一、新員工入職信息安全須知
新員工入職后��,在信息安全方面有哪些注意事項(xiàng)�����?
接受“信息安全與保密意識(shí)”培訓(xùn)����;
每年應(yīng)至少參加一次信息安全網(wǎng)上考試;
辦理員工卡�����;
簽署勞動(dòng)合同(含保密職責(zé));
根據(jù)部門(mén)和崗位的需要簽署保密協(xié)議�����。
員工入職后�,需要辦理員工卡��,員工卡的意義和用途是什么��?
工卡是公司員工的身份證明��,所有進(jìn)入華為公司的人員�,在公司期間一律要正確佩戴相應(yīng)的卡證。 工卡還有考勤����、門(mén)禁驗(yàn)證等作用。 工卡不僅關(guān)系到公司形象及安全�,還關(guān)系到員工本人的切身利益,一定要妥善保管��。
公司信息安全方面的規(guī)定都有哪些����?在哪里可以查到信息安全的有關(guān)管理規(guī)定�?
網(wǎng)絡(luò)安全部在參考國(guó)際安全標(biāo)準(zhǔn)BS7799和在顧問(wèn)的幫助下�,制訂了一套比較完整的信息安全方面的管理規(guī)定,其中與普通員工關(guān)系密切的有《信息保密 管理規(guī)定》�、《個(gè)人計(jì)算機(jī)安全管理規(guī)定》、《信息交流管理規(guī)定》�����、《病毒防治管理規(guī)定》�����、《辦公區(qū)域安全管理規(guī)定》�、《網(wǎng)絡(luò)連接管理規(guī)定》、《信息安全獎(jiǎng) 懲管理規(guī)定》�、《計(jì)算機(jī)物理設(shè)備安全管理規(guī)定》、《開(kāi)發(fā)測(cè)試環(huán)境管理規(guī)定》�、《供應(yīng)商/合作商接待管理辦法》、《外部人員信息安全管理規(guī)定》���、《會(huì)議信息 安全管理規(guī)定》和《帳號(hào)和口令標(biāo)準(zhǔn)》等�����。
這些管理規(guī)定都匯總在《信息安全策略�����、標(biāo)準(zhǔn)和管理規(guī)定》(即《信息安全白皮書(shū)》)中���,并且在不斷的修改和完善之中�。
在“IS Portal”上您可以查到公司信息安全相關(guān)的所有信息�����,如信息安全方面的規(guī)定����、制度�����、操作手冊(cè)��、培訓(xùn)膠片��、宣傳材料和宣傳案例等����。
各體系細(xì)化的信息安全管理規(guī)定��,可咨詢本體系的信息安全專(zhuān)員����。
作為一名普通員工�,應(yīng)該如何做才能夠符合公司信息安全要求?
積極學(xué)習(xí)和遵守公司各類(lèi)信息安全管理規(guī)定和安全措施�����,將遵守安全規(guī)定融入自己的日常工作行為中��。
在工作中�,要有強(qiáng)烈的信息安全和保密意識(shí),要有職業(yè)的敏感性���。
有義務(wù)制止他人違規(guī)行為或積極舉報(bào)可能造成泄密�、竊密或其他的安全隱患����。
二、計(jì)算機(jī)的安全
口令設(shè)置
公司規(guī)定的口令設(shè)置最低標(biāo)準(zhǔn)是什么��,每次更換口令,都不容易記住新口令����,該怎么辦?
普通用戶(公司一般員工均為普通用戶)設(shè)置口令的最低標(biāo)準(zhǔn)主要有以下幾條:
(1)口令長(zhǎng)度不能少于6位且必須包含字母
(2)口令至少應(yīng)包含一個(gè)數(shù)字字符
另外�����,一個(gè)好的口令除了符合口令的最低標(biāo)準(zhǔn)外�����,最好還應(yīng)包含大小寫(xiě)字母和特殊的字符��。
設(shè)置簡(jiǎn)單的口令不安全���,而復(fù)雜的口令又不容易記住。建議您用自己心中的一句話的拼音或英語(yǔ)語(yǔ)句的首個(gè)字母組合作為密碼����。如:就“我想去看2008奧運(yùn)會(huì)” 這一自己心中愿望的話,可以設(shè)置密碼為WXqk2008ayh�����,或者用其他某段容易記住的字符串,稍加改造作為口令�����,如一個(gè)換過(guò)特殊字符的網(wǎng)站地址等��,這 樣的口令非常好記��,也非常難猜�����。
如果沒(méi)有設(shè)置口令會(huì)帶來(lái)哪些危害�?
對(duì)系統(tǒng)不設(shè)口令就像銀行存折沒(méi)有密碼一樣,是非常危險(xiǎn)的����。
(1)如果不設(shè)開(kāi)機(jī)口令,那么他人可輕松啟動(dòng)或重新啟動(dòng)系統(tǒng)�����,從而操作您的計(jì)算機(jī)���,還可通過(guò)在CMOS中給機(jī)器設(shè)置開(kāi)機(jī)口令���,讓您無(wú)法使用計(jì)算機(jī)�;
(2) 便攜機(jī)若不設(shè)硬盤(pán)口令����,那么只要將您的硬盤(pán)接到別的計(jì)算機(jī)中,硬盤(pán)上所有資料就會(huì)一覽無(wú)余的呈現(xiàn)出來(lái)����;
(3)如果不設(shè)屏幕保護(hù)口令,當(dāng)您離開(kāi)時(shí)�,其他人可以輕易的進(jìn)入、使用您的計(jì)算機(jī)��,將您的文件刪除或發(fā)送出去���;
(4)共享文件夾時(shí)如果不設(shè)口令,任何能夠和您計(jì)算機(jī)相連的人不需授權(quán)���,均可拿走你共享的資料���。
軟件安裝
為了保證計(jì)算機(jī)安全,在第一次使用計(jì)算機(jī)時(shí)有哪幾項(xiàng)安全措施需要立即完成��?
(1)需要首先加入公司China域,登陸網(wǎng)址http://win2khelp.huawei.com/下載加入域的工具JoinDomain.exe�����。
(2)需要立即安裝操作系統(tǒng)的安全補(bǔ)丁����,可以從各地文件服務(wù)器指定路徑下載,如總部路徑為\\lg-fs\Root\Software\System\$Patch��。
(3)需要立即安裝Symantec防病毒軟件����,可以從各地文件服務(wù)器指定路徑下載,如總部路徑為\\lg-fs\Root\Software\Application\System Tools\Security\$virus�。
(4)需要馬上設(shè)定屏幕保護(hù)程序,并啟用密碼保護(hù)���, 注意等待時(shí)間不能大于10分鐘���。
(5) 設(shè)置開(kāi)機(jī)口令,操作系統(tǒng)(administrator)口令����,如果是便攜機(jī)還應(yīng)設(shè)置硬盤(pán)口令����。
(6)設(shè)置Notes郵箱10分鐘內(nèi)自動(dòng)鎖定����。
(7) 需安裝SPES、ACC��,可登陸網(wǎng)址http://spes.huawei.com/下載安裝最新版SPES客戶端軟件���;可登陸http://acc.huawei.com/下載安裝最新版ACC客戶端軟件�����。
以上措施完成后����,請(qǐng)運(yùn)行ACC進(jìn)行自檢�����,保證沒(méi)有紅色違規(guī)項(xiàng)��。如有疑惑�����,可以咨詢IT hotline(Tel:+86-755-28560160)
什么是非標(biāo)準(zhǔn)軟件�?要使用非標(biāo)準(zhǔn)軟件,應(yīng)如何申請(qǐng)����?
非標(biāo)軟件是針對(duì)標(biāo)準(zhǔn)軟件來(lái)定義的,對(duì)于公司普通員工來(lái)說(shuō)�����,凡是IT桌面標(biāo)準(zhǔn)����、研發(fā)工具標(biāo)準(zhǔn)之外的軟件均屬于非標(biāo)軟件,如游戲���、不含在IT及研發(fā)標(biāo)準(zhǔn) 內(nèi)的免費(fèi)或自由軟件�����、影響網(wǎng)絡(luò)安全的工具軟件等等���。原則上非標(biāo)軟件不可以隨便使用�,若工作有需要���,必須填寫(xiě)“IT資產(chǎn)申請(qǐng)”電子流����,經(jīng)審批后使用�����。對(duì)于涉 及安全的工具軟件��,還需填寫(xiě)“IS Authority Application”中的“網(wǎng)絡(luò)安全軟件申請(qǐng)”電子流�����。
我自己購(gòu)買(mǎi)了一套軟件�����,想安裝在公司的計(jì)算機(jī)上�����,不知是否可以?
不可以��。常用辦公軟件在公司文件服務(wù)器上都有相應(yīng)的安裝軟件�����,比如IE����、Lotus Notes�、Office 等等,需要安裝時(shí)可直接連到辦公所在地文件服務(wù)器上安裝���。不要安裝自己購(gòu)買(mǎi)的軟件�����,因?yàn)椋?/FONT>
(1)存在版權(quán)問(wèn)題�;
(2)購(gòu)買(mǎi)的軟件未經(jīng)公司測(cè)試�����,不能保證可靠穩(wěn)定運(yùn)行和正常維護(hù)���;
(3)更為嚴(yán)重的是���,還可能因購(gòu)買(mǎi)的軟件中帶有木馬���、病毒程序、軟件留有后門(mén)等給公司網(wǎng)絡(luò)安全帶來(lái)隱患�����。
計(jì)算機(jī)維修/使用
計(jì)算機(jī)發(fā)生故障需要修理時(shí)�,應(yīng)該注意哪些事項(xiàng)?
員工應(yīng)該要求維修人員盡量在公司內(nèi)進(jìn)行維修,并且監(jiān)督整個(gè)維修過(guò)程�����。當(dāng)維修人員需要將計(jì)算機(jī)帶出公司維修時(shí)�����,為了防止泄密�����,一定要記得拆卸下硬盤(pán)��,并存放在公司內(nèi)的保密柜等安全的地方。
計(jì)算機(jī)使用方面應(yīng)注意哪些事項(xiàng)����?
(1)只有在因工作需要進(jìn)行遠(yuǎn)程數(shù)據(jù)維護(hù)的時(shí)候,在保證物理上與公司的內(nèi)部網(wǎng)絡(luò)斷開(kāi)的情況下���,經(jīng)過(guò)部門(mén)二級(jí)主管和網(wǎng)絡(luò)安全部批準(zhǔn)后才能在辦公區(qū)撥號(hào)上網(wǎng)。
(2)私自轉(zhuǎn)借計(jì)算機(jī)可能造成泄密隱患��,因此未經(jīng)批準(zhǔn)�,員工不得轉(zhuǎn)借計(jì)算機(jī)。
(3)對(duì)特殊存儲(chǔ)設(shè)備及其介質(zhì)(如USB)的使用�����,需要走“IS Authority Application”電子流申請(qǐng)����。
(4)私自使用計(jì)算機(jī)進(jìn)行刻錄、掃描存在較大信息安全隱患��,因此����,刻錄和掃描的需求須經(jīng)審批后,由專(zhuān)人負(fù)責(zé)操作。
(5)公司配置給您的機(jī)器是公司的標(biāo)準(zhǔn)配置,未經(jīng)批準(zhǔn)���,不得私自安裝任何標(biāo)準(zhǔn)配置外的配件。
網(wǎng)絡(luò)配置和使用
現(xiàn)在�,也許你開(kāi)始需要連入公司網(wǎng)絡(luò)了。首先需要配置好網(wǎng)絡(luò)�����,這時(shí)安全方面需要注意什么呢�����?
個(gè)人計(jì)算機(jī)的IP地址應(yīng)設(shè)置為自動(dòng)獲取方式����,不能擅自配置固定IP地址,否則可能引起網(wǎng)絡(luò)沖突���,影響公司網(wǎng)絡(luò)的安全運(yùn)行�����。
公司的網(wǎng)絡(luò)標(biāo)準(zhǔn)協(xié)議為TCP/IP�。公司辦公網(wǎng)絡(luò)不得啟動(dòng)除公司標(biāo)準(zhǔn)協(xié)議外的任何其他網(wǎng)絡(luò)協(xié)議,如SPX/IPX����、NETBIOS等。
禁止普通員工在公司辦公網(wǎng)絡(luò)嚴(yán)禁安裝啟動(dòng)DNS���、Wins��、DHCP等網(wǎng)絡(luò)服務(wù)。如果您的操作系統(tǒng)是WINDOWS SERVER或Unix等服務(wù)器操作系統(tǒng)�,可要非常小心這一點(diǎn)呀!
網(wǎng)絡(luò)設(shè)置好后�����,你就需要給您的計(jì)算機(jī)起一個(gè)名字�,注意,可不能隨便起��,您知道計(jì)算機(jī)的命名規(guī)則嗎����?
公司的計(jì)算機(jī)非常多,為了便于管理和維護(hù)�,公司要求計(jì)算機(jī)命名方式為:您的姓的第一位拼音字母 +工號(hào)�。如果您管理多臺(tái)計(jì)算機(jī)�,請(qǐng)?jiān)诠ぬ?hào)后加A、 B ����、C、 D ….
個(gè)人能夠設(shè)置FTP����、Wins等網(wǎng)絡(luò)服務(wù)嗎,為什么�?
