海油信息安全管理细则

发布 2023-10-06 18:10:12 阅读 5729

规范计算机及计算机网络信息安全管理,提高信息安全保障能力和水平,维护国家及企业安全。

公司机关及所属单位。

3.1 《信息安全管理办法》(it-01-07,2011,中国海油)

3.2 《信息系统安全等级保护管理细则》(it-01-07-02,2011,中国海油)

3.3 《计算机信息网络安全规范》(q/hs 5000-2009,中国海油)

3.4 《信息安全管理办法》(am-01-08,2015,公司)

3.5 《信息系统安全等级保护工作实施细则》(am-01-08-01,2015,公司)

4.1 行政管理部

督促、检查、指导公司及所属单位计算机网络信息运营的安全工作。

4.2 公司机关部门及所属单位

履行计算机网络信息安全的义务和责任。

5.1.1 基本要求。

5.1.1.1 各单位应按信息系统安全保护级别对信息系统采取安全防范措施,并确保安全防范工作的有效落实。

5.1.1.2 it支持服务中心应采取必要措施,提高网络的整体防护能力。

5.1.1.3 各信息系统的数据、信息传输都应采用加密传输。

5.1.1.4 各业务责任单位应制定其信息系统备份策略和灾备策略。

5.1.1.5 it支持服务中心应提供备份和灾备的相应资源、服务,定期备份数据、进行恢复测试并做好记录。

5.1.1.6 各单位应对本单位信息系统的信息进行审查、检查和复查,确保信息的合法性、合规性。

5.1.1.

7 员工对所使用的终端、网络设施及其中的信息安全、账号安全、账号权限内的信息安全和上网行为负责,员工终端中严禁存储涉密(此处涉密系指涉及国家秘密,下同)信息,终端中的商密文件不可设置为共享,工作邮箱电子邮件的收发要进行病毒查杀。

5.1.1.8 员工发现异常或发现其他人员非法使用计算机时,有及时向所属单位或公司报告的责任。

5.1.1.9 各单位要对移动存储介质进行登记、编号,移动存储介质要经it支持服务中心检测合格、注册**网使用。

5.1.1.10 涉及国家或企业秘密信息的存储、传输等应指定专人负责,并严格执行国家、中国海油及公司有关保密的法律、法规和相关管理规定。

5.1.1.11 涉密信息未经批准,不得在网络上发布或通过明码(明文)传输。

5.1.2 信息加密管理。

5.1.2.1 涉及国家秘密的信息,其电子文档资料须加密存储。

5.1.2.2 涉及国家和公司利益的敏感信息的电子文档资料应当加密存储。

5.1.2.3 涉及国家秘密、国家与公司利益和社会安定的秘密信息和敏感信息,在传输过程中应遵守国家的有关规定,视情况采用文件加密传输或链路传输加密。

5.1.2.4 适度采用先进的加密解密技术对公司其他电子文档和数据进行加密管理。

5.1.3 用户账号(id)管理。

5.1.3.1 信息系统管理系统中或运维支持体系中应包括账号管理流程。

5.1.3.2 信息系统用户要严格管理账号,不得把自己账号外借他人使用、不得在电脑、屏幕和办公桌上贴条暴露账号信息,禁止索要、盗取、使用、传播任何未经授权使用的账号。

