企业员工办公安全指南

在前司写的办公安全要求,主要面向全体员工而非专业人士,公司规模中等,有类似需求的朋友可以参考一下。

目录

一、 目的 3

二、 适用范围 3

三、 员工办公安全准则 3

  1. 信息安全准则 3
    1.1 人事安全 3
    1.2 数据安全 4
    1.3 账号安全 5
  2. 网络连接与使用规范 5
    2.1 办公电脑连接规范 5
    2.2 移动设备连接规范 6
    2.3 远程办公连接规范 6
    2.4 公司网络行为规范 6
  3. 邮件安全规范 7
    3.1 禁止工作以外的场景使用工作邮箱 7
    3.2 防范钓鱼邮件 7
    3.3 禁止邮件内容外传 7
  4. 软件安全使用 7
    4.1 使用官方途径下载软件 7
    4.2 关闭捆绑下载和自动下载 7

一、 目的

为了更好的规范员工行为,保证公司信息资产的安全,降低公司信息资产被泄露或破坏的风险,我们制定了《员工办公安全指南》。本要求摘录了公司现有制度中与安全相关的内容,并结合这些内容提出了对员工具体行为规范的要求。

二、 适用范围

本要求适用于xx公司及其所有子公司、关联公司所有员工。

有效的安全是集体努力的结果,需要每位员工的参与和支持,所有员工都必须仔细阅读本指南,并根据要求规范自己的行为。

三、 员工办公安全准则

如下规定是针对XX员工日常行为的指导性原则,但并不是全部,后续基础安全组会根据实际情况不断的进行补充和完善。如果员工遇到了本文没有涵盖的情况,或者就本文所提到的事项产生了疑问,请联系信息安全部对有疑问的内容进行咨询,联系邮箱:anquanbu@xxx.cn。

1. 信息安全准则

1.1 人事安全

a) 员工在递交书面辞职申请或收到HR解聘通知后,必须向HR明确列出所有工作相关账户,HR确认全部删除后才可以办理离职手续。

b) 员工在递交书面辞职申请或收到HR解聘通知后,禁止以任何形式(包括但不限于复印、传真、复制)将因工作需要而获得的任何信息(包括但不限于公司内的各类知识分享平台中内容,如: 内部云盘等)带出公司,禁止从公司邮箱向外部邮箱发送邮件,包括向个人的非工作邮箱发送邮件。

c) 员工离职并完成工作交接后,必须立即删除或销毁所有与原岗位相关的信息。

d) 员工离职后,需遵守个人劳动合同,保守公司各类机密信息。

1.2 数据安全

1.2.1 即时通信工具使用

a) 禁止使用公司提供的即时通讯软件(竞技信联)以外的工具进行工作相关敏感信息沟通和文件传输。

b) 禁止使用工作相关敏感信息作为即时通讯软件的签名。

c) 通过即时通讯软件接收文件时,在打开前须先与对方确认发送内容。

d) 关闭即时通信工具(如:QQ、微信)的自动下载功能,确保下载文件行为获得本人的许可。

1.2.2 信息传播与发布

a) 禁止禁止在外部信息平台中记录工作日报、周报、部门例会等。禁止将工作资料存储在第三方平台(如网盘、代码托管平台)。

b) 禁止在外部信息平台中发布公司内部使用软件(特别是开源软件)的配置方法、软件类型、版本、当前的安全隐患等,避免关联性信息泄露。

c) 禁止在外部信息平台上讨论工作中参与的项目、下一阶段工作计划,项目进展,工作中遇到的问题。

d) 禁止对外泄露公司各种业务系统使用的软件类型,版本以及配置等信息。

e) 在含有保密信息的会议上,禁止邀请不必要、无权接触该保密信息的人员参加。

f) 禁止发布和传播反动、色情等违反国家政策和公司规定的信息。

1.2.3 重要数据权限管控

a) 员工必须妥善保管重要数据文件,并进行定期备份,防止因不慎丢失给工作带来损失。如需使用移动硬盘、U盘等外接存储设备传输或备份公司内部数据,须经过直属上级确认,并妥善保存备份介质,严禁外借使用。推荐使用公司内部云盘进行备份。

1.3 账号安全

员工必须严格按照如下要求保护自己的账号、密码:

a) 禁止员工将工作相关的各系统中的个人账户、与其它非工作访问账户(如个人非XX邮箱、外部论坛等)使用相同的密码。

b) 员工必须注意账号密码的私密性,并确保:

 不将员工使用的网络密码告知非XX员工。

 不以电子或纸质方式明文保存和传输口令。

 不以使用第三方软件发布、记录和传输账户/密码信息。

c) 工作帐号密码须满足一定的复杂性,并定期修改,公司建议的密码规则如下:

 长度8位或以上。

 包含大、小写字母、数字和特殊字符四类字符中至少三类。

 口令有效期最长180天。

 不包含账户名、公司特征(如密码存在abc**公司相关字符串)、键盘特征(密码存在qwerty等键盘上连续的字符串)、个人信息(密码存在手机号,身份证号等特征)等有规律性特征。