未經(jīng)批準(zhǔn),不得私自設(shè)置WWW�、FTP以及BBS、NEWS�、DNS、Wins���、DHCP等各種形式的網(wǎng)絡(luò)服務(wù)�,更不能在公司網(wǎng)絡(luò)上運(yùn)行任何攻擊或破壞網(wǎng)絡(luò)服務(wù)的軟件�����。因?yàn)樵O(shè)置這類(lèi)服務(wù)會(huì)對(duì)網(wǎng)絡(luò)正常運(yùn)行造成不良影響��。
如確實(shí)業(yè)務(wù)需要,不接入公司大網(wǎng)(如�,僅在實(shí)驗(yàn)室小網(wǎng)使用)同時(shí)不需要IT協(xié)助的服務(wù)申請(qǐng),提交“IS Authority Application”電子流進(jìn)行申請(qǐng)����,其余服務(wù)的申請(qǐng)通過(guò)IT requirment流程申請(qǐng)。
三���、人員安全
普通員工的職責(zé)
作為普通員工����,我在信息安全中的職責(zé)是什么�����?
積極學(xué)習(xí)和遵守公司各類(lèi)信息安全管理規(guī)定和安全措施����,將遵守安全規(guī)定融入自己的日常工作行為中�。
在工作中,要有強(qiáng)烈的信息安全和保密意識(shí)���,要有職業(yè)的敏感性����。有義務(wù)制止他人違規(guī)行為或積極舉報(bào)可能造成泄密、竊密或其他安全隱患的行為�。
對(duì)于信息安全方面問(wèn)題,應(yīng)該向誰(shuí)咨詢或反饋�����?
您可以向直接向部門(mén)主管��,信息安全專(zhuān)員咨詢或反饋����;還可以通過(guò)公司的IT熱線(電話: +86-755-28560160,Notes: ithotline 12345����,Email: ithotline@huawei.com)或信息安全問(wèn)題受理電子流咨詢或反饋。
管理者的責(zé)任
作為管理者�,我在信息安全中的責(zé)任有哪些?
各級(jí)部門(mén)的一把手是本部門(mén)信息安全的第一責(zé)任人���。
負(fù)責(zé)信息安全管理規(guī)定在本部門(mén)的推行和落實(shí)����。
對(duì)本部門(mén)人員的違規(guī)事件承擔(dān)領(lǐng)導(dǎo)責(zé)任。
各級(jí)主管應(yīng)負(fù)責(zé)本部門(mén)哪些與信息安全相關(guān)的活動(dòng)����?
各級(jí)主管應(yīng)負(fù)責(zé)本部門(mén)所有與信息安全相關(guān)的活動(dòng)。具體有:確定各個(gè)資產(chǎn)����、各個(gè)系統(tǒng)的管理員,使該管理員對(duì)該資產(chǎn)����、系統(tǒng)的安全負(fù)責(zé);在本部門(mén)內(nèi)對(duì)員工 進(jìn)行培訓(xùn)�����、教育和宣傳�,使本部門(mén)每個(gè)員工都遵守公司的信息安全策略��、標(biāo)準(zhǔn)和管理規(guī)定�,報(bào)告信息安全隱患、漏洞或事故��,樹(shù)立主動(dòng)保護(hù)公司信息資產(chǎn)的意識(shí)�。
員工出差
在出差時(shí)�����,若需攜帶保密資料����,應(yīng)注意哪些事項(xiàng)��?
應(yīng)注意如下事項(xiàng):
(1)非因公外出時(shí)絕對(duì)不能攜帶絕密資料�。
(2)因公外出只允許攜帶工作相關(guān)文檔,攜帶外出的保密資料需首先通過(guò)審批���,在離開(kāi)公司時(shí)出示經(jīng)過(guò)審批的有效憑證�����;
(3)出差前請(qǐng)確認(rèn)出差目的地的網(wǎng)絡(luò)情況��,如果完全無(wú)法接入網(wǎng)絡(luò)���,請(qǐng)確認(rèn)便攜機(jī)上使用RMS加密的Office文檔至少在本機(jī)上打開(kāi)過(guò)一次。
(4)絕密級(jí)別的資料在出差期間必須隨身攜帶���,妥善保管����;
(5)一般情況下,乘坐飛機(jī)��、火車(chē)等公共交通工具時(shí)���,含有保密信息的便攜機(jī)等移動(dòng)存儲(chǔ)設(shè)備需隨身攜帶��,不能托運(yùn)(但若與當(dāng)?shù)胤煞ㄒ?guī)沖突�����,則以當(dāng)?shù)胤煞ㄒ?guī)為準(zhǔn))����;
(6)從酒店外出時(shí)�,如確實(shí)無(wú)法隨身攜帶,應(yīng)將便攜機(jī)����、保密文件存放在保密柜中�����,不要交酒店前臺(tái)保管;
(7)應(yīng)做好訪問(wèn)控制的設(shè)置��,如給便攜機(jī)設(shè)置開(kāi)機(jī)�����、屏保和硬盤(pán)口令等���。
崗位調(diào)動(dòng)
由于工作需要��,在進(jìn)行工作交接時(shí)�����,應(yīng)注意哪些信息安全問(wèn)題��?
進(jìn)行交接時(shí)��,應(yīng)注意做好以下幾方面的工作:
(1)保密信息的移交和清理����;
(2)應(yīng)用系統(tǒng)帳號(hào)與權(quán)限的移交和清理��;
(3)歸還辦公室、機(jī)房等的鑰匙�����。
員工調(diào)動(dòng)部門(mén)后��,如何處理與新崗位工作職責(zé)無(wú)關(guān)的文檔�?
在工作交接完畢后,應(yīng)及時(shí)����、徹底地刪除或銷(xiāo)毀您仍持有的所有與新崗位工作無(wú)關(guān)的文檔,刪除或銷(xiāo)毀的方式必須符合公司規(guī)定�,如要使用碎紙機(jī)銷(xiāo)毀含保密信息的紙件,而不能直接扔垃圾箱或用手撕毀等�����。 如在新崗位需繼續(xù)保留原崗位保密信息�����,一定要經(jīng)過(guò)保密信息所有人批準(zhǔn)��。
信息安全獎(jiǎng)懲規(guī)定
信息安全獎(jiǎng)勵(lì)分為幾個(gè)等級(jí)�����?具體的獎(jiǎng)勵(lì)辦法是什么�����?
根據(jù)對(duì)公司信息安全的貢獻(xiàn)大小�����,共分為三個(gè)等級(jí)�。
一等獎(jiǎng): 舉報(bào)泄密、竊密或其他嚴(yán)重?fù)p害公司利益事件的人員���,根據(jù)具體情況給予2000元以上的獎(jiǎng)勵(lì)�����,并記入關(guān)鍵事件庫(kù)���。對(duì)舉報(bào)人員只獎(jiǎng)勵(lì),不公布�����。
二等獎(jiǎng): 勇于制止他人違規(guī)行為或及時(shí)向信息安全部反饋可能造成泄密、竊密或其他安全隱患的人員����,給予500-1000 元的獎(jiǎng)勵(lì),并記入關(guān)鍵事件庫(kù)���。
三等獎(jiǎng): 長(zhǎng)期遵守信息安全管理規(guī)定的���,在信息安全管理中一貫良好的部門(mén)或個(gè)人給予100-500元獎(jiǎng)勵(lì),并記入關(guān)鍵事件庫(kù)��。
信息安全違規(guī)可分為哪幾個(gè)等級(jí)��?
對(duì)于觸犯國(guó)家法律的��,公司會(huì)移交國(guó)家司法機(jī)關(guān)依法處理�����。此外�,則根據(jù)違規(guī)行為的后果、性質(zhì)以及違規(guī)人的主觀意愿�����,將違規(guī)行為分為如下四個(gè)等級(jí):
一級(jí):有意盜竊、泄露公司保密信息����,或有意違反信息安全管理規(guī)定,性質(zhì)嚴(yán)重造成重大損失����。
二級(jí):有意違反信息安全管理規(guī)定��,性質(zhì)嚴(yán)重或造成損失����。
三級(jí):無(wú)意違反信息安全管理規(guī)定,造成公司損失���;或者有意違反信息安全管理規(guī)定��,但性質(zhì)不嚴(yán)重且沒(méi)有造成嚴(yán)重?fù)p失����。
四級(jí):違反信息安全管理規(guī)定�����,性質(zhì)較輕,沒(méi)有造成公司損失����。
常見(jiàn)違規(guī)行為
(1)常見(jiàn)四級(jí)違規(guī)
未經(jīng)批準(zhǔn),安裝非標(biāo)準(zhǔn)軟件
未經(jīng)批準(zhǔn)��,拷貝�、保存工作無(wú)關(guān)的文檔資料等
未經(jīng)批準(zhǔn),在公司辦公區(qū)域攝像�����、攝影
發(fā)送與工作無(wú)關(guān)文件(人數(shù)少,性質(zhì)不嚴(yán)重)
沒(méi)有安裝�����、運(yùn)行公司規(guī)定的防病毒軟件����,或未設(shè)置集中管理
沒(méi)有設(shè)置屏保口令����、開(kāi)機(jī)口令、共享口令、硬盤(pán)口令(便攜機(jī))����、Administrator口令
接待客人時(shí),未按規(guī)定進(jìn)行陪同
(2) 常見(jiàn)三級(jí)違規(guī)
未經(jīng)批準(zhǔn)�����,訪問(wèn)游戲站點(diǎn)
未經(jīng)批準(zhǔn)��,撥號(hào)上Internet網(wǎng)
無(wú)意啟動(dòng)DHCP服務(wù)�����,影響公司網(wǎng)絡(luò)正常運(yùn)行
未經(jīng)批準(zhǔn)���,轉(zhuǎn)借信息系統(tǒng)帳號(hào)
未經(jīng)批準(zhǔn),使用特殊存儲(chǔ)設(shè)備
持有與本崗位無(wú)關(guān)的保密文檔
非正當(dāng)渠道獲取或傳遞保密文檔
未經(jīng)批準(zhǔn)���,私自將公司保密文檔或信息授予未經(jīng)授權(quán)的任何其他人員(包括公司人員和非公司人員)
系統(tǒng)管理員未按公司規(guī)定設(shè)置相關(guān)系統(tǒng)的安全配置標(biāo)準(zhǔn)
(3) 常見(jiàn)二級(jí)違規(guī)
發(fā)送與工作無(wú)關(guān)連環(huán)郵件
訪問(wèn)不健康網(wǎng)站
系統(tǒng)管理員未經(jīng)正常流程�����,私自授予系統(tǒng)權(quán)限
在公告欄發(fā)布與工作無(wú)關(guān)內(nèi)容或造成泄密
未經(jīng)允許�,在各種媒體、公眾場(chǎng)合發(fā)表與公司有關(guān)的評(píng)論或言論
未經(jīng)批準(zhǔn)�,私自轉(zhuǎn)借個(gè)人計(jì)算機(jī)
私自刻錄文檔
盜用他人帳號(hào)
非法收集大量與本崗位工作無(wú)關(guān)保密文檔
(4) 常見(jiàn)一級(jí)違規(guī)
未經(jīng)批準(zhǔn)��,系統(tǒng)管理員查看���、傳播公司業(yè)務(wù)敏感數(shù)據(jù)
編制或運(yùn)行黑客程序
編制或傳播病毒程序
攻擊公司網(wǎng)絡(luò)和信息系統(tǒng)
竊取����、盜賣(mài)公司保密信息
四�、文檔保密
信息保密相關(guān)的基本原則和定義
訪問(wèn)保密信息有哪些基本原則?如何理解這些原則��?
有三項(xiàng)基本原則:最小授權(quán)原則�����、審批受控原則、工作相關(guān)原則�。
(1)最小授權(quán)原則:就是授予的權(quán)限剛好滿足員工的工作需要��。
(2)審批受控原則:就是要嚴(yán)格控制信息的傳遞過(guò)程和擴(kuò)散范圍,保證做到“先審批���,再獲取����;先登記�,再傳遞”。
(3)工作相關(guān)原則:要求每一位員工只能查閱與本人工作有關(guān)的文檔����,嚴(yán)禁員工私自收集、保存與自己工作無(wú)關(guān)的文檔����。
對(duì)公司來(lái)說(shuō)����,哪些信息屬保密信息?
公司對(duì)于信息從保密性的維度分為兩大類(lèi):公開(kāi)信息和保密信息�����,既包括公司內(nèi)部業(yè)務(wù)運(yùn)作過(guò)程中產(chǎn)生的信息,也包括客戶�、供應(yīng)商、國(guó)家政府機(jī)關(guān)等相關(guān)方提供給公司的信息�����。
(1)公開(kāi)信息指可對(duì)公司外公開(kāi)發(fā)布的信息����,如:公司對(duì)外的相關(guān)宣傳資料、產(chǎn)品介紹資料等��。
(2)保密信息指僅可在一定范圍內(nèi)發(fā)布的信息�����,如果泄漏���,可能給公司或相關(guān)方造成損失和不良影響�����。
華為公司的保密信息是怎樣進(jìn)行,密級(jí)劃分的��?
