华为内部信息安全管理(DOC)

1.新员工入职信息安全须知

新员工入职后，在信息安全方面有哪些注意事项？

接受“信息安全与保密意识”培训；

每年应至少参加一次信息安全网上考试；

办理员工卡；

签署劳动合同（含保密职责）；

根据部门和岗位的需要签署保密协议。

员工入职后，需要办理员工卡，员工卡的意义和用途是什么？

工卡是公司员工的身份证明，所有进入华为公司的人员，在公司期间一律要正确佩戴相应的卡证。工卡还有考勤、门禁验证等作用。工卡不仅关系到公司形象及安全，还关系到员工本人的切身利益，一定要妥善保管。

公司信息安全方面的规定都有哪些？在哪里可以查到信息安全的有关管理规定？

网络安全部在参考国际安全标准BS7799和在顾问的帮助下，制订了一套比较完整的信息安全方面的管理规定，其中与普通员工关系密切的有《信息保密管理规定》、《个人计算机安全管理规定》、《信息交流管理规定》、《病毒防治管理规定》、《办公区域安全管理规定》、《网络连接管理规定》、《信息安全奖惩管理规定》、《计算机物理设备安全管理规定》、《开发测试环境管理规定》、《供应商/合作商接待管理办法》、《外部人员信息安全管理规定》、《会议信息安全管理规定》和《帐号和口令标准》等。

这些管理规定都汇总在《信息安全策略、标准和管理规定》（即《信息安全白皮书》）中，并且在不断的修改和完善之中。

在“IS Portal”上您可以查到公司信息安全相关的所有信息，如信息安全方面的规定、制度、操作手册、培训胶片、宣传材料和宣传案例等。

各体系细化的信息安全管理规定，可咨询本体系的信息安全专员。

作为一名普通员工，应该如何做才能够符合公司信息安全要求？

积极学习和遵守公司各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中。

在工作中，要有强烈的信息安全和保密意识，要有职业的敏感性。

有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。

2.计算机的安全

口令设置

公司规定的口令设置最低标准是什么，每次更换口令，都不容易记住新口令，该怎么办？

普通用户（公司一般员工均为普通用户）设置口令的最低标准主要有以下几条：

(1)口令长度不能少于6位且必须包含字母

(2)口令至少应包含一个数字字符

另外，一个好的口令除了符合口令的最低标准外，最好还应包含大小写字母和特殊的字符。设置简单的口令不安全，而复杂的口令又不容易记住。建议您用自己心中的一句话的拼音或英语语句的首个字母组合作为密码。如：就“我想去看2008奥运会”这一自己心中愿望的话，可以设置密码为WXqk2008ayh，或者用其他某段容易记住的字符串，稍加改造作为口令，如一个换过特殊字符的网站地址等，这样的口令非常好记，也非常难猜。

如果没有设置口令会带来哪些危害？

对系统不设口令就像银行存折没有密码一样，是非常危险的。

(1)如果不设开机口令，那么他人可轻松启动或重新启动系统，从而操作您的计算机，还可通过在CMOS中给机器设置开机口令，让您无法使用计算机；

(2) 便携机若不设硬盘口令，那么只要将您的硬盘接到别的计算机中，硬盘上所有资料就会一览无余的呈现出来；

(3)如果不设屏幕保护口令，当您离开时，其他人可以轻易的进入、使用您的计算机，将您的文件删除或发送出去；

(4)共享文件夹时如果不设口令，任何能够和您计算机相连的人不需授权，均可拿走你共享的资料。

软件安装

为了保证计算机安全，在第一次使用计算机时有哪几项安全措施需要立即完成？

(1)需要首先加入公司China域，登陆网址https://www.360docs.net/doc/b92846721.html,/下载加入域的工具JoinDomain.exe。

(2)需要立即安装操作系统的安全补丁，可以从各地文件服务器指定路径下载，如总部路径为\\lg-fs\Root\Software\System\$Patch。

(3)需要立即安装Symantec防病毒软件，可以从各地文件服务器指定路径下载，如总部路径为\\lg-fs\Root\Software\Application\System Tools\Security\$virus。

(4)需要马上设定屏幕保护程序，并启用密码保护，注意等待时间不能大于10分钟。

(5) 设置开机口令，操作系统（administrator）口令，如果是便携机还应设置硬盘口令。

(6)设置Notes邮箱10分钟内自动锁定。

(7) 需安装SPES、ACC，可登陆网址https://www.360docs.net/doc/b92846721.html,/下载安装最新版SPES客户端软件；可登陆https://www.360docs.net/doc/b92846721.html,/下载安装最新版ACC客户端软件。

以上措施完成后，请运行ACC进行自检，保证没有红色违规项。如有疑惑，可以咨询IT hotline （Tel：+86-755-28560160）

什么是非标准软件？要使用非标准软件，应如何申请？

非标软件是针对标准软件来定义的，对于公司普通员工来说，凡是IT桌面标准、研发工具标准之外的软件均属于非标软件，如游戏、不含在IT及研发标准内的免费或自由软件、影响网络安全的工具软件等等。原则上非标软件不可以随便使用，若工作有需要，必须填写“IT 资产申请”电子流，经审批后使用。对于涉及安全的工具软件，还需填写“IS Authority Application”中的“网络安全软件申请”电子流。

我自己购买了一套软件，想安装在公司的计算机上，不知是否可以？

不可以。常用办公软件在公司文件服务器上都有相应的安装软件，比如IE、Lotus Notes、Office 等等，需要安装时可直接连到办公所在地文件服务器上安装。不要安装自己购买的软件，因为：

(1)存在版权问题；

(2)购买的软件未经公司测试，不能保证可靠稳定运行和正常维护；

(3)更为严重的是，还可能因购买的软件中带有木马、病毒程序、软件留有后门等给公司网络安全带来隐患。

计算机维修/使用

计算机发生故障需要修理时，应该注意哪些事项?

员工应该要求维修人员尽量在公司内进行维修，并且监督整个维修过程。当维修人员需要将计算机带出公司维修时，为了防止泄密，一定要记得拆卸下硬盘，并存放在公司内的保密柜等安全的地方。

计算机使用方面应注意哪些事项？

(1)只有在因工作需要进行远程数据维护的时候，在保证物理上与公司的内部网络断开的情况下，经过部门二级主管和网络安全部批准后才能在办公区拨号上网。

(2)私自转借计算机可能造成泄密隐患，因此未经批准，员工不得转借计算机。

(3)对特殊存储设备及其介质（如USB）的使用，需要走“IS Authority Application”电子流申请。

(4)私自使用计算机进行刻录、扫描存在较大信息安全隐患，因此，刻录和扫描的需求须经审批后，由专人负责操作。

(5)公司配置给您的机器是公司的标准配置，未经批准，不得私自安装任何标准配置外的配件。

网络配置和使用

现在，也许你开始需要连入公司网络了。首先需要配置好网络，这时安全方面需要注意什么

呢？

个人计算机的IP地址应设置为自动获取方式，不能擅自配置固定IP地址，否则可能引起网络冲突，影响公司网络的安全运行。

公司的网络标准协议为TCP/IP。公司办公网络不得启动除公司标准协议外的任何其他网络协议，如SPX/IPX、NETBIOS等。

禁止普通员工在公司办公网络严禁安装启动DNS、Wins、DHCP等网络服务。如果您的操作系统是WINDOWS SERVER或Unix等服务器操作系统，可要非常小心这一点呀！

网络设置好后，你就需要给您的计算机起一个名字，注意，可不能随便起，您知道计算机的命名规则吗？

公司的计算机非常多，为了便于管理和维护，公司要求计算机命名方式为：您的姓的第一位拼音字母+工号。如果您管理多台计算机，请在工号后加A、B 、C、D ….

个人能够设置FTP、Wins等网络服务吗，为什么？

未经批准，不得私自设置WWW、FTP以及BBS、NEWS、DNS、Wins、DHCP等各种形式的网络服务，更不能在公司网络上运行任何攻击或破坏网络服务的软件。因为设置这类服务会对网络正常运行造成不良影响。

如确实业务需要，不接入公司大网（如，仅在实验室小网使用）同时不需要IT协助的服务申请，提交“IS Authority Application”电子流进行申请，其余服务的申请通过IT requirment 流程申请。

3.人员安全

普通员工的职责

作为普通员工，我在信息安全中的职责是什么？

积极学习和遵守公司各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中。

在工作中，要有强烈的信息安全和保密意识，要有职业的敏感性。有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他安全隐患的行为。

对于信息安全方面问题，应该向谁咨询或反馈？

您可以向直接向部门主管，信息安全专员咨询或反馈；还可以通过公司的IT热线（电话: +86-755-28560160，Notes: ithotline 12345，Email: ithotline@https://www.360docs.net/doc/b92846721.html,）或信息安全问题受理电子流咨询或反馈。

管理者的责任

作为管理者，我在信息安全中的责任有哪些？

各级部门的一把手是本部门信息安全的第一责任人。

负责信息安全管理规定在本部门的推行和落实。

对本部门人员的违规事件承担领导责任。

各级主管应负责本部门哪些与信息安全相关的活动？

各级主管应负责本部门所有与信息安全相关的活动。具体有：确定各个资产、各个系统的管理员，使该管理员对该资产、系统的安全负责；在本部门内对员工进行培训、教育和宣传，使本部门每个员工都遵守公司的信息安全策略、标准和管理规定，报告信息安全隐患、漏洞或事故，树立主动保护公司信息资产的意识。

