1、中国石油天然气股份有限公司信息安全员工手册石油科字2003239 号第一章 总 则第一条 为保证中国石油天然气股份有限公司(以下简称股份公司)信息资产(包括信息、信息系统资产、知识产权等)在传递、存储和处理应用过程中的安全,促进信息安全管理工作在全公司范围内顺利有效地开展,依照国家有关法律、法规和股份公司的有关规定,特制定本手册。第二条 本手册是股份公司员工在信息安全管理方面必须严格遵守的基本守则,适用于股份公司的所有员工,包括临时受聘人员。对因违反本手册而导致股份公司遭受损失的,股份公司将追究相关人员的责任;情节严重、违犯国家法律法规者,将依法追究刑事责任。第二章 信息安全保密第三条 员工在
2、信息应用方面不得有以下行为:1以盗窃、利诱、胁迫或其它任何不正当手段,获取本公司的商业秘密;2违反公司有关的保密协定、要求及与公司签订的劳动合同,披露或者泄漏本公司的商业秘密;3未经本公司许可,将商业秘密用于指定目的以外;4协助他人以不正当手段获取公司商业秘密。第四条 员工因业务需要必须将公司商业秘密向第三方披露或者交由第三方使用的,应参照执行中国石油天然气股份有限公司机关商业秘密管理规定 。第五条 员工在工作过程中,了解到其它公司商业秘密的,应视同本公司商业秘密,按照本公司商业秘密管理规定执行,不得向任何第三方泄漏。第六条 员工在业务过程中,如需接触任何股份公司的关键信息资产,都必须签署相应
3、的保密协议,协议内容参照中国石油天然气股份有限公司机关秘密载体保密管理规定的有关要求制定。第七条 离、退休及辞职人员信息保密规定:1离、退休及辞职人员必须办理离岗手续,明确其离岗后的信息保密义务,退还全部技术资料。为该人员使用的所有信息系统相关账户必须立即停用或作出相应的安全处理(如更换该账号的口令) 。2离、退休及辞职人员在与公司解除劳动关系或合同关系后,仍然有对公司的商业秘密负有保密的义务,直至该秘密所规定的保密期限到期。3为保护本公司商业秘密不受侵犯,接触本公司商业秘密的员工离职时,如有必要,公司应与其订立竞业限制合同,约定离职后的竞业限制事宜。第三章 信息资产使用职责第八条 员工对所使
4、用的信息负有安全责任。同样,各种可移动或便携式硬件资产的安全责任由该资产的使用者承担。股份公司的信息资产的使用者需遵守如下规定:1不在无安全保障的场所(包括在无安全保障的信息系统中)阅读、处理敏感信息资料;2不在亲属、朋友和其他无关人员面前谈论公司商业秘密信息;3未经同意不得私自留存秘密文件、资料,阅办后的秘密文件要按规定及时清退、归档;4不擅自销毁重要信息资料;5使用的信息资料应当存放于安全的环境中。第九条 员工不得在未经许可的情况下使用他人的电脑设备,也无权将自己使用的电脑设备任意转借他人。如工作需要,允许他人在设备使用人本人监控下操作,但本人须承担使用过程中的安全责任。第十条 员工不得在
5、未授权的情况下擅自将股份公司的电脑软件和敏感资料(包括第三方数据)进行复制、存储、传送。第十一条 员工有责任及时发现并上报发生的信息安全事件,并应当在信息安全事件的处理过程中协助相关人员的调查工作。第十二条 员工应使用公司提供的网络文件服务器备份自己的重要文件。第十三条 未经同意,员工不得擅自将股份公司的信息资产存储在不属于股份公司信息安全资产的存储介质中,包括私人电脑、公用电子邮箱、私人用途的移动硬盘等。第四章 知识产权保护第十四条 如无约定,所有股份公司的员工在本职工作中所创造的知识产权、履行本单位交付的本职工作之外的任务所创造的知识产权、退职或退休以及调动工作后一年做出的与其在原单位承担
