-->
一、新員工入職信息安全須知
新員工入職后,在信息安全方面有哪些注意事項?
接受“信息安全與保密意識”培訓;
每年應至少參加一次信息安全網上考試;
辦理員工卡;
簽署勞動合同(含保密職責);
根據部門和崗位的需要簽署保密協議。
員工入職后,需要辦理員工卡,員工卡的意義和用途是什么?
工卡是公司員工的身份證明,所有進入華為公司的人員,在公司期間一律要正確佩戴相應的卡證。 工卡還有考勤、門禁驗證等作用。 工卡不僅關系到公司形象及安全,還關系到員工本人的切身利益,一定要妥善保管。
公司信息安全方面的規定都有哪些?在哪里可以查到信息安全的有關管理規定?
網絡安全部在參考國際安全標準BS7799和在顧問的幫助下,制訂了一套比較完整的信息安全方面的管理規定,其中與普通員工關系密切的有《信息保密 管理規定》、《個人計算機安全管理規定》、《信息交流管理規定》、《病毒防治管理規定》、《辦公區域安全管理規定》、《網絡連接管理規定》、《信息安全獎 懲管理規定》、《計算機物理設備安全管理規定》、《開發測試環境管理規定》、《供應商/合作商接待管理辦法》、《外部人員信息安全管理規定》、《會議信息 安全管理規定》和《帳號和口令標準》等。
這些管理規定都匯總在《信息安全策略、標準和管理規定》(即《信息安全白皮書》)中,并且在不斷的修改和完善之中。
在“IS Portal”上您可以查到公司信息安全相關的所有信息,如信息安全方面的規定、制度、操作手冊、培訓膠片、宣傳材料和宣傳案例等。
各體系細化的信息安全管理規定,可咨詢本體系的信息安全專員。
作為一名普通員工,應該如何做才能夠符合公司信息安全要求?
積極學習和遵守公司各類信息安全管理規定和安全措施,將遵守安全規定融入自己的日常工作行為中。
在工作中,要有強烈的信息安全和保密意識,要有職業的敏感性。
有義務制止他人違規行為或積極舉報可能造成泄密、竊密或其他的安全隱患。
二、計算機的安全
口令設置
公司規定的口令設置最低標準是什么,每次更換口令,都不容易記住新口令,該怎么辦?
普通用戶(公司一般員工均為普通用戶)設置口令的最低標準主要有以下幾條:
(1)口令長度不能少于6位且必須包含字母
(2)口令至少應包含一個數字字符
另外,一個好的口令除了符合口令的最低標準外,最好還應包含大小寫字母和特殊的字符。
設置簡單的口令不安全,而復雜的口令又不容易記住。建議您用自己心中的一句話的拼音或英語語句的首個字母組合作為密碼。如:就“我想去看2008奧運會” 這一自己心中愿望的話,可以設置密碼為WXqk2008ayh,或者用其他某段容易記住的字符串,稍加改造作為口令,如一個換過特殊字符的網站地址等,這 樣的口令非常好記,也非常難猜。
如果沒有設置口令會帶來哪些危害?
對系統不設口令就像銀行存折沒有密碼一樣,是非常危險的。
(1)如果不設開機口令,那么他人可輕松啟動或重新啟動系統,從而操作您的計算機,還可通過在CMOS中給機器設置開機口令,讓您無法使用計算機;
(2) 便攜機若不設硬盤口令,那么只要將您的硬盤接到別的計算機中,硬盤上所有資料就會一覽無余的呈現出來;
(3)如果不設屏幕保護口令,當您離開時,其他人可以輕易的進入、使用您的計算機,將您的文件刪除或發送出去;
(4)共享文件夾時如果不設口令,任何能夠和您計算機相連的人不需授權,均可拿走你共享的資料。
軟件安裝
為了保證計算機安全,在第一次使用計算機時有哪幾項安全措施需要立即完成?
(1)需要首先加入公司China域,登陸網址http://win2khelp.huawei.com/下載加入域的工具JoinDomain.exe。
(2)需要立即安裝操作系統的安全補丁,可以從各地文件服務器指定路徑下載,如總部路徑為\\lg-fs\Root\Software\System\$Patch。
(3)需要立即安裝Symantec防病毒軟件,可以從各地文件服務器指定路徑下載,如總部路徑為\\lg-fs\Root\Software\Application\System Tools\Security\$virus。
(4)需要馬上設定屏幕保護程序,并啟用密碼保護, 注意等待時間不能大于10分鐘。
(5) 設置開機口令,操作系統(administrator)口令,如果是便攜機還應設置硬盤口令。
(6)設置Notes郵箱10分鐘內自動鎖定。
(7) 需安裝SPES、ACC,可登陸網址http://spes.huawei.com/下載安裝最新版SPES客戶端軟件;可登陸http://acc.huawei.com/下載安裝最新版ACC客戶端軟件。
以上措施完成后,請運行ACC進行自檢,保證沒有紅色違規項。如有疑惑,可以咨詢IT hotline(Tel:+86-755-28560160)
什么是非標準軟件?要使用非標準軟件,應如何申請?
非標軟件是針對標準軟件來定義的,對于公司普通員工來說,凡是IT桌面標準、研發工具標準之外的軟件均屬于非標軟件,如游戲、不含在IT及研發標準 內的免費或自由軟件、影響網絡安全的工具軟件等等。原則上非標軟件不可以隨便使用,若工作有需要,必須填寫“IT資產申請”電子流,經審批后使用。對于涉 及安全的工具軟件,還需填寫“IS Authority Application”中的“網絡安全軟件申請”電子流。
我自己購買了一套軟件,想安裝在公司的計算機上,不知是否可以?
不可以。常用辦公軟件在公司文件服務器上都有相應的安裝軟件,比如IE、Lotus Notes、Office 等等,需要安裝時可直接連到辦公所在地文件服務器上安裝。不要安裝自己購買的軟件,因為:
(1)存在版權問題;
(2)購買的軟件未經公司測試,不能保證可靠穩定運行和正常維護;
(3)更為嚴重的是,還可能因購買的軟件中帶有木馬、病毒程序、軟件留有后門等給公司網絡安全帶來隱患。
計算機維修/使用
計算機發生故障需要修理時,應該注意哪些事項?
員工應該要求維修人員盡量在公司內進行維修,并且監督整個維修過程。當維修人員需要將計算機帶出公司維修時,為了防止泄密,一定要記得拆卸下硬盤,并存放在公司內的保密柜等安全的地方。
計算機使用方面應注意哪些事項?
(1)只有在因工作需要進行遠程數據維護的時候,在保證物理上與公司的內部網絡斷開的情況下,經過部門二級主管和網絡安全部批準后才能在辦公區撥號上網。
(2)私自轉借計算機可能造成泄密隱患,因此未經批準,員工不得轉借計算機。
(3)對特殊存儲設備及其介質(如USB)的使用,需要走“IS Authority Application”電子流申請。
(4)私自使用計算機進行刻錄、掃描存在較大信息安全隱患,因此,刻錄和掃描的需求須經審批后,由專人負責操作。
(5)公司配置給您的機器是公司的標準配置,未經批準,不得私自安裝任何標準配置外的配件。
網絡配置和使用
現在,也許你開始需要連入公司網絡了。首先需要配置好網絡,這時安全方面需要注意什么呢?
個人計算機的IP地址應設置為自動獲取方式,不能擅自配置固定IP地址,否則可能引起網絡沖突,影響公司網絡的安全運行。
公司的網絡標準協議為TCP/IP。公司辦公網絡不得啟動除公司標準協議外的任何其他網絡協議,如SPX/IPX、NETBIOS等。
禁止普通員工在公司辦公網絡嚴禁安裝啟動DNS、Wins、DHCP等網絡服務。如果您的操作系統是WINDOWS SERVER或Unix等服務器操作系統,可要非常小心這一點呀!
網絡設置好后,你就需要給您的計算機起一個名字,注意,可不能隨便起,您知道計算機的命名規則嗎?
公司的計算機非常多,為了便于管理和維護,公司要求計算機命名方式為:您的姓的第一位拼音字母 +工號。如果您管理多臺計算機,請在工號后加A、 B 、C、 D ….
個人能夠設置FTP、Wins等網絡服務嗎,為什么?
