一、新员工入职信息安全须知

新员工入职后,在信息安全方面有哪些注意事项?

接受“信息安全与保密意识”培训;
每年应至少参加一次信息安全网上考试;
办理员工卡;
签署劳动合同(含保密职责);
根据部门和岗位的需要签署保密协议。

员工入职后,需要办理员工卡,员工卡的意义和用途是什么?

工卡是公司员工的身份证明,所有进入华为公司的人员,在公司期间一律要正确佩戴相应的卡证。 工卡还有考勤、门禁验证等作用。 工卡不仅关系到公司形象及安全,还关系到员工本人的切身利益,一定要妥善保管。
公司信息安全方面的规定都有哪些?在哪里可以查到信息安全的有关管理规定?

网络安全部在参考国际安全标准BS7799和在顾问的帮助下,制订了一套比较完整的信息安全方面的管理规定,其中与普通员工关系密切的有《信息保密管理规定》、《个人计算机安全管理规定》、《信息交流管理规定》、《病毒防治管理规定》、《办公区域安全管理规定》、《网络连接管理规定》、《信息安全奖惩管理规定》、《计算机物理设备安全管理规定》、《开发测试环境管理规定》、《供应商/合作商接待管理办法》、《外部人员信息安全管理规定》、《会议信息安全管理规定》和《帐号和口令标准》等。
这些管理规定都汇总在《信息安全策略、标准和管理规定》(即《信息安全白皮书》)中,并且在不断的修改和完善之中。
在“IS Portal”上您可以查到公司信息安全相关的所有信息,如信息安全方面的规定、制度、操作手册、培训胶片、宣传材料和宣传案例等。
各体系细化的信息安全管理规定,可咨询本体系的信息安全专员。

作为一名普通员工,应该如何做才能够符合公司信息安全要求?

积极学习和遵守公司各类信息安全管理规定和安全措施,将遵守安全规定融入自己的日常工作行为中。
在工作中,要有强烈的信息安全和保密意识,要有职业的敏感性。
有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。

二、计算机的安全

口令设置

公司规定的口令设置最低标准是什么,每次更换口令,都不容易记住新口令,该怎么办?

普通用户(公司一般员工均为普通用户)设置口令的最低标准主要有以下几条:
(1)口令长度不能少于6位且必须包含字母
(2)口令至少应包含一个数字字符
另外,一个好的口令除了符合口令的最低标准外,最好还应包含大小写字母和特殊的字符。
设置简单的口令不安全,而复杂的口令又不容易记住。建议您用自己心中的一句话的拼音或英语语句的首个字母组合作为密码。如:就“我想去看2008奥运会”这一自己心中愿望的话,可以设置密码为WXqk2008ayh,或者用其他某段容易记住的字符串,稍加改造作为口令,如一个换过特殊字符的网站地址等,这样的口令非常好记,也非常难猜。

如果没有设置口令会带来哪些危害?

对系统不设口令就像银行存折没有密码一样,是非常危险的。
(1)如果不设开机口令,那么他人可轻松启动或重新启动系统,从而操作您的计算机,还可通过在CMOS中给机器设置开机口令,让您无法使用计算机;
(2) 便携机若不设硬盘口令,那么只要将您的硬盘接到别的计算机中,硬盘上所有资料就会一览无余的呈现出来;
(3)如果不设屏幕保护口令,当您离开时,其他人可以轻易的进入、使用您的计算机,将您的文件删除或发送出去;
(4)共享文件夹时如果不设口令,任何能够和您计算机相连的人不需授权,均可拿走你共享的资料。

软件安装

为了保证计算机安全,在第一次使用计算机时有哪几项安全措施需要立即完成?

(1)需要首先加入公司China域,登陆网址http://win2khelp.huawei.com/下载加入域的工具JoinDomain.exe。
(2)需要立即安装操作系统的安全补丁,可以从各地文件服务器指定路径下载,如总部路径为\lg-fsRootSoftwareSystem$Patch。
(3)需要立即安装Symantec防病毒软件,可以从各地文件服务器指定路径下载,如总部路径为\lg-fsRootSoftwareApplicationSystem ToolsSecurity$virus。
(4)需要马上设定屏幕保护程序,并启用密码保护, 注意等待时间不能大于10分钟。
(5) 设置开机口令,操作系统(administrator)口令,如果是便携机还应设置硬盘口令。
(6)设置Notes邮箱10分钟内自动锁定。
(7) 需安装SPES、ACC,可登陆网址http://spes.huawei.com/下载安装最新版SPES客户端软件;可登陆http://acc.huawei.com/下载安装最新版ACC客户端软件。
以上措施完成后,请运行ACC进行自检,保证没有红色违规项。如有疑惑,可以咨询IT hotline(Tel:+86-755-28560160)

什么是非标准软件?要使用非标准软件,应如何申请?