员工出差

在出差时，若需携带保密资料，应注意哪些事项？

应注意如下事项：

(1)非因公外出时绝对不能携带绝密资料。

(2)因公外出只允许携带工作相关文档，携带外出的保密资料需首先通过审批，在离开公司时出示经过审批的有效凭证；

(3)出差前请确认出差目的地的网络情况，如果完全无法接入网络，请确认便携机上使用RMS 加密的Office文档至少在本机上打开过一次。

(4)绝密级别的资料在出差期间必须随身携带，妥善保管；

(5)一般情况下，乘坐飞机、火车等公共交通工具时，含有保密信息的便携机等移动存储设备需随身携带，不能托运（但若与当地法律法规冲突，则以当地法律法规为准）；

(6)从酒店外出时，如确实无法随身携带，应将便携机、保密文件存放在保密柜中，不要交酒店前台保管；

(7)应做好访问控制的设置，如给便携机设置开机、屏保和硬盘口令等。

岗位调动

由于工作需要，在进行工作交接时，应注意哪些信息安全问题？

进行交接时，应注意做好以下几方面的工作：

(1)保密信息的移交和清理；

(2)应用系统帐号与权限的移交和清理；

(3)归还办公室、机房等的钥匙。

员工调动部门后，如何处理与新岗位工作职责无关的文档？

在工作交接完毕后，应及时、彻底地删除或销毁您仍持有的所有与新岗位工作无关的文档，删除或销毁的方式必须符合公司规定，如要使用碎纸机销毁含保密信息的纸件，而不能直接

扔垃圾箱或用手撕毁等。如在新岗位需继续保留原岗位保密信息，一定要经过保密信息所有人批准。

信息安全奖惩规定

信息安全奖励分为几个等级？具体的奖励办法是什么？

根据对公司信息安全的贡献大小，共分为三个等级。

一等奖：举报泄密、窃密或其他严重损害公司利益事件的人员，根据具体情况给予2000元以上的奖励，并记入关键事件库。对举报人员只奖励，不公布。

二等奖：勇于制止他人违规行为或及时向信息安全部反馈可能造成泄密、窃密或其他安全隐患的人员，给予500-1000 元的奖励，并记入关键事件库。

三等奖：长期遵守信息安全管理规定的，在信息安全管理中一贯良好的部门或个人给予100-500元奖励，并记入关键事件库。

信息安全违规可分为哪几个等级？

对于触犯国家法律的，公司会移交国家司法机关依法处理。此外，则根据违规行为的后果、性质以及违规人的主观意愿，将违规行为分为如下四个等级：

一级：有意盗窃、泄露公司保密信息，或有意违反信息安全管理规定，性质严重造成重大损失。

二级：有意违反信息安全管理规定，性质严重或造成损失。

三级：无意违反信息安全管理规定，造成公司损失；或者有意违反信息安全管理规定，但性质不严重且没有造成严重损失。

四级：违反信息安全管理规定，性质较轻，没有造成公司损失。

常见违规行为

（1）常见四级违规

未经批准，安装非标准软件

未经批准，拷贝、保存工作无关的文档资料等

未经批准，在公司办公区域摄像、摄影

发送与工作无关文件(人数少,性质不严重)

没有安装、运行公司规定的防病毒软件，或未设置集中管理

没有设置屏保口令、开机口令、共享口令、硬盘口令（便携机）、Administrator口令

接待客人时，未按规定进行陪同

（2）常见三级违规

未经批准，访问游戏站点

未经批准，拨号上Internet网

无意启动DHCP服务，影响公司网络正常运行

未经批准，转借信息系统帐号

未经批准，使用特殊存储设备

持有与本岗位无关的保密文档

非正当渠道获取或传递保密文档

未经批准，私自将公司保密文档或信息授予未经授权的任何其他人员（包括公司人员和非公司人员）

系统管理员未按公司规定设置相关系统的安全配置标准

（3）常见二级违规

发送与工作无关连环邮件

访问不健康网站

系统管理员未经正常流程，私自授予系统权限

在公告栏发布与工作无关内容或造成泄密

未经允许，在各种媒体、公众场合发表与公司有关的评论或言论

未经批准，私自转借个人计算机

私自刻录文档

盗用他人帐号

非法收集大量与本岗位工作无关保密文档

（4）常见一级违规

未经批准，系统管理员查看、传播公司业务敏感数据

编制或运行黑客程序

编制或传播病毒程序

攻击公司网络和信息系统

窃取、盗卖公司保密信息

4.文档保密

信息保密相关的基本原则和定义

访问保密信息有哪些基本原则？如何理解这些原则？

有三项基本原则：最小授权原则、审批受控原则、工作相关原则。

(1)最小授权原则：就是授予的权限刚好满足员工的工作需要。

(2)审批受控原则：就是要严格控制信息的传递过程和扩散范围，保证做到“先审批，再获取；先登记，再传递”。

(3)工作相关原则：要求每一位员工只能查阅与本人工作有关的文档，严禁员工私自收集、保存与自己工作无关的文档。

对公司来说，哪些信息属保密信息？

公司对于信息从保密性的维度分为两大类：公开信息和保密信息，既包括公司内部业务运作过程中产生的信息，也包括客户、供应商、国家政府机关等相关方提供给公司的信息。(1)公开信息指可对公司外公开发布的信息，如：公司对外的相关宣传资料、产品介绍资料等。

(2)保密信息指仅可在一定范围内发布的信息，如果泄漏，可能给公司或相关方造成损失和不良影响。

华为公司的保密信息是怎样进行密级划分的？

保密信息根据其价值、内容的敏感程度、影响及发放范围不同，划分为绝密、机密、秘密、内部公开等四个级别。

“绝密”信息是指包含公司最重要和最敏感的信息，关系公司未来发展的前途和命运，对公司根本利益有着决定性影响的保密信息。例如公司的年度预算方案、服务销售费用预算等文件。

“机密”信息是指包含公司的重要秘密，其泄露会使公司的安全和利益遭受严重损害的保密信息。例如，客户投资计划、第三方咨询报告、未发布的任命文件等。

“秘密”信息是指包含公司一般性信息，其泄露会使公司的安全和利益受到损害的保密信息。例如，供应商选择评估标准、部门审计报告、部门招聘计划等文件。

“内部公开”信息是指仅在公司内部或在公司某一部门内部公开，向外扩散有可能对公司的利益造成损害的保密信息。例如，用户操作手册、已发布的任命文件、一般部门的例会纪要、友商公开信息等。

谁是“信息所有人”？

公司按信息密级划分的信息所有人分别如下：

绝密信息所有人是信息所属一级部门及以上主管；

机密信息所有人是信息所属二级部门及以上主管；

内部公开、秘密信息所有人是信息所属三级部门及以上主管。

密级的标识和分类

什么时候需要确定文档的密级标识？

当您初步完成一篇文档，并准备将文档传递给主管或同事进行评审、修订时，这时就应确定文档的密级。

初步确定文档密级时，您可以先参考“信息资产密级管理”数据库中对同类文档的密级分类，可以根据同类文档的密级分类来初步确定文档的密级。如新拟制的文档在该数据库中找不到同类的文档供参考，您可根据文档涉及内容的价值、敏感程度确定一个初步的密级。

保密文档由拟制人初步判定其密级后，提交相应信息所有人进行密级确认。关于信息所有人的定义，请参考4.1.4节。

在日常工作中如何标识文档密级？

(1)对于Office文档，公司要求每位员工都使用公司提供的模板创建文档，创建后根据内容在页眉处添加正确的密级。

(2)对于打印资料，每一页都需要有明确的密级标识；

(3)对于装订的硬拷贝资料，需至少在开启前页、标题页和尾页上放置资料密级标签；

(4)对于印刷的、手写的保密敏感信息需要在其某个醒目地方设置保密标签；

(5)电子文档和纸件文档，均需注明“华为机密，未经许可不得扩散”或类似字样。

文档的使用和交流

公司内部文档传递中有哪些保密要求和注意事项？

公司规定，公司内部的所有绝密、机密和秘密级文档是要求加密的。对于内部公开级文档，各业务部门可根据实际业务情况决定是否需要加密。对于Office类保密文档，需要使用RMS 进行加密，在无法使用RMS加密的情况下，需使用WinRar压缩加密，机密以上文档必须采用双重加密（文档本身加密+WinRar压缩加密），两个密码不能相同，密码设置须符合公司《帐号和口令标准》（特别对于销售与服务体系，密码位数必须大于10位，且由特殊字符、大小写字母、数字混合组成。另外，密码第一位须为特殊字符。所设定的密码禁止使用短信或邮件传递，仅允许通过电话语音通知）。非Office类的保密文档，需使用其它方式进行加密，例如winrar等。所设定的密码禁止使用短信或邮件传递，只能通过电话语音通知。传送含保密信息的纸件时，一定要用质量好的信封等进行封装，并且只能发给收件人本人或其机要秘书，同时做好传送记录。

另外，不能使用手机短信发送机密或机密级以上的保密信息。

我可以将经过正常授权获得的保密文档提供给其他同事吗？

不可以。

公司规定，未经信息所有人批准，员工无权将自己所获得的保密信息再授权或提供给他人。因为经过授权后，您是信息的合法使用人，而不是信息所有人。经授权获得保密信息的人员也不能私下与他人交流该保密信息。

对不用的保密信息应如何销毁？

对作废的、或者已无权再接触的保密信息要删除和销毁，删除和销毁原始保密信息应征得相应主管同意。对纸件、电子件、存储有保密信息的存储介质销毁时的注意事项如下：

(1)纸件：含保密信息的纸件必须用碎纸机销毁，而不能直接扔垃圾箱或用手撕毁；含秘密级以上信息的纸件不能重复使用。

(2)电子件：删除后注意清空垃圾箱。

(3)存储有保密信息的存储介质：存储有保密信息的存储介质作废时，应采取不能恢复的物理性销毁：如将硬盘送到我司指定地方进行碾轧或消磁等；在计算机转移给公司其他员工前，要对硬盘进行格式化；在计算机转移到公司之外（如超过规定使用年限的便携机转移给个人）前，要对硬盘进行低级格式化。

员工调动部门后，如何处理与新岗位工作职责无关的文档？

在工作交接完毕后，应及时、彻底地删除或销毁您仍持有的所有与新岗位工作无关的文档，删除或销毁的方式必须符合公司规定，如要使用碎纸机销毁含保密信息的纸件，而不能直接扔垃圾箱或用手撕毁等。如在新岗位需继续保留原岗位保密信息，一定要经过保密信息所有人批准。

5.应用系统使用

Notes/Email/Proxy系统

我要用Notes发送秘密级以上（含秘密）邮件，需要采取哪些安全措施？

在发送秘密级以上信息时，为了防止泄密，员工必须采取邮件加密发送的方式，并设置回执（可以从自己收到的回执查看接收并阅读邮件的人）。

我是否可以发送群组邮件？如果业务需要向多人发送邮件，我应如何做？

按照公司规定，未经批准，员工不可以使用群组发送邮件。

在特殊情况下，由于工作需要发送群组邮件，员工必须首先确定群组的每个人都是自己要发送邮件的接收人，然后经过部门主管批准，才可以使用群组发送邮件。具体要求可参考《Notes 群组管理规定》。