未經批準,不得私自設置WWW、FTP以及BBS、NEWS、DNS、Wins、DHCP等各種形式的網絡服務,更不能在公司網絡上運行任何攻擊或破壞網絡服務的軟件。因為設置這類服務會對網絡正常運行造成不良影響。
如確實業務需要,不接入公司大網(如,僅在實驗室小網使用)同時不需要IT協助的服務申請,提交“IS Authority Application”電子流進行申請,其余服務的申請通過IT requirment流程申請。
三、人員安全
普通員工的職責
作為普通員工,我在信息安全中的職責是什么?
積極學習和遵守公司各類信息安全管理規定和安全措施,將遵守安全規定融入自己的日常工作行為中。
在工作中,要有強烈的信息安全和保密意識,要有職業的敏感性。有義務制止他人違規行為或積極舉報可能造成泄密、竊密或其他安全隱患的行為。
對于信息安全方面問題,應該向誰咨詢或反饋?
您可以向直接向部門主管,信息安全專員咨詢或反饋;還可以通過公司的IT熱線(電話: +86-755-28560160,Notes: ithotline 12345,Email: ithotline@huawei.com)或信息安全問題受理電子流咨詢或反饋。
管理者的責任
作為管理者,我在信息安全中的責任有哪些?
各級部門的一把手是本部門信息安全的第一責任人。
負責信息安全管理規定在本部門的推行和落實。
對本部門人員的違規事件承擔領導責任。
各級主管應負責本部門哪些與信息安全相關的活動?
各級主管應負責本部門所有與信息安全相關的活動。具體有:確定各個資產、各個系統的管理員,使該管理員對該資產、系統的安全負責;在本部門內對員工 進行培訓、教育和宣傳,使本部門每個員工都遵守公司的信息安全策略、標準和管理規定,報告信息安全隱患、漏洞或事故,樹立主動保護公司信息資產的意識。
員工出差
在出差時,若需攜帶保密資料,應注意哪些事項?
應注意如下事項:
(1)非因公外出時絕對不能攜帶絕密資料。
(2)因公外出只允許攜帶工作相關文檔,攜帶外出的保密資料需首先通過審批,在離開公司時出示經過審批的有效憑證;
(3)出差前請確認出差目的地的網絡情況,如果完全無法接入網絡,請確認便攜機上使用RMS加密的Office文檔至少在本機上打開過一次。
(4)絕密級別的資料在出差期間必須隨身攜帶,妥善保管;
(5)一般情況下,乘坐飛機、火車等公共交通工具時,含有保密信息的便攜機等移動存儲設備需隨身攜帶,不能托運(但若與當地法律法規沖突,則以當地法律法規為準);
(6)從酒店外出時,如確實無法隨身攜帶,應將便攜機、保密文件存放在保密柜中,不要交酒店前臺保管;
(7)應做好訪問控制的設置,如給便攜機設置開機、屏保和硬盤口令等。
崗位調動
由于工作需要,在進行工作交接時,應注意哪些信息安全問題?
進行交接時,應注意做好以下幾方面的工作:
(1)保密信息的移交和清理;
(2)應用系統帳號與權限的移交和清理;
(3)歸還辦公室、機房等的鑰匙。
員工調動部門后,如何處理與新崗位工作職責無關的文檔?
在工作交接完畢后,應及時、徹底地刪除或銷毀您仍持有的所有與新崗位工作無關的文檔,刪除或銷毀的方式必須符合公司規定,如要使用碎紙機銷毀含保密信息的紙件,而不能直接扔垃圾箱或用手撕毀等。 如在新崗位需繼續保留原崗位保密信息,一定要經過保密信息所有人批準。
信息安全獎懲規定
信息安全獎勵分為幾個等級?具體的獎勵辦法是什么?
根據對公司信息安全的貢獻大小,共分為三個等級。
一等獎: 舉報泄密、竊密或其他嚴重損害公司利益事件的人員,根據具體情況給予2000元以上的獎勵,并記入關鍵事件庫。對舉報人員只獎勵,不公布。
二等獎: 勇于制止他人違規行為或及時向信息安全部反饋可能造成泄密、竊密或其他安全隱患的人員,給予500-1000 元的獎勵,并記入關鍵事件庫。
三等獎: 長期遵守信息安全管理規定的,在信息安全管理中一貫良好的部門或個人給予100-500元獎勵,并記入關鍵事件庫。
信息安全違規可分為哪幾個等級?
對于觸犯國家法律的,公司會移交國家司法機關依法處理。此外,則根據違規行為的后果、性質以及違規人的主觀意愿,將違規行為分為如下四個等級:
一級:有意盜竊、泄露公司保密信息,或有意違反信息安全管理規定,性質嚴重造成重大損失。
二級:有意違反信息安全管理規定,性質嚴重或造成損失。
三級:無意違反信息安全管理規定,造成公司損失;或者有意違反信息安全管理規定,但性質不嚴重且沒有造成嚴重損失。
四級:違反信息安全管理規定,性質較輕,沒有造成公司損失。
常見違規行為
(1)常見四級違規
未經批準,安裝非標準軟件
未經批準,拷貝、保存工作無關的文檔資料等
未經批準,在公司辦公區域攝像、攝影
發送與工作無關文件(人數少,性質不嚴重)
沒有安裝、運行公司規定的防病毒軟件,或未設置集中管理
沒有設置屏保口令、開機口令、共享口令、硬盤口令(便攜機)、Administrator口令
接待客人時,未按規定進行陪同
(2) 常見三級違規
未經批準,訪問游戲站點
未經批準,撥號上Internet網
無意啟動DHCP服務,影響公司網絡正常運行
未經批準,轉借信息系統帳號
未經批準,使用特殊存儲設備
持有與本崗位無關的保密文檔
非正當渠道獲取或傳遞保密文檔
未經批準,私自將公司保密文檔或信息授予未經授權的任何其他人員(包括公司人員和非公司人員)
系統管理員未按公司規定設置相關系統的安全配置標準
(3) 常見二級違規
發送與工作無關連環郵件
訪問不健康網站
系統管理員未經正常流程,私自授予系統權限
在公告欄發布與工作無關內容或造成泄密
未經允許,在各種媒體、公眾場合發表與公司有關的評論或言論
未經批準,私自轉借個人計算機
私自刻錄文檔
盜用他人帳號
非法收集大量與本崗位工作無關保密文檔
(4) 常見一級違規
未經批準,系統管理員查看、傳播公司業務敏感數據
編制或運行黑客程序
編制或傳播病毒程序
攻擊公司網絡和信息系統
竊取、盜賣公司保密信息
四、文檔保密
信息保密相關的基本原則和定義
訪問保密信息有哪些基本原則?如何理解這些原則?
有三項基本原則:最小授權原則、審批受控原則、工作相關原則。
(1)最小授權原則:就是授予的權限剛好滿足員工的工作需要。
(2)審批受控原則:就是要嚴格控制信息的傳遞過程和擴散范圍,保證做到“先審批,再獲;先登記,再傳遞”。
(3)工作相關原則:要求每一位員工只能查閱與本人工作有關的文檔,嚴禁員工私自收集、保存與自己工作無關的文檔。
對公司來說,哪些信息屬保密信息?
公司對于信息從保密性的維度分為兩大類:公開信息和保密信息,既包括公司內部業務運作過程中產生的信息,也包括客戶、供應商、國家政府機關等相關方提供給公司的信息。
(1)公開信息指可對公司外公開發布的信息,如:公司對外的相關宣傳資料、產品介紹資料等。
(2)保密信息指僅可在一定范圍內發布的信息,如果泄漏,可能給公司或相關方造成損失和不良影響。
華為公司的保密信息是怎樣進行,密級劃分的?
保密信息根據其價值、內容的敏感程度、影響及發放范圍不同,劃分為絕密、機密、秘密、內部公開等四個級別。
“絕密”信息是指包含公司最重要和最敏感的信息,關系公司未來發展的前途和命運,對公司根本利益有著決定性影響的保密信息。例如公司的年度預算方案、服務銷售費用預算等文件。
“機密”信息是指包含公司的重要秘密,其泄露會使公司的安全和利益遭受嚴重損害的保密信息。例如,客戶投資計劃、第三方咨詢報告、未發布的任命文件等。
“秘密”信息是指包含公司一般性信息,其泄露會使公司的安全和利益受到損害的保密信息。例如,供應商選擇評估標準、部門審計報告、部門招聘計劃等文件。
“內部公開”信息是指僅在公司內部或在公司某一部門內部公開,向外擴散有可能對公司的利益造成損害的保密信息。例如,用戶操作手冊、已發布的任命文件、一般部門的例會紀要、友商公開信息等。
誰是“信息所有人”?