6、的本职工作或分配的任务有关的知识产权,归股份公司所有(如员工建立的与股份公司业务相关的文档、软件等) 。第十五条 软件版权保护:1股份公司的信息系统、个人电脑、服务器等所有硬件设备上安装、运行的软件都必须拥有被合法使用的权利,否则不得在股份公司的信息系统上安装、运行;2由股份公司购买的商业软件版权属于股份公司所有,该软件的安装和使用必须遵从与供应商签署的合同和国家相关法律及规定,未经许可,任何个人不得将该软件在个人或其他非股份公司业务需要的领域进行复制、安装或使用。第十六条 员工的个人资料也属于股份公司信息资产的一部分,未经本人和相关部门授权,任何个人不得泄露他人的信息资料。第五章 公司信息发
7、布第十七条 未经股份公司主管部门批准,员工不得在任何互联网网页、电子公告板的发帖、广播的 Email 或者其他形式的媒体中发布股份公司信息。第十八条 股份公司所有员工不得通过股份公司的信息系统与外部组织或个人进行本职工作内容以外的交流,不代表股份公司发言的员工在通过股份公司的信息系统与外部组织或个人进行交流时(如发帖或者电子邮件)应注明以下内容:“重要声明:本文不代表中国石油的官方意见。本文的发送者并不代表中国石油。中国石油不承担由于此文可能导致的任何责任和义务。 ”第六章 身份认证安全第十九条 员工有责任管理好各种用于身份认证的账号、口令、门卡等,一旦发生遗失须立即上报有关部门。第二十条 账
8、号、口令、门卡等用于身份认证的工具仅限于其所属的员工使用,任何个人不得擅自与他人共享,或者随意放置。第二十一条 员工应根据所使用的信息系统的安全敏感程度定期修改口令,且口令的长度不得低于 6 位。第二十二条 口令建议由小写字母、数字及符号组成,但不可采用连续的等同的字符群或数字群。避免使用与个人有关的数据(如生日、身份证字号、单位简称、电话号码、名字等)作为口令。同时尽量避免使用一些常用的单词(如日常用语,计算机术语等)作为口令。第二十三条 员工应明确使用个人口令的责任。应当保守口令的秘密,禁止共享口令信息,不应将口令告诉任何人,包括系统管理员或秘书。员工也不应将口令通过 Email、电话等任
9、何方式传播出去。第二十四条 员工不应保留口令的字面记录或电子记录。第二十五条 员工应避免在不同的应用系统中使用同样的口令。任何时候有迹象表明某一口令可能已经泄漏或受损害时,要立即更换该口令和可能被牵涉到的其他系统中的口令。第二十六条 不要把口令保留在任何自动登录过程中(如不要使用在浏览器中的“自动记住口令”功能) 。第二十七条 在信息系统中冒充、混淆、隐瞒或者代替其他的用户都是不允许的。电子邮件或者电子文档中包含的用户名、Email 地址、组织联系及其他相关信息必须真实地反映该文档的来源。第七章 安全区域进出第二十八条 员工应当在自己职权范围内的安全区域内进行活动,在工作期间应当佩带工作标示证
10、件以明确身份。第二十九条 未经同意员工不得随意进入自己职权范围以外的安全区域(如非机房工作人员进出机房,必须事先向相关部门提出申请,经过审批确认后方可进入) 。第八章 清除桌面和屏幕第三十条 清除桌面和屏幕是保护信息资产防止其泄漏或丢失的重要措施之一,即在不使用信息设备时,采取措施将其中的信息资产保护起来,使未经授权的用户无法访问。第三十一条 个人计算机、计算机终端、各类服务器和打印机等信息处理设备在无人值守时,应将其设置于未登录状态;在不使用时应通过键盘锁定、口令保护程序或其他控制措施加以保护,以避免非法访问的发生;个人计算机若长时间不使用,宜将其电源开关置于关断位置。第三十二条 在非工作时