使用Email发送保密邮件时，应该采取什么安全措施？

发往公司内部的Email保密邮件及其Office文档类保密附件，须使用RMS加密。发给公司外部人员的邮件，如客户、供应商等，可以不用RMS加密，但须使用其它方式加密，如Winrar或Office自带的加密功能，密码可单独通过电话等方式通知。

现在Email上的病毒越来越多，我应该采取哪些措施来预防呢？

在收到来历不明的邮件时，请不要打开，直接删除即可。因为目前大多数病毒和黑客软件就是通过邮件传播的。

一些病毒程序，甚至你没有打开邮件内容，只要把焦点移到邮件标题上就会执行，因此，请记住不要设置“自动预览/预览窗口”的功能。取消的方法是，在Outlook的“视图”菜单中点击“自动预览”取消此功能。

我经常收到一些广告邮件、无聊的垃圾邮件，如何防范垃圾邮件呢？

由于外面有人专门收集Email地址出售，所以您的Email地址可能被列入其他人的邮件列表，经常会收到别人发的广告邮件和其它垃圾邮件。为避免接收到这些垃圾邮件，用户可以在客户端设置禁止接收特定内容的Email（目前服务器端可以过滤部分垃圾邮件）。方法如下：在Outlook中，先选中不想再接收发件人发送的邮件，然后选择菜单“动作”，在选项“垃

圾邮件”中选择“将发件人添加到‘阻止发件人名单’”即可。

也可以转发垃圾邮件到antispam@https://www.360docs.net/doc/b92846721.html,，由系统拦截。

方法如下：

(1) Microsoft Outlook Express用户

a. 选中收到的垃圾邮件。

b. 单击右键，选择做为附件转发，您将会主题栏下看到一件附件。

c. 填写收件人：antispam@https://www.360docs.net/doc/b92846721.html,。

d. 发送邮件。如果提示主题为空，点击“确定”即可。

(2) Foxmail用户

在Foxmail中选中（可以按住Ctrl键多选）垃圾邮件，将其拖至桌面或一个文件夹，这些垃圾邮件会以一封一封邮件文件的形式保存的。然后，将这些保存的垃圾邮件作为附件发送到antispam@https://www.360docs.net/doc/b92846721.html,。

(3)Outlook 反馈方式（以下方法才可以保留邮件头，有效更新规则）：

a、在桌面新建一个Spam文件夹；

b、请您使用Ctrl选中多个垃圾邮件后，拖到Spam文件夹中；

c、将这些spam文件夹打包成压缩包文件spam.rar ；

d、将spam.rar作为附件通过Outlook反馈到antispam@https://www.360docs.net/doc/b92846721.html,。

岗位变化后，能否继续使用以前申请的Proxy帐号？

通过邮件征得新部门主管（同申请时审批者级别）同意后，方可继续使用以前申请的Proxy 帐号。

访问外部网站应注意哪些问题？

公司为部分员工开通Proxy权限，目的是为员工从网上收集对工作有用资料、了解与工作有关的行业信息等提供方便。

在访问过程中，应注意：不能利用Proxy访问与工作无关的网站和内容，更不能从网上下载游戏、黑客工具等内容。特别强调一点，不要通过Proxy访问个人外部邮箱。

我能否在公司内登录到外网邮箱（如网易、SOHU等）收发邮件？

公司禁止员工访问公司以外的邮箱。

6.物理安全

环境安全

秘书告诉我下班离开前做好“五关”，我想知道“五关”具体是指什么?

五关是指：关门、关窗、关空调、关灯、关计算机，做好“五关”是保证办公环境安全的基本要求之一。

办公安全

在办公桌面安全上我应该注意什么？

下班或离开办公桌10分钟以上，应关闭或锁定计算机。桌面上不能放有秘密级以上文件。秘密级以上文件应放在带锁抽屉或保密柜内。

会议安全

在公司内部开会，需要注意哪些安全问题？

(1)开会前，需要确保选取的会议室和开会内容的安全级相匹配。例如：召开部门例会，可以选取部门公用会议室。

(2)会议结束后，要带走相关的会议资料，同时清理会议室场所（包括相关机器设备上的电子件材料、白板上的板书信息、纸件材料等），保证会议信息的保密不泄漏和会议室使用后的整洁。

什么情况下允许在公司外部开会？审批流程以及注意事项是什么？

如果是特别保密或敏感的会议建议在公司内的会议室召开。特殊情况下（比如时间和空间条件限制、会议与会者的情况限制等）才可以在公司外部场所召开会议，召开之前需要得到会议组织部门领导的批准。相关的注意事项是：

(1)会议召集人负责会议的信息安全。在会议前就应明确与会者名单；开会时确定与会者的身份及其参会资格，比如，要求与会者佩戴工卡并核对签到等；会议期间，会场的出入口应有专人看守；确认除主入口外，其他入口已经关闭或是有专人看守。

(2)每位与会者应自觉将会议资料保管好，不得在离开会议现场时随意将其放置在桌面上或是在人离开后放置在宾馆房间里，更不能将保密资料随手丢到酒店的垃圾筐内。

(3)如果需要录音、录相或者拍照等，需要经过会议组织部门领导批准。

对于电话会议，还需要注意什么？

(1)召开电话会议时，电话会议的会议ID和密码等信息，一般情况下需要通过公司的信息系统（Notes系统、Email系统等）发送，不能通过手机短信方式发送。如果情况比较紧急或特殊，请通过点对点的电话方式告知。电话会议接入信息只能发送给相关的与会人员。(2)接入电话会议的人员，应到专用会议室接入会议系统；如条件限制需在开放办公区接入电话会议，应注意不要启用电话的免提功能。

(3)特别地，对于销售与服务体系，机密级以上的电话会议要求使用主叫呼出的安全电话会议系统（接入码285-60789）。使用其他2个系统（287-80999和285-60888）时，电话会议的会议ID和密码等信息，必须分不同的方式发送，密码只能通过电话语音通知，不能采用手机短信方式发送；或可以采用附件方式通过邮件发送，附件必须为OFFICE文档的RMS 授权加密方式。如果情况比较紧急或特殊，可通过点对点的电话方式告知。

网络安全

网络连接安全

所有计算机都必须安装SPES才能接入公司网络吗？Unix平台的机器怎么办？

所有需要接入公司网络访问公司应用的Windows平台的客户端设备都需要安装SPES，包括但不限于公司内部人员管理的客户端设备、外包人员使用设备、供应商提供测试设备、顾问或临时来访人员使用设备。

非Windows平台的设备不需要安装，但需要申请固定IP并通过审批才能保证策略实施后正常接入公司网络。

个人能够设置FTP、Wins等网络服务吗，为什么？

出差到办事处，需要在宾馆上网，需要注意什么来保证个人便携机的安全？

对于便携机的安全，一般从下面几个方面防范：

(1)安装和使用公司指定的个人防火墙，在外出差启动便携机时，也要把个人防火墙启动。个人防火墙策略在通过公司指定的服务器下载安装时已经配置好，个人不需要也不能改动个人防火墙策略。

(2)使用便携机收发电子邮件的附件时，下载和打开前要使用杀毒软件先杀毒。

(3)通过便携机访问公司Email系统时，网址输入格式推荐使用https代替http。

我是全球技术服务部工程师，需要填写研发的需求承诺电子流，这个电子流放在研发区，我不能访问该如何办？

需要填写“NC帐号申请”电子流申请NC帐号，然后就可以使用NC服务器进行这类业务的操作。

是否可以在公司的办公区使用无线上网服务？

公司所有办公区域目前没有开通无线上网服务。所以，在公司相关办公区域不能无线上网，如果有业务需要，请使用公司的有线网络服务。

我因工作需要通过MODEM、ISDN等连接到外部网络，应该怎么做？

首先需要通过”IS Authority Application”电子流提交申请，获取MODEM、ISDN等服务权限，没有经过批准不能私自使用MODEM、ISDN等服务。

获得MODEM、ISDN等网络连接批准后，在与外网连接前需要确保相关的机器和公司网络是断开的。因为如果您的计算机同时连到公司网络和外部网络，外部网络上的人员很可能通过您的机算计访问公司内部网络，这样会对公司网络带来很大的安全隐患，所以禁止在个人计算机与内部网络连接的情况下与外部网络通信。

如果在出差期间需要通过外网访问公司的相关系统和服务器时（比如Notes、Email等系统），应该怎么办？公司VPN服务能够解决此类需求吗？

通过使用VPN网络可以满足此业务需求：

但出差前你需要提交“Token 管理电子流”申请Token卡并在便携机上安装checkpoint客户端软件；这样出差时你就可以从外网通过VPN访问公司资源了。此时您只需要运行checkpoint软件，输入静态密码和Token卡产生的动态密码，通过验证以后，您就可以像在内网上一样使用公司的相关应用和服务了。

特别提示，公司禁止员工在处理工作邮件时使用公网上提供的免费邮箱，在外出差或者公干时也要求员工使用公司提供的邮箱；在访问公司的Webmail系统时，网址输入采用https形式，这样在信息传递时增加了一层加密保护的功能。

7.接待、对外合作和信息交流

对外接待和陪同

谁负责外部人员在公司的信息安全管理工作？

根据公司的信息安全管理策略，外部人员所服务或进行合作的接口部门的主管或项目经理应该总体负责外部人员的信息安全管理工作。

我被部门指派陪同非公司人员，应注意些什么？

作为接口人，或说接待人，您引领供应商/合作商等人员进入特定公司区域，需经主管该区域的部门负责人批准。供应商/合作商在上述区域活动时，您应全程陪同。

来访人员携带便携机时，如不需要使用，您可协助其将便携机存放于门卫处；如需携带便携机进入公司，您应注意不让来访人员独自在办公区域使用便携机。此外您还应注意，供应商/合作商只能在经批准的办公区域进行本次业务相关的活动。

因工作需要，向公司外人员发送保密信息有哪些注意事项？

(1)向外部提供文档资料时，应遵照《信息保密管理规定》，首先获得接口部门主管许可，然后向信息owner部门申请:

(2)发送的资料要加密，以防止保密信息泄密；发送绝密、机密级文件，发送的方式范围、对象需经过信息所有人审批；

(3)保密信息必须加密发送并设置回执，如：口令、研究报告、开发信息和其他的敏感数据；

需事先与接收方签署保密协议。

信息交流

作为接待人员，对外接待交流中需要注意哪些信息安全事项？

(1) 接待人员不应向供应商/合作商透露业务范围之外的公司技术、商务情况，不随意承诺，不在授权范围之外行事, 已经承诺和双方达成意向的事宜应当做正式记录。

(2) 供应商/合作商需要查看公司文档、资料，按如下优先顺序提供: 查阅(不借)->纸件借阅->电子档借阅。

(3) 向供应商/合作商提供含有公司保密信息的文件、资料或实物的，接待人应获得部门主管批准，并与供应商/合作商签订保密协议后再行提供。

对外商务活动中，移动电话的使用有哪些安全注意事项？

(1)不能在电梯、汽车、餐厅、酒店大堂等公共场所接听重要电话，必须接听时请到相对空旷或不易被窃听的地方；

(2)销服员工在商谈重要的商务问题时尽可能使用随机的固定电话，不能使用本人名片上的移动电话和固定电话，若必须使用移动电话，则必须使用临时购买的预付费卡。

签署保密协议

哪些情况需要对外签署保密协议？

华为公司与其他公司或个人之间在合作、雇佣、技术支持等有可能接触公司的保密信息时需要签署保密协议。

对外签署保密协议有哪些注意事项？

(1)保密协议应首先使用公司模板，可从“法务之窗”Notes库获取。

(2)必须签署原件保密协议。在紧急情况下可以先签署复印件、传真件，后补签原件；

(3)英文保密协议一般不需盖章，只需签字，中文保密协议一般需签字盖章；

(4)盖章时应盖法人章或保密协议专用章，不应盖部门章。

若与对方的合同中已有保密相关的内容，是否可以不再与对方单独签订保密协议？

合同中有关保密的内容大多是框架性的。实际作业中信息不同，保密条款中的要求会有所不同，可能需要进一步细化。要根据具体情况区分对待，不是说合同里签了就不用签了，有些可能是签附加条款，有些应该再签单独的保密协议。签署保密协议方面的问题，可咨询法务部。

8.研发信息安全

研发网络与非研发网络隔离

什么是研发工作区？研发工作区包含哪些区域？

研发工作区：有明确的物理边界，贯彻和实施了研发信息安全政策的工作区域。

研发工作区包括深圳科研中心（F1、F3、F4、F5、中试中心）、华电研发工作区、南京研究所研发工作区、上海研究所研发工作区、北京研究所研发工作区、西安研究所研发工作区、成都研究所研发工作区、杭州研究所研发工作区等研发办公场地。具体研发工作区清单参见网络安全部维护与公布的“IS Policy, Standard & Regulation”数据库中的《最新研发工作区清单》。

研发区和非研发区之间不能直接实现文件共享，如果文件共享，怎么办？

分为两种情况：

1）数据从研发传递到其他工作区

小于10M的文档可以通过Notes Mail直接发送；大于10M的文档可以在“研发便携＆文档外出管理”数据库中填写“公司内异地传输”申请，审批通过后，通过FTP服务器进行传送。

2）数据从非研发传递到研发区

小于10M的文档可以通过Notes Mail直接发送；大于10M的文档可以通过公司的FTP服务器进行传送或者通过Bigmail数据库进行传送。

可通过“IS Authority Application”中的“（非研发）FTP帐号申请”电子流申请FTP帐号。

研发工作区的应用，公司非研发区无法访问；公司非研发的应用，研发工作区无法访问。如果需要全公司的都需要访问，这个问题怎么解决？

由于研发工作区和公司其他工作区网络都可以访问数据中心通用区，所以全公司访问的服务器/应用可申请搬迁到数据中心。服务器/应用搬迁到通用区的需求由信息所属部门通过IT Requirement Application提交需求。

我是非研发员工，如果到研发区办公，无法访问我的非研发Notes邮箱，该怎么办？

由于在研发区是不允许访问非研发的Notes服务器的，因此非研发员工如果因工作需要到研发区办公，在办公位变动之前，需要填写“IT Service Application”中的“Notes邮箱搬迁”将您的Notes邮箱从非研发区服务器迁移到研发区服务器上。

注意：邮箱搬迁到新服务器后，原先旧服务器上的邮件不会同步搬迁过来，因此搬迁之前需要先将服务器上的邮件下载到本地。

我是研发员工，到海外代表处出差，我该怎么访问Notes？

由于实施研发/非研发网络隔离，海外代表处属于非研发区，无法直接访问研发Notes邮箱和研发Notes应用数据库。

您可以出差之前申请NC帐户（在“IS Authority Application”数据库中填写“NC帐号申请”），通过NC来访问您的研发Notes邮箱与研发Notes应用。

对于Notes邮箱，除通过NC可以访问外，也可以在出差之前将您的Notes邮箱从研发区服务器搬迁（填写“IT Service Application”中的“Notes邮箱搬迁”）至海外代表处当地区域数据中心非研发的服务器上。优点是访问Notes邮箱速度快，缺点是出差结束后需要考虑将出差期间的邮件拷贝到个人PC机上。

研发信息安全问题求助渠道

(1)发邮件给Public IS/huawei，会有专人处理回答您的疑问。

(2)可以联系本部门信息安全专员。

(3)访问Notes数据库“研发信息安全工作平台”获取帮助。

9.离职

离开公司前为什么需要与公司签署保密承诺？

员工离职前，公司有相应的离职流程收回员工拥有的相关信息系统和资源的访问使用权限，同时公司也相信绝大多数员工是遵纪守法的。但是，为防止少数人泄漏华为公司的重要信息，防止离职人员在规定期限未满就到公司竞争对手处工作或间接工作，于是需要与离职员工签署竞业保密承诺。

离职员工有哪些保密责任？

华为员工在其离职两年内仍要按照进公司时签订的合同，承担下列保密责任，否则将承担违约的民事或刑事责任：

(1)不带走从华为公司获取的任何资料，包括但不限于记载于纸件或胶片上的文档、文件、图表、目录，存储于磁盘、光盘上的软件、程序等。

(2)离职后两年内不得到与华为公司有竞业关系的公司从事与在华为公司工作期间工作性质相同或者相似的工作。

(3)未经华为公司书面同意，不向任何单位和个人透露或使用在华为公司就职期间获得的商业秘密，包括技术秘密、商务秘密、财务秘密、管理秘密以及其它经营秘密。

附录一：常用信息安全IT系统说明

1 IS Portal

为了帮助公司员工更多地了解公司信息安全规定、管理体系，降低无意违规的发生频率，加强公司员工的信息安全保密意识。网络安全部建立了IS Portal（SZXAP18-DS）数据库。初

始界面如图所示：

2常用信息安全电子流、数据库索引

IS Policy, Standard & Regulation………SZXAP17-DS服务器

IS Authority Application………………SZXAP18-DS服务器

信息资产密级管理………………………SZXAP01-DS服务器

信息安全问题受理………………………SZXAP71-DS服务器

员工个人诚信档案……………………………SZXAP15-DS服务器

保密业务电子流…………………………………rnd-apps服务器

IT Requirement Application………………SZXAP16-DS服务器

IT Service Application……………………SZXAP74-DS服务器

IT热线专栏………………………………dnp-app3服务器

IT资产申请………………………………SZXAP01-DS服务器

华为卡证门禁……………………………SZXAP77-DS服务器

(研发)文档查阅………………………………HW-TF-APP服务器

研发便携&文档外出管理………………SZXUC05-DS服务器

以上信息如有变化，请以“应用信息分布”（SZXUA05-DS）查询的最新数据为准。

3公司内部常用信息安全工具索引

SPES………………………………… https://www.360docs.net/doc/b92846721.html, ACC…………………………………… https://www.360docs.net/doc/b92846721.html, RMS……………………………… https://www.360docs.net/doc/b92846721.html,

Symantec AntiVirus……… https://www.360docs.net/doc/b92846721.html,

Anti-Spyware……………………… https://www.360docs.net/doc/b92846721.html, NC………………………………… https://www.360docs.net/doc/b92846721.html,

附录二：公司信息安全体系及职责说明

1公司信息安全监管委员会工作职责：

1.1审查和核准信息安全总体策略，对重大问题达成共识；

1.2审核批准重大的信息安全建设方案；

1.3在整个组织中增加对信息安全工作的领导力度；

1.4对紧急重大安全事故进行响应决策；

1.5提出信息安全总体要求和批准信息安全战略规划。

2公司信息安全管理办公室工作职责：

2.1负责组织制定公司的信息安全策略、标准和流程；

2.2负责组织信息安全策略、标准和流程在业务部门的推行工作；

2.3负责组织公司范围内的信息安全监控与审计；

2.4负责对公司的信息安全状况进行定期评估和风险分析；

2.5负责组织对跨业务部门的或重大的安全事故的调查；

2.6负责组织公司的信息安全培训和宣传。

附录三：信息安全案例汇编

（一）公司信息案例汇编

1私自转借工卡

【事件描述】2004年5月，深圳总部某安全岗值班员在对进出人员卡证佩戴情况进行检查时，发现一名佩戴华为正式工卡的人员与工卡上照片不符，当即求助相关部门对该工卡的真伪进行鉴别，同时要求当事人配合安全岗进行调查，并报行政管理部处理。

经查，该佩戴华为员工工卡的人员为固网产品线的外协文员，因自己的临时通行证没有在生产中心通行的权限，所以借用华为员工工卡通行。

【违规等级】四级

【事件描述】2004年8月，公司某部门员工接待一名供应商进入研发区域，在接待过程中，该员工私自将工卡借给供应商，让其独自到机要室拷贝资料，供应商随身携带的U盘也未在门岗登记，直接被带入了研发办公区域。

【违规等级】三级

【事件点评】工卡是公司员工的身份证明，只限于员工本人使用，是不允许私自转借的。它不仅关系到公司的形象和安全，而且还关系到员工本人的切身利益。另外，临时出入公司的客户、供应商等人员，接待人员需要全程陪同。需要注意的是，在接待过程中，接待人员是要对来访人员的所有信息安全行为负责的！