公司按信息密級劃分的信息所有人分別如下:
絕密信息所有人是信息所屬一級部門及以上主管;
機密信息所有人是信息所屬二級部門及以上主管;
內部公開、秘密信息所有人是信息所屬三級部門及以上主管。
密級的標識和分類
什么時候需要確定文檔的密級標識?
當您初步完成一篇文檔,并準備將文檔傳遞給主管或同事進行評審、修訂時,這時就應確定文檔的密級。
初步確定文檔密級時,您可以先參考“信息資產密級管理”數據庫中對同類文檔的密級分類,可以根據同類文檔的密級分類來初步確定文檔的密級。如新擬制的文檔在該數據庫中找不到同類的文檔供參考,您可根據文檔涉及內容的價值、敏感程度確定一個初步的密級。
保密文檔由擬制人初步判定其密級后,提交相應信息所有人進行密級確認。關于信息所有人的定義,請參考4.1.4節。
在日常工作中如何標識文檔密級?
(1)對于Office文檔,公司要求每位員工都使用公司提供的模板創建文檔,創建后根據內容在頁眉處添加正確的密級。
(2)對于打印資料,每一頁都需要有明確的密級標識;
(3)對于裝訂的硬拷貝資料,需至少在開啟前頁、標題頁和尾頁上放置資料密級標簽;
(4)對于印刷的、手寫的保密敏感信息需要在其某個醒目地方設置保密標簽;
(5)電子文檔和紙件文檔,均需注明“華為機密,未經許可不得擴散”或類似字樣。
文檔的使用和交流
公司內部文檔傳遞中有哪些保密要求和注意事項?
公司規定,公司內部的所有絕密、機密和秘密級文檔是要求加密的。對于內部公開級文檔,各業務部門可根據實際業務情況決定是否需要加密。對于 Office類保密文檔,需要使用RMS進行加密,在無法使用RMS加密的情況下,需使用WinRar壓縮加密,機密以上文檔必須采用雙重加密(文檔本身 加密+WinRar壓縮加密),兩個密碼不能相同,密碼設置須符合公司《帳號和口令標準》(特別對于銷售與服務體系,密碼位數必須大于10位,且由特殊字 符、大小寫字母、數字混合組成。另外,密碼第一位須為特殊字符。所設定的密碼禁止使用短信或郵件傳遞,僅允許通過電話語音通知)。非Office類的保密 文檔,需使用其它方式進行加密,例如winrar等。所設定的密碼禁止使用短信或郵件傳遞,只能通過電話語音通知。傳送含保密信息的紙件時,一定要用質量 好的信封等進行封裝,并且只能發給收件人本人或其機要秘書,同時做好傳送記錄。
另外,不能使用手機短信發送機密或機密級以上的保密信息。
我可以將經過正常授權獲得的保密文檔提供給其他同事嗎?
不可以。
公司規定,未經信息所有人批準,員工無權將自己所獲得的保密信息再授權或提供給他人。因為經過授權后,您是信息的合法使用人,而不是信息所有人。經授權獲得保密信息的人員也不能私下與他人交流該保密信息。
對不用的保密信息應如何銷毀?
對作廢的、或者已無權再接觸的保密信息要刪除和銷毀,刪除和銷毀原始保密信息應征得相應主管同意。對紙件、電子件、存儲有保密信息的存儲介質銷毀時的注意事項如下:
(1)紙件:含保密信息的紙件必須用碎紙機銷毀,而不能直接扔垃圾箱或用手撕毀;含秘密級以上信息的紙件不能重復使用。
(2)電子件:刪除后注意清空垃圾箱。
(3)存儲有保密信息的存儲介質:存儲有保密信息的存儲介質作廢時,應采取不能恢復的物理性銷毀:如將硬盤送到我司指定地方進行碾軋或消磁等;在計算機轉 移給公司其他員工前,要對硬盤進行格式化;在計算機轉移到公司之外(如超過規定使用年限的便攜機轉移給個人)前,要對硬盤進行低級格式化。
員工調動部門后,如何處理與新崗位工作職責無關的文檔?
在工作交接完畢后,應及時、徹底地刪除或銷毀您仍持有的所有與新崗位工作無關的文檔,刪除或銷毀的方式必須符合公司規定,如要使用碎紙機銷毀含保密信息的紙件,而不能直接扔垃圾箱或用手撕毀等。 如在新崗位需繼續保留原崗位保密信息,一定要經過保密信息所有人批準。
五、應用系統使用
Notes/Email/Proxy系統
我要用Notes發送秘密級以上(含秘密)郵件,需要采取哪些安全措施?
在發送秘密級以上信息時,為了防止泄密,員工必須采取郵件加密發送的方式,并設置回執(可以從自己收到的回執查看接收并閱讀郵件的人)。
我是否可以發送群組郵件?如果業務需要向多人發送郵件,我應如何做?
按照公司規定,未經批準,員工不可以使用群組發送郵件。
在特殊情況下,由于工作需要發送群組郵件,員工必須首先確定群組的每個人都是自己要發送郵件的接收人,然后經過部門主管批準,才可以使用群組發送郵件。具體要求可參考《Notes 群組管理規定》。
使用Email發送保密郵件時,應該采取什么安全措施?
發往公司內部的Email保密郵件及其Office文檔類保密附件,須使用RMS加密。發給公司外部人員的郵件,如客戶、供應商等,可以不用RMS加密,但須使用其它方式加密,如Winrar或Office自帶的加密功能,密碼可單獨通過電話等方式通知。
現在Email上的病毒越來越多,我應該采取哪些措施來預防呢?
在收到來歷不明的郵件時,請不要打開,直接刪除即可。 因為目前大多數病毒和黑客軟件就是通過郵件傳播的。
一些病毒程序,甚至你沒有打開郵件內容,只要把焦點移到郵件標題上就會執行,因此,請記住不要設置“自動預覽/預覽窗口”的功能。取消的方法是,在Outlook的“視圖”菜單中點擊“自動預覽”取消此功能。
我經常收到一些廣告郵件、無聊的垃圾郵件,如何防范垃圾郵件呢?
由于外面有人專門收集Email地址出售,所以您的Email地址可能被列入其他人的郵件列表,經常會收到別人發的廣告郵件和其它垃圾郵件。為避免接收到這些垃圾郵件,用戶可以在客戶端設置禁止接收特定內容的Email(目前服務器端可以過濾部分垃圾郵件)。方法如下:
在Outlook中,先選中不想再接收發件人發送的郵件,然后選擇菜單“動作”,在選項“垃圾郵件”中選擇“將發件人添加到‘阻止發件人名單’”即可。
也可以轉發垃圾郵件到antispam@huawei.com,由系統攔截。
方法如下:
(1) Microsoft Outlook Express用戶
a. 選中收到的垃圾郵件。
b. 單擊右鍵,選擇做為附件轉發,您將會主題欄下看到一件附件。
c. 填寫收件人:antispam@huawei.com。
d. 發送郵件。如果提示主題為空,點擊“確定”即可。
(2) Foxmail用戶
在Foxmail中選中(可以按住Ctrl鍵多選)垃圾郵件,將其拖至桌面或一個文件夾, 這些垃圾郵件會以一封一封郵件文件的形式保存的。然后,將這些保存的垃圾郵件作為附件發送到antispam@huawei.com。
(3)Outlook 反饋方式(以下方法才可以保留郵件頭,有效更新規則):
a、在桌面新建一個Spam文件夾;
b、請您使用Ctrl選中多個垃圾郵件后,拖到Spam文件夾中;
c、將這些spam文件夾打包成壓縮包文件 spam.rar ;
d、將spam.rar作為附件通過Outlook反饋到antispam@huawei.com。
崗位變化后,能否繼續使用以前申請的Proxy帳號?
通過郵件征得新部門主管(同申請時審批者級別)同意后,方可繼續使用以前申請的Proxy帳號。
訪問外部網站應注意哪些問題?