保密信息根據(jù)其價(jià)值����、內(nèi)容的敏感程度、影響及發(fā)放范圍不同����,劃分為絕密、機(jī)密����、秘密、內(nèi)部公開(kāi)等四個(gè)級(jí)別����。
“絕密”信息是指包含公司最重要和最敏感的信息,關(guān)系公司未來(lái)發(fā)展的前途和命運(yùn)����,對(duì)公司根本利益有著決定性影響的保密信息。例如公司的年度預(yù)算方案�、服務(wù)銷(xiāo)售費(fèi)用預(yù)算等文件����。
“機(jī)密”信息是指包含公司的重要秘密,其泄露會(huì)使公司的安全和利益遭受?chē)?yán)重?fù)p害的保密信息�。例如�����,客戶投資計(jì)劃����、第三方咨詢報(bào)告����、未發(fā)布的任命文件等。
“秘密”信息是指包含公司一般性信息�����,其泄露會(huì)使公司的安全和利益受到損害的保密信息�����。例如���,供應(yīng)商選擇評(píng)估標(biāo)準(zhǔn)�、部門(mén)審計(jì)報(bào)告����、部門(mén)招聘計(jì)劃等文件���。
“內(nèi)部公開(kāi)”信息是指僅在公司內(nèi)部或在公司某一部門(mén)內(nèi)部公開(kāi),向外擴(kuò)散有可能對(duì)公司的利益造成損害的保密信息����。例如,用戶操作手冊(cè)���、已發(fā)布的任命文件����、一般部門(mén)的例會(huì)紀(jì)要��、友商公開(kāi)信息等�����。
誰(shuí)是“信息所有人”�?
公司按信息密級(jí)劃分的信息所有人分別如下:
絕密信息所有人是信息所屬一級(jí)部門(mén)及以上主管;
機(jī)密信息所有人是信息所屬二級(jí)部門(mén)及以上主管���;
內(nèi)部公開(kāi)���、秘密信息所有人是信息所屬三級(jí)部門(mén)及以上主管。
密級(jí)的標(biāo)識(shí)和分類(lèi)
什么時(shí)候需要確定文檔的密級(jí)標(biāo)識(shí)�����?
當(dāng)您初步完成一篇文檔��,并準(zhǔn)備將文檔傳遞給主管或同事進(jìn)行評(píng)審�����、修訂時(shí)�,這時(shí)就應(yīng)確定文檔的密級(jí)。
初步確定文檔密級(jí)時(shí)����,您可以先參考“信息資產(chǎn)密級(jí)管理”數(shù)據(jù)庫(kù)中對(duì)同類(lèi)文檔的密級(jí)分類(lèi),可以根據(jù)同類(lèi)文檔的密級(jí)分類(lèi)來(lái)初步確定文檔的密級(jí)����。如新擬制的文檔在該數(shù)據(jù)庫(kù)中找不到同類(lèi)的文檔供參考,您可根據(jù)文檔涉及內(nèi)容的價(jià)值���、敏感程度確定一個(gè)初步的密級(jí)�。
保密文檔由擬制人初步判定其密級(jí)后�����,提交相應(yīng)信息所有人進(jìn)行密級(jí)確認(rèn)。關(guān)于信息所有人的定義�����,請(qǐng)參考4.1.4節(jié)�����。
在日常工作中如何標(biāo)識(shí)文檔密級(jí)�?
(1)對(duì)于Office文檔,公司要求每位員工都使用公司提供的模板創(chuàng)建文檔����,創(chuàng)建后根據(jù)內(nèi)容在頁(yè)眉處添加正確的密級(jí)。
(2)對(duì)于打印資料��,每一頁(yè)都需要有明確的密級(jí)標(biāo)識(shí)��;
(3)對(duì)于裝訂的硬拷貝資料��,需至少在開(kāi)啟前頁(yè)�、標(biāo)題頁(yè)和尾頁(yè)上放置資料密級(jí)標(biāo)簽;
(4)對(duì)于印刷的、手寫(xiě)的保密敏感信息需要在其某個(gè)醒目地方設(shè)置保密標(biāo)簽�;
(5)電子文檔和紙件文檔,均需注明“華為機(jī)密��,未經(jīng)許可不得擴(kuò)散”或類(lèi)似字樣��。
文檔的使用和交流
公司內(nèi)部文檔傳遞中有哪些保密要求和注意事項(xiàng)�����?
公司規(guī)定����,公司內(nèi)部的所有絕密�����、機(jī)密和秘密級(jí)文檔是要求加密的���。對(duì)于內(nèi)部公開(kāi)級(jí)文檔���,各業(yè)務(wù)部門(mén)可根據(jù)實(shí)際業(yè)務(wù)情況決定是否需要加密。對(duì)于 Office類(lèi)保密文檔����,需要使用RMS進(jìn)行加密����,在無(wú)法使用RMS加密的情況下�����,需使用WinRar壓縮加密���,機(jī)密以上文檔必須采用雙重加密(文檔本身 加密+WinRar壓縮加密)�,兩個(gè)密碼不能相同�����,密碼設(shè)置須符合公司《帳號(hào)和口令標(biāo)準(zhǔn)》(特別對(duì)于銷(xiāo)售與服務(wù)體系��,密碼位數(shù)必須大于10位�����,且由特殊字 符����、大小寫(xiě)字母���、數(shù)字混合組成。另外���,密碼第一位須為特殊字符����。所設(shè)定的密碼禁止使用短信或郵件傳遞��,僅允許通過(guò)電話語(yǔ)音通知)��。非Office類(lèi)的保密 文檔�����,需使用其它方式進(jìn)行加密���,例如winrar等。所設(shè)定的密碼禁止使用短信或郵件傳遞�,只能通過(guò)電話語(yǔ)音通知。傳送含保密信息的紙件時(shí)�,一定要用質(zhì)量 好的信封等進(jìn)行封裝,并且只能發(fā)給收件人本人或其機(jī)要秘書(shū)�����,同時(shí)做好傳送記錄。
另外����,不能使用手機(jī)短信發(fā)送機(jī)密或機(jī)密級(jí)以上的保密信息。
我可以將經(jīng)過(guò)正常授權(quán)獲得的保密文檔提供給其他同事嗎�����?
不可以�����。
公司規(guī)定�����,未經(jīng)信息所有人批準(zhǔn)�,員工無(wú)權(quán)將自己所獲得的保密信息再授權(quán)或提供給他人。因?yàn)榻?jīng)過(guò)授權(quán)后���,您是信息的合法使用人��,而不是信息所有人��。經(jīng)授權(quán)獲得保密信息的人員也不能私下與他人交流該保密信息��。
對(duì)不用的保密信息應(yīng)如何銷(xiāo)毀���?
對(duì)作廢的�、或者已無(wú)權(quán)再接觸的保密信息要?jiǎng)h除和銷(xiāo)毀����,刪除和銷(xiāo)毀原始保密信息應(yīng)征得相應(yīng)主管同意。對(duì)紙件�����、電子件����、存儲(chǔ)有保密信息的存儲(chǔ)介質(zhì)銷(xiāo)毀時(shí)的注意事項(xiàng)如下:
(1)紙件:含保密信息的紙件必須用碎紙機(jī)銷(xiāo)毀�,而不能直接扔垃圾箱或用手撕毀;含秘密級(jí)以上信息的紙件不能重復(fù)使用�。
(2)電子件:刪除后注意清空垃圾箱。
(3)存儲(chǔ)有保密信息的存儲(chǔ)介質(zhì):存儲(chǔ)有保密信息的存儲(chǔ)介質(zhì)作廢時(shí)���,應(yīng)采取不能恢復(fù)的物理性銷(xiāo)毀:如將硬盤(pán)送到我司指定地方進(jìn)行碾軋或消磁等����;在計(jì)算機(jī)轉(zhuǎn) 移給公司其他員工前,要對(duì)硬盤(pán)進(jìn)行格式化��;在計(jì)算機(jī)轉(zhuǎn)移到公司之外(如超過(guò)規(guī)定使用年限的便攜機(jī)轉(zhuǎn)移給個(gè)人)前�,要對(duì)硬盤(pán)進(jìn)行低級(jí)格式化。
員工調(diào)動(dòng)部門(mén)后����,如何處理與新崗位工作職責(zé)無(wú)關(guān)的文檔?
在工作交接完畢后�����,應(yīng)及時(shí)���、徹底地刪除或銷(xiāo)毀您仍持有的所有與新崗位工作無(wú)關(guān)的文檔�����,刪除或銷(xiāo)毀的方式必須符合公司規(guī)定�����,如要使用碎紙機(jī)銷(xiāo)毀含保密信息的紙件�����,而不能直接扔垃圾箱或用手撕毀等�。 如在新崗位需繼續(xù)保留原崗位保密信息,一定要經(jīng)過(guò)保密信息所有人批準(zhǔn)���。
五�����、應(yīng)用系統(tǒng)使用
Notes/Email/Proxy系統(tǒng)
我要用Notes發(fā)送秘密級(jí)以上(含秘密)郵件��,需要采取哪些安全措施�?
在發(fā)送秘密級(jí)以上信息時(shí),為了防止泄密,員工必須采取郵件加密發(fā)送的方式,并設(shè)置回執(zhí)(可以從自己收到的回執(zhí)查看接收并閱讀郵件的人)。
我是否可以發(fā)送群組郵件�?如果業(yè)務(wù)需要向多人發(fā)送郵件,我應(yīng)如何做����?
按照公司規(guī)定,未經(jīng)批準(zhǔn),員工不可以使用群組發(fā)送郵件。
在特殊情況下,由于工作需要發(fā)送群組郵件�����,員工必須首先確定群組的每個(gè)人都是自己要發(fā)送郵件的接收人���,然后經(jīng)過(guò)部門(mén)主管批準(zhǔn)���,才可以使用群組發(fā)送郵件���。具體要求可參考《Notes 群組管理規(guī)定》��。
使用Email發(fā)送保密郵件時(shí)��,應(yīng)該采取什么安全措施���?
發(fā)往公司內(nèi)部的Email保密郵件及其Office文檔類(lèi)保密附件,須使用RMS加密。發(fā)給公司外部人員的郵件�����,如客戶��、供應(yīng)商等,可以不用RMS加密�,但須使用其它方式加密,如Winrar或Office自帶的加密功能��,密碼可單獨(dú)通過(guò)電話等方式通知��。
現(xiàn)在Email上的病毒越來(lái)越多����,我應(yīng)該采取哪些措施來(lái)預(yù)防呢���?
在收到來(lái)歷不明的郵件時(shí)��,請(qǐng)不要打開(kāi)����,直接刪除即可。 因?yàn)槟壳按蠖鄶?shù)病毒和黑客軟件就是通過(guò)郵件傳播的���。
一些病毒程序���,甚至你沒(méi)有打開(kāi)郵件內(nèi)容��,只要把焦點(diǎn)移到郵件標(biāo)題上就會(huì)執(zhí)行,因此,請(qǐng)記住不要設(shè)置“自動(dòng)預(yù)覽/預(yù)覽窗口”的功能�����。取消的方法是�,在Outlook的“視圖”菜單中點(diǎn)擊“自動(dòng)預(yù)覽”取消此功能。
我經(jīng)常收到一些廣告郵件�、無(wú)聊的垃圾郵件,如何防范垃圾郵件呢����?
由于外面有人專(zhuān)門(mén)收集Email地址出售,所以您的Email地址可能被列入其他人的郵件列表,經(jīng)常會(huì)收到別人發(fā)的廣告郵件和其它垃圾郵件�。為避免接收到這些垃圾郵件,用戶可以在客戶端設(shè)置禁止接收特定內(nèi)容的Email(目前服務(wù)器端可以過(guò)濾部分垃圾郵件)��。方法如下:
在Outlook中�,先選中不想再接收發(fā)件人發(fā)送的郵件,然后選擇菜單“動(dòng)作”�����,在選項(xiàng)“垃圾郵件”中選擇“將發(fā)件人添加到‘阻止發(fā)件人名單’”即可�����。
也可以轉(zhuǎn)發(fā)垃圾郵件到antispam@huawei.com��,由系統(tǒng)攔截���。
方法如下:
(1) Microsoft Outlook Express用戶
a. 選中收到的垃圾郵件。
b. 單擊右鍵�����,選擇做為附件轉(zhuǎn)發(fā)�����,您將會(huì)主題欄下看到一件附件。
c. 填寫(xiě)收件人:antispam@huawei.com����。
d. 發(fā)送郵件。如果提示主題為空����,點(diǎn)擊“確定”即可。
(2) Foxmail用戶
在Foxmail中選中(可以按住Ctrl鍵多選)垃圾郵件���,將其拖至桌面或一個(gè)文件夾���, 這些垃圾郵件會(huì)以一封一封郵件文件的形式保存的。然后���,將這些保存的垃圾郵件作為附件發(fā)送到antispam@huawei.com����。
(3)Outlook 反饋方式(以下方法才可以保留郵件頭����,有效更新規(guī)則):
a、在桌面新建一個(gè)Spam文件夾;
b�����、請(qǐng)您使用Ctrl選中多個(gè)垃圾郵件后�����,拖到Spam文件夾中�;
c、將這些spam文件夾打包成壓縮包文件 spam.rar �;
d、將spam.rar作為附件通過(guò)Outlook反饋到antispam@huawei.com�����。
崗位變化后�,能否繼續(xù)使用以前申請(qǐng)的Proxy帳號(hào)?
通過(guò)郵件征得新部門(mén)主管(同申請(qǐng)時(shí)審批者級(jí)別)同意后�����,方可繼續(xù)使用以前申請(qǐng)的Proxy帳號(hào)�����。
訪問(wèn)外部網(wǎng)站應(yīng)注意哪些問(wèn)題�����?
