信息安全标准

一、个人工作站安全

1. 设置笔记本电脑硬盘密码

2. 设置登录Windows系统密码

3. 设置15分钟以内自动启用屏幕保护并使用密码保护

4. 在公司以外的网络环境连到 Internet 或用户的网络时，电脑中机密信息需加密

5. 离开座位时手动启用带密码保护的屏幕保护（可以锁的个人办公室除外）

6. 下班后笔记本电脑应锁在抽屉里，随身携带或用电脑锁锁在固定的物体上

7. 外出工作时：

   a. 尽可能随身携带笔记本电脑和手持设备

   b. 乘飞机时不要将笔记本电脑混放在行李中，过安检时警惕丢失

   c. 如果不得不将笔记本电脑置于交通工具或酒店中时，请采取保护措施，使用保险箱或电脑锁等

8. 出行时，如果携带有机密信息的可移动介质（如：光盘，U盘等），参照以上保护笔记本电脑的相关要求

二、手持设备的安全

1. 用于工作用途的手持设备需加密

2. 尽量随身携带

3. 如果设备具有相应功能，应设开机密码和待机密码保护，10分钟以内待机，自动启用密码保护

三、可移动介质的安全

   可移动介质包括光盘，软盘，磁带等

1. 内有机密信息的可移动介质需标明“机密”字样，并妥善保管

2. 内有机密信息的可移动介质废弃时，需将数据格式化或物理损坏

3. 软件程序包需安全保护以避免非法使用或丢失

四、防电脑病毒和有害代码

1. 电脑上需安装公司批准的防病毒软件 (Symatec Anti-virus, Mcafee,Trend,卡巴斯机,瑞星,金山毒霸)

2. 电脑上需安装公司批准的个人防火墙

3. 安装最新的安全补丁

五、文件共享

1. 可使他人在您的电脑上访问或进行存储的软件，不得擅自使用，必须由公司提供

2. 禁止在公司电脑上使用，基于 Internet 的 P2P 文件共享服务（如：Napster, KaZaA 等等）

3. 禁止使用:匿名FTP，TFTP，不做访问验证的HTTP，及其它任何方式的此类共享。（例如：您不能毫无访问控制地将硬盘共享）

4. 保护公司机密信息及电脑上的机密信息，禁止任何方式的末经授权访问此类信息

六、软件许可和知识产权

1. 电脑上安装使用的软件必需具有有效的许可证

2. 末经软件所有者许可不得随意将软件在公司内使用

3. 使用软件前需阅读并理解其版权限制

4. 需遵守软件的版权声明和相关限制，如有疑问请联系公司的律师咨询，

5. 您需要随时向检查人员出示电脑上软件的合法许可协议

6. 如果需要将外部资源在使用并对外发布，必须事先取得法务部门的许可

7. 如果需要将软件上传到Internet，需事先取得法务部门的许可，并且在版权声明中注明该软件版权

七、密码

1. 用于身份验证的密码不得过于简单或易于猜测，需符合以下要求：

  a. 密码长度不得少于8位

  b. 密码由字母和非字母字符组成，或最少由两种非字母字符组成

2. 有公司机密信息的系统和应用软件，至少每90天更改访问密码，或设置自动过期

八、数据访问控制

   对资源的访问必须基本于工作需要，只有经过授权的人才能访问。这一章节中的资源指的是，数据库，应用程序或 teamroom。

1. 对于机密信息的资源必须设有访问控制

2. 授权用户访问有机密信息的资源之前，需确认用户是否有工作需要

3. 有机密信息的资源的访问，对用户授权之后还需要：

  a. 邮件通知用户的经理。不需要经理的回复，此通知邮件需要保留一年

  b. 当管理层通知某访问帐号已经没有工作需要时，需马上采取措施禁止该帐号的访问

  c. 按照管理层的指示删除不需要的用户帐号