2未升级防病毒软件造成网络瘫痪

【事件描述】2006年初，某员工到一外研所出差。该员工计算机安装的防病毒软件为Norton 7.6版本，且病毒库版本为05年9月，未及时升级到Symantec Antivirus 10企业版并实行集中管理，导致无法查出病毒。在外研所办公期间，由于该员工的便携机携带了病毒并且该病毒自动向网络发送大量数据包，数据流量大大超过日常办公时的流量，导致外研所网络服务器CPU过载，网络瘫痪达1小时之久。给外研所的办公带来较大影响。

【违规等级】三级

【事件点评】随着计算机技术的发展，病毒的种类越来越多，危害越来越大。据《InformationWeek》研究部和埃森哲咨询公司(Accenture)合作进行的第九年度“全球安全调查”显示，在所有受访者当中，有57%的美国公司在过去一年中曾遭受病毒攻击，34%曾受到蠕虫的攻击！这些数据足以提醒我们每位员工一定按照公司要求，及时安装杀毒软件并执行集中管理，防止这类事故的再次出现。

3违规安装非标软件，影响公司网络

【事件描述】2003年5月，技术支援系统某员工未经批准，私自在其便携机中违规安装Sygate 软件，结果在公司网上无意启动了DHCP服务，影响了公司网络的正常运行，使得该员工所在代表处的网络瘫痪达2个小时之久。

【违规等级】三级

【事件描述】2006年2月份，在信息安全例行检查中，发现供应链某业务部一位员工未经批准私自从外网下载了并安装了危及网络安全的违规软件Ethereal。

【违规等级】四级

【事件点评】安装违规软件是公司员工最典型的信息安全违规行为之一。尽管公司一再重申相关规定，但仍有个别员工无视这些规定的存在。一些违规软件（如Wingate, Sygate等）可能会影响公司网络正常运行，而诸如Ethereal、NetXray、Sniffer等软件则会危及公司的网络安全。请各位员工遵守公司要求，安装符合公司标准的应用软件。

4违规使用USB

【事件描述】全球技服某员工未经允许，私自使用优盘拷贝便携机上的资料，准备复制到家中的私人电脑中，其中包括部分公司保密资料。此事随即被网络安全部查获。

【违规等级】三级

【事件点评】公司明文规定，因工作需要使用USB是可以的，但需要申请。而未经批准，私自使用USB的话，一经发现，就会被严惩。

5私拆硬盘刻光盘

【事件描述】2006年4月27日，北研所某员工利用工作之便，在未经批准的情况下，私自撤除计算机封条，取出硬盘带到外面进行光盘刻录。

【违规等级】一级，辞退

【事件点评】私自拆除硬盘，流失的文档包含着公司各位员工的血汗。我们辛辛苦苦才收获到这些粮食，切记不可让别人随随便便就偷走。各位员工如果发现有人盗窃公司信息资产，一定要挺身而出，保护大家的利益，也保护自己的利益。

6计算机密码管理不善造成泄密

【事件描述】2006年3月，供应链管理，离开工作岗位而又有外部人员在场的情况下，未手动锁定电脑,存在信息泄密的风险；第三方物流公司的两名员工趁我司员工不在场,多次私自使用公司电脑。

【违规等级】四级

【事件描述】某员工在外出差期间，利用宾馆局域网上网，共享了存有公司保密文档的文件夹，但未设置共享口令。此事被宾馆其他人员发现，并及时向公司报告，避免了保密文档的外流。

【违规等级】四级

【事件点评】幸好及时发现，没有给公司造成损失，否则三级违规就不可避免了！每位员工都应注意，在设置了计算机密码的同时，还千万不要忘记离开座位时及时锁定电脑。设置了密码但没有启用密码锁定的电脑就如同于保密柜虽然配备了锁头但把锁头丢在一旁，对于盗贼而言，密码或锁头都如同虚设。另外还要注意，员工在出差时如需通过网络传递电子件形式的保密资料必须加密后才能通过计算机网络进行传送，在传送时要设置回执，如因技术原因无法设置回执时，则应该做好传送记录。现在很多宾馆都有上网的专线，员工在宾馆上网要注意取消计算机内所有的文件共享。通过宾馆的专线发送邮件时，一定要对发送的文件在本地进行加密后才发送。计算机自身的安全防护措施也要配置好，比如安装个人防火墙软件、

信息安全工作管理规定

信息安全工作管理规定信息系统安全管理组织机构局长、书记副局长、及总工机关处室、基层单位负责人 1总则 1.1为加强计算机信息系统的安全管理，促进信息化建设的健康发展，保障电网的安全稳定运行和正常生产经营管理，根据《中华人民共和国计算机信息系统安全保护条例》等国家和上级单位的有关法律法规、标准规范，结合我局信息系统的实际情况制定本规定。 1.2本规定所称的信息系统是指信息广域网及内部局域网，以及在网络上运行的或未联网的所有信息系统（包括硬件、软件、数据等）。 1.3信息系统安全管理要纳入全局的安全生产管理体系，遵循“统一领导、统一规划、统一标准、统一组织建设”和“谁主管、谁负责、联合防护、协同处置”的原则，实行“安全第一、预防为主、管理与技术并重、综合防范”的方针。 1.4信息系统的安全保护，应当保障信息设备、设施的安全和运行环境的安全，保障计算机网络和信息系统功能的正常发挥，保障信息的安全，维护信息系统的安全运行。 1.5信息系统的安全保护，要综合平衡安全成本和风险，优化网络与信息安全资源的配置，实行网络与信息安全等级保护，确保重点。重点保护网络以及关系到企业重大利益，电网安全生产运行等方面的重要信息系统的安全。 1.6局所属任何单位或个人不得利用信息系统从事危害国家利益、公司利益和职工合法权益的活动，不得危害信息系统的安全。 1.7 本规定适用于所属各单位。 2安全管理责任制 2.1信息系统安全工作实行全局统一领导下的分级管理，逐级负责制度。 2.2各单位主要负责人是本单位信息系统安全第一责任人。2.3局信息系统安全管理领导小组负责全局信息系统安全重大事项的决策和协调。管理全局信息系统安全工作，进行指导、协调、监督和考核，并履行以下管理职责： , 统筹本局网络建设和管理信息系统的建设及相应规章制度的建立。 2.3.2 建立健全信息系统安全管理制度和标准，组织制定信息系统安全策略，

信息安全管理系统

信息安全管理系统一、产品聚焦 1、随着企业信息化进程的不断推进，信息安全问题日益凸显。信息技术水平不断在提升的同时，为何信息泄露，信息安全事件仍然时有发生 2、对于信息安全事件为何我们不能更多的在“事前”及时的发现并控制，而是在“事后”进行补救 3、信息安全管理工作“三分技术、七分管理”的原因何在 4、信息安全管理工作种类繁多，安全管理人员疲于应付，是否有合适的管理手段对其归类，有的放矢，加强针对性、提升工作效率是否需要有持续提升信息安全意识和增强知识学习的管理体系二、产品简介该产品通过与企业信息安全管理的现状紧密结合，融合国际主流及先进的风险管理方法、工具、设计理念，有效结合国内外对信息安全管理工作提出的相关安全标准体系要求，通过建立企业信息安全风险全生命周期、全面风险来源、全目标管理的全方位风险管理模型，以监测预警防风险、风险流程查隐患、风险应对控事态、监督评价促改进、保障体系提意识，保证信息安全风险管理在企业的落地生效。三、产品特点 1、业务的无缝集成无缝集成企业终端防护类安全系统、边界防护类安全系统、系统防护类安全系统、数据防护类安全系统、综合监管类安全管理系统以及相关的基础认证和授权平台等，实现对信息安全事件引发因素的全面监测和智能分析，有的放矢的对信息安全工作进行管理。 2、“上医未病，自律慎独”的风险管理体系目标鲜明、方法合理、注重实效，为企业信息化进程保驾护航。基于企业现有管理制度和安全防御体系构建，实现系统的行之有效、行之有依。 3、合理的改进咨询建议通过系统建设对企业信息安全管理现状进行梳理和分析，提供合理有效的改进咨询建议。 4、创新实用的管理工具蝴蝶结模型、风险矩阵、风险热图等主流风险管理模型的实用化创新应用；德尔菲打分法、层次分析法、灰色评价法等科学分析方法的灵活嵌入；正态分布、泊松分布等概率模型的预测分析，致力于提升风险管理工作的精细度和准确度。 5、预置的信息安全风险事件库由信息安全及风险管理专家组成的专家团队结合国内外的相关信息安全管理标准梳理的风险事件库基础信息，可在系统建设初期提供有力的业务数据支持。 6、持续渐进的信息安全知识管理信息安全风险知识管理不仅仅是信息安全相关知识的积累和技术的提升、还在于信息安全管理意识的提升，通过信息安全知识管理体系的建立，提升全员的信息安全管理意识，并提供最新的信息安全知识储备。四、应用效果对信息安全风险管理全过程的数据、重点关注的风险主题进行全方位的数据分析，采用科学合理的数据分析模型，以灵活多样化的图表进行展现以辅助决策。五、产品功能 1、目标管理维护企业信息安全战略目标、不同层级风险管理目标、目标预警指标、目标风险等。以目标为龙头开展企业信息安全风险管理工作。 2、风险识别利用层次分析法逐层分析，识别企业信息安全工作中包含的资产、资产脆弱性和面临的威胁，全面辨识风险源并制定相应的防控措施，并针对风险事件制定缓解措施。 3、风险评估创新利用科学合理的风险评估方法对威胁发生概率、严重程度进行评估，量化风险指数，借助评估工具得出防范风险优先级并对风险分布进行展示。 4、监测预警依托企业现有的信息安全防范体系架构，设置风险监控点，以风险管理视角对各重要的信息安全指标进行实时的数据监控，发挥信息系统“摄像头”的职能，针对信息安全关注的重大风险进行实时预警提示，确保风险的提前警示和预先处理。