公司為部分員工開(kāi)通Proxy權(quán)限���,目的是為員工從網(wǎng)上收集對(duì)工作有用資料�����、了解與工作有關(guān)的行業(yè)信息等提供方便�。
在訪問(wèn)過(guò)程中�����,應(yīng)注意:不能利用Proxy訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站和內(nèi)容��,更不能從網(wǎng)上下載游戲��、黑客工具等內(nèi)容�。特別強(qiáng)調(diào)一點(diǎn),不要通過(guò)Proxy訪問(wèn)個(gè)人外部郵箱�����。
我能否在公司內(nèi)登錄到外網(wǎng)郵箱(如網(wǎng)易、SOHU等)收發(fā)郵件����?
公司禁止員工訪問(wèn)公司以外的郵箱。
七��、物理安全
環(huán)境安全
秘書(shū)告訴我下班離開(kāi)前做好“五關(guān)”����,我想知道“五關(guān)”具體是指什么?
五關(guān)是指:關(guān)門(mén)、關(guān)窗���、關(guān)空調(diào)����、關(guān)燈�����、關(guān)計(jì)算機(jī)�,做好“五關(guān)”是保證辦公環(huán)境安全的基本要求之一。
辦公安全
在辦公桌面安全上我應(yīng)該注意什么�����?
下班或離開(kāi)辦公桌10分鐘以上���,應(yīng)關(guān)閉或鎖定計(jì)算機(jī)�����。桌面上不能放有秘密級(jí)以上文件�����。秘密級(jí)以上文件應(yīng)放在帶鎖抽屜或保密柜內(nèi)���。
會(huì)議安全
在公司內(nèi)部開(kāi)會(huì),需要注意哪些安全問(wèn)題���?
(1)開(kāi)會(huì)前�,需要確保選取的會(huì)議室和開(kāi)會(huì)內(nèi)容的安全級(jí)相匹配����。例如:召開(kāi)部門(mén)例會(huì),可以選取部門(mén)公用會(huì)議室��。
(2)會(huì)議結(jié)束后��,要帶走相關(guān)的會(huì)議資料,同時(shí)清理會(huì)議室場(chǎng)所(包括相關(guān)機(jī)器設(shè)備上的電子件材料����、白板上的板書(shū)信息、紙件材料等)�����,保證會(huì)議信息的保密不泄漏和會(huì)議室使用后的整潔��。
什么情況下允許在公司外部開(kāi)會(huì)���?審批流程以及注意事項(xiàng)是什么��?
如果是特別保密或敏感的會(huì)議建議在公司內(nèi)的會(huì)議室召開(kāi)����。特殊情況下(比如時(shí)間和空間條件限制����、會(huì)議與會(huì)者的情況限制等)才可以在公司外部場(chǎng)所召開(kāi)會(huì)議,召開(kāi)之前需要得到會(huì)議組織部門(mén)領(lǐng)導(dǎo)的批準(zhǔn)��。相關(guān)的注意事項(xiàng)是:
(1)會(huì)議召集人負(fù)責(zé)會(huì)議的信息安全����。在會(huì)議前就應(yīng)明確與會(huì)者名單;開(kāi)會(huì)時(shí)確定與會(huì)者的身份及其參會(huì)資格�,比如,要求與會(huì)者佩戴工卡并核對(duì)簽到等��;會(huì)議期間��,會(huì)場(chǎng)的出入口應(yīng)有專(zhuān)人看守����;確認(rèn)除主入口外,其他入口已經(jīng)關(guān)閉或是有專(zhuān)人看守�����。
(2)每位與會(huì)者應(yīng)自覺(jué)將會(huì)議資料保管好��,不得在離開(kāi)會(huì)議現(xiàn)場(chǎng)時(shí)隨意將其放置在桌面上或是在人離開(kāi)后放置在賓館房間里�����,更不能將保密資料隨手丟到酒店的垃圾筐內(nèi)���。
(3)如果需要錄音���、錄相或者拍照等���,需要經(jīng)過(guò)會(huì)議組織部門(mén)領(lǐng)導(dǎo)批準(zhǔn)。
對(duì)于電話會(huì)議��,還需要注意什么���?
(1)召開(kāi)電話會(huì)議時(shí)��,電話會(huì)議的會(huì)議ID和密碼等信息��,一般情況下需要通過(guò)公司的信息系統(tǒng)(Notes系統(tǒng)�����、Email系統(tǒng)等)發(fā)送�,不能通過(guò)手機(jī)短信方式發(fā)送�����。如果情況比較緊急或特殊�,請(qǐng)通過(guò)點(diǎn)對(duì)點(diǎn)的電話方式告知。電話會(huì)議接入信息只能發(fā)送給相關(guān)的與會(huì)人員。
(2)接入電話會(huì)議的人員�,應(yīng)到專(zhuān)用會(huì)議室接入會(huì)議系統(tǒng); 如條件限制需在開(kāi)放辦公區(qū)接入電話會(huì)議��,應(yīng)注意不要啟用電話的免提功能�����。
(3)特別地�,對(duì)于銷(xiāo)售與服務(wù)體系����,機(jī)密級(jí)以上的電話會(huì)議要求使用主叫呼出的安全電話會(huì)議系統(tǒng)(接入碼285-60789)。使用其他2個(gè)系統(tǒng) (287-80999和285-60888)時(shí)�,電話會(huì)議的會(huì)議ID和密碼等信息,必須分不同的方式發(fā)送��,密碼只能通過(guò)電話語(yǔ)音通知���,不能采用手機(jī)短信方 式發(fā)送�����;或可以采用附件方式通過(guò)郵件發(fā)送���,附件必須為OFFICE文檔的RMS授權(quán)加密方式����。如果情況比較緊急或特殊��,可通過(guò)點(diǎn)對(duì)點(diǎn)的電話方式告知�����。
網(wǎng)絡(luò)安全
網(wǎng)絡(luò)連接安全
所有計(jì)算機(jī)都必須安裝SPES才能接入公司網(wǎng)絡(luò)嗎���?Unix平臺(tái)的機(jī)器怎么辦��?
所有需要接入公司網(wǎng)絡(luò)訪問(wèn)公司應(yīng)用的Windows平臺(tái)的客戶端設(shè)備都需要安裝SPES����,包括但不限于公司內(nèi)部人員管理的客戶端設(shè)備�����、外包人員使用設(shè)備����、供應(yīng)商提供測(cè)試設(shè)備、顧問(wèn)或臨時(shí)來(lái)訪人員使用設(shè)備。
非Windows平臺(tái)的設(shè)備不需要安裝����,但需要申請(qǐng)固定IP并通過(guò)審批才能保證策略實(shí)施后正常接入公司網(wǎng)絡(luò)。
個(gè)人能夠設(shè)置FTP��、Wins等網(wǎng)絡(luò)服務(wù)嗎���,為什么��?
未經(jīng)批準(zhǔn),不得私自設(shè)置WWW�����、FTP以及BBS�����、NEWS��、DNS�、Wins、DHCP等各種形式的網(wǎng)絡(luò)服務(wù)����,更不能在公司網(wǎng)絡(luò)上運(yùn)行任何攻擊或破壞網(wǎng)絡(luò)服務(wù)的軟件�����。因?yàn)樵O(shè)置這類(lèi)服務(wù)會(huì)對(duì)網(wǎng)絡(luò)正常運(yùn)行造成不良影響��。
如確實(shí)業(yè)務(wù)需要���,不接入公司大網(wǎng)(如����,僅在實(shí)驗(yàn)室小網(wǎng)使用)同時(shí)不需要IT協(xié)助的服務(wù)申請(qǐng)����,提交“IS Authority Application”電子流進(jìn)行申請(qǐng)����,其余服務(wù)的申請(qǐng)通過(guò)IT requirment流程申請(qǐng)。
出差到辦事處�,需要在賓館上網(wǎng),需要注意什么來(lái)保證個(gè)人便攜機(jī)的安全�?
對(duì)于便攜機(jī)的安全,一般從下面幾個(gè)方面防范:
(1)安裝和使用公司指定的個(gè)人防火墻�����,在外出差啟動(dòng)便攜機(jī)時(shí),也要把個(gè)人防火墻啟動(dòng)�����。個(gè)人防火墻策略在通過(guò)公司指定的服務(wù)器下載安裝時(shí)已經(jīng)配置好�,個(gè)人不需要也不能改動(dòng)個(gè)人防火墻策略。
(2)使用便攜機(jī)收發(fā)電子郵件的附件時(shí)����,下載和打開(kāi)前要使用殺毒軟件先殺毒。
(3)通過(guò)便攜機(jī)訪問(wèn)公司Email系統(tǒng)時(shí)�����,網(wǎng)址輸入格式推薦使用https代替http�。
我是全球技術(shù)服務(wù)部工程師����,需要填寫(xiě)研發(fā)的需求承諾電子流,這個(gè)電子流放在研發(fā)區(qū)�,我不能訪問(wèn)該如何辦?
需要填寫(xiě)“NC帳號(hào)申請(qǐng)”電子流申請(qǐng)NC帳號(hào)�����,然后就可以使用NC服務(wù)器進(jìn)行這類(lèi)業(yè)務(wù)的操作。
是否可以在公司的辦公區(qū)使用無(wú)線上網(wǎng)服務(wù)����?
公司所有辦公區(qū)域目前沒(méi)有開(kāi)通無(wú)線上網(wǎng)服務(wù)。所以�����,在公司相關(guān)辦公區(qū)域不能無(wú)線上網(wǎng)�����,如果有業(yè)務(wù)需要���,請(qǐng)使用公司的有線網(wǎng)絡(luò)服務(wù)�。
我因工作需要通過(guò)MODEM�、ISDN等連接到外部網(wǎng)絡(luò),應(yīng)該怎么做����?
首先需要通過(guò)”IS Authority Application”電子流提交申請(qǐng),獲取MODEM���、ISDN等服務(wù)權(quán)限�,沒(méi)有經(jīng)過(guò)批準(zhǔn)不能私自使用MODEM、ISDN等服務(wù)����。
獲得MODEM、ISDN等網(wǎng)絡(luò)連接批準(zhǔn)后����,在與外網(wǎng)連接前需要確保相關(guān)的機(jī)器和公司網(wǎng)絡(luò)是斷開(kāi)的。因?yàn)槿绻挠?jì)算機(jī)同時(shí)連到公司網(wǎng)絡(luò)和外部網(wǎng)絡(luò)���,外部 網(wǎng)絡(luò)上的人員很可能通過(guò)您的機(jī)算計(jì)訪問(wèn)公司內(nèi)部網(wǎng)絡(luò)���,這樣會(huì)對(duì)公司網(wǎng)絡(luò)帶來(lái)很大的安全隱患,所以禁止在個(gè)人計(jì)算機(jī)與內(nèi)部網(wǎng)絡(luò)連接的情況下與外部網(wǎng)絡(luò)通信�。
如果在出差期間需要通過(guò)外網(wǎng)訪問(wèn)公司的相關(guān)系統(tǒng)和服務(wù)器時(shí)(比如Notes、Email等系統(tǒng))�,應(yīng)該怎么辦���?公司VPN服務(wù)能夠解決此類(lèi)需求嗎����?
通過(guò)使用VPN網(wǎng)絡(luò)可以滿足此業(yè)務(wù)需求:
但出差前你需要提交“Token 管理電子流”申請(qǐng)Token卡并在便攜機(jī)上安裝checkpoint客戶端軟件; 這樣出差時(shí)你就可以從外網(wǎng)通過(guò)VPN訪問(wèn)公司資源了�。此時(shí)您只需要運(yùn)行checkpoint軟件,輸入靜態(tài)密碼和Token卡產(chǎn)生的動(dòng)態(tài)密碼����,通過(guò)驗(yàn)證以 后,您就可以像在內(nèi)網(wǎng)上一樣使用公司的相關(guān)應(yīng)用和服務(wù)了���。
特別提示����,公司禁止員工在處理工作郵件時(shí)使用公網(wǎng)上提供的免費(fèi)郵箱�,在外出差或者公干時(shí)也要求員工使用公司提供的郵箱;在訪問(wèn)公司的Webmail系統(tǒng)時(shí)�,網(wǎng)址輸入采用https形式,這樣在信息傳遞時(shí)增加了一層加密保護(hù)的功能����。
八、接待����、對(duì)外合作和信息交流
對(duì)外接待和陪同
誰(shuí)負(fù)責(zé)外部人員在公司的信息安全管理工作?
根據(jù)公司的信息安全管理策略�,外部人員所服務(wù)或進(jìn)行合作的接口部門(mén)的主管或項(xiàng)目經(jīng)理應(yīng)該總體負(fù)責(zé)外部人員的信息安全管理工作���。
我被部門(mén)指派陪同非公司人員,應(yīng)注意些什么���?
作為接口人�����,或說(shuō)接待人�����,您引領(lǐng)供應(yīng)商/合作商等人員進(jìn)入特定公司區(qū)域����,需經(jīng)主管該區(qū)域的部門(mén)負(fù)責(zé)人批準(zhǔn)����。供應(yīng)商/合作商在上述區(qū)域活動(dòng)時(shí),您應(yīng)全程陪同�����。
來(lái)訪人員攜帶便攜機(jī)時(shí)��,如不需要使用�����,您可協(xié)助其將便攜機(jī)存放于門(mén)衛(wèi)處�����;如需攜帶便攜機(jī)進(jìn)入公司�,您應(yīng)注意不讓來(lái)訪人員獨(dú)自在辦公區(qū)域使用便攜機(jī)。此外您還應(yīng)注意����,供應(yīng)商/合作商只能在經(jīng)批準(zhǔn)的辦公區(qū)域進(jìn)行本次業(yè)務(wù)相關(guān)的活動(dòng)。
因工作需要�,向公司外人員發(fā)送保密信息有哪些注意事項(xiàng)?