11、间,员工应将存放有公司信息资产的移动式计算机设备放置在上锁的文件柜或其他形式的保险设备中。第三十三条 在打印敏感信息或资料时,应在打印完毕后立即从打印机中移除这些资料。第九章 信息媒介的使用和处置第三十四条 股份公司业务的敏感资料(含第三方的) ,包括文件、数据介质、系统文档等,任何部门或个人,未经授权,不得调用、存储、传送或复制。第三十五条 员工应将一切含有敏感信息的媒介保存在安全可靠的地方,并符合生产厂家说明书的安全要求。当相应媒介的使用完成之后,应将其中不再需要的敏感信息删除。第三十六条 员工从安全区域带走含有敏感信息的媒介都应经过授权,所有可移动媒介的借用、使用,应有详细的记录和审核跟
12、踪。第三十七条 存储介质如需要调换、更新、废弃,必须进行信息整理和信息清洗。第十章 操作系统使用第三十八条 员工所使用的 WindowsNT/2000/XP 操作系统应尽量使用 NTFS 文件格式。第三十九条 除确实必要外,在同一台客户机上应只安装一套操作系统,并且将操作系统安装在一个单独的磁盘分区中,把应用系统和数据文件放在另外的磁盘分区中。第四十条 在 Windows 系统中当一个文件被复制到一个新的目录里时,这个文件将继承目标目录的访问权限,因此员工在移动和复制以后必须要确认新的文档具有合适的访问权限。第四十一条 除特殊需要外,员工不得在公司的电脑上使用软盘和光盘启动功能,在必要的情况下
13、,应将软盘和光驱物理拆除。第四十二条 员工应遵照系统管理员的要求,安装和配置系统设置,禁止自行更改操作系统中公司预先设置好的安全配置。第四十三条 员工应关注公司关于系统弱点漏洞的公告和病毒预防通知,并应按照公告和通知的指导对客户端系统安全漏洞及时安装补丁,并定期进行客户端病毒扫描。第十一章 电子邮件使用第四十四条 员工应签订并遵守中国石油电子邮件用户遵守协议以及所有规范电子邮箱服务使用的协议、规定、程序和惯例。第四十五条 员工应遵照邮件系统管理员的要求安装和配置客户端系统,并按公司要求配置邮件客户端安全选项。第四十六条 员工在自己的邮箱账号开通后应及时修改口令。应经常更改邮箱账号口令以防止他人
14、盗用。不得试图猜测和打开其他任何未经许可的用户邮箱。第四十七条 员工应对自己的邮箱账号和口令的安全负责,不得将邮箱账号借与他人。一旦发现邮箱账号口令泄露,应及时更换口令。若发现邮箱存在任何安全漏洞的情况,应及时通知公司邮件系统管理人员。第四十八条 员工应定期接收邮件,及时删除过时和无保留价值的邮件,以节省公司的存储资源和网络资源。第四十九条 含有重要信息的邮件传输应加密并采用安全传输方式。第 五 十 条 对 违 反 上 述 规 定 者 , 一 经 核 实 , 邮 件 系 统 管 理 员 有 权 停 止 或 取 消 该 员 工 邮箱 使 用 权 限 。第十二章 互联网访问和使用第五十一条 员工访
15、问互联网应遵守中华人民共和国国家安全法 、 中华人民共和国保守国家秘密法 、 计算机信息系统国际联网保密管理规定 、 中华人民共和国计算机信息网络国际联网管理暂行规定 、 维护互联网安全的决定等有关法律法规,如有违反应独立承担一切责任。第五十二条 员工通过公司网络在互联网上的一言一行都代表了股份公司的形象,因此必须规范自己的访问行为。要遵守道德规范和法律法规,员工不得通过互联网进行以下活动:1通过互联网窃取、泄露公司未公布的信息;2利用互联网侵犯他人知识产权;3在互联网上建立淫秽网站、网页,提供淫秽站点链接服务,或者传播淫秽书刊、影片、音像、图片;4利用互联网侮辱他人或者捏造事实诽谤他人;5非
