3 禁止邮件内容外传
禁止把公司内部工作相关邮件(包括内部公开邮件)转发到公司外部邮箱,包括个人的非工作邮箱。
4. 软件安全使用
4.1 关闭捆绑下载和自动下载
办公电脑需要关闭即使通信工具或者其他软件的自动下载(比如"微信"的文件自动下载)和浏览器的下载后自动打开功能,防止自动下载或执行恶意软件。
4.2 保持软件更新到最新版本
及时更新,保持软件更新到最新版本,包括操作系统、办公软件和其他应用程序。更新通常包含安全修复和漏洞修补,可以提高系统的安全性。