(1)向外部提供文檔資料時(shí)��,應(yīng)遵照《信息保密管理規(guī)定》�,首先獲得接口部門(mén)主管許可,然后向信息owner部門(mén)申請(qǐng):
(2)發(fā)送的資料要加密��,以防止保密信息泄密��;發(fā)送絕密、機(jī)密級(jí)文件�����,發(fā)送的方式范圍�����、對(duì)象需經(jīng)過(guò)信息所有人審批�;
(3)保密信息必須加密發(fā)送并設(shè)置回執(zhí),如:口令�、研究報(bào)告、開(kāi)發(fā)信息和其他的敏感數(shù)據(jù)�����;需事先與接收方簽署保密協(xié)議���。
信息交流
作為接待人員����,對(duì)外接待交流中需要注意哪些信息安全事項(xiàng)�?
(1) 接待人員不應(yīng)向供應(yīng)商/合作商透露業(yè)務(wù)范圍之外的公司技術(shù)、商務(wù)情況���,不隨意承諾��,不在授權(quán)范圍之外行事, 已經(jīng)承諾和雙方達(dá)成意向的事宜應(yīng)當(dāng)做正式記錄�。
(2) 供應(yīng)商/合作商需要查看公司文檔���、資料��,按如下優(yōu)先順序提供: 查閱(不借)->紙件借閱->電子檔借閱�。
(3) 向供應(yīng)商/合作商提供含有公司保密信息的文件�、資料或?qū)嵨锏模哟藨?yīng)獲得部門(mén)主管批準(zhǔn)��,并與供應(yīng)商/合作商簽訂保密協(xié)議后再行提供���。
對(duì)外商務(wù)活動(dòng)中�����,移動(dòng)電話的使用有哪些安全注意事項(xiàng)�?
(1)不能在電梯���、汽車(chē)���、餐廳����、酒店大堂等公共場(chǎng)所接聽(tīng)重要電話�����,必須接聽(tīng)時(shí)請(qǐng)到相對(duì)空曠或不易被竊聽(tīng)的地方���;
(2)銷(xiāo)服員工在商談重要的商務(wù)問(wèn)題時(shí)盡可能使用隨機(jī)的固定電話���,不能使用本人名片上的移動(dòng)電話和固定電話,若必須使用移動(dòng)電話�,則必須使用臨時(shí)購(gòu)買(mǎi)的預(yù)付費(fèi)卡。
簽署保密協(xié)議
哪些情況需要對(duì)外簽署保密協(xié)議�����?
華為公司與其他公司或個(gè)人之間在合作�、雇傭、技術(shù)支持等有可能接觸公司的保密信息時(shí)需要簽署保密協(xié)議�。
對(duì)外簽署保密協(xié)議有哪些注意事項(xiàng)?
(1)保密協(xié)議應(yīng)首先使用公司模板��,可從“法務(wù)之窗”Notes庫(kù)獲取。
(2)必須簽署原件保密協(xié)議�����。在緊急情況下可以先簽署復(fù)印件��、傳真件���,后補(bǔ)簽原件;
(3)英文保密協(xié)議一般不需蓋章�,只需簽字,中文保密協(xié)議一般需簽字蓋章����;
(4)蓋章時(shí)應(yīng)蓋法人章或保密協(xié)議專(zhuān)用章,不應(yīng)蓋部門(mén)章���。
若與對(duì)方的合同中已有保密相關(guān)的內(nèi)容�,是否可以不再與對(duì)方單獨(dú)簽訂保密協(xié)議��?
合同中有關(guān)保密的內(nèi)容大多是框架性的����。實(shí)際作業(yè)中信息不同�����,保密條款中的要求會(huì)有所不同�����,可能需要進(jìn)一步細(xì)化���。要根據(jù)具體情況區(qū)分對(duì)待,不是說(shuō)合同里簽了就不用簽了���,有些可能是簽附加條款��,有些應(yīng)該再簽單獨(dú)的保密協(xié)議��。簽署保密協(xié)議方面的問(wèn)題���,可咨詢法務(wù)部。
九�����、研發(fā)信息安全
研發(fā)網(wǎng)絡(luò)與非研發(fā)網(wǎng)絡(luò)隔離
什么是研發(fā)工作區(qū)����?研發(fā)工作區(qū)包含哪些區(qū)域���?
研發(fā)工作區(qū):有明確的物理邊界,貫徹和實(shí)施了研發(fā)信息安全政策的工作區(qū)域�����。
研發(fā)工作區(qū)包括深圳科研中心(F1�、F3、F4�����、F5���、中試中心)、華電研發(fā)工作區(qū)��、南京研究所研發(fā)工作區(qū)�����、上海研究所研發(fā)工作區(qū)����、北京研究所研發(fā)工作 區(qū)���、西安研究所研發(fā)工作區(qū)、成都研究所研發(fā)工作區(qū)��、杭州研究所研發(fā)工作區(qū)等研發(fā)辦公場(chǎng)地�。具體研發(fā)工作區(qū)清單參見(jiàn)網(wǎng)絡(luò)安全部維護(hù)與公布的“IS Policy, Standard & Regulation”數(shù)據(jù)庫(kù)中的《最新研發(fā)工作區(qū)清單》。
研發(fā)區(qū)和非研發(fā)區(qū)之間不能直接實(shí)現(xiàn)文件共享��,如果文件共享��,怎么辦�?
分為兩種情況:
1)數(shù)據(jù)從研發(fā)傳遞到其他工作區(qū)
小于10M的文檔可以通過(guò)Notes Mail直接發(fā)送;大于10M的文檔可以在“研發(fā)便攜&文檔外出管理”數(shù)據(jù)庫(kù)中填寫(xiě)“公司內(nèi)異地傳輸”申請(qǐng)�����,審批通過(guò)后�,通過(guò)FTP服務(wù)器進(jìn)行傳送。
2)數(shù)據(jù)從非研發(fā)傳遞到研發(fā)區(qū)
小于10M的文檔可以通過(guò)Notes Mail直接發(fā)送��;大于10M的文檔可以通過(guò)公司的FTP服務(wù)器進(jìn)行傳送或者通過(guò)Bigmail數(shù)據(jù)庫(kù)進(jìn)行傳送����。
可通過(guò)“IS Authority Application”中的“(非研發(fā))FTP帳號(hào)申請(qǐng)”電子流申請(qǐng)FTP帳號(hào)�。
研發(fā)工作區(qū)的應(yīng)用����,公司非研發(fā)區(qū)無(wú)法訪問(wèn);公司非研發(fā)的應(yīng)用�,研發(fā)工作區(qū)無(wú)法訪問(wèn)。如果需要全公司的都需要訪問(wèn)��,這個(gè)問(wèn)題怎么解決�����?
由于研發(fā)工作區(qū)和公司其他工作區(qū)網(wǎng)絡(luò)都可以訪問(wèn)數(shù)據(jù)中心通用區(qū)���,所以全公司訪問(wèn)的服務(wù)器/應(yīng)用可申請(qǐng)搬遷到數(shù)據(jù)中心��。服務(wù)器/應(yīng)用搬遷到通用區(qū)的需求由信息所屬部門(mén)通過(guò)IT Requirement Application提交需求。
我是非研發(fā)員工�,如果到研發(fā)區(qū)辦公,無(wú)法訪問(wèn)我的非研發(fā)Notes郵箱��,該怎么辦�����?
由于在研發(fā)區(qū)是不允許訪問(wèn)非研發(fā)的Notes服務(wù)器的,因此非研發(fā)員工如果因工作需要到研發(fā)區(qū)辦公���,在辦公位變動(dòng)之前����,需要填寫(xiě)“IT Service Application”中的“Notes郵箱搬遷”將您的Notes郵箱從非研發(fā)區(qū)服務(wù)器遷移到研發(fā)區(qū)服務(wù)器上��。
注意:郵箱搬遷到新服務(wù)器后�����,原先舊服務(wù)器上的郵件不會(huì)同步搬遷過(guò)來(lái)���,因此搬遷之前需要先將服務(wù)器上的郵件下載到本地���。
我是研發(fā)員工,到海外代表處出差�,我該怎么訪問(wèn)Notes?
由于實(shí)施研發(fā)/非研發(fā)網(wǎng)絡(luò)隔離��,海外代表處屬于非研發(fā)區(qū)�,無(wú)法直接訪問(wèn)研發(fā)Notes郵箱和研發(fā)Notes應(yīng)用數(shù)據(jù)庫(kù)。
您可以出差之前申請(qǐng)NC帳戶(在“IS Authority Application”數(shù)據(jù)庫(kù)中填寫(xiě)“NC帳號(hào)申請(qǐng)”),通過(guò)NC來(lái)訪問(wèn)您的研發(fā)Notes郵箱與研發(fā)Notes應(yīng)用�。
對(duì)于Notes郵箱,除通過(guò)NC可以訪問(wèn)外�����,也可以在出差之前將您的Notes郵箱從研發(fā)區(qū)服務(wù)器搬遷(填寫(xiě)“IT Service Application”中的“Notes郵箱搬遷”)至海外代表處當(dāng)?shù)貐^(qū)域數(shù)據(jù)中心非研發(fā)的服務(wù)器上����。優(yōu)點(diǎn)是訪問(wèn)Notes郵箱速度快,缺點(diǎn)是出差結(jié)束 后需要考慮將出差期間的郵件拷貝到個(gè)人PC機(jī)上��。
研發(fā)信息安全問(wèn)題求助渠道
(1)發(fā)郵件給Public IS/huawei���,會(huì)有專(zhuān)人處理回答您的疑問(wèn)�。
(2)可以聯(lián)系本部門(mén)信息安全專(zhuān)員����。
(3)訪問(wèn)Notes數(shù)據(jù)庫(kù)“研發(fā)信息安全工作平臺(tái)”獲取幫助。
十��、離職
離開(kāi)公司前為什么需要與公司簽署保密承諾���?
員工離職前,公司有相應(yīng)的離職流程收回員工擁有的相關(guān)信息系統(tǒng)和資源的訪問(wèn)使用權(quán)限,同時(shí)公司也相信絕大多數(shù)員工是遵紀(jì)守法的����。但是,為防止少數(shù)人 泄漏華為公司的重要信息�����,防止離職人員在規(guī)定期限未滿就到公司競(jìng)爭(zhēng)對(duì)手處工作或間接工作�����,于是需要與離職員工簽署競(jìng)業(yè)保密承諾�����。
離職員工有哪些保密責(zé)任��?