公司為部分員工開通Proxy權限,目的是為員工從網上收集對工作有用資料、了解與工作有關的行業信息等提供方便。
在訪問過程中,應注意:不能利用Proxy訪問與工作無關的網站和內容,更不能從網上下載游戲、黑客工具等內容。特別強調一點,不要通過Proxy訪問個人外部郵箱。
我能否在公司內登錄到外網郵箱(如網易、SOHU等)收發郵件?
公司禁止員工訪問公司以外的郵箱。
七、物理安全
環境安全
秘書告訴我下班離開前做好“五關”,我想知道“五關”具體是指什么?
五關是指:關門、關窗、關空調、關燈、關計算機,做好“五關”是保證辦公環境安全的基本要求之一。
辦公安全
在辦公桌面安全上我應該注意什么?
下班或離開辦公桌10分鐘以上,應關閉或鎖定計算機。桌面上不能放有秘密級以上文件。秘密級以上文件應放在帶鎖抽屜或保密柜內。
會議安全
在公司內部開會,需要注意哪些安全問題?
(1)開會前,需要確保選取的會議室和開會內容的安全級相匹配。例如:召開部門例會,可以選取部門公用會議室。
(2)會議結束后,要帶走相關的會議資料,同時清理會議室場所(包括相關機器設備上的電子件材料、白板上的板書信息、紙件材料等),保證會議信息的保密不泄漏和會議室使用后的整潔。
什么情況下允許在公司外部開會?審批流程以及注意事項是什么?
如果是特別保密或敏感的會議建議在公司內的會議室召開。特殊情況下(比如時間和空間條件限制、會議與會者的情況限制等)才可以在公司外部場所召開會議,召開之前需要得到會議組織部門領導的批準。相關的注意事項是:
(1)會議召集人負責會議的信息安全。在會議前就應明確與會者名單;開會時確定與會者的身份及其參會資格,比如,要求與會者佩戴工卡并核對簽到等;會議期間,會場的出入口應有專人看守;確認除主入口外,其他入口已經關閉或是有專人看守。
(2)每位與會者應自覺將會議資料保管好,不得在離開會議現場時隨意將其放置在桌面上或是在人離開后放置在賓館房間里,更不能將保密資料隨手丟到酒店的垃圾筐內。
(3)如果需要錄音、錄相或者拍照等,需要經過會議組織部門領導批準。
對于電話會議,還需要注意什么?
(1)召開電話會議時,電話會議的會議ID和密碼等信息,一般情況下需要通過公司的信息系統(Notes系統、Email系統等)發送,不能通過手機短信方式發送。如果情況比較緊急或特殊,請通過點對點的電話方式告知。電話會議接入信息只能發送給相關的與會人員。
(2)接入電話會議的人員,應到專用會議室接入會議系統; 如條件限制需在開放辦公區接入電話會議,應注意不要啟用電話的免提功能。
(3)特別地,對于銷售與服務體系,機密級以上的電話會議要求使用主叫呼出的安全電話會議系統(接入碼285-60789)。使用其他2個系統 (287-80999和285-60888)時,電話會議的會議ID和密碼等信息,必須分不同的方式發送,密碼只能通過電話語音通知,不能采用手機短信方 式發送;或可以采用附件方式通過郵件發送,附件必須為OFFICE文檔的RMS授權加密方式。如果情況比較緊急或特殊,可通過點對點的電話方式告知。
網絡安全
網絡連接安全
所有計算機都必須安裝SPES才能接入公司網絡嗎?Unix平臺的機器怎么辦?
所有需要接入公司網絡訪問公司應用的Windows平臺的客戶端設備都需要安裝SPES,包括但不限于公司內部人員管理的客戶端設備、外包人員使用設備、供應商提供測試設備、顧問或臨時來訪人員使用設備。
非Windows平臺的設備不需要安裝,但需要申請固定IP并通過審批才能保證策略實施后正常接入公司網絡。
個人能夠設置FTP、Wins等網絡服務嗎,為什么?
未經批準,不得私自設置WWW、FTP以及BBS、NEWS、DNS、Wins、DHCP等各種形式的網絡服務,更不能在公司網絡上運行任何攻擊或破壞網絡服務的軟件。因為設置這類服務會對網絡正常運行造成不良影響。
如確實業務需要,不接入公司大網(如,僅在實驗室小網使用)同時不需要IT協助的服務申請,提交“IS Authority Application”電子流進行申請,其余服務的申請通過IT requirment流程申請。
出差到辦事處,需要在賓館上網,需要注意什么來保證個人便攜機的安全?
對于便攜機的安全,一般從下面幾個方面防范:
(1)安裝和使用公司指定的個人防火墻,在外出差啟動便攜機時,也要把個人防火墻啟動。個人防火墻策略在通過公司指定的服務器下載安裝時已經配置好,個人不需要也不能改動個人防火墻策略。
(2)使用便攜機收發電子郵件的附件時,下載和打開前要使用殺毒軟件先殺毒。
(3)通過便攜機訪問公司Email系統時,網址輸入格式推薦使用https代替http。
我是全球技術服務部工程師,需要填寫研發的需求承諾電子流,這個電子流放在研發區,我不能訪問該如何辦?
需要填寫“NC帳號申請”電子流申請NC帳號,然后就可以使用NC服務器進行這類業務的操作。
是否可以在公司的辦公區使用無線上網服務?
公司所有辦公區域目前沒有開通無線上網服務。所以,在公司相關辦公區域不能無線上網,如果有業務需要,請使用公司的有線網絡服務。
我因工作需要通過MODEM、ISDN等連接到外部網絡,應該怎么做?
首先需要通過”IS Authority Application”電子流提交申請,獲取MODEM、ISDN等服務權限,沒有經過批準不能私自使用MODEM、ISDN等服務。
獲得MODEM、ISDN等網絡連接批準后,在與外網連接前需要確保相關的機器和公司網絡是斷開的。因為如果您的計算機同時連到公司網絡和外部網絡,外部 網絡上的人員很可能通過您的機算計訪問公司內部網絡,這樣會對公司網絡帶來很大的安全隱患,所以禁止在個人計算機與內部網絡連接的情況下與外部網絡通信。
如果在出差期間需要通過外網訪問公司的相關系統和服務器時(比如Notes、Email等系統),應該怎么辦?公司VPN服務能夠解決此類需求嗎?
通過使用VPN網絡可以滿足此業務需求:
但出差前你需要提交“Token 管理電子流”申請Token卡并在便攜機上安裝checkpoint客戶端軟件; 這樣出差時你就可以從外網通過VPN訪問公司資源了。此時您只需要運行checkpoint軟件,輸入靜態密碼和Token卡產生的動態密碼,通過驗證以 后,您就可以像在內網上一樣使用公司的相關應用和服務了。
特別提示,公司禁止員工在處理工作郵件時使用公網上提供的免費郵箱,在外出差或者公干時也要求員工使用公司提供的郵箱;在訪問公司的Webmail系統時,網址輸入采用https形式,這樣在信息傳遞時增加了一層加密保護的功能。
八、接待、對外合作和信息交流
對外接待和陪同
誰負責外部人員在公司的信息安全管理工作?
根據公司的信息安全管理策略,外部人員所服務或進行合作的接口部門的主管或項目經理應該總體負責外部人員的信息安全管理工作。
我被部門指派陪同非公司人員,應注意些什么?
作為接口人,或說接待人,您引領供應商/合作商等人員進入特定公司區域,需經主管該區域的部門負責人批準。供應商/合作商在上述區域活動時,您應全程陪同。
來訪人員攜帶便攜機時,如不需要使用,您可協助其將便攜機存放于門衛處;如需攜帶便攜機進入公司,您應注意不讓來訪人員獨自在辦公區域使用便攜機。此外您還應注意,供應商/合作商只能在經批準的辦公區域進行本次業務相關的活動。
因工作需要,向公司外人員發送保密信息有哪些注意事項?
(1)向外部提供文檔資料時,應遵照《信息保密管理規定》,首先獲得接口部門主管許可,然后向信息owner部門申請:
(2)發送的資料要加密,以防止保密信息泄密;發送絕密、機密級文件,發送的方式范圍、對象需經過信息所有人審批;
(3)保密信息必須加密發送并設置回執,如:口令、研究報告、開發信息和其他的敏感數據;需事先與接收方簽署保密協議。
信息交流
作為接待人員,對外接待交流中需要注意哪些信息安全事項?