5.1.3.3 加强对离职员工的账号管理,各单位在员工离职时应办理注销其账号。

5.1.4 用户权限管理。

5.1.4.1 信息系统权限设计要符合安全管理要求,实现最小权限和权限互斥原则。

5.1.4.2 信息系统的用户权限要严格对应用户工作职责,权限申请和变更应按流程办理审批手续。

5.1.5 禁止活动。

5.1.5.1 涉密计算机必须与互联网物理隔离,禁止把涉密计算机直接或间接连入公司局域网络和互联网,禁止在互联网计算机中存储或处理涉密信息。

5.1.5.2 禁止利用信息网络系统制作、传播、复制有害信息。

5.1.5.3 禁止非法违规入侵计算机和信息系统,禁止未经授权对信息网络系统中存储、处理或传输的信息进行增加、修改、复制和删除等。

5.1.5.4 禁止未经允许使用他人在信息网络系统中未公开的信息。

5.1.5.5 禁止未经授权查阅他人邮件和盗用他人名义发送电子邮件。

5.1.5.6 禁止未经允许在互联网公共邮箱、即时通讯工具、云盘、网盘或免费空间上处理、存储、传输公司业务和信息。

5.1.5.7 禁止故意干扰网络的畅通运行。

5.1.5.8 禁止其他危害公司信息网络系统安全的活动。

5.2.1 员工信息系统是指员工利用公司内部计算机技术对业务和信息进行集成处理的程序、数据、文档以及计算机终端、各种存储设备等公司重要资源的总称,每个员工应该安全、可靠、有效地使用员工信息系统并保证数据的完整性和准确性。

5.2.2 员工在使用员工信息系统时应具备安全意识、保密意识和合规使用信息系统意识,应确保:

a) 设备安全;

b) 信息安全;

c) 信息系统安全。

5.2.3 在使用员工信息系统前,员工应签署信息系统使用安全保密协议。

5.2.4 员工有保护办公计算机和设备物理安全的责任和义务,并按规定正确放置、保管、使用和归还员工信息系统,具体要求如下:

a) 妥善保存可移动设备,不得存放涉密信息;

b) 使用便携式计算机的员工,应当保管好计算机,防止遗窃;

c) 避免环境对计算机设备的损害,比如食物、烟火、液体、极高和极低湿度、极高和极低温度等;

d) 禁止安装、使用未经授权的非公司标准软件和硬件;

e) 信息技术支持部门负责设备的安装、拆卸、更改和迁移,员工不得自行进行以上操作;

f) 员工应当认真保管公司分配的电子设备,未妥善保管而致丢失或损害的,应赔偿。

5.2.5 员工在使用公司提供的互联网和员工信息系统时,应注意合法、安全和保密,具体要求如下:

a) 员工根据公司有关规定申请互联网和员工信息系统的使用权;

b) 不得通过员工信息系统和互联网从事非法的、不道德的、损害公司利益的活动;

c) 对通过员工信息系统和互联网接收的可执行文件进行病毒扫描检查;

d) 禁止员工随意改动计算机网络参数配置;

e) 禁止企业网内的计算机通过modem拨号、私自搭建无线网络等未经审批同意的方式联通到互联网;

f) 员工因工作需要使用公司电子邮件系统对200人以上**邮件的,需经各单位信息化主管领导批准并报公司行政管理部备案;

g) 员工须以本人的真实身份和口令使用公司的信息系统,禁止以他人名义滥发邮件或盗用他人账号;口令必须定期更改并具有一定的复杂性,口令规则应满足:

1) 密码长度为至少8位;

2) 密码组成方式不能包含用户的账户名,不能包含用户姓名中超过两个连续字符的部分;

3) 必须包含以下四类中的三类字符:英文大写字母(a-z)、英文小写字母(a-z个基本数字(0-9)、非字母字符(例如!、$#

示例:合格的密码:pass1234或p!ss1234或pass!$#

不合格的密码:cnooc或cnoopass或pass1234

h) 不得在信息系统上进行工作以外的活动;

i) 涉及公司秘密的信息,须遵守公司的保密规定,严禁在互联网上披露涉及国家和公司秘密的信息。

5.2.6 员工有防范病毒和恶意软件方面的责任和义务,具体要求如下:

a) 员工应定期查看计算机是否更新了病毒数据**,若防病毒软件工作异常,病毒特征库过旧(更新时间为两周前)等,应当及时通知计算机维护人员;

b) 控制**不明的介质、不确定****的软件或文档、不确定的邮件和超级链接等;

c) 严禁员工以任何方式卸载防病毒软件、停止防病毒服务和更改防病毒软件配置;

d) 员工发现计算机感染病毒时应当立刻关闭计算机,并报告1331服务**或本单位的技术支持部门;

e) 员工在向信息系统上传数据前要做好查毒、杀毒工作,确保信息文件无毒上传;

f) 移动办公计算机,应当定期接入公司企业网更新病毒库和查杀病毒;

g) 外来移动存储介质应检查病毒、杀毒、检测并注册后,方可使用。

5.2.7 员工应采取有效访问控制措施,以确保访问安全,具体要求如下:

a) 员工应明确和采取措施,保护办公计算机不受非法进入;

b) 员工有合法使用和保护各类系统密码的权利和义务;

c) 应妥善保管计算机设备账号和密码;

d) 必须设置屏保及密码,屏保等待时间小于15分钟,并在离开计算机时注销登录、启动屏保;

e) 不能使用容易被人破解的密码;

f) 应定期更改密码;

g) 不得向其他人公开密码,在别人有可能已经获知密码时,须立刻更改密码,不得将密码记录在容易获得的地方;

h) 不得索要、盗取、使用、传播他人的任何账号和密码。

5.2.8 员工在使用信息系统时应确保信息安全,具体要求如下:

a) 员工不得通过互联网传递属于国家和公司保密规定范围内的任何信息;

b) 员工应对终端内公司业务文件数据的完整和安全负责,包括保护公司的信息和软件;

c) 公司商秘数据不得保留在私人计算机中;

d) 应定期备份工作计算机终端数据;

e) 需使用移动存储介质向有关机关、单位提供信息时,应由该信息的负责人审批;须一事一盘,严禁提供与该项工作无关的其他涉密信息,传递时应检查;

f) 员工在离开原工作岗位时,需将计算机、移动存储及业务文件数据完整地交回所属单位;

g) 员工未经授权,不得将获取的信息数据与软件扩散至第三方,因此而引起的法律纠纷应由扩散人员负责;

h) 敏感、重要信息不得遗留在打印设施,例如复印机、打印机和传真机等;

i) 便携式计算机在接入国际互联网时,不得连接任何涉密移动存储介质,不得访问涉密信息;

j) 使用可移动办公工具的员工,有义务保证公司业务数据的安全性和机密性,不得泄漏公司信息,不得处理涉密信息,不得使用未取得中国国家合法入网许可的移动办公工具,并应自觉遵守公司制度,安装正版软件、公司统一的防护软件并及时升级,其移动办公工具应设置开机口令和屏幕保护口令,口令规则应满足5.2.5款g)项所规定的要求;

k) 计算机终端和移动办公工具需要外部人员维修时,应采取有效防护措施防止泄密或泄露公司信息。

5.2.9 员工必须遵守国家关于知识产权保护的法律法规,安装新的软件需经信息技术部门登记、检查和授权,包括公司拥有所有权的、公司已经购买版权的、或者是员工或**商使用公司资源开发的所有软件。

5.2.10 员工应正确使用移动邮件和远程访问。具体要求如下:

a) 应当妥善保管可访问公司邮件的移动设备;

b) 应当设置一定复杂程度的开机密码;

c) 丢失可访问公司邮件的移动设备的,应及时报告技术支持部门;

d) 除获得授权的远程漫游账户员工外,公司员工只能在公司内通过局域网访问公司网络资源,严禁以其它方式访问;

1) 仅通过信息技术部门提供的加密漫游账户接入公司网络;

2) 安装并启用公司规定的防病毒软件,并保证及时更新;

信息安全管理细则

1.02.0 文件编号 scmc wl 14a 3.0 版本 3.0 5.0 生效日期 2006年11月13日第1页 共17页。7.0 目的。8.0 为了预防和遏制公司网络各类信息安全事件的发生,目的。为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事...

工程信息管理监理细则安全监理细则范本

一 适用范围。本监理细则适用于工程的信息管理工作。二 编制依据。1工程建设监理招 投标及合同文件 2 水利工程施工监理规范 sl288 2014 3 有关的国家法律 法规 规程 4工程监理规划。5工程有关档案管理的文件等。三 信息管理特点和控制要点。1 工程信息管理特点。广,信息量大 动态性强 有一...

信息化项目管理细则

企业制度 执行类。1 信息化项目管理基本要求。1.1 信息化项目的界定。信息化项目是指以计算机 网络 通信 信息安全及其他信息技术等为主要技术手段,包括自主研发 引进试点 推广完善等方式建设的生产经营管理应用系统 基础设施 系统运维等项目。1.2 信息化项目的管理原则。按照信息化 统一规划,统一标准...