第一篇:新员工入职时信息安全保密手册
新员工入职时信息安全保密手册
一、新员工入职信息安全须知
新员工入职后,在信息安全方面有哪些注意事项?
接受“信息安全与保密意识”培训;每年应至少参加一次信息安全网上考试;办理员工卡;签署劳动合同(含保密职责);根据部门和岗位的需要签署保密协议。
员工入职后,需要办理员工卡,员工卡的意义和用途是什么?
工卡是公司员工的身份证明,所有进入XX公司的人员,在公司期间一律要正确佩戴XX胸牌证件。工卡还有考勤、门禁验证等作用。工卡不仅关系到公司形象及安全,还关系到员工本人的切身利益,一定要妥善保管。
公司信息安全方面的规定都有哪些?在哪里可以查到信息安全的有关管理规定?
根据国际安全标准ISO27001,信息中心制订了一套比较完整的信息安全方面的管理规定,其中与普通员工关系密切的有《信息保密管理规定》、《个人计算机安全管理规定》、《信息交流管理规定》、《病毒防治管理规定》、《办公区域安全管理规定》、《网络连接管理规定》、《信息安全奖惩管理规定》、《计算机物理设备安全管理规定》、《开发测试环境管理规定》、《外部人员信息安全管理规定》、《会议信息安全管理规定》和《帐号和口令标准》等。
这些管理规定都汇总在《信息安全策略、标准和管理规定》(即《信息安全手册》)中,并且在不断的修改和完善之中。
在“server02服务器”上您可以查到公司信息安全相关的所有信息,如信息安全方面的规定、制度、操作手册、培训胶片、宣传材料和宣传案例等。
各体系细化的信息安全管理规定,可咨询本体系的信息安全专员。作为一名普通员工,应该如何做才能够符合公司信息安全要求?
积极学习和遵守公司各类信息安全管理规定和安全措施,将遵守安全规定融入自己的日常工作行为中。在工作中,要有强烈的信息安全和保密意识,要有职业的敏感性。
有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他的安全隐患。
二、计算机的安全
口令设置
公司规定的口令设置最低标准是什么,每次更换口令,都不容易记住新口令,该怎么办? 普通用户(公司一般员工均为普通用户)设置口令的最低标准主要有以下几条:(1)口令长度不能少于6位且必须包含字母(2)口令至少应包含一个数字字符 另外,一个好的口令除了符合口令的最低标准外,最好还应包含大小写字母和特殊的字符。设置简单的口令不安全,而复杂的口令又不容易记住。建议您用自己心中的一句话的拼音或英语语句的首个字母组合作为密码。如:就“我想去看2008奥运会”这一自己心中愿望的话,可以设置密码为WXqk2008ayh,或者用其他某段容易记住的字符串,稍加改造作为口令,如一个换过特殊字符的网站地址等,这样的口令非常好记,也非常难猜。
如果没有设置口令会带来哪些危害?
对系统不设口令就像银行存折没有密码一样,是非常危险的。
(1)如果不设开机口令,那么他人可轻松启动或重新启动系统,从而操作您的计算机,还可通过在CMOS中给机器设置开机口令,让您无法使用计算机;
(2)便携机若不设硬盘口令,那么只要将您的硬盘接到别的计算机中,硬盘上所有资料就会一览无余的呈现出来;
(3)如果不设屏幕保护口令,当您离开时,其他人可以轻易的进入、使用您的计算机,将您的文件删除或发送出去;
(4)共享文件夹时如果不设口令,任何能够和您计算机相连的人不需授权,均可拿走你共享的资料。软件安装
为了保证计算机安全,在第一次使用计算机时有哪几项安全措施需要立即完成?(1)需要首先加入公司域,登陆网址XXXX下载加入域的工具XXXX。
(2)需要立即安装操作系统的安全补丁,可以从各地文件服务器指定路径下载,如总部路径为XXXX。(3)需要立即安装macfee防病毒软件,可以从各地文件服务器指定路径下载。(4)需要马上设定屏幕保护程序,并启用密码保护,注意等待时间不能大于10分钟。(5)设置开机口令,操作系统(administrator)口令,如果是便携机还应设置硬盘口令。(6)设置Notes邮箱10分钟内自动锁定。
(7)需安装加密软件,可登陆网址XXXX下载安装最新版SPES客户端软件;可登陆http://acc.luculentnet/下载安装最新版ACC客户端软件。
以上措施完成后,请运行ACC进行自检,保证没有红色违规项。如有疑惑,可以咨询IT hotline(Tel:+86-755-28560160)
什么是非标准软件?要使用非标准软件,应如何申请?