华为10大管理要点

华为10大管理要点，朴素却震撼！在管理要点里，华为对人才的识别做出了非常清晰的定义：个人学历、职称和荣誉仅仅是一个标记，华为更看重个人学习能力的成长和实际才干的增长；没有自我批判能力的员工，不得再提拔；不能让员工浅薄的骄傲，成为挖掘华为的坟墓…… 这十大管理要点，非常朴素，对中小企业具有非常强的借鉴和参考意义。正如任正非在学习IBM时说： “好好学习，学明白了你就伟大了，靠自己去创新，自己去悟，是悟不出大道理的。” 一、加强研发、营销、管理体系的均衡发展二、坚持以流程优化为主导的管理体系建设不断地去优化非增值流程与增值流程，不断改良，不断优化，无穷逼近合理。小改进、大奖励。减人、增产、增质、增效，以及核心竞争力的提高，是我们考核各级干部能力的主要指标。三、坚持从优秀的员工中选拔、培养骨干

重视后天的学习与进步，重视个人的实际才干的增长。个人永久性的标记（学历、职称、社会荣誉……）仅仅是个参考。四、公司将继续完善委员会民主决策的建设五、加强干部的民主作风建设公司及各部门都要听得进来自内部与外部的批评，包括提意见方法不对的批评。闻过则喜，加快改进。要忍受得了委屈，只要是真理，总会被时间检验。六、推行任职资格系统的建立、优化和完善在效益好时要敢于扩张，共同负责；在受到挫折时，要共同忍受。通过这种张驰，把压力传递到流程的每个环节与每一个员工。七、坚决杜绝不良习气八、员工长期工作的基础是劳动和胜任力各级部门有责任帮助他们，培养他们，合理的疏导。建立和完善绩效考核体系。一定要实行定编、定员、定责、定酬的待遇制度，而且每年效益要不断地提高。九、要总结和复制成功的管理经验

网络与信息安全管理工作岗位个人工作总结

网络与信息安全管理工作岗位年度个人工作总结网络与信息安全管理工作岗位=个人原创，绝非网络复制，欢迎下载= 转眼之间，一年的光阴又将匆匆逝去。回眸过去的一年，在×××（改成网络与信息安全管理岗位所在的单位）网络与信息安全管理工作岗位上，我始终秉承着“在岗一分钟，尽职六十秒”的态度努力做好网络与信息安全管理岗位的工作，并时刻严格要求自己，摆正自己的工作位置和态度。在各级领导们的关心和同事们的支持帮助下，我在网络与信息安全管理工作岗位上积极进取、勤奋学习，认真圆满地完成今年的网络与信息安全管理工作任务，履行好×××（改成网络与信息安全管理岗位所在的单位）网络与信息安全管理工作岗位职责，各方面表现优异，得到了领导和同事们的一致肯定。现将过去一年来在网络与信息安全管理工作岗位上的学习、工作情况作简要总结如下：一、思想上严于律己，不断提高自身修养一年来，我始终坚持正确的价值观、人生观、世界观，并用以指导自己在×××（改成网络与信息安全管理岗位所在的单位）网络与信息安全管理岗位上学习、工作实践活动。虽然身处在网络与信息安全管理工作岗位，但我时刻关注国际时事和中-央最新的精神，不断提高对自己故土家园、民族和文化的归属感、认同感和尊严感、荣誉感。在×××（改成网络与信息安全管理岗位所在的单位）网络与信息安全管理工作岗

位上认真贯彻执行中-央的路线、方针、政-策，尽职尽责，在网络与信息安全管理工作岗位上作出对国家力所能及的贡献。二、工作上加强学习，不断提高工作效率时代在发展，社会在进步，信息技术日新月异。×××网络与信息安全管理工作岗位相关工作也需要与时俱进，需要不断学习新知识、新技术、新方法，以提高网络与信息安全管理岗位的服务水平和服务效率。特别是学习网络与信息安全管理工作岗位相关法律知识和相关最新政策。唯有如此，才能提高×××网络与信息安全管理工作岗位的业务水平和个人能力。定期学习×××网络与信息安全管理工作岗位工作有关业务知识，并总结吸取前辈在×××网络与信息安全管理工作岗位工作经验，不断弥补和改进自身在×××网络与信息安全管理工作岗位工作中的缺点和不足，从而使自己整体工作素质都得到较大的提高。回顾过去一年来在**（改成网络与信息安全管理岗位所在的

信息安全管理系统的规范

信息安全管理系统的规范第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。注:第一部分给出了对最佳惯例的推荐建议，这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义为了BS 7799的这个部分，BS 7799-1给出的定义适用于该部分，并有以下专用术语: 2.1 适用性说明适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要机构应建立及维护一个信息安全管理系统，目的是保护信息资产，订立机构的风险管理办法、安全控制目标及安全控制，以及达到什么程度的保障。 3.2建立一个管理框架以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围，定义范围可以是机构的特征、位置、资产及技术;

c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的冲击，从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书，说明选出哪些安全控制目标及安全控制以及选择的原因。以上步骤应定期重复，确定系统的适用性。 2 3.3实施选出的安全控制目标及安全控制应由机构有效地执行，实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结，其中包括信息安全策略、在适用性声明书所提及的安全控制目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行动; d) 覆盖该ISMS中的管理和操作的程序，这些程序应该指出有哪些责任及其有关

华为员工保密制度

华为员工保密制度华为新员工入职时信息安全保密手册一、新员工入职信息安全须知新员工入职后，在信息安全方面有哪些注意事项？接受“信息安全与保密意识”培训；每年应至少参加一次信息安全网上考试；办理员工卡；签署劳动合同（含保密职责）；根据部门和岗位的需要签署保密协议。员工入职后，需要办理员工卡，员工卡的意义和用途是什么？工卡是公司员工的 __明，所有进入华为公司的人员，在公司期间一律要正确佩戴相应的卡证。工卡还有考勤、门禁验证等作用。工

卡不仅关系到公司形象及安全，还关系到员工本人的切身利益，一定要妥善保管。公司信息安全方面的规定都有哪些？在哪里可以查到信息安全的有关管理规定？网络 __在参考国际安全标准BS7799和在顾问的帮助下，制订了一套比较完整的信息安全方面的管理规定，其中与普通员工关系密切的有《信息保密管理规定》、《个人计算机安全管理规定》、《信息交流管理规定》、《病毒防治管理规定》、《办公区域安全管理规定》、《网络连接管理规定》、《信息安全奖惩管理规定》、《计算机物理设备安全管理规定》、《开发测试环境管理规定》、《供应商/合作商接待管理办法》、《外部人员信息安全管理规定》、《会议信息安全管理规定》和《帐号和口令标准》等。这些管理规定都汇总在《信息安全策略、标准和管理规定》（即《信息安全白皮书》）中，并且在不断的修改和完善之中。在“IS Portal”上您可以查到公司信息安全相关的所有信息，如信息安全方面的规定、制度、操作手册、培训胶片、宣传材料和宣传案例等。

各体系细化的信息安全管理规定，可咨询本体系的信息安全专员。作为一名普通员工，应该如何做才能够符合公司信息安全要求？积极学习和遵守公司各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中。在工作中，要有强烈的信息安全和保密意识，要有职业的敏感性。有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。二、计算机的安全口令设置公司规定的口令设置最低标准是什么，每次更换口令，都不容易记住新口令，该怎么办？普通用户（公司一般员工均为普通用户）设置口令的最低标准主要有以下几条：

华为高效沟通管理要点

高效沟通管理要点：从华为项目管理中，学习沟通之道沟通管理项目管理过程中沟通管理，由于干系人众多，很容易出现不可控制的局面。为了能够降低沟通管理的难度，让沟通效率更高，沟通效果更好。需要做好沟通计划，针对不同问题提前做好解决方案。沟通方式和一些词汇能够做好提前统一好意思，能够让沟通误解率降低。高效沟通管理要点 1、计划好沟通影响沟通计划和项目沟通要求的主要因素有以下这些。项目发起方的组织结构。项目干系人分析的结果。报告关系。项目涉及的职能领域。参与项目的人数。项目干系人所在的地方。每位项目干系人的信息需求。项目团队成员的经验级别。

技术可得性。信息需求的紧急性和需要的频率。想要的项目沟通形式。项目的预期时长。项目在组织层面的风险级别。对终端消费者的预期变更影响。组织文化。所需的外部沟通级别。采购合同。法律顾问提出的限制。给项目确定了具体的沟通要求后，一定要完成以下两件事情。在项目沟通管理计划中记录这些信息。确保将所有正式的项目沟通(以及实现沟通要完成的工作)都包含在WBS和项目进度计划中。 2、记住基本方法

优先处理：项目沟通不要走捷径;尊重项目干系人。展现风度：讲礼貌，将欣赏和感激表现出来。言出必行：如果你说了要做什么事情，就要去做。 3、沟通的5个C 在计划或执行项目沟通的时候，要牢记5个C。清楚(Clear)：说明主题;围绕主题;帮助接收者理解信息;恰当地使用术语。简洁(Concise)：抓住重点;不让信息漫无边际。礼貌(Courteous)：讲礼貌，注意语调。一贯(Consistent)：使用恰当的语调和媒介传递想要传递的信息;所有信息要素都应传达一样的信息。令人信服(Compelling)：让他们有理由去注意。 4、保证理解如果想进行有效的沟通，就要拥有这样的理念。主要包括以下几个方面。投入精力、耐心和决心，确保别人清楚地理解了你的意思。采用有效的聆听技巧，确保自己清楚地理解了别人要传达的意思。