16、法截获、篡改、删除他人电子邮件或者其他数据资料,侵犯公司通信自由和通信秘密;6利用互联网进行盗窃、诈骗、敲诈勒索;7故意制作、传播计算机病毒等破坏性程序,攻击计算机系统及通信网络。第五十三条 员工必须意识到在互联网上传输的数据都是公开的,有被他人非法获取的可能。因此,在通过 Email、FTP、网页等传送敏感数据时应对数据加密并采用安全传输方式。第五十四条 员工在发送相关数据和文档之前必须考虑该信息是否会侵犯版权。第五十五条 员工在互联网上分发与业务相关的数据或文件,必须得到上级领导的事先批准。第五十六条 员 工 在 公 司 的 电 脑 上 安 装 从 互 联 网 上 下 载 的 可 执 行
17、程 序 必 须 得 到 相 关 部门 的 许 可 ,并通过防病毒软件的扫描,确认无病毒后才可安装。下载、安装和使用第三方的程序必须不违反公司的安全规定和软件版权规定。第五十七条 员工不得在工作时间利用公司网络资源访问和工作无关的网站。第五十八条 禁止员工在工作时间使用需要消耗大量带宽并和业务无关的应用程序(如网络视频/音频点播、大量文件的下载等) 。第五十九条 严禁员工对公司的网络设备进行登录,以及对网络服务设置随意更改。员工之间的计算机相互共享和访问应当符合相关规范。第六十条 员工一旦发现有未经授权的或是不适当的互联网访问行为,应立即向相关的负责人员报告,一旦察觉公司内部的系统可能遭到入侵也
18、应及时向有关部门反映。第六十一条 员工应遵照系统管理员的要求安装和配置浏览器,并按公司要求配置浏览器客户端安全选项。第六十二条 员工在自己的 Web 账号开通后应及时修改口令和口令提示问题。应对自己的账号和口令安全负责,不应将账号借与他人,一旦发现账号口令泄露,应及时更换口令。若发现股份公司 Web 站点存在任何安全漏洞,应及时通知公司系统管理人员。第六十三条 员工不得盗用他人的 Web 账号,不得下载任何未经许可的数据,未经批准不得上传任何有关公司的信息。第六十四条 公司将保留对员工使用互联网进行监控的权利,任何人如经查实违反上述规定,将予以相应的惩罚,系统管理员有权停止或取消该员工使用权限
19、。第十三章 防御恶意代码和计算机犯罪第六十五条 员工必须确保使用的计算机上安装了防御恶意代码的软件,并确保安装的软件进行了适当的配置,同时必须确保所用的操作系统和应用软件进行了适当的配置。第六十六条 员工不得擅自更改所用操作系统应用软件的安全设置和防御恶意代码软件的设置。第六十七条 员工应在技术人员的提示和帮助下,确保操作系统和应用软件进行了最新的安全更新。第六十八条 对于以下行为,员工必须通过防御恶意代码系统进行扫描,确认安全后才可以执行:1通过互联网下载文件和应用程序;2在共享网络上传输下载的数据和应用程序;3拷贝软盘、光盘及其他移动存储设备上的数据和应用程序。第六十九条 员工应确保防御恶意代码软件能完成恶意代码特征库的定期更新工作。第七十条 员工应确保防御恶意代码软件定期地自动进行系统扫描,并确保扫描完成。第七十一条 员工一旦发现可能由恶意代码导致的系统异常或可能由恶意代码导致的系统安全问题,必须立即通知相关人员。第七十二条 员工应提高安全意识,警惕外部攻击者的其他计算机欺骗行为。第十四章 附 则第七十三条 本手册由股份公司科技与信息管理部负责解释,自印发之日起执行。(发文日期:2003 年 9 月 23 日)