非标软件是针对标准软件来定义的,对于公司普通员工来说,凡是IT桌面标准、研发工具标准之外的软件均属于非标软件,如游戏、不含在IT及研发标准内的免费或自由软件、影响网络安全的工具软件等等。原则上非标软件不可以随便使用,若工作有需要,必须填写“IT资产申请”电子流,经审批后使用。对于涉及安全的工具软件,还需填写“IS Authority Application”中的“网络安全软件申请”电子流。我自己购买了一套软件,想安装在公司的计算机上,不知是否可以?
不可以。常用办公软件在公司文件服务器上都有相应的安装软件,比如IE、Lotus Notes、Office 等等,需要安装时可直接连到办公所在地文件服务器上安装。不要安装自己购买的软件,因为:
(1)存在版权问题;
(2)购买的软件未经公司测试,不能保证可靠稳定运行和正常维护;
(3)更为严重的是,还可能因购买的软件中带有木马、病毒程序、软件留有后门等给公司网络安全带来隐患。
计算机维修/使用
计算机发生故障需要修理时,应该注意哪些事项? 员工应该要求维修人员尽量在公司内进行维修,并且监督整个维修过程。当维修人员需要将计算机带出公司维修时,为了防止泄密,一定要记得拆卸下硬盘,并存放在公司内的保密柜等安全的地方。
计算机使用方面应注意哪些事项?
(1)只有在因工作需要进行远程数据维护的时候,在保证物理上与公司的内部网络断开的情况下,经过部门二级主管和网络安全部批准后才能在办公区拨号上网。
(2)私自转借计算机可能造成泄密隐患,因此未经批准,员工不得转借计算机。(3)对特殊存储设备及其介质(如USB)的使用,需要走纸质文件申请。
(4)私自使用计算机进行刻录、扫描存在较大信息安全隐患,因此,刻录和扫描的需求须经审批后,由专人负责操作。
(5)公司配置给您的机器是公司的标准配置,未经批准,不得私自安装任何标准配置外的配件。网络配置和使用
现在,也许你开始需要连入公司网络了。首先需要配置好网络,这时安全方面需要注意什么呢? 个人计算机的IP地址应设置为自动获取方式,不能擅自配置固定IP地址,否则可能引起网络冲突,影响公司网络的安全运行。
公司的网络标准协议为TCP/IP。公司办公网络不得启动除公司标准协议外的任何其他网络协议,如SPX/IPX、NETBIOS等。
禁止普通员工在公司办公网络严禁安装启动DNS、Wins、DHCP等网络服务。如果您的操作系统是WINDOWS SERVER或Unix等服务器操作系统,可要非常小心这一点呀!
网络设置好后,你就需要给您的计算机起一个名字,注意,可不能随便起,您知道计算机的命名规则吗?
公司的计算机非常多,为了便于管理和维护,公司信息中心要求计算机命名方式为:您的姓的第一位拼音字母 +工号。如果您管理多台计算机,请在工号后加A、B、C、D „.个人能够设置FTP、Wins等网络服务吗,为什么?