非标软件是针对标准软件来定义的,对于公司普通员工来说,凡是IT桌面标准、研发工具标准之外的软件均属于非标软件,如游戏、不含在IT及研发标准内的免费或自由软件、影响网络安全的工具软件等等。原则上非标软件不可以随便使用,若工作有需要,必须填写“IT资产申请”电子流,经审批后使用。对于涉及安全的工具软件,还需填写“IS Authority Application”中的“网络安全软件申请”电子流。

我自己购买了一套软件,想安装在公司的计算机上,不知是否可以?

不可以。常用办公软件在公司文件服务器上都有相应的安装软件,比如IE、Lotus Notes、Office 等等,需要安装时可直接连到办公所在地文件服务器上安装。不要安装自己购买的软件,因为:
(1)存在版权问题;
(2)购买的软件未经公司测试,不能保证可靠稳定运行和正常维护;
(3)更为严重的是,还可能因购买的软件中带有木马、病毒程序、软件留有后门等给公司网络安全带来隐患。

计算机维修/使用

计算机发生故障需要修理时,应该注意哪些事项?

员工应该要求维修人员尽量在公司内进行维修,并且监督整个维修过程。当维修人员需要将计算机带出公司维修时,为了防止泄密,一定要记得拆卸下硬盘,并存放在公司内的保密柜等安全的地方。

计算机使用方面应注意哪些事项?

(1)只有在因工作需要进行远程数据维护的时候,在保证物理上与公司的内部网络断开的情况下,经过部门二级主管和网络安全部批准后才能在办公区拨号上网。
(2)私自转借计算机可能造成泄密隐患,因此未经批准,员工不得转借计算机。
(3)对特殊存储设备及其介质(如USB)的使用,需要走“IS Authority Application”电子流申请。
(4)私自使用计算机进行刻录、扫描存在较大信息安全隐患,因此,刻录和扫描的需求须经审批后,由专人负责操作。
(5)公司配置给您的机器是公司的标准配置,未经批准,不得私自安装任何标准配置外的配件。

网络配置和使用

现在,也许你开始需要连入公司网络了。首先需要配置好网络,这时安全方面需要注意什么呢?

个人计算机的IP地址应设置为自动获取方式,不能擅自配置固定IP地址,否则可能引起网络冲突,影响公司网络的安全运行。
公司的网络标准协议为TCP/IP。公司办公网络不得启动除公司标准协议外的任何其他网络协议,如SPX/IPX、NETBIOS等。
禁止普通员工在公司办公网络严禁安装启动DNS、Wins、DHCP等网络服务。如果您的操作系统是WINDOWS SERVER或Unix等服务器操作系统,可要非常小心这一点呀!

网络设置好后,你就需要给您的计算机起一个名字,注意,可不能随便起,您知道计算机的命名规则吗?

公司的计算机非常多,为了便于管理和维护,公司要求计算机命名方式为:您的姓的第一位拼音字母 +工号。如果您管理多台计算机,请在工号后加A、 B 、C、 D ….

个人能够设置FTP、Wins等网络服务吗,为什么?

未经批准,不得私自设置WWW、FTP以及BBS、NEWS、DNS、Wins、DHCP等各种形式的网络服务,更不能在公司网络上运行任何攻击或破坏网络服务的软件。因为设置这类服务会对网络正常运行造成不良影响。
如确实业务需要,不接入公司大网(如,仅在实验室小网使用)同时不需要IT协助的服务申请,提交“IS Authority Application”电子流进行申请,其余服务的申请通过IT requirment流程申请。

三、人员安全

普通员工的职责

作为普通员工,我在信息安全中的职责是什么?

积极学习和遵守公司各类信息安全管理规定和安全措施,将遵守安全规定融入自己的日常工作行为中。
在工作中,要有强烈的信息安全和保密意识,要有职业的敏感性。有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他安全隐患的行为。

对于信息安全方面问题,应该向谁咨询或反馈?

您可以向直接向部门主管,信息安全专员咨询或反馈;还可以通过公司的IT热线(电话: +86-755-28560160,Notes: ithotline 12345,Email: ithotline@huawei.com)或信息安全问题受理电子流咨询或反馈。

管理者的责任

作为管理者,我在信息安全中的责任有哪些?

各级部门的一把手是本部门信息安全的第一责任人。
负责信息安全管理规定在本部门的推行和落实。
对本部门人员的违规事件承担领导责任。

各级主管应负责本部门哪些与信息安全相关的活动?