1.4 身份与访问管理

a) 当员工的工卡丢失或不再使用时,应立即通知人力部门,以便及时禁用或作废工卡,并重新发放新的工卡。

b) 禁止与他人分享工卡、禁止使用任何方式复制工卡、及时报告丢失或损坏的工卡。

c) 所有外部访客在进入公司办公区域之前必须进行登记,提供个人身份信息和访问目的等必要信息。

d) 外部访客访问公司时,只能申请使用访客WiFi,禁止员工将自身的WiFi账号借用给访客使用。

e) 访客在公司内部必须由员工陪同,并确保访客在访问期间的行为符合公司的规定和政策。

2. 网络连接与使用规范

2.1 办公电脑连接规范

a) 公司员工不得私自更改电脑的IP地址、DNS、网关等信息。

b) 办公区之间内网默认不互通(不同中心/工作室之间不互通, 同一中心内部无限制),如因工作需要,通过 xx 工单向系统部申请开通。 禁止员工越权访问其他网络分区。

2.2 移动设备连接规范

a) 强烈建议设备不要安装不明/不可信来源(如来自即时通信消息、论坛、黄赌毒网站等)的APP。【建议项】

b) 设备需设置锁屏密码或faceID、指纹等生物识别锁屏。

c) 移动设备连接内网之后,禁止开启网络代理工具、隧道服务。

2.3 远程办公连接规范

a) 远程连接公司内网仅可使用公司官方发布的软件(VPN、零信任)。

b) 需要保证远程连接工具始终处于最新版本。

c) 禁止在公司内网使用未经公司批准的远程连接工具(比如teamviewer、向日葵等)。

2.4 公司网络行为规范

a) 禁止下载或安装恶意软件/工具,若发现任何可疑文件或者行为,应立刻向安全部门报告,不要自行处理,以免由于不当或者错误处理带来破坏性危害。

b) 禁止接入办公网的设备为其他设备搭建网络代理、端口转发、或提供隧道服务(如基于反弹shell、nc、ssh实现这些服务)。

c) 禁止搭建公网到办公网的代理服务,包括花生壳,NAT等内网穿透服务。

d) 禁止实施任何形式的网络监控。

e) 禁止以任何形式对内网进行扫描、攻击。

禁止安装和使用网络侦查、攻击工具(包括但不限于网络扫描、网络侦听、后门、木马和密码破解软件),除工作需求外。

f) 接入办公网的办公设备禁止在办公网内开放服务。

g) 离开工位时需要手动锁定屏幕,下班时电脑必须关机。

h) 禁止浏览访问包含如色情、赌博、反动等内容的恶意/非法网站。

3. 邮件安全规范

3.1 禁止工作以外的场景使用工作邮箱

原则上尽量避免直接使用员工办公邮箱用于外部产品或系统注册,如确需使用时(如github、企业认证等),应注意密码不得与办公邮箱密码一致,且均需使用强密码。

3.2 防范钓鱼邮件

为防止办公设备被病毒或木马攻击或工作账号被钓鱼,邮箱中接收到的任何可疑/非预期的邮件(包括:可疑附件、可疑域名或者链接等),须与发送方确认发送内容,若不确定邮件是否安全,可以以附件形式,将邮件转发至xx@xx.com协助排查。

3.3 禁止邮件内容外传

禁止把公司内部工作相关邮件(包括内部公开邮件)转发到公司外部邮箱,包括个人的非工作邮箱。

4. 软件安全使用

4.1 关闭捆绑下载和自动下载

办公电脑需要关闭即使通信工具或者其他软件的自动下载(比如"微信"的文件自动下载)和浏览器的下载后自动打开功能,防止自动下载或执行恶意软件。

4.2 保持软件更新到最新版本

及时更新,保持软件更新到最新版本,包括操作系统、办公软件和其他应用程序。更新通常包含安全修复和漏洞修补,可以提高系统的安全性。

相关推荐
我只会Traceroute1 个月前
信息化浪潮下:安全运营的严峻挑战与未来展望
网络·网络安全·安全运营
The-Back-Zoom1 个月前
【蓝队技能】【C2流量分析】MSF&CS&Sliver
web安全·安全运营·蓝队
xiejava10187 个月前
安全运营之通行字管理
安全·网络安全·安全运营
xiejava10187 个月前
实战要求下,如何做好资产安全信息管理
安全·网络安全·安全运营·网络安全资产
知白守黑V8 个月前
数据安全运营:难点突破与构建策略全解析
大数据·数据治理·数据安全·安全运营·态势感知·安全运维·大数据建设
筑梦之月10 个月前
「 CISSP学习笔记 」08. 安全运营
安全运营·cissp
知白守黑V10 个月前
某银行主机安全运营体系建设实践
网络安全·系统安全·安全运营·主机安全·金融安全·信息安全体系建设
Cyberpeace1 年前
卓越进行时 | 赛宁助力职业院校实践“岗课赛证训创”育人模式
安全运营·网络安全卓越中心·城市安全运营中心·实训靶场平台·校企合作·协同育人·网络安全教育
Cyberpeace1 年前
ISC 2023︱诚邀您参与赛宁“安全验证评估”论坛
网络安全大会·安全运营·验证评估·检测评估·数字安全