(1) 接待人員不應向供應商/合作商透露業務范圍之外的公司技術、商務情況,不隨意承諾,不在授權范圍之外行事, 已經承諾和雙方達成意向的事宜應當做正式記錄。
(2) 供應商/合作商需要查看公司文檔、資料,按如下優先順序提供: 查閱(不借)->紙件借閱->電子檔借閱。
(3) 向供應商/合作商提供含有公司保密信息的文件、資料或實物的,接待人應獲得部門主管批準,并與供應商/合作商簽訂保密協議后再行提供。
對外商務活動中,移動電話的使用有哪些安全注意事項?
(1)不能在電梯、汽車、餐廳、酒店大堂等公共場所接聽重要電話,必須接聽時請到相對空曠或不易被竊聽的地方;
(2)銷服員工在商談重要的商務問題時盡可能使用隨機的固定電話,不能使用本人名片上的移動電話和固定電話,若必須使用移動電話,則必須使用臨時購買的預付費卡。
簽署保密協議
哪些情況需要對外簽署保密協議?
華為公司與其他公司或個人之間在合作、雇傭、技術支持等有可能接觸公司的保密信息時需要簽署保密協議。
對外簽署保密協議有哪些注意事項?
(1)保密協議應首先使用公司模板,可從“法務之窗”Notes庫獲取。
(2)必須簽署原件保密協議。在緊急情況下可以先簽署復印件、傳真件,后補簽原件;
(3)英文保密協議一般不需蓋章,只需簽字,中文保密協議一般需簽字蓋章;
(4)蓋章時應蓋法人章或保密協議專用章,不應蓋部門章。
若與對方的合同中已有保密相關的內容,是否可以不再與對方單獨簽訂保密協議?
合同中有關保密的內容大多是框架性的。實際作業中信息不同,保密條款中的要求會有所不同,可能需要進一步細化。要根據具體情況區分對待,不是說合同里簽了就不用簽了,有些可能是簽附加條款,有些應該再簽單獨的保密協議。簽署保密協議方面的問題,可咨詢法務部。
九、研發信息安全
研發網絡與非研發網絡隔離
什么是研發工作區?研發工作區包含哪些區域?
研發工作區:有明確的物理邊界,貫徹和實施了研發信息安全政策的工作區域。
研發工作區包括深圳科研中心(F1、F3、F4、F5、中試中心)、華電研發工作區、南京研究所研發工作區、上海研究所研發工作區、北京研究所研發工作 區、西安研究所研發工作區、成都研究所研發工作區、杭州研究所研發工作區等研發辦公場地。具體研發工作區清單參見網絡安全部維護與公布的“IS Policy, Standard & Regulation”數據庫中的《最新研發工作區清單》。
研發區和非研發區之間不能直接實現文件共享,如果文件共享,怎么辦?
分為兩種情況:
1)數據從研發傳遞到其他工作區
小于10M的文檔可以通過Notes Mail直接發送;大于10M的文檔可以在“研發便攜&文檔外出管理”數據庫中填寫“公司內異地傳輸”申請,審批通過后,通過FTP服務器進行傳送。
2)數據從非研發傳遞到研發區
小于10M的文檔可以通過Notes Mail直接發送;大于10M的文檔可以通過公司的FTP服務器進行傳送或者通過Bigmail數據庫進行傳送。
可通過“IS Authority Application”中的“(非研發)FTP帳號申請”電子流申請FTP帳號。
研發工作區的應用,公司非研發區無法訪問;公司非研發的應用,研發工作區無法訪問。如果需要全公司的都需要訪問,這個問題怎么解決?
由于研發工作區和公司其他工作區網絡都可以訪問數據中心通用區,所以全公司訪問的服務器/應用可申請搬遷到數據中心。服務器/應用搬遷到通用區的需求由信息所屬部門通過IT Requirement Application提交需求。
我是非研發員工,如果到研發區辦公,無法訪問我的非研發Notes郵箱,該怎么辦?
由于在研發區是不允許訪問非研發的Notes服務器的,因此非研發員工如果因工作需要到研發區辦公,在辦公位變動之前,需要填寫“IT Service Application”中的“Notes郵箱搬遷”將您的Notes郵箱從非研發區服務器遷移到研發區服務器上。
注意:郵箱搬遷到新服務器后,原先舊服務器上的郵件不會同步搬遷過來,因此搬遷之前需要先將服務器上的郵件下載到本地。
我是研發員工,到海外代表處出差,我該怎么訪問Notes?
由于實施研發/非研發網絡隔離,海外代表處屬于非研發區,無法直接訪問研發Notes郵箱和研發Notes應用數據庫。
您可以出差之前申請NC帳戶(在“IS Authority Application”數據庫中填寫“NC帳號申請”),通過NC來訪問您的研發Notes郵箱與研發Notes應用。
對于Notes郵箱,除通過NC可以訪問外,也可以在出差之前將您的Notes郵箱從研發區服務器搬遷(填寫“IT Service Application”中的“Notes郵箱搬遷”)至海外代表處當地區域數據中心非研發的服務器上。優點是訪問Notes郵箱速度快,缺點是出差結束 后需要考慮將出差期間的郵件拷貝到個人PC機上。
研發信息安全問題求助渠道
(1)發郵件給Public IS/huawei,會有專人處理回答您的疑問。
(2)可以聯系本部門信息安全專員。
(3)訪問Notes數據庫“研發信息安全工作平臺”獲取幫助。
十、離職
離開公司前為什么需要與公司簽署保密承諾?
員工離職前,公司有相應的離職流程收回員工擁有的相關信息系統和資源的訪問使用權限,同時公司也相信絕大多數員工是遵紀守法的。但是,為防止少數人 泄漏華為公司的重要信息,防止離職人員在規定期限未滿就到公司競爭對手處工作或間接工作,于是需要與離職員工簽署競業保密承諾。
離職員工有哪些保密責任?
華為員工在其離職兩年內仍要按照進公司時簽訂的合同,承擔下列保密責任,否則將承擔違約的民事或刑事責任:
(1)不帶走從華為公司獲取的任何資料,包括但不限于記載于紙件或膠片上的文檔、文件、圖表、目錄,存儲于磁盤、光盤上的軟件、程序等。
(2)離職后兩年內不得到與華為公司有競業關系的公司從事與在華為公司工作期間工作性質相同或者相似的工作。
(3)未經華為公司書面同意,不向任何單位和個人透露或使用在華為公司就職期間獲得的商業秘密,包括技術秘密、商務秘密、財務秘密、管理秘密以及其它經營秘密。
附錄一:常用信息安全IT系統說明
1 IS Portal
為了幫助公司員工更多地了解公司信息安全規定、管理體系,降低無意違規的發生頻率,加強公司員工的信息安全保密意識。網絡安全部建立了IS Portal(SZXAP18-DS)數據庫。初始界面如圖所示:
2常用信息安全電子流、數據庫索引
IS Policy, Standard & Regulation……… SZXAP17-DS服務器
IS Authority Application……………… SZXAP18-DS服務器
信息資產密級管理……………………… SZXAP01-DS服務器
信息安全問題受理……………………… SZXAP71-DS服務器
員工個人誠信檔案……………………………SZXAP15-DS服務器
保密業務電子流…………………………………rnd-apps服務器
IT Requirement Application………………SZXAP16-DS服務器
IT Service Application……………………SZXAP74-DS服務器
IT熱線專欄……………………………… dnp-app3服務器
IT資產申請……………………………… SZXAP01-DS服務器
華為卡證門禁…………………………… SZXAP77-DS服務器
(研發)文檔查閱……………………………… HW-TF-APP服務器
研發便攜&文檔外出管理……………… SZXUC05-DS服務器
以上信息如有變化,請以“應用信息分布”(SZXUA05-DS)查詢的最新數據為準。
3公司內部常用信息安全工具索引
SPES………………………………… http://spes.huawei.com
ACC…………………………………… http://acc.huawei.com
RMS……………………………… http://rmshelp.huawei.com
Symantec AntiVirus……… http://szxav01-ss.huawei.com
Anti-Spyware……………………… http://scan.huawei.com
NC………………………………… http://nchelp.huawei.com
附錄二:公司信息安全體系及職責說明
1公司信息安全監管委員會工作職責:
1.1審查和核準信息安全總體策略,對重大問題達成共識;
1.2審核批準重大的信息安全建設方案;
1.3在整個組織中增加對信息安全工作的領導力度;
1.4對緊急重大安全事故進行響應決策;
1.5提出信息安全總體要求和批準信息安全戰略規劃。
2公司信息安全管理辦公室工作職責:
2.1負責組織制定公司的信息安全策略、標準和流程;
2.2負責組織信息安全策略、標準和流程在業務部門的推行工作;
2.3負責組織公司范圍內的信息安全監控與審計;
2.4負責對公司的信息安全狀況進行定期評估和風險分析;
2.5負責組織對跨業務部門的或重大的安全事故的調查;
2.6負責組織公司的信息安全培訓和宣傳。
附錄三:信息安全案例匯編
(一)公司信息案例匯編
1私自轉借工卡
【事件描述】2004年5月,深圳總部某安全崗值班員在對進出人員卡證佩戴情況進行檢查時,發現一名佩戴華為正式工卡的人員與工卡上照片不符,當即求助相關部門對該工卡的真偽進行鑒別,同時要求當事人配合安全崗進行調查,并報行政管理部處理。
經查,該佩戴華為員工工卡的人員為固網產品線的外協文員,因自己的臨時通行證沒有在生產中心通行的權限,所以借用華為員工工卡通行。
【違規等級】四級
【事件描述】2004年8月,公司某部門員工接待一名供應商進入研發區域,在接待過程中,該員工私自將工卡借給供應商,讓其獨自到機要室拷貝資料,供應商隨身攜帶的U盤也未在門崗登記,直接被帶入了研發辦公區域。
【違規等級】三級
【事件點評】工卡是公司員工的身份證明,只限于員工本人使用,是不允許私自轉借的。它不僅關系到公司的形象和安全,而且還關系到員工本人的切身利益。另 外,臨時出入公司的客戶、供應商等人員,接待人員需要全程陪同。需要注意的是,在接待過程中,接待人員是要對來訪人員的所有信息安全行為負責的!