各级主管应负责本部门所有与信息安全相关的活动。具体有:确定各个资产、各个系统的管理员,使该管理员对该资产、系统的安全负责;在本部门内对员工进行培训、教育和宣传,使本部门每个员工都遵守公司的信息安全策略、标准和管理规定,报告信息安全隐患、漏洞或事故,树立主动保护公司信息资产的意识。

员工出差

在出差时,若需携带保密资料,应注意哪些事项?
应注意如下事项:
(1)非因公外出时绝对不能携带绝密资料。
(2)因公外出只允许携带工作相关文档,携带外出的保密资料需首先通过审批,在离开公司时出示经过审批的有效凭证;
(3)出差前请确认出差目的地的网络情况,如果完全无法接入网络,请确认便携机上使用RMS加密的Office文档至少在本机上打开过一次。
(4)绝密级别的资料在出差期间必须随身携带,妥善保管;
(5)一般情况下,乘坐飞机、火车等公共交通工具时,含有保密信息的便携机等移动存储设备需随身携带,不能托运(但若与当地法律法规冲突,则以当地法律法规为准);
(6)从酒店外出时,如确实无法随身携带,应将便携机、保密文件存放在保密柜中,不要交酒店前台保管;
(7)应做好访问控制的设置,如给便携机设置开机、屏保和硬盘口令等。

岗位调动

由于工作需要,在进行工作交接时,应注意哪些信息安全问题?

进行交接时,应注意做好以下几方面的工作:
(1)保密信息的移交和清理;
(2)应用系统帐号与权限的移交和清理;
(3)归还办公室、机房等的钥匙。

员工调动部门后,如何处理与新岗位工作职责无关的文档?

在工作交接完毕后,应及时、彻底地删除或销毁您仍持有的所有与新岗位工作无关的文档,删除或销毁的方式必须符合公司规定,如要使用碎纸机销毁含保密信息的纸件,而不能直接扔垃圾箱或用手撕毁等。 如在新岗位需继续保留原岗位保密信息,一定要经过保密信息所有人批准。

信息安全奖惩规定

信息安全奖励分为几个等级?具体的奖励办法是什么?

根据对公司信息安全的贡献大小,共分为三个等级。
一等奖: 举报泄密、窃密或其他严重损害公司利益事件的人员,根据具体情况给予2000元以上的奖励,并记入关键事件库。对举报人员只奖励,不公布。
二等奖: 勇于制止他人违规行为或及时向信息安全部反馈可能造成泄密、窃密或其他安全隐患的人员,给予500-1000 元的奖励,并记入关键事件库。
三等奖: 长期遵守信息安全管理规定的,在信息安全管理中一贯良好的部门或个人给予100-500元奖励,并记入关键事件库。

信息安全违规可分为哪几个等级?

对于触犯国家法律的,公司会移交国家司法机关依法处理。此外,则根据违规行为的后果、性质以及违规人的主观意愿,将违规行为分为如下四个等级:
一级:有意盗窃、泄露公司保密信息,或有意违反信息安全管理规定,性质严重造成重大损失。
二级:有意违反信息安全管理规定,性质严重或造成损失。
三级:无意违反信息安全管理规定,造成公司损失;或者有意违反信息安全管理规定,但性质不严重且没有造成严重损失。
四级:违反信息安全管理规定,性质较轻,没有造成公司损失。

常见违规行为

(1)常见四级违规

未经批准,安装非标准软件
未经批准,拷贝、保存工作无关的文档资料等
未经批准,在公司办公区域摄像、摄影
发送与工作无关文件(人数少,性质不严重)
没有安装、运行公司规定的防病毒软件,或未设置集中管理
没有设置屏保口令、开机口令、共享口令、硬盘口令(便携机)、Administrator口令
接待客人时,未按规定进行陪同

(2) 常见三级违规

未经批准,访问游戏站点
未经批准,拨号上Internet网
无意启动DHCP服务,影响公司网络正常运行
未经批准,转借信息系统帐号
未经批准,使用特殊存储设备
持有与本岗位无关的保密文档
非正当渠道获取或传递保密文档
未经批准,私自将公司保密文档或信息授予未经授权的任何其他人员(包括公司人员和非公司人员)
系统管理员未按公司规定设置相关系统的安全配置标准

(3) 常见二级违规

发送与工作无关连环邮件
访问不健康网站
系统管理员未经正常流程,私自授予系统权限
在公告栏发布与工作无关内容或造成泄密
未经允许,在各种媒体、公众场合发表与公司有关的评论或言论
未经批准,私自转借个人计算机
私自刻录文档
盗用他人帐号
非法收集大量与本岗位工作无关保密文档

(4) 常见一级违规

未经批准,系统管理员查看、传播公司业务敏感数据
编制或运行黑客程序
编制或传播病毒程序
攻击公司网络和信息系统
窃取、盗卖公司保密信息