关于企业信息安全管理制度

关于企业信息安全管理制度安全生产是企业的头等大事，必须坚持“安全第一，预防为主”的方针和群防群治制度，认真贯彻落实安全管理制度，切实加强安全管理，保证职工在生产过程中的安全与健康。根据国家和省有关法规、规定和文件，制定本企业信息安全管理制度。一、计算机设备安全管理制度计算机不同于其他办公设备，其实用性、严密性、操作技术性强，含量高、部件易受损；特别是联网计算机，开放性程度比较高，电脑内部易受外界的偷窥、攻击和病毒感染。为确保计算机软、硬件及网络的正常使用，特制定本制度。 1、公司内所有计算机归网络部统一管理，配备计算机的员工只负责使用操作； 2、计算机管理涉及的范围： 2.1所有硬件（包括外接设备）及网络联接线路； 2.2计算机及网络故障的排除； 2.3计算机及网络的维护与维修； 2.4操作系统的管理； 3、公司内所有计算机使用人员均为计算机操作员； 4、网络维护部负责对公司内所有计算机进行定期检查，一般每两月进行一次； 5、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 6、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。 7、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。二、操作员安全管理制度 1、计算机原则上由专人负责操作维护，不得串用设备。下班后必须按程序关闭主机和其他设备，切断电源。 2、为保证计算机信息安全，必须为计算机设置密码。 3、计算机操作员除使用操作计算机外，不允许有以下行为： 3.1硬件设备出现故障擅自拆开主机机箱盖板； 3.2更换计算机配件（如鼠标、键盘、耳麦）；如有向网络管理员写设备申请单审批。 3.3删除计算机操作系统及公司指定的软件； 3.4使用带病毒的计算机软件； 3.5让外来人员进行有损于计算机的技术性操作； 4、不得使用来路不明或未经杀毒的盘片。计算机操作员定期对计算机进行杀毒。如发现计算机有病毒时，应及时清除，清除不了的病毒，要及时上报。 5、个人的公司重要文档、资料和数据保存时必须将资料储存在除操作系统外的其它磁盘空间，严禁将重要文件存放于桌面或C盘下。 6、工作时间内严禁工作人员在计算机上进行与工作无关的操作，不准上网与工作无关的聊天、玩电脑游戏、看影视、听音乐，迅雷下载等，

工业控制系统信息安全管理制度(修订版)

工业控制系统信息安全管理制度 1 适用范围为了规范公司工业控制系统的使用和操作，防止发生人为或意外损坏系统事故以及误操作引起的设备停运，保证工控系统的稳定运行，特制定本制度。本制度适用于DCS及DEH系统以及辅控网DCS。 2 计算机使用管理 2.1 工程师站严格按照权限进行操作，无关人员不准使用。 2.2 工程师站、操作员站等人机接口系统应分级授权使用。严禁非授权人员使用工程师站的系统组态功能，工程师站用户的权限可以实施逻辑修改和系统管理工作；操作员站用户权限，查看运行状态画面，实施监控。 2.3 每三个月更改一次口令，同时检查每一级用户口令的权限设置应正确。口令字长应大于6个字符并由字母数字混合组成。修改后的口令应填写《DCS系统机器密码记录》，妥善保管。 2.4 计算机在使用过程中发生异常情况，立即停止当前操作，通知集控室负责人和相关维修人员。如服务器发生故障，按各《信息系统故障应急预案》操作，维修人员记录《软件故障处理和修改记录》。 2.5 使用工程师站计算机后，需详细填写《工程师站出入及机器使用记录》后方可离开。 3 软件保护 3.1 严禁在计算机控制系统中使用其他无关软件。除非软件升级或补丁的需要，严禁在计算机控制系统中使用U盘、光盘等。 3.2 禁止向DCS网络中连接系统外接计算机、手机。

3.3 在连接到DCS中的计算机上进行操作时，使用的可读写存储介质必须是固定的一个设备，并且在每次使用前对其进行格式化处理，然后才可以接入以上计算机。 4 软件的修改、保存及维护 4.1 更新、升级计算机系统软件、应用软件或下载数据，其存储介质须是本计算机控制系统专用存储介质，不允许与其他计算机系统交换使用。 4.2进行计算机软件、系统组态、设定值等修改工作，必须严格执行相关审批手续后方可工作，同时填写《组态及参数修改记录》，并及时做好修改后的数据备份工作。 5 软件和数据库备份 5.1 计算机控制系统的软件和数据库、历史数据应定期进行备份，完全备份间隔三个月一次，系统备份必须使用专用的U盘备份，并且由系统管理员进行相关操作。 5.2 对系统软件（包括操作系统和应用软件）的任何修改，包括版本升级和安装补丁，都应及时进行备份。 5.3备份结束后，在备份件上正确标明备份内容、对象，并做好记录，填写《DCS系统备份记录》。 5.4 DCS中各系统的备份必须由系统管理员定期手动进行，具体要求同上。有限公司 2017年1月 1日

华为内部信息安全管理

1.新员工入职信息安全须知新员工入职后，在信息安全方面有哪些注意事项？接受“信息安全与保密意识”培训；每年应至少参加一次信息安全网上考试；办理员工卡；签署劳动合同（含保密职责）；根据部门和岗位的需要签署保密协议。员工入职后，需要办理员工卡，员工卡的意义和用途是什么？工卡是公司员工的身份证明，所有进入华为公司的人员，在公司期间一律要正确佩戴相应的卡证。工卡还有考勤、门禁验证等作用。工卡不仅关系到公司形象及安全，还关系到员工本人的切身利益，一定要妥善保管。公司信息安全方面的规定都有哪些？在哪里可以查到信息安全的有关管理规定？网络安全部在参考国际安全标准BS7799和在顾问的帮助下，制订了一套比较完整的信息安全方面的管理规定，其中与普通员工关系密切的有《信息保密管理规定》、《个人计算机安全管理规定》、《信息交流管理规定》、《病毒防治管理规定》、《办公区域安全管理规定》、《网络连接管理规定》、《信息安全奖惩管理规定》、《计算机物理设备安全管理规定》、《开发测试环境管理规定》、《供应商/合作商接待管理办法》、《外部人员信息安全管理规定》、《会议信息安全管理规定》和《帐号和口令标准》等。这些管理规定都汇总在《信息安全策略、标准和管理规定》（即《信息安全白皮书》）中，并且在不断的修改和完善之中。在“IS Portal”上您可以查到公司信息安全相关的所有信息，如信息安全方面的规定、制度、操作手册、培训胶片、宣传材料和宣传案例等。各体系细化的信息安全管理规定，可咨询本体系的信息安全专员。作为一名普通员工，应该如何做才能够符合公司信息安全要求？积极学习和遵守公司各类信息安全管理规定和安全措施，将遵守安全规定融入自己的日常工作行为中。在工作中，要有强烈的信息安全和保密意识，要有职业的敏感性。有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。

信息安全系统管理系统要求规范

信息安全管理规范公司

版本信息当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史版本号更新日期修订作者主要修订摘要

Table of Contents（目录） 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级（保密级别）规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息？ (21) 2.2什么是信息安全？ (21)

HNC2014_企业信息安全_华为运营商安全方案_易建超

华为运营商安全解决方案易建超华为企业网络产品线产品总监

运营商安全所面临的挑战及投资驱动力 ?降低设备运行故障时间 ?抵御显著增加的垃圾邮件内容 ?抵御显著产生的安全攻击威胁 ?提高抵御未知威胁能力 ? 保护客户数据防止窃取 ? 适应显著上升的骨干网络流量 ? 适应移动网络流量增长趋势 ? 数据中心升级扩容 ? 基于云的安全解决方案诉求 ? 增加新的收入来源 ?保证原有服务的持续竞争力威胁防护隐私保护网络发展增加收益安全威胁增多用户隐私泄露网络不断演进盈利能力有限

面向大数据流量的下一代安全 Solution Ability Topic 数据中心安全管道安全 IT 信息安全安全运营 FBB MBB LTE CGN AntiDDoS 身份安全数据安全虚拟化安全网络与边界安全防攻击防泄密防特权安全增值华为安全能力和愿景华为安全案例

1Clean Pipe 管道安全

运营商当前网络威胁 Cloud Core & IGW Metro & Core Terminal & Access Enterprise Finance Metro NPE PE PE IP/MPLS Core 2G BTS 3G NodeB 4G eNodeB Backhaul SGSN GGSN PS domain EPC BSC/RNC IP/MPLS Core Internet IDC IPTV IMS Traffic Interception P P BRAS Unauthorized Access SCTP Vulnerability DDoS Attack Worm, Trojan, Virus Untrust Traffic IPv4 Exhaustion Worm, Trojan, Virus DDoS Attack Worm, Trojan, Virus IPv4 Exhaustion

XX公司网络与信息安全管理组织机构

XX公司网络与信息安全管理组织机构设置及工作职责一、总则为规范XX公司（以下简称“公司”）信息安全管理工作，建立自上而下的信息安全工作管理体系，需建立健全相应的组织管理体系，以推动信息安全工作的开展。二、范围本管理办法适用于公司的信息安全组织机构和重要岗位的管理。三、规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的应用文件，其随后的所有的修改单或修订版均不适用于本标准（不包括勘误、通知单），然而，鼓励根据本标准达成协议的各方研究是否可以使用这些文件的最新版本。凡未注日期的引用文件，其最新版本适用于本标准：《信息安全技术信息系统安全保障评估框架》（GB/T 20274.1-2006）《信息安全技术信息系统安全管理要求》（GB/T 20269-2006）《信息安全技术信息系统安全等级保护基本要求》（GB/T 22239-2008）四、组织机构 1、公司成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息安全领导小组的日常事务。 2、信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括：①根据国家和行业有关信息安全的策略、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；②确定公司信息安全各有关部门工作职责，知道、监督信息安全工作。

3、信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。组长均由公司负责人担任。 4、信息安全工作组的主要职责包括： ①贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作； ②根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实； ③组织对重大的信息安全工作制度和技术操作策略进行审查，拟定信息安全总体策略规划，并监督执行；④负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行； ⑤组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；⑥负责接收各单位的紧急信息安全事件报告，组织进行时间调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全时间防范措施； ⑦及时向信息安全工作领导小组和上级有关部门、单位报告信息安全时间。 ⑧跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。 5、应急处理工作组的主要职责包括： ①审定公司网络与信息系统的安全应急策略及应急预案； ②决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统； ③每年组织对信息安全应急策略和应急预案进行测试和演练。五、关键岗位 1、设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员。要害岗位人员必须严格遵守