2未升級防病毒軟件造成網絡癱瘓
【事件描述】2006年初,某員工到一外研所出差。該員工計算機安裝的防病毒軟件為Norton 7.6版本,且病毒庫版本為05年9月,未及時升級到Symantec Antivirus 10企業版并實行集中管理,導致無法查出病毒。在外研所辦公期間,由于該員工的便攜機攜帶了病毒并且該病毒自動向網絡發送大量數據包,數據流量大大超過日 常辦公時的流量,導致外研所網絡服務器CPU過載,網絡癱瘓達1小時之久。給外研所的辦公帶來較大影響。
【違規等級】三級
【事件點評】隨著計算機技術的發展,病毒的種類越來越多,危害越來越大。據《InformationWeek》研究部和埃森哲咨詢公司 (Accenture)合作進行的第九年度“全球安全調查”顯示,在所有受訪者當中,有57%的美國公司在過去一年中曾遭受病毒攻擊,34%曾受到蠕蟲的 攻擊!這些數據足以提醒我們每位員工一定按照公司要求,及時安裝殺毒軟件并執行集中管理,防止這類事故的再次出現。
3違規安裝非標軟件,影響公司網絡
【事件描述】2003年5月,技術支援系統某員工未經批準,私自在其便攜機中違規安裝Sygate軟件,結果在公司網上無意啟動了DHCP服務,影響了公司網絡的正常運行,使得該員工所在代表處的網絡癱瘓達2個小時之久。
【違規等級】三級
【事件描述】 2006年2月份,在信息安全例行檢查中,發現供應鏈某業務部一位員工未經批準私自從外網下載了并安裝了危及網絡安全的違規軟件Ethereal。
【違規等級】四級
【事件點評】安裝違規軟件是公司員工最典型的信息安全違規行為之一。盡管公司一再重申相關規定,但仍有個別員工無視這些規定的存在。一些違規軟件(如 Wingate, Sygate等)可能會影響公司網絡正常運行,而諸如Ethereal、NetXray、Sniffer等軟件則會危及公司的網絡安全。請各位員工遵守公 司要求,安裝符合公司標準的應用軟件。
4違規使用USB
【事件描述】全球技服某員工未經允許,私自使用優盤拷貝便攜機上的資料,準備復制到家中的私人電腦中,其中包括部分公司保密資料。此事隨即被網絡安全部查獲。
【違規等級】三級
【事件點評】公司明文規定,因工作需要使用USB是可以的,但需要申請。而未經批準,私自使用USB的話,一經發現,就會被嚴懲。
5私拆硬盤刻光盤
【事件描述】2006年4月27日,北研所某員工利用工作之便,在未經批準的情況下,私自撤除計算機封條,取出硬盤帶到外面進行光盤刻錄。
【違規等級】一級,辭退
【事件點評】私自拆除硬盤,流失的文檔包含著公司各位員工的血汗。我們辛辛苦苦才收獲到這些糧食,切記不可讓別人隨隨便便就偷走。各位員工如果發現有人盜竊公司信息資產,一定要挺身而出,保護大家的利益,也保護自己的利益。
6計算機密碼管理不善造成泄密
【事件描述】2006年3月,供應鏈管理,離開工作崗位而又有外部人員在場的情況下,未手動鎖定電腦,存在信息泄密的風險;第三方物流公司的兩名員工趁我司員工不在場,多次私自使用公司電腦。
【違規等級】四級
【事件描述】某員工在外出差期間,利用賓館局域網上網,共享了存有公司保密文檔的文件夾,但未設置共享口令。此事被賓館其他人員發現,并及時向公司報告,避免了保密文檔的外流。
【違規等級】四級
【事件點評】幸好及時發現,沒有給公司造成損失,否則三級違規就不可避免了!每位員工都應注意,在設置了計算機密碼的同時,還千萬不要忘記離開座位時及時 鎖定電腦。設置了密碼但沒有啟用密碼鎖定的電腦就如同于保密柜雖然配備了鎖頭但把鎖頭丟在一旁,對于盜賊而言,密碼或鎖頭都如同虛設。另外還要注意,員工 在出差時如需通過網絡傳遞電子件形式的保密資料必須加密后才能通過計算機網絡進行傳送,在傳送時要設置回執,如因技術原因無法設置回執時,則應該做好傳送 記錄,F在很多賓館都有上網的專線,員工在賓館上網要注意取消計算機內所有的文件共享。通過賓館的專線發送郵件時,一定要對發送的文件在本地進行加密后才 發送。計算機自身的安全防護措施也要配置好,比如安裝個人防火墻軟件、防病毒軟件以及設置Administrator和硬盤口令等等。
7保留違規文檔并逃避檢查
【事件描述】2002年11月,在信息安全例行檢查中,發現研發某員工在工作已完成交接后,未刪除過去工作中涉及到的大量保密文檔,并以更改后綴的方式保留以逃避檢查。
【違規等級】三級
【事件點評】這種更改后綴,有意逃避信息安全檢查的行為實在是比較惡劣,也體現了該員工的人品素質比較差。幸運的是沒有給公司造成損失,否則信息安全一級 違規、辭退或司法機關處理也不為過。奉勸那些打公司注意的少數人,一定要保持清醒的頭腦,想清楚僅因一時貪念而影響了個人前途是否值得?