華為員工在其離職兩年內(nèi)仍要按照進(jìn)公司時(shí)簽訂的合同��,承擔(dān)下列保密責(zé)任�,否則將承擔(dān)違約的民事或刑事責(zé)任:
(1)不帶走從華為公司獲取的任何資料,包括但不限于記載于紙件或膠片上的文檔�、文件、圖表����、目錄����,存儲(chǔ)于磁盤(pán)��、光盤(pán)上的軟件���、程序等�����。
(2)離職后兩年內(nèi)不得到與華為公司有競(jìng)業(yè)關(guān)系的公司從事與在華為公司工作期間工作性質(zhì)相同或者相似的工作�����。
(3)未經(jīng)華為公司書(shū)面同意�,不向任何單位和個(gè)人透露或使用在華為公司就職期間獲得的商業(yè)秘密���,包括技術(shù)秘密���、商務(wù)秘密、財(cái)務(wù)秘密����、管理秘密以及其它經(jīng)營(yíng)秘密。
附錄一:常用信息安全IT系統(tǒng)說(shuō)明
1 IS Portal
為了幫助公司員工更多地了解公司信息安全規(guī)定����、管理體系,降低無(wú)意違規(guī)的發(fā)生頻率�,加強(qiáng)公司員工的信息安全保密意識(shí)。網(wǎng)絡(luò)安全部建立了IS Portal(SZXAP18-DS)數(shù)據(jù)庫(kù)��。初始界面如圖所示:
2常用信息安全電子流����、數(shù)據(jù)庫(kù)索引
IS Policy, Standard & Regulation……… SZXAP17-DS服務(wù)器
IS Authority Application……………… SZXAP18-DS服務(wù)器
信息資產(chǎn)密級(jí)管理……………………… SZXAP01-DS服務(wù)器
信息安全問(wèn)題受理……………………… SZXAP71-DS服務(wù)器
員工個(gè)人誠(chéng)信檔案……………………………SZXAP15-DS服務(wù)器
保密業(yè)務(wù)電子流…………………………………rnd-apps服務(wù)器
IT Requirement Application………………SZXAP16-DS服務(wù)器
IT Service Application……………………SZXAP74-DS服務(wù)器
IT熱線專(zhuān)欄……………………………… dnp-app3服務(wù)器
IT資產(chǎn)申請(qǐng)……………………………… SZXAP01-DS服務(wù)器
華為卡證門(mén)禁…………………………… SZXAP77-DS服務(wù)器
(研發(fā))文檔查閱……………………………… HW-TF-APP服務(wù)器
研發(fā)便攜&文檔外出管理……………… SZXUC05-DS服務(wù)器
以上信息如有變化,請(qǐng)以“應(yīng)用信息分布”(SZXUA05-DS)查詢的最新數(shù)據(jù)為準(zhǔn)�����。
3公司內(nèi)部常用信息安全工具索引
SPES………………………………… http://spes.huawei.com
ACC…………………………………… http://acc.huawei.com
RMS……………………………… http://rmshelp.huawei.com
Symantec AntiVirus……… http://szxav01-ss.huawei.com
Anti-Spyware……………………… http://scan.huawei.com
NC………………………………… http://nchelp.huawei.com
附錄二:公司信息安全體系及職責(zé)說(shuō)明
1公司信息安全監(jiān)管委員會(huì)工作職責(zé):
1.1審查和核準(zhǔn)信息安全總體策略���,對(duì)重大問(wèn)題達(dá)成共識(shí)�����;
1.2審核批準(zhǔn)重大的信息安全建設(shè)方案��;
1.3在整個(gè)組織中增加對(duì)信息安全工作的領(lǐng)導(dǎo)力度���;
1.4對(duì)緊急重大安全事故進(jìn)行響應(yīng)決策����;
1.5提出信息安全總體要求和批準(zhǔn)信息安全戰(zhàn)略規(guī)劃���。
2公司信息安全管理辦公室工作職責(zé):
2.1負(fù)責(zé)組織制定公司的信息安全策略����、標(biāo)準(zhǔn)和流程�����;
2.2負(fù)責(zé)組織信息安全策略��、標(biāo)準(zhǔn)和流程在業(yè)務(wù)部門(mén)的推行工作��;
2.3負(fù)責(zé)組織公司范圍內(nèi)的信息安全監(jiān)控與審計(jì)���;
2.4負(fù)責(zé)對(duì)公司的信息安全狀況進(jìn)行定期評(píng)估和風(fēng)險(xiǎn)分析�;
2.5負(fù)責(zé)組織對(duì)跨業(yè)務(wù)部門(mén)的或重大的安全事故的調(diào)查���;
2.6負(fù)責(zé)組織公司的信息安全培訓(xùn)和宣傳��。
附錄三:信息安全案例匯編
(一)公司信息案例匯編
1私自轉(zhuǎn)借工卡
【事件描述】2004年5月�,深圳總部某安全崗值班員在對(duì)進(jìn)出人員卡證佩戴情況進(jìn)行檢查時(shí)���,發(fā)現(xiàn)一名佩戴華為正式工卡的人員與工卡上照片不符���,當(dāng)即求助相關(guān)部門(mén)對(duì)該工卡的真?zhèn)芜M(jìn)行鑒別,同時(shí)要求當(dāng)事人配合安全崗進(jìn)行調(diào)查�����,并報(bào)行政管理部處理�����。
經(jīng)查�����,該佩戴華為員工工卡的人員為固網(wǎng)產(chǎn)品線的外協(xié)文員���,因自己的臨時(shí)通行證沒(méi)有在生產(chǎn)中心通行的權(quán)限�,所以借用華為員工工卡通行。
【違規(guī)等級(jí)】四級(jí)
【事件描述】2004年8月���,公司某部門(mén)員工接待一名供應(yīng)商進(jìn)入研發(fā)區(qū)域��,在接待過(guò)程中�����,該員工私自將工卡借給供應(yīng)商���,讓其獨(dú)自到機(jī)要室拷貝資料,供應(yīng)商隨身攜帶的U盤(pán)也未在門(mén)崗登記�,直接被帶入了研發(fā)辦公區(qū)域。
【違規(guī)等級(jí)】三級(jí)
【事件點(diǎn)評(píng)】工卡是公司員工的身份證明�,只限于員工本人使用,是不允許私自轉(zhuǎn)借的����。它不僅關(guān)系到公司的形象和安全,而且還關(guān)系到員工本人的切身利益�����。另 外,臨時(shí)出入公司的客戶�、供應(yīng)商等人員,接待人員需要全程陪同����。需要注意的是,在接待過(guò)程中���,接待人員是要對(duì)來(lái)訪人員的所有信息安全行為負(fù)責(zé)的��!
2未升級(jí)防病毒軟件造成網(wǎng)絡(luò)癱瘓
【事件描述】2006年初,某員工到一外研所出差���。該員工計(jì)算機(jī)安裝的防病毒軟件為Norton 7.6版本���,且病毒庫(kù)版本為05年9月,未及時(shí)升級(jí)到Symantec Antivirus 10企業(yè)版并實(shí)行集中管理����,導(dǎo)致無(wú)法查出病毒。在外研所辦公期間����,由于該員工的便攜機(jī)攜帶了病毒并且該病毒自動(dòng)向網(wǎng)絡(luò)發(fā)送大量數(shù)據(jù)包,數(shù)據(jù)流量大大超過(guò)日 常辦公時(shí)的流量,導(dǎo)致外研所網(wǎng)絡(luò)服務(wù)器CPU過(guò)載���,網(wǎng)絡(luò)癱瘓達(dá)1小時(shí)之久�。給外研所的辦公帶來(lái)較大影響�����。
【違規(guī)等級(jí)】三級(jí)
【事件點(diǎn)評(píng)】隨著計(jì)算機(jī)技術(shù)的發(fā)展���,病毒的種類(lèi)越來(lái)越多�,危害越來(lái)越大�。據(jù)《InformationWeek》研究部和埃森哲咨詢公司 (Accenture)合作進(jìn)行的第九年度“全球安全調(diào)查”顯示,在所有受訪者當(dāng)中�����,有57%的美國(guó)公司在過(guò)去一年中曾遭受病毒攻擊����,34%曾受到蠕蟲(chóng)的 攻擊!這些數(shù)據(jù)足以提醒我們每位員工一定按照公司要求����,及時(shí)安裝殺毒軟件并執(zhí)行集中管理,防止這類(lèi)事故的再次出現(xiàn)。
3違規(guī)安裝非標(biāo)軟件�,影響公司網(wǎng)絡(luò)
【事件描述】2003年5月,技術(shù)支援系統(tǒng)某員工未經(jīng)批準(zhǔn)��,私自在其便攜機(jī)中違規(guī)安裝Sygate軟件���,結(jié)果在公司網(wǎng)上無(wú)意啟動(dòng)了DHCP服務(wù)�����,影響了公司網(wǎng)絡(luò)的正常運(yùn)行�,使得該員工所在代表處的網(wǎng)絡(luò)癱瘓達(dá)2個(gè)小時(shí)之久��。
【違規(guī)等級(jí)】三級(jí)
【事件描述】 2006年2月份���,在信息安全例行檢查中,發(fā)現(xiàn)供應(yīng)鏈某業(yè)務(wù)部一位員工未經(jīng)批準(zhǔn)私自從外網(wǎng)下載了并安裝了危及網(wǎng)絡(luò)安全的違規(guī)軟件Ethereal���。
【違規(guī)等級(jí)】四級(jí)
【事件點(diǎn)評(píng)】安裝違規(guī)軟件是公司員工最典型的信息安全違規(guī)行為之一�。盡管公司一再重申相關(guān)規(guī)定���,但仍有個(gè)別員工無(wú)視這些規(guī)定的存在�����。一些違規(guī)軟件(如 Wingate, Sygate等)可能會(huì)影響公司網(wǎng)絡(luò)正常運(yùn)行����,而諸如Ethereal、NetXray�、Sniffer等軟件則會(huì)危及公司的網(wǎng)絡(luò)安全。請(qǐng)各位員工遵守公 司要求����,安裝符合公司標(biāo)準(zhǔn)的應(yīng)用軟件。
4違規(guī)使用USB
【事件描述】全球技服某員工未經(jīng)允許��,私自使用優(yōu)盤(pán)拷貝便攜機(jī)上的資料��,準(zhǔn)備復(fù)制到家中的私人電腦中����,其中包括部分公司保密資料。此事隨即被網(wǎng)絡(luò)安全部查獲�����。
【違規(guī)等級(jí)】三級(jí)
【事件點(diǎn)評(píng)】公司明文規(guī)定��,因工作需要使用USB是可以的,但需要申請(qǐng)���。而未經(jīng)批準(zhǔn)����,私自使用USB的話���,一經(jīng)發(fā)現(xiàn)�,就會(huì)被嚴(yán)懲����。
5私拆硬盤(pán)刻光盤(pán)
【事件描述】2006年4月27日,北研所某員工利用工作之便����,在未經(jīng)批準(zhǔn)的情況下,私自撤除計(jì)算機(jī)封條�����,取出硬盤(pán)帶到外面進(jìn)行光盤(pán)刻錄�����。
【違規(guī)等級(jí)】一級(jí)����,辭退
【事件點(diǎn)評(píng)】私自拆除硬盤(pán),流失的文檔包含著公司各位員工的血汗����。我們辛辛苦苦才收獲到這些糧食,切記不可讓別人隨隨便便就偷走�。各位員工如果發(fā)現(xiàn)有人盜竊公司信息資產(chǎn),一定要挺身而出�����,保護(hù)大家的利益����,也保護(hù)自己的利益。
6計(jì)算機(jī)密碼管理不善造成泄密
【事件描述】2006年3月�,供應(yīng)鏈管理,離開(kāi)工作崗位而又有外部人員在場(chǎng)的情況下����,未手動(dòng)鎖定電腦,存在信息泄密的風(fēng)險(xiǎn);第三方物流公司的兩名員工趁我司員工不在場(chǎng),多次私自使用公司電腦����。
【違規(guī)等級(jí)】四級(jí)
【事件描述】某員工在外出差期間���,利用賓館局域網(wǎng)上網(wǎng),共享了存有公司保密文檔的文件夾��,但未設(shè)置共享口令���。此事被賓館其他人員發(fā)現(xiàn)���,并及時(shí)向公司報(bào)告,避免了保密文檔的外流�����。
【違規(guī)等級(jí)】四級(jí)
【事件點(diǎn)評(píng)】幸好及時(shí)發(fā)現(xiàn)���,沒(méi)有給公司造成損失����,否則三級(jí)違規(guī)就不可避免了�!每位員工都應(yīng)注意�,在設(shè)置了計(jì)算機(jī)密碼的同時(shí)�����,還千萬(wàn)不要忘記離開(kāi)座位時(shí)及時(shí) 鎖定電腦��。設(shè)置了密碼但沒(méi)有啟用密碼鎖定的電腦就如同于保密柜雖然配備了鎖頭但把鎖頭丟在一旁���,對(duì)于盜賊而言,密碼或鎖頭都如同虛設(shè)���。另外還要注意�,員工 在出差時(shí)如需通過(guò)網(wǎng)絡(luò)傳遞電子件形式的保密資料必須加密后才能通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行傳送���,在傳送時(shí)要設(shè)置回執(zhí)����,如因技術(shù)原因無(wú)法設(shè)置回執(zhí)時(shí)�����,則應(yīng)該做好傳送 記錄���,F(xiàn)在很多賓館都有上網(wǎng)的專(zhuān)線����,員工在賓館上網(wǎng)要注意取消計(jì)算機(jī)內(nèi)所有的文件共享。通過(guò)賓館的專(zhuān)線發(fā)送郵件時(shí)�,一定要對(duì)發(fā)送的文件在本地進(jìn)行加密后才 發(fā)送。計(jì)算機(jī)自身的安全防護(hù)措施也要配置好���,比如安裝個(gè)人防火墻軟件�����、防病毒軟件以及設(shè)置Administrator和硬盤(pán)口令等等�����。
7保留違規(guī)文檔并逃避檢查
【事件描述】2002年11月�����,在信息安全例行檢查中��,發(fā)現(xiàn)研發(fā)某員工在工作已完成交接后���,未刪除過(guò)去工作中涉及到的大量保密文檔,并以更改后綴的方式保留以逃避檢查。
【違規(guī)等級(jí)】三級(jí)
【事件點(diǎn)評(píng)】這種更改后綴����,有意逃避信息安全檢查的行為實(shí)在是比較惡劣�����,也體現(xiàn)了該員工的人品素質(zhì)比較差�����。幸運(yùn)的是沒(méi)有給公司造成損失�����,否則信息安全一級(jí) 違規(guī)��、辭退或司法機(jī)關(guān)處理也不為過(guò)�。奉勸那些打公司注意的少數(shù)人,一定要保持清醒的頭腦�,想清楚僅因一時(shí)貪念而影響了個(gè)人前途是否值得?