信息安全管理体系建设

a* ILIMOOH 佛山市南海天富科技有限公司信息安全管理体系建设咨询服务项目时间：2015年12月

信息化建设引言随着我国中小企业信息化的普及，信息化给我国中小企业带来积极影响的同时也带来了信息安全方面的消极影响。一方面：信息化在中小企业的发展程中，对节约企业成本和达到有效管理的起到了积极的推动作用。另一方面伴随着全球信息化和网络化进程的发展，与此相关的信息安全问题也日趋严重。由于我国中小企业规模小、经济实力不足以及中小企业的领导者缺乏信息安全领域知识和意识，导致中小企业的信息安全面临着较大的风险，我国中企业信息化进程已经步入普及阶段，解决我国中小企业的信息安全问题已经不容缓。通过制定和实施企业信息安全管理体系能够规范企业员工的行为，保证各种技术手段的有效实施，从整体上统筹安排各种软硬件，保证信息安全体系同工作的高效、有序和经济性。信息安全管理体系不仅可以在信息安全事故生后能够及时采取有效的措施，防止信息安全事故带来巨大的损失，而更重的是信息安全管理体系能够预防和避免大多数的信息安全事件的发生。信息安全管理就是对信息安全风险进行识别、分析、采取措施将风险降到可接受水平并维持该水平的过程。企业的信息安全管理不是一劳永逸的，由新的威胁不断出现，信息安全管理是一个相对的、动态的过程，企业能做到的就是要不断改进自身的信息安全状态，将信息安全风险控制在企业可接受的围之内，获得企业现有条件下和资源能力范围内最大程度的安全。在信息安全管理领域，三分技术，七分管理”的理念已经被广泛接受。结合 ISO/IEC27001信息安全管理体系，提出一个适合我国中小企业的信息安全管理的模型，用以指导我国中小企业的信息安全实践并不断提高中小企业的安全管理能力。 IS027001信息安全管理体系框架建立 ISO27001信息安全管理体系框架的搭建必须按照适当的程序来进行（如下

华为十大管理要点

华为十大管理要点公司所有员工是否考虑过，如果有一天，公司销售额下滑、利润下滑甚至会破产，我们怎么办？居安思危，不是危言耸听。十年来我天天思考的都是失败，对成功视而不见，也没有什么荣誉感、自豪感，只有危机感。也许是这样才存活了十年。我们大家要一起来想，怎样才能活下去，也许才能存活得久一些。失败这一天是一定会到来，大家要准备迎接，这是我从不动摇的看法，这是历史规律。目前情况下，我认为我们公司从上到下，还没有真正认识到危机，那么当危机来临的时刻，我们可能是措手不及的。我们是不是已经麻木，是不是头脑里已经没有危机这根弦了，是不是已经没有自我批判能力或者已经很少了。那么，如果四面出现危机时，我们可能是真没有办法了。如果我们现在不能研究出现危机时的应对方法和措施来，我们就不可能持续活下去。

大家知道，有一家世界一流的公司，确实了不起，但去年说下来就下来了，眨眼之间这个公司就几乎崩溃了。当然，他们有很好的基础研究，有良好的技术储备，他们还能东山再起。最多这两年衰退一下，过两年又会世界领先。而华为有什么呢？我们没有人家雄厚的基础，如果华为再没有良好的管理，那么真正崩溃后，将来就会一无所有，再也不能复活。华为公司老喊狼来了，喊多了，大家有些不信了。但狼真的会来的。今年我们要广泛展开对危机的讨论，讨论华为有什么危机，你的部门有什么危机，你的科室有什么危机，你的流程的哪一点有什么危机。还能改进吗？还能提高人均效益吗？如果讨论清楚了，那我们可能就不死，就延续了我们的生命。怎样提高管理效率，我们每年都写了一些管理要点，这些要点能不能对你的工作有些改进，如果改进一点，我们就前进了。一、均衡发展，就是抓短的一块木板在管理改进中，一定要强调改进我们木

信息安全管理制度汇总

信息安全管理制度为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案网络安全管理制度第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

公司信息安全管理制度

公司信息安全管理制度一、信息安全指导方针保障信息安全，创造用户价值，切实推行安全管理，积极预防风险，完善控制措施，信息安全，人人有责，不断提高顾客满意度。二、计算机设备管理制度 1、计算机的使用部门要保持清洁、安全、良好的计算机设备工作环境，禁止在计算机应用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 2、非本单位技术人员对我单位的设备、系统等进行维修、维护时，必须由本单位相关技术人员现场全程监督。计算机设备送外维修，须经有关部门负责人批准。 3、严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许带电插拨计算机外部设备接口，计算机出现故障时应及时向电脑负责部门报告，不允许私自处理或找非本单位技术人员进行维修及操作。三、操作员安全管理制度（一）操作代码是进入各类应用系统进行业务操作、分级对数据存取进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置；（二）系统管理操作代码的设置与管理

1、系统管理操作代码必须经过经营管理者授权取得； 2、系统管理员负责各项应用系统的环境生成、维护，负责一般操作代码的生成和维护，负责故障恢复等管理及维护； 3、系统管理员对业务系统进行数据整理、故障恢复等操作，必须有其上级授权； 4、系统管理员不得使用他人操作代码进行业务操作； 5、系统管理员调离岗位，上级管理员（或相关负责人）应及时注销其代码并生成新的系统管理员代码；（三）一般操作代码的设置与管理 1、一般操作码由系统管理员根据各类应用系统操作要求生成，应按每操作用户一码设置。 2、操作员不得使用他人代码进行业务操作。 3、操作员调离岗位，系统管理员应及时注销其代码并生成新的操作员代码。四、密码与权限管理制度 1、密码设置应具有安全性、保密性，不能使用简单的代码和标记。密码是保护系统和数据安全的控制代码，也是保护用户自身权益的控制代码。密码分设为用户密码和操作密码，用户密码是登陆系统时所设的密码，操作密码是进入各应用系统的操作员密码。密码设置不应是名字、生日，重复、顺序、规律数字等容易猜测的数字和字符串； 2、密码应定期修改，间隔时间不得超过一个月，如发现或怀

系统与信息安全管理

一、资源界定 1、业务系统信息安全包括托管在联通机房的所有服务器、网络线路、网络设备、安装在服务器上的操作系统、业务系统、应用系统、软件、网络设备上的OS、配置等软硬件设施。 2、任何人未经允许不得对业务系统所包含的软硬件进行包括访问，探测，利用，更改等操作。二、网络管理 1、网络结构安全管理 A、网络物理结构和逻辑结构定期更新，拓扑结构图上应包含 IP地址，网络设备名称，专线供应商名称及联系方式，专线带宽等，并妥善保存，未经许可不得对网络结构进行修改。 B、网络结构必须严格保密，禁止泄漏网络结构相关信息。 C、网络结构的改变，必须提交更改预案，并经过信息总监的批准方可进行。 2、网络访问控制 D、络访问控制列表包括山石磊科路由和华三S5620的ACL。

E、妥善保管现有的网络访问控制列表，其中应包含网络设备及型号，网络设备的管理IP，当前的ACL列表，更新列表的时间，更新的内容等。 F、定期检查网络访问控制列表与业务需求是否一致，如不一致，申请更新ACL。 G、未经许可不得进行ACL相关的任何修改。 H、ACL时，必须备份原有ACL，以防误操作。 I、ACL配置完成以后，必须测试。 J、禁止泄漏任何ACL配置。 3、网络络设备安全 K、妥善保管现有网络设备清单，包括供应商及联系人信息，设备型号，IP地址，系统版本，设备当前配置清单。 L、定期检查设备配置是否与业务需求相符，如有不符，申请更新配置。 M、配置网络设备时，必须备份原有配置，以防误操作。 N、配置完成之后，必须进行全面测试。 O、禁止在网络设备上进行与工作无关的任何测试。 P、未经许可不得进行任何配置修。 Q、禁止泄漏网络设备配置。

华为保密制度范文

华为保密制度范文华为新员工入职时信息安全保密手册一、新员工入职信息安全须知新员工入职后，在信息安全方面有哪些注意事项？接受“信息安全与保密意识”培训；每年应至少参加一次信息安全网上考试；办理员工卡；签署劳动合同（含保密职责）；根据部门和岗位的需要签署保密协议。员工入职后，需要办理员工卡，员工卡的意义和用途是什么？工卡是公司员工的 __明，所有进入华为公司的人员，在公司期间一律要正确佩戴相应的卡证。工卡还有考勤、门禁验证等作用。工

华为公司经营理念

华为公司经营理念华为作为一个中国的、非上市的、民营的、高科技的企业，只是一种“现象”，对于中国企业，其模仿与借鉴价值并不太大，但是隐含于华为现象成功背后的企业管理哲学与理念，则值得中国企业和企业家思考。华为公司任正非总裁的经营管理可归结为均衡的思想。自2001年起，在任正非总结的华为“十大管理要点”中，不管内外部环境发生了如何的变化，“坚持均衡发展”一直放在第一条。可以讲，任正非的企业管理哲学思想的核心就是均衡，均衡是其最高的企业管理哲学。任正非自称是一个有“灰度”的人，他认为，介于黑与白之间的灰度，是十分难掌握的，这就是领导与导师的水平。 “均衡就是生产力的最有效形态”，“继续坚持均衡的发展思想，推进各项工作的改革和改良。均衡就是生产力的最有效形态。通过持之以恒的改进，不断地增强组织活力，提高企业的整体竞争力，以及不断地提高人均效率”，这是华为长期坚守的核心价值观。华为20年的成长与发展之路，是建立在动态地实现功与利、经营与管理的均衡基础之上的，通过持续不断地改进、改良与改善，华为不断强化与提升经营管理能力，进而使企业走上了一条良性发展之

路。华为的成功，也再次以中国式的案例说明，均衡的管理是企业真正的核心竞争力。 2005年，伴随着华为国际化步伐的加快，华为重新梳理了自己的使命愿景和发展战略。其战略定位于：1.为客户服务是华为存在的唯一理由，客户需求是华为发展的原动力；2.质量好、服务好、运作成本低，优先满足客户需求，提升客户竞争力和赢利能力；3.持续管理变革，实现高效的流程化运作，确保端到端的优质交付；4.与友商共同发展，既是竞争对手，也是合作伙伴，共同创造良好的生存空间，共享价值链的利益。从上述战略不难看出，华为的战略既关注经营(第一条)，又关注管理(第二条)；既关注企业外部(第一条与第四条)，同时也关注企业内部(第二条与第三条)。可以说基于其企业管理哲学https://www.360docs.net/doc/b92846721.html,的华为战略，是一个充满了均衡的战略。在经营模式方面，华为的宏观商业模式是客户化导向，产品的发展路标是客户需求导向，把为客户提供完善和及时的服务作为公司存在的唯一价值和理由；在管理模式方面，华为的微观商业模式就是流程化的组织建设，完成企业诸元素从端到端、高质、快捷、有效的管理；在内部核心价值观方面，相应地构建以高绩效为特征的企业文化。正如任正非所言：“在这20年的痛苦磨难中，我们终于确立了‘以客