8私自外發公司保密信息
【事件描述】2006年初,國際營銷系統某海外機構某員工未經批準,通過多方渠道獲取公司的一些產品價格清單通過E-Mail外發給外部人員,對公司業務產生重大影響。
【違規等級】一級,辭退
【事件描述】2005年6月,全球技術服務部,違規將絕密文件發給沒有與我方簽訂保密協議的第三方工程師。
【違規等級】二級
【事件描述】2005年12月,內部服務管理部某員工未經公司批準,將項目招標文件及相關附件清單通過E-mail發送至個人外部郵箱。后來還發現此員工 多次私自通過E-mail將公司相關主管及秘書通訊錄、我司認證的相關供應商信息以及工程文件發送至公司外部其朋友郵箱。
【違規等級】二級
【事件描述】國內營銷部員工劉某將公司電話號碼查詢數據庫復制后,發往公司外部同學的郵箱,以方便其同學的夫人向公司員工進行房地產推銷。
【違規等級】三級
【事件點評】保密信息外泄占公司員工信息安全違規的一個很大比例。少數員工存在僥幸心理,為一時貪念就鋌而走險,有意觸犯公司的信息安全高壓線,以為可以 逃脫公司的檢查和審計,殊不知“法網恢恢,疏而不漏”?傆幸惶焖麄円獮樽约旱呢澙犯冻鰬K痛代價。也存在很多員工,無意間就違反了公司的信息安全規定。歸 根結底,這是由于安全意識低,安全知識匱乏等造成的。還請這些員工多多關注公司的信息安全制度流程,培養信息安全意識。針對上述的幾個案例,特別強調以下 幾點:
(1)在與合作方合作期間,接口部門千萬不要忘記與他們簽署保密協議。這是對公司負責,也是對員工個人工作負責。但即使是簽署了保密協議,員工也不能隨意將公司的保密文件發送給合作方,必須經過業務部門主管批準才可以。
(2)因工作需要發送涉密文檔,須經過信息所有人批準之后才可外發,發送的時候要先給文檔加密。
(3)不僅公司的產品相關文檔需要保密,公司的管理制度、業務流程、工作職責、部門結構以及電話號碼信息等類文檔,都是重要的信息資產,未經批準,都是禁止外發的。
9私自記錄并使用他人Proxy帳號
【事件描述】2006年2月,研發某員工A在幫助員B工配置Proxy帳號時私自記下了該員工的帳號密碼,并通過該帳號上傳公司內部保密資料到外部郵箱,當即被公司網絡安全部查獲。
【違規等級】二級
【事件點評】這種盜取他人帳號的行為足以顯示員工A的人品素質存在問題。現在這個信息化社會里,非法使用他人帳號就相當于冒用他人身份。任何人都不會希望 別人用自己的身份去做壞事。所以,一方面,我們應該保護好自己的帳號,不要被他人盜用;另一方面,由人及己,也不要做擅自使用他人帳號這種不誠信的事。
10發送工作無關郵件
【事件1描述】02年3、4月間,部分員工在公司網上傳播一篇工作無關的Notes郵件。經查明,先后有225人參與了該郵件的發送或轉發。
【違規等級】二級
【事件2描述】05年,某員工用一大群組發送內容為租房信息的Notes郵件。郵件發送后又有多人直接對所有收件人進行回復,導致多名員工收到多封工作無關郵件。
【違規等級】三級
【事件3描述】06年2月,某員工利用Notes發送內容為含“2天內把該信息轉發給20人,幸運就會降臨;反之則有厄運降臨”的連環垃圾郵件,導致郵件迅速在公司網絡中傳播。
【違規等級】二級
【事件點評】某些利用公司網絡資源發送的工作無關連環郵件,不但浪費公司的IT資源,也浪費收件人的時間。甚至有些工作無關郵件收件成員中包含了很多公司 海外網絡條件比較差地區的海外員工,收這些垃圾郵件嚴重影響了他們的的正常工作。如果將這些浪費的資源和時間的成本轉換為金錢,可是一個大數目。對公司來 說,也是一筆不小的浪費!還請每位員工專注本職工作,連環垃圾郵件切莫發。
11有意利用系統漏洞
【事件描述】公司某員工,于2006年將朋友發至其E-mail郵箱中的團購公告繞過正常審批程序直接在Notes數據庫“行政服務之窗”上發布, 為其朋友進行廣告宣傳,且故意虛構發布人信息。網絡安全部于當天下午兩點三十分收到員工舉報,僅用半個小時便查明事件真相,隨即對員工的非法操作行為進行 了處理。
【違規等級】一級
【事件點評】這種有意利用公司IT系統漏洞的行為,無論產生的后果是否嚴重都是應該嚴懲的。作為公司的員工,我們應該保護公司的利益,一旦發現了流程或系統中存在的漏洞,應及時向有關部門反饋,進行彌補,斷不可利用其為己牟利。
12私設論壇發表惡劣言論被除名
【事件描述】2005年10月,供應鏈某員工,利用工作時間登錄公司內部Notes郵箱私設論壇,并多次發布極其惡劣的辱罵性話語。
【違規等級】一級,辭退。
【事件點評】公司IT資源只能用于工作需要,利用公司網絡資源私設論壇,并多次發布極其惡劣的辱罵性話語,不但浪費IT資源,還在公司范圍內造成了極其惡劣的影響。
13門禁尾隨不以為意,引狼入室埋下禍根
【事件描述】2004年12月,供應鏈管理部電裝部某員工因當晚有培訓,經由廠房三樓門禁進入實驗樓。在刷開進入實驗樓的門禁時,有一名佩戴臨時通 行證(無門禁卡)的外協員工尾隨其進入了實驗樓辦公區,該員工未在意,更未過問。在隨后的一個小時內,該名外協員工在實驗樓利用工具盜竊辦公電腦軟件標簽 十余張。后經嚴密布控,嫌疑人于再次潛入作案時被當場抓獲。
【違規等級】三級
【事件點評】該員工安全意識薄弱,導致被竊賊利用。公司規定,非工作需要不得引領無權限人員進入非授權門禁區域。雖然該員工行為無意,但客觀上為該外協員工盜竊電腦標簽提供了便利,給公司造成的損失是他必須承擔的。
14在辦公區撥號上網處罰案例
【事件描述】技術支援部某員工,在駐外某研究所辦公場所私自撥號上網。自2003年5月21日至6月20日,累計撥號上網看新聞等內容34次、301分鐘,給公司的網絡安全帶來極大的隱患,也嚴重浪費了公司的資源。
【違規等級】三級
【事件點評】盡管公司三令五申:未經批準嚴禁在辦公場所撥號上網,但仍有少數人置若罔聞。要知道在辦公區撥號上網不僅浪費公司的資源、影響正常業務,更可 能將黑客、病毒、木馬以及間諜軟件通過網絡傳播到公司來,影響的不僅僅是一個員工,很有可能對公司某個區域的網絡安全產生重大影響!
15私自將公司便攜借給合作方使用
【事件描述】2006年1月,全球技術服務部某員工違規將便攜機借給合作方員工使用,合作方員工利用上班時間上QQ傳遞工作所需文件;并且未經審批在機房使用移動存儲設備給用戶拷貝相關用戶文檔或版本文件;
【違規等級】二級
【事件點評】便攜機上保存有很多工作相關的文檔,自己可能司空見慣,覺得沒什么大不了,可是其他人拿到可就不一定了,外界的信息戰正打得轟轟烈烈呢。正所謂千里之堤,潰于蟻穴。大家都需要從細節做起,自覺保護信息和資料,打下來的糧食才能有保障。
16私自收集資料并外發
【事件描述】2005年6月,光網絡某員工非法大量收集部門培訓資料、典型案例和開發規范,更改文件名后,私自通過E-mail加密發送到外部郵箱。
【違規等級】一級,辭退。
【事件點評】根據工作相關原則,非法收集大量文檔本身就已經是被禁止的,而在發送之前更改文件名,則明顯是動機不良,想要掩人耳目。如果真是因為工作所需,領導批準之后光明正大的發送不可以嗎?文檔流失出公司,受到損害的可是所有員工的利益。請千萬要三思而后行啊!