8私自外發(fā)公司保密信息
【事件描述】2006年初�,國(guó)際營(yíng)銷(xiāo)系統(tǒng)某海外機(jī)構(gòu)某員工未經(jīng)批準(zhǔn),通過(guò)多方渠道獲取公司的一些產(chǎn)品價(jià)格清單通過(guò)E-Mail外發(fā)給外部人員���,對(duì)公司業(yè)務(wù)產(chǎn)生重大影響���。
【違規(guī)等級(jí)】一級(jí)��,辭退
【事件描述】2005年6月�����,全球技術(shù)服務(wù)部���,違規(guī)將絕密文件發(fā)給沒(méi)有與我方簽訂保密協(xié)議的第三方工程師。
【違規(guī)等級(jí)】二級(jí)
【事件描述】2005年12月���,內(nèi)部服務(wù)管理部某員工未經(jīng)公司批準(zhǔn)���,將項(xiàng)目招標(biāo)文件及相關(guān)附件清單通過(guò)E-mail發(fā)送至個(gè)人外部郵箱。后來(lái)還發(fā)現(xiàn)此員工 多次私自通過(guò)E-mail將公司相關(guān)主管及秘書(shū)通訊錄�����、我司認(rèn)證的相關(guān)供應(yīng)商信息以及工程文件發(fā)送至公司外部其朋友郵箱�����。
【違規(guī)等級(jí)】二級(jí)
【事件描述】國(guó)內(nèi)營(yíng)銷(xiāo)部員工劉某將公司電話號(hào)碼查詢數(shù)據(jù)庫(kù)復(fù)制后,發(fā)往公司外部同學(xué)的郵箱�����,以方便其同學(xué)的夫人向公司員工進(jìn)行房地產(chǎn)推銷(xiāo)����。
【違規(guī)等級(jí)】三級(jí)
【事件點(diǎn)評(píng)】保密信息外泄占公司員工信息安全違規(guī)的一個(gè)很大比例��。少數(shù)員工存在僥幸心理�,為一時(shí)貪念就鋌而走險(xiǎn),有意觸犯公司的信息安全高壓線�,以為可以 逃脫公司的檢查和審計(jì),殊不知“法網(wǎng)恢恢�,疏而不漏”�����?傆幸惶焖麄円獮樽约旱呢澙犯冻鰬K痛代價(jià)�����。也存在很多員工���,無(wú)意間就違反了公司的信息安全規(guī)定����。歸 根結(jié)底,這是由于安全意識(shí)低���,安全知識(shí)匱乏等造成的�。還請(qǐng)這些員工多多關(guān)注公司的信息安全制度流程���,培養(yǎng)信息安全意識(shí)�。針對(duì)上述的幾個(gè)案例����,特別強(qiáng)調(diào)以下 幾點(diǎn):
(1)在與合作方合作期間,接口部門(mén)千萬(wàn)不要忘記與他們簽署保密協(xié)議���。這是對(duì)公司負(fù)責(zé)���,也是對(duì)員工個(gè)人工作負(fù)責(zé)。但即使是簽署了保密協(xié)議�����,員工也不能隨意將公司的保密文件發(fā)送給合作方,必須經(jīng)過(guò)業(yè)務(wù)部門(mén)主管批準(zhǔn)才可以���。
(2)因工作需要發(fā)送涉密文檔���,須經(jīng)過(guò)信息所有人批準(zhǔn)之后才可外發(fā),發(fā)送的時(shí)候要先給文檔加密�����。
(3)不僅公司的產(chǎn)品相關(guān)文檔需要保密��,公司的管理制度���、業(yè)務(wù)流程、工作職責(zé)���、部門(mén)結(jié)構(gòu)以及電話號(hào)碼信息等類(lèi)文檔����,都是重要的信息資產(chǎn)�,未經(jīng)批準(zhǔn),都是禁止外發(fā)的��。
9私自記錄并使用他人Proxy帳號(hào)
【事件描述】2006年2月,研發(fā)某員工A在幫助員B工配置Proxy帳號(hào)時(shí)私自記下了該員工的帳號(hào)密碼����,并通過(guò)該帳號(hào)上傳公司內(nèi)部保密資料到外部郵箱,當(dāng)即被公司網(wǎng)絡(luò)安全部查獲�����。
【違規(guī)等級(jí)】二級(jí)
【事件點(diǎn)評(píng)】這種盜取他人帳號(hào)的行為足以顯示員工A的人品素質(zhì)存在問(wèn)題。現(xiàn)在這個(gè)信息化社會(huì)里�,非法使用他人帳號(hào)就相當(dāng)于冒用他人身份。任何人都不會(huì)希望 別人用自己的身份去做壞事�。所以,一方面����,我們應(yīng)該保護(hù)好自己的帳號(hào)����,不要被他人盜用;另一方面�,由人及己,也不要做擅自使用他人帳號(hào)這種不誠(chéng)信的事�。
10發(fā)送工作無(wú)關(guān)郵件
【事件1描述】02年3、4月間���,部分員工在公司網(wǎng)上傳播一篇工作無(wú)關(guān)的Notes郵件����。經(jīng)查明,先后有225人參與了該郵件的發(fā)送或轉(zhuǎn)發(fā)�。
【違規(guī)等級(jí)】二級(jí)
【事件2描述】05年,某員工用一大群組發(fā)送內(nèi)容為租房信息的Notes郵件����。郵件發(fā)送后又有多人直接對(duì)所有收件人進(jìn)行回復(fù),導(dǎo)致多名員工收到多封工作無(wú)關(guān)郵件���。
【違規(guī)等級(jí)】三級(jí)
【事件3描述】06年2月�����,某員工利用Notes發(fā)送內(nèi)容為含“2天內(nèi)把該信息轉(zhuǎn)發(fā)給20人����,幸運(yùn)就會(huì)降臨����;反之則有厄運(yùn)降臨”的連環(huán)垃圾郵件,導(dǎo)致郵件迅速在公司網(wǎng)絡(luò)中傳播�����。
【違規(guī)等級(jí)】二級(jí)
【事件點(diǎn)評(píng)】某些利用公司網(wǎng)絡(luò)資源發(fā)送的工作無(wú)關(guān)連環(huán)郵件,不但浪費(fèi)公司的IT資源����,也浪費(fèi)收件人的時(shí)間。甚至有些工作無(wú)關(guān)郵件收件成員中包含了很多公司 海外網(wǎng)絡(luò)條件比較差地區(qū)的海外員工�����,收這些垃圾郵件嚴(yán)重影響了他們的的正常工作����。如果將這些浪費(fèi)的資源和時(shí)間的成本轉(zhuǎn)換為金錢(qián),可是一個(gè)大數(shù)目����。對(duì)公司來(lái) 說(shuō),也是一筆不小的浪費(fèi)���!還請(qǐng)每位員工專(zhuān)注本職工作,連環(huán)垃圾郵件切莫發(fā)��。
11有意利用系統(tǒng)漏洞
【事件描述】公司某員工���,于2006年將朋友發(fā)至其E-mail郵箱中的團(tuán)購(gòu)公告繞過(guò)正常審批程序直接在Notes數(shù)據(jù)庫(kù)“行政服務(wù)之窗”上發(fā)布��, 為其朋友進(jìn)行廣告宣傳�,且故意虛構(gòu)發(fā)布人信息。網(wǎng)絡(luò)安全部于當(dāng)天下午兩點(diǎn)三十分收到員工舉報(bào)�,僅用半個(gè)小時(shí)便查明事件真相,隨即對(duì)員工的非法操作行為進(jìn)行 了處理��。
【違規(guī)等級(jí)】一級(jí)
【事件點(diǎn)評(píng)】這種有意利用公司IT系統(tǒng)漏洞的行為�,無(wú)論產(chǎn)生的后果是否嚴(yán)重都是應(yīng)該嚴(yán)懲的。作為公司的員工��,我們應(yīng)該保護(hù)公司的利益���,一旦發(fā)現(xiàn)了流程或系統(tǒng)中存在的漏洞����,應(yīng)及時(shí)向有關(guān)部門(mén)反饋����,進(jìn)行彌補(bǔ),斷不可利用其為己牟利�����。
12私設(shè)論壇發(fā)表惡劣言論被除名
【事件描述】2005年10月,供應(yīng)鏈某員工����,利用工作時(shí)間登錄公司內(nèi)部Notes郵箱私設(shè)論壇,并多次發(fā)布極其惡劣的辱罵性話語(yǔ)��。
【違規(guī)等級(jí)】一級(jí)��,辭退���。
【事件點(diǎn)評(píng)】公司IT資源只能用于工作需要���,利用公司網(wǎng)絡(luò)資源私設(shè)論壇,并多次發(fā)布極其惡劣的辱罵性話語(yǔ)��,不但浪費(fèi)IT資源��,還在公司范圍內(nèi)造成了極其惡劣的影響�。
13門(mén)禁尾隨不以為意,引狼入室埋下禍根
【事件描述】2004年12月�����,供應(yīng)鏈管理部電裝部某員工因當(dāng)晚有培訓(xùn)��,經(jīng)由廠房三樓門(mén)禁進(jìn)入實(shí)驗(yàn)樓�����。在刷開(kāi)進(jìn)入實(shí)驗(yàn)樓的門(mén)禁時(shí)�����,有一名佩戴臨時(shí)通 行證(無(wú)門(mén)禁卡)的外協(xié)員工尾隨其進(jìn)入了實(shí)驗(yàn)樓辦公區(qū)��,該員工未在意���,更未過(guò)問(wèn)����。在隨后的一個(gè)小時(shí)內(nèi)�����,該名外協(xié)員工在實(shí)驗(yàn)樓利用工具盜竊辦公電腦軟件標(biāo)簽 十余張��。后經(jīng)嚴(yán)密布控����,嫌疑人于再次潛入作案時(shí)被當(dāng)場(chǎng)抓獲���。
【違規(guī)等級(jí)】三級(jí)
【事件點(diǎn)評(píng)】該員工安全意識(shí)薄弱,導(dǎo)致被竊賊利用���。公司規(guī)定��,非工作需要不得引領(lǐng)無(wú)權(quán)限人員進(jìn)入非授權(quán)門(mén)禁區(qū)域���。雖然該員工行為無(wú)意,但客觀上為該外協(xié)員工盜竊電腦標(biāo)簽提供了便利���,給公司造成的損失是他必須承擔(dān)的���。
14在辦公區(qū)撥號(hào)上網(wǎng)處罰案例
【事件描述】技術(shù)支援部某員工,在駐外某研究所辦公場(chǎng)所私自撥號(hào)上網(wǎng)�。自2003年5月21日至6月20日,累計(jì)撥號(hào)上網(wǎng)看新聞等內(nèi)容34次���、301分鐘�����,給公司的網(wǎng)絡(luò)安全帶來(lái)極大的隱患�����,也嚴(yán)重浪費(fèi)了公司的資源�����。
【違規(guī)等級(jí)】三級(jí)
【事件點(diǎn)評(píng)】盡管公司三令五申:未經(jīng)批準(zhǔn)嚴(yán)禁在辦公場(chǎng)所撥號(hào)上網(wǎng)�,但仍有少數(shù)人置若罔聞�。要知道在辦公區(qū)撥號(hào)上網(wǎng)不僅浪費(fèi)公司的資源、影響正常業(yè)務(wù)��,更可 能將黑客���、病毒�����、木馬以及間諜軟件通過(guò)網(wǎng)絡(luò)傳播到公司來(lái)���,影響的不僅僅是一個(gè)員工,很有可能對(duì)公司某個(gè)區(qū)域的網(wǎng)絡(luò)安全產(chǎn)生重大影響��!
15私自將公司便攜借給合作方使用
【事件描述】2006年1月,全球技術(shù)服務(wù)部某員工違規(guī)將便攜機(jī)借給合作方員工使用��,合作方員工利用上班時(shí)間上QQ傳遞工作所需文件�����;并且未經(jīng)審批在機(jī)房使用移動(dòng)存儲(chǔ)設(shè)備給用戶拷貝相關(guān)用戶文檔或版本文件�����;
【違規(guī)等級(jí)】二級(jí)
【事件點(diǎn)評(píng)】便攜機(jī)上保存有很多工作相關(guān)的文檔�,自己可能司空見(jiàn)慣,覺(jué)得沒(méi)什么大不了����,可是其他人拿到可就不一定了,外界的信息戰(zhàn)正打得轟轟烈烈呢����。正所謂千里之堤,潰于蟻穴����。大家都需要從細(xì)節(jié)做起,自覺(jué)保護(hù)信息和資料�����,打下來(lái)的糧食才能有保障。
16私自收集資料并外發(fā)
【事件描述】2005年6月��,光網(wǎng)絡(luò)某員工非法大量收集部門(mén)培訓(xùn)資料���、典型案例和開(kāi)發(fā)規(guī)范,更改文件名后����,私自通過(guò)E-mail加密發(fā)送到外部郵箱。
【違規(guī)等級(jí)】一級(jí)��,辭退�����。
【事件點(diǎn)評(píng)】根據(jù)工作相關(guān)原則�,非法收集大量文檔本身就已經(jīng)是被禁止的,而在發(fā)送之前更改文件名�����,則明顯是動(dòng)機(jī)不良�����,想要掩人耳目。如果真是因?yàn)楣ぷ魉�,領(lǐng)導(dǎo)批準(zhǔn)之后光明正大的發(fā)送不可以嗎?文檔流失出公司����,受到損害的可是所有員工的利益。請(qǐng)千萬(wàn)要三思而后行�����!