17離職前盜取機密文檔,離職后公開發售
【事件描述】某外研所員工兩名員工A和B于2001年前后離職,在離職之前,兩人串通,由A利用職務之便通過B的計算機USB口,將某產品代碼利用 移動硬盤拷貝帶出。當時,公司正開始啟動計算機加封USB口并口的保密措施,外研所也是于2002年初對所有計算機進行端口加封的,兩人正是利用了當時 USB口沒加封這一安全漏洞。兩人離職后,A將從公司帶出的這些代碼拷貝給了B。2003年B又重新應聘回公司工作,7月將這些代碼在網站上發帖子進行了 出售,被公司員工發現舉報,公安機關經偵查核實后將兩人依法拘留
【違規等級】一級,辭退,并由司法機關依法追究其刑事責任。
【事件點評】“君子求財,取之有道”。象B這樣通過損害公司和其他大多數員工利益,以謀求私利的做法,最終只能以他自毀前程的悲劇收場。A竊取公司代碼, 拷貝給B,后被B(未告之A)出賣,再次驗證“伸手必捉”的古訓。每個員工都與公司簽署的保密協議,在辦理離職手續時,也有相應的保密規定的約定。對于在 公司里獲得的文檔,在離職前必須全部移交,是絕對不允許帶出公司的。這里包括任何形式的任何文檔資料,即使是公司內部公開的培訓資料、管理規定等,也是不 允許帶出的。
(二)業界信息案例匯編
1寶潔和聯合利華公司的情報糾紛事件
【事件描述】2001年初,寶潔公司和聯合利華公司之間爆發了情報糾紛事件。
面對主要競爭對手聯合利華的強烈質疑,寶潔公司公開承認,該公司員工通過一些不太光明正大的途徑獲取了聯合利華的產品資料,而這80多份重要的機密文件中 居然有相當比例是寶潔的情報人員從聯合利華扔出的“垃圾”里找到的。后來,寶潔公司歸還了那些文件,并保證不會使用得來的情報,沸沸揚揚的“間諜案”就此 不了了之。
【事件點評】因為這些機密文件是從聯合利華扔出的“垃圾”里找到的,所以聯合利華無法起訴寶潔公司。任何關于侵犯商業秘密的案子,很重要的一點就是要提供 證據證明商業秘密的持有人對商業秘密采取了保密措施。聯合利華扔到垃圾桶里的東西怎么能證明它采取了保密措施呢。所以。聯合利華這是“打掉牙齒和血吞,有 苦說不出啊”,F在各個部門都有碎紙機,如果是包含機密信息的紙件,一定要用碎紙機碎掉,千萬不要直接扔進垃圾桶里,不然,我們也會重蹈聯合利華的覆轍 的。
2可口可樂秘方泄漏事件
【事件描述】美國聯邦調查局(FBI)于2006年7月5日逮捕了3名涉嫌從可口可樂公司偷盜飲料配方、并嘗試將其賣給可口可樂公司宿敵百事可樂的 疑犯。令人震驚的是,其中一名嫌疑人竟是亞特蘭大可口可樂公司的高級行政助理若亞·威廉斯。據檢察官透露,嫌犯之一迪姆松準備賣給百事可樂的機密信息是可 口可樂公司內部人士威廉斯提供的。
可口可樂公司的監視錄像拍下了威廉斯盜取公司機密的情況。威廉斯在可口可樂公司總部翻閱大量文件,然后把一些文件裝進袋子里,還拿走了一個貼有白色標簽的 容器,容器中的液體看起來和可口可樂新產品的樣本相似?煽诳蓸饭倦S后證實,威廉斯拿走的液體正是可口可樂公司正在研發的新產品。
【事件點評】雖然當今的競爭如此激烈,但盜取并售賣公司商業機密的人,也是不會被其他有良知的公司所接納的,因為這是完全沒有職業道德的表現。
據報道,躋身世界500強的大公司,幾乎每一家都設有保護商業機密的部門,專門從事商業情報的保密工作。比如:通用電氣和英特爾等公司,委派公司中最優秀 的人負責保密工作;摩托羅拉公司還從美國中央情報局挖來專業的情報人員,組建起公司的情報部門,以保護自己的商業機密;安永會計師事務所則組建了擁有25 名員工的競爭情報部。美國硅谷一直被譽為世界高科技的“風向標”。尖端科技蘊含著極高的商業價值,因此,防范商業間諜、保護公司核心機密就成了硅谷中每家 公司的頭等大事。有報道說,幾乎壟斷了全球芯片市場的英特爾公司,甚至把前來采訪的記者當成商業間諜嚴加防范,公司里處處都有保安人員“盯梢”以杜絕拍 照,除了企業大門口和餐廳等無關緊要的地方,其他任何地點都不準拍照。公司的所有員工,在進出時都要進行安檢并驗明證件。
3網絡內外竊賊猖狂,各大公司防不勝防
【事件描述】2006年2月,安永會計師事務所一名職員放在車里的便攜機被盜,電腦中存有公司3.8萬名客戶的個人資料。案發后,安永會計師事務所開始采取行動,對大約3萬名員工的筆記本電腦資料進行加密保護。
2006年3月,美國信誠投資公司的一臺便攜機遭遇“網上竊賊”,致使惠普公司19.6萬名員工的個人資料泄漏。此后,信誠投資公司加緊對公司員工的筆記本電腦資料進行加密。
2006年4月,安泰保險公司一名員工放在車里的便攜機被盜,上面存有5.9萬名客戶的姓名、住址和身份證號碼。案發后,安泰保險公司采取了一系列防范措 施,防止電腦資料泄漏。公司要求員工對電腦上文件和資料重新進行加密。公司對每一臺電腦進行檢查,確保電腦上的文件設置有必要的加密保護。此外,安泰保險 公司還對備份和保存資料用的外部存儲器進行嚴格管理。
【事件點評】據一個美國公司的調查,從2005年2月到現在,約有8800萬美國人曾遭遇身份證號碼和其他個人隱私資料被竊取的風險。而隨著越來越多的人 開始把資料保存在便于攜帶的便攜機上,竊賊們也把目標對準了便攜機。甚至就像上面案例里面的竊賊那樣,直接從車里竊取便攜機,真的是“一點技術含量都沒 有”,但成功率無疑是加大了。隨著資料失竊案的頻頻發生,一些竊賊甚至還開始在網絡上兜售自己竊取的資料。
我們公司在保護資料方面一直都有采取措施。像大部分公司一樣,我們也要求員工對計算機上的資料都進行加密,這樣就減少了因為網絡竊賊竊取資料而造成泄密的 可能性。公司現在要求所有員工使用RMS對文檔進行授權保護,也是出于這方面的考慮。這樣一來,即使竊賊拿到了文檔,只要他無法通過身份認證(通過認證需 要將正確的域帳號和密碼通過網絡發送到公司的域服務器,并且還需要文檔中已經給這個域帳號設置權限),也無法查看文檔。
對于便攜機,除要求對文檔加密和操作系統、應用系統設置口令之外,還要求對硬盤口令進行設置,這樣也降低了因便攜機丟失而發生信息泄漏的可能性。另外,同安泰保險公司一樣,我們公司對外部存儲器的使用也是嚴格控制的。
信息安全無小事!只有大家一起來關注安全問題,防患于未然,才能更好的保護信息資產,保障所有員工的利益。
4惡意軟件要當心
【事件描述】賽門鐵克(Symantec)公司日前公布的半年度互聯網安全威脅報告顯示,黑客近來從傳播病毒轉向牟取錢財。2005年下半年,在排名前50例的黑客攻擊事件中,有88%是以金錢為目的。這一比例比2005年上半年的77%有明顯增加。
報告稱,黑客牟財途徑主要有兩種:惡意軟件和“釣魚”騙局郵件。從2005年7月1日至12月31日,互聯網上最流行的惡意軟件的用途是收集個人電腦用戶 機密信息,黑客竊取個人信息的目的在于“撈錢”。在排名前50位的攻擊軟件中,有80%是用于收集用戶個人信息的,2005年上半年這一比例是74%。
賽門鐵克公司自稱能夠跟蹤世界1/4的電子郵件。2005年下半年,每119份電子郵件中就有一例是“釣魚”騙局郵件,而在2005年上半年是125份郵 件發現一例。 所謂“釣魚”就是欺騙用戶下載能夠偷取密碼和信用卡號碼的軟件。而黑客傳播的新病毒和蠕蟲數量比以往明顯減少。針對微軟公司視窗平臺的新病毒和蠕蟲數量在 2005年下半年下降了39%,2005年全年只出現5種比較嚴重的病毒和蠕蟲,數量比2004年的減少了50%。
【事件點評】網絡安全部針對這一問題,提供了一項“在線掃描”的服務,大家在公司內網可以登錄站點http://scan.huawei.com 來掃描自己的計算機看看有沒有被植入惡意程序。使用中碰到任何問題,可以咨詢IT熱線(+86-755-28560160)。當您收到“釣魚”騙局郵件 (建立假冒網站或發送含有欺詐信息的電子郵件,以盜取網上銀行、網上證券或其他電子商務用戶的賬戶密碼一類郵件)一定不要直接點擊郵件內提供的網址,或者 對郵件進行回復,應該使用該金融中心的服務電話聯系確認相關信息,也不要使用郵件中提供的聯系電話進行聯系。時刻保持警惕是防范被騙的最佳法寶。