17離職前盜取機(jī)密文檔�,離職后公開(kāi)發(fā)售
【事件描述】某外研所員工兩名員工A和B于2001年前后離職����,在離職之前,兩人串通��,由A利用職務(wù)之便通過(guò)B的計(jì)算機(jī)USB口���,將某產(chǎn)品代碼利用 移動(dòng)硬盤(pán)拷貝帶出�����。當(dāng)時(shí)���,公司正開(kāi)始啟動(dòng)計(jì)算機(jī)加封USB口并口的保密措施���,外研所也是于2002年初對(duì)所有計(jì)算機(jī)進(jìn)行端口加封的,兩人正是利用了當(dāng)時(shí) USB口沒(méi)加封這一安全漏洞����。兩人離職后,A將從公司帶出的這些代碼拷貝給了B���。2003年B又重新應(yīng)聘回公司工作,7月將這些代碼在網(wǎng)站上發(fā)帖子進(jìn)行了 出售�,被公司員工發(fā)現(xiàn)舉報(bào),公安機(jī)關(guān)經(jīng)偵查核實(shí)后將兩人依法拘留
【違規(guī)等級(jí)】一級(jí)�,辭退,并由司法機(jī)關(guān)依法追究其刑事責(zé)任�����。
【事件點(diǎn)評(píng)】“君子求財(cái)�,取之有道”。象B這樣通過(guò)損害公司和其他大多數(shù)員工利益���,以謀求私利的做法����,最終只能以他自毀前程的悲劇收?qǐng)觥?/FONT>A竊取公司代碼, 拷貝給B����,后被B(未告之A)出賣(mài)��,再次驗(yàn)證“伸手必捉”的古訓(xùn)���。每個(gè)員工都與公司簽署的保密協(xié)議���,在辦理離職手續(xù)時(shí),也有相應(yīng)的保密規(guī)定的約定�����。對(duì)于在 公司里獲得的文檔�����,在離職前必須全部移交,是絕對(duì)不允許帶出公司的�。這里包括任何形式的任何文檔資料,即使是公司內(nèi)部公開(kāi)的培訓(xùn)資料����、管理規(guī)定等,也是不 允許帶出的�。
(二)業(yè)界信息案例匯編
1寶潔和聯(lián)合利華公司的情報(bào)糾紛事件
【事件描述】2001年初,寶潔公司和聯(lián)合利華公司之間爆發(fā)了情報(bào)糾紛事件�����。
面對(duì)主要競(jìng)爭(zhēng)對(duì)手聯(lián)合利華的強(qiáng)烈質(zhì)疑�,寶潔公司公開(kāi)承認(rèn),該公司員工通過(guò)一些不太光明正大的途徑獲取了聯(lián)合利華的產(chǎn)品資料���,而這80多份重要的機(jī)密文件中 居然有相當(dāng)比例是寶潔的情報(bào)人員從聯(lián)合利華扔出的“垃圾”里找到的����。后來(lái)�����,寶潔公司歸還了那些文件���,并保證不會(huì)使用得來(lái)的情報(bào)����,沸沸揚(yáng)揚(yáng)的“間諜案”就此 不了了之�。
【事件點(diǎn)評(píng)】因?yàn)檫@些機(jī)密文件是從聯(lián)合利華扔出的“垃圾”里找到的,所以聯(lián)合利華無(wú)法起訴寶潔公司�。任何關(guān)于侵犯商業(yè)秘密的案子,很重要的一點(diǎn)就是要提供 證據(jù)證明商業(yè)秘密的持有人對(duì)商業(yè)秘密采取了保密措施�。聯(lián)合利華扔到垃圾桶里的東西怎么能證明它采取了保密措施呢。所以�。聯(lián)合利華這是“打掉牙齒和血吞,有 苦說(shuō)不出啊”����,F(xiàn)在各個(gè)部門(mén)都有碎紙機(jī),如果是包含機(jī)密信息的紙件����,一定要用碎紙機(jī)碎掉,千萬(wàn)不要直接扔進(jìn)垃圾桶里�����,不然�����,我們也會(huì)重蹈聯(lián)合利華的覆轍 的。
2可口可樂(lè)秘方泄漏事件
【事件描述】美國(guó)聯(lián)邦調(diào)查局(FBI)于2006年7月5日逮捕了3名涉嫌從可口可樂(lè)公司偷盜飲料配方�、并嘗試將其賣(mài)給可口可樂(lè)公司宿敵百事可樂(lè)的 疑犯。令人震驚的是�����,其中一名嫌疑人竟是亞特蘭大可口可樂(lè)公司的高級(jí)行政助理若亞·威廉斯�。據(jù)檢察官透露,嫌犯之一迪姆松準(zhǔn)備賣(mài)給百事可樂(lè)的機(jī)密信息是可 口可樂(lè)公司內(nèi)部人士威廉斯提供的��。
可口可樂(lè)公司的監(jiān)視錄像拍下了威廉斯盜取公司機(jī)密的情況�����。威廉斯在可口可樂(lè)公司總部翻閱大量文件����,然后把一些文件裝進(jìn)袋子里,還拿走了一個(gè)貼有白色標(biāo)簽的 容器�����,容器中的液體看起來(lái)和可口可樂(lè)新產(chǎn)品的樣本相似����。可口可樂(lè)公司隨后證實(shí)��,威廉斯拿走的液體正是可口可樂(lè)公司正在研發(fā)的新產(chǎn)品��。
【事件點(diǎn)評(píng)】雖然當(dāng)今的競(jìng)爭(zhēng)如此激烈��,但盜取并售賣(mài)公司商業(yè)機(jī)密的人��,也是不會(huì)被其他有良知的公司所接納的�����,因?yàn)檫@是完全沒(méi)有職業(yè)道德的表現(xiàn)���。
據(jù)報(bào)道�����,躋身世界500強(qiáng)的大公司��,幾乎每一家都設(shè)有保護(hù)商業(yè)機(jī)密的部門(mén)�,專(zhuān)門(mén)從事商業(yè)情報(bào)的保密工作�����。比如:通用電氣和英特爾等公司,委派公司中最優(yōu)秀 的人負(fù)責(zé)保密工作����;摩托羅拉公司還從美國(guó)中央情報(bào)局挖來(lái)專(zhuān)業(yè)的情報(bào)人員,組建起公司的情報(bào)部門(mén)��,以保護(hù)自己的商業(yè)機(jī)密��;安永會(huì)計(jì)師事務(wù)所則組建了擁有25 名員工的競(jìng)爭(zhēng)情報(bào)部����。美國(guó)硅谷一直被譽(yù)為世界高科技的“風(fēng)向標(biāo)”。尖端科技蘊(yùn)含著極高的商業(yè)價(jià)值��,因此���,防范商業(yè)間諜�、保護(hù)公司核心機(jī)密就成了硅谷中每家 公司的頭等大事�。有報(bào)道說(shuō),幾乎壟斷了全球芯片市場(chǎng)的英特爾公司��,甚至把前來(lái)采訪的記者當(dāng)成商業(yè)間諜嚴(yán)加防范����,公司里處處都有保安人員“盯梢”以杜絕拍 照,除了企業(yè)大門(mén)口和餐廳等無(wú)關(guān)緊要的地方����,其他任何地點(diǎn)都不準(zhǔn)拍照。公司的所有員工�����,在進(jìn)出時(shí)都要進(jìn)行安檢并驗(yàn)明證件����。
3網(wǎng)絡(luò)內(nèi)外竊賊猖狂,各大公司防不勝防
【事件描述】2006年2月�,安永會(huì)計(jì)師事務(wù)所一名職員放在車(chē)?yán)锏谋銛y機(jī)被盜,電腦中存有公司3.8萬(wàn)名客戶的個(gè)人資料�����。案發(fā)后��,安永會(huì)計(jì)師事務(wù)所開(kāi)始采取行動(dòng)�,對(duì)大約3萬(wàn)名員工的筆記本電腦資料進(jìn)行加密保護(hù)。
2006年3月���,美國(guó)信誠(chéng)投資公司的一臺(tái)便攜機(jī)遭遇“網(wǎng)上竊賊”���,致使惠普公司19.6萬(wàn)名員工的個(gè)人資料泄漏��。此后����,信誠(chéng)投資公司加緊對(duì)公司員工的筆記本電腦資料進(jìn)行加密�。
2006年4月,安泰保險(xiǎn)公司一名員工放在車(chē)?yán)锏谋銛y機(jī)被盜�����,上面存有5.9萬(wàn)名客戶的姓名�����、住址和身份證號(hào)碼����。案發(fā)后,安泰保險(xiǎn)公司采取了一系列防范措 施�,防止電腦資料泄漏。公司要求員工對(duì)電腦上文件和資料重新進(jìn)行加密。公司對(duì)每一臺(tái)電腦進(jìn)行檢查�,確保電腦上的文件設(shè)置有必要的加密保護(hù)。此外����,安泰保險(xiǎn) 公司還對(duì)備份和保存資料用的外部存儲(chǔ)器進(jìn)行嚴(yán)格管理�����。
【事件點(diǎn)評(píng)】據(jù)一個(gè)美國(guó)公司的調(diào)查��,從2005年2月到現(xiàn)在���,約有8800萬(wàn)美國(guó)人曾遭遇身份證號(hào)碼和其他個(gè)人隱私資料被竊取的風(fēng)險(xiǎn)���。而隨著越來(lái)越多的人 開(kāi)始把資料保存在便于攜帶的便攜機(jī)上,竊賊們也把目標(biāo)對(duì)準(zhǔn)了便攜機(jī)�。甚至就像上面案例里面的竊賊那樣,直接從車(chē)?yán)锔`取便攜機(jī)����,真的是“一點(diǎn)技術(shù)含量都沒(méi) 有”,但成功率無(wú)疑是加大了����。隨著資料失竊案的頻頻發(fā)生����,一些竊賊甚至還開(kāi)始在網(wǎng)絡(luò)上兜售自己竊取的資料�����。
我們公司在保護(hù)資料方面一直都有采取措施��。像大部分公司一樣����,我們也要求員工對(duì)計(jì)算機(jī)上的資料都進(jìn)行加密,這樣就減少了因?yàn)榫W(wǎng)絡(luò)竊賊竊取資料而造成泄密的 可能性�。公司現(xiàn)在要求所有員工使用RMS對(duì)文檔進(jìn)行授權(quán)保護(hù),也是出于這方面的考慮���。這樣一來(lái)��,即使竊賊拿到了文檔�����,只要他無(wú)法通過(guò)身份認(rèn)證(通過(guò)認(rèn)證需 要將正確的域帳號(hào)和密碼通過(guò)網(wǎng)絡(luò)發(fā)送到公司的域服務(wù)器���,并且還需要文檔中已經(jīng)給這個(gè)域帳號(hào)設(shè)置權(quán)限)��,也無(wú)法查看文檔����。
對(duì)于便攜機(jī)�����,除要求對(duì)文檔加密和操作系統(tǒng)��、應(yīng)用系統(tǒng)設(shè)置口令之外����,還要求對(duì)硬盤(pán)口令進(jìn)行設(shè)置����,這樣也降低了因便攜機(jī)丟失而發(fā)生信息泄漏的可能性。另外��,同安泰保險(xiǎn)公司一樣���,我們公司對(duì)外部存儲(chǔ)器的使用也是嚴(yán)格控制的���。
信息安全無(wú)小事���!只有大家一起來(lái)關(guān)注安全問(wèn)題,防患于未然���,才能更好的保護(hù)信息資產(chǎn)����,保障所有員工的利益����。
4惡意軟件要當(dāng)心
【事件描述】賽門(mén)鐵克(Symantec)公司日前公布的半年度互聯(lián)網(wǎng)安全威脅報(bào)告顯示,黑客近來(lái)從傳播病毒轉(zhuǎn)向牟取錢(qián)財(cái)����。2005年下半年,在排名前50例的黑客攻擊事件中���,有88%是以金錢(qián)為目的�����。這一比例比2005年上半年的77%有明顯增加���。
報(bào)告稱(chēng)����,黑客牟財(cái)途徑主要有兩種:惡意軟件和“釣魚(yú)”騙局郵件�����。從2005年7月1日至12月31日����,互聯(lián)網(wǎng)上最流行的惡意軟件的用途是收集個(gè)人電腦用戶 機(jī)密信息,黑客竊取個(gè)人信息的目的在于“撈錢(qián)”����。在排名前50位的攻擊軟件中����,有80%是用于收集用戶個(gè)人信息的,2005年上半年這一比例是74%���。
賽門(mén)鐵克公司自稱(chēng)能夠跟蹤世界1/4的電子郵件�����。2005年下半年��,每119份電子郵件中就有一例是“釣魚(yú)”騙局郵件���,而在2005年上半年是125份郵 件發(fā)現(xiàn)一例�����。 所謂“釣魚(yú)”就是欺騙用戶下載能夠偷取密碼和信用卡號(hào)碼的軟件�。而黑客傳播的新病毒和蠕蟲(chóng)數(shù)量比以往明顯減少�����。針對(duì)微軟公司視窗平臺(tái)的新病毒和蠕蟲(chóng)數(shù)量在 2005年下半年下降了39%���,2005年全年只出現(xiàn)5種比較嚴(yán)重的病毒和蠕蟲(chóng)��,數(shù)量比2004年的減少了50%��。
【事件點(diǎn)評(píng)】網(wǎng)絡(luò)安全部針對(duì)這一問(wèn)題��,提供了一項(xiàng)“在線掃描”的服務(wù)��,大家在公司內(nèi)網(wǎng)可以登錄站點(diǎn)http://scan.huawei.com 來(lái)掃描自己的計(jì)算機(jī)看看有沒(méi)有被植入惡意程序���。使用中碰到任何問(wèn)題�,可以咨詢IT熱線(+86-755-28560160)���。當(dāng)您收到“釣魚(yú)”騙局郵件 (建立假冒網(wǎng)站或發(fā)送含有欺詐信息的電子郵件�����,以盜取網(wǎng)上銀行���、網(wǎng)上證券或其他電子商務(wù)用戶的賬戶密碼一類(lèi)郵件)一定不要直接點(diǎn)擊郵件內(nèi)提供的網(wǎng)址,或者 對(duì)郵件進(jìn)行回復(fù)�,應(yīng)該使用該金融中心的服務(wù)電話聯(lián)系確認(rèn)相關(guān)信息,也不要使用郵件中提供的聯(lián)系電話進(jìn)行聯(lián)系����。時(shí)刻保持警惕是防范被騙的最佳法寶。