未经批准,不得私自设置WWW、FTP以及BBS、NEWS、DNS、Wins、DHCP等各种形式的网络服务,更不能在公司网络上运行任何攻击或破坏网络服务的软件。因为设置这类服务会对网络正常运行造成不良影响。
如确实业务需要,不接入公司大网(如,仅在实验室小网使用)同时不需要IT协助的服务申请,提交“IS Authority Application”电子流进行申请,其余服务的申请通过IT requirment流程申请。
三、人员安全
普通员工的职责
作为普通员工,我在信息安全中的职责是什么?
积极学习和遵守公司各类信息安全管理规定和安全措施,将遵守安全规定融入自己的日常工作行为中。在工作中,要有强烈的信息安全和保密意识,要有职业的敏感性。有义务制止他人违规行为或积极举报可能造成泄密、窃密或其他安全隐患的行为。
对于信息安全方面问题,应该向谁咨询或反馈?
您可以向直接向部门主管,信息安全专员咨询或反馈;还可以通过公司的IT热线(电话: 025-68738777,分机号:8777)或信息安全问题受理电子流咨询或反馈。
管理者的责任
作为管理者,我在信息安全中的责任有哪些? 各级部门的一把手是本部门信息安全的第一责任人。负责信息安全管理规定在本部门的推行和落实。对本部门人员的违规事件承担领导责任。
各级主管应负责本部门哪些与信息安全相关的活动?
各级主管应负责本部门所有与信息安全相关的活动。具体有:确定各个资产、各个系统的管理员,使该管理员对该资产、系统的安全负责;在本部门内对员工进行培训、教育和宣传,使本部门每个员工都遵守公司的信息安全策略、标准和管理规定,报告信息安全隐患、漏洞或事故,树立主动保护公司信息资产的意识。
员工出差
在出差时,若需携带保密资料,应注意哪些事项? 应注意如下事项:
(1)非因公外出时绝对不能携带绝密资料。
(2)因公外出只允许携带工作相关文档,携带外出的保密资料需首先通过审批,在离开公司时出示经过审批的有效凭证;(3)出差前请确认出差目的地的网络情况,如果完全无法接入网络,请确认便携机上使用RMS加密的Office文档至少在本机上打开过一次。
(4)绝密级别的资料在出差期间必须随身携带,妥善保管;
(5)一般情况下,乘坐飞机、火车等公共交通工具时,含有保密信息的便携机等移动存储设备需随身携带,不能托运(但若与当地法律法规冲突,则以当地法律法规为准);
(6)从酒店外出时,如确实无法随身携带,应将便携机、保密文件存放在保密柜中,不要交酒店前台保管;
(7)应做好访问控制的设置,如给便携机设置开机、屏保和硬盘口令等。岗位调动
由于工作需要,在进行工作交接时,应注意哪些信息安全问题? 进行交接时,应注意做好以下几方面的工作:(1)保密信息的移交和清理;
(2)应用系统帐号与权限的移交和清理;(3)归还办公室、机房等的钥匙。
员工调动部门后,如何处理与新岗位工作职责无关的文档?
在工作交接完毕后,应及时、彻底地删除或销毁您仍持有的所有与新岗位工作无关的文档,删除或销毁的方式必须符合公司规定,如要使用碎纸机销毁含保密信息的纸件,而不能直接扔垃圾箱或用手撕毁等。如在新岗位需继续保留原岗位保密信息,一定要经过保密信息所有人批准。
信息安全奖惩规定
信息安全奖励分为几个等级?具体的奖励办法是什么? 根据对公司信息安全的贡献大小,共分为三个等级。
一等奖:举报泄密、窃密或其他严重损害公司利益事件的人员,根据具体情况给予2000元以上的奖励,并记入关键事件库。对举报人员只奖励,不公布。
二等奖:勇于制止他人违规行为或及时向信息安全部反馈可能造成泄密、窃密或其他安全隐患的人员,给予500-1000 元的奖励,并记入关键事件库。
三等奖:长期遵守信息安全管理规定的,在信息安全管理中一贯良好的部门或个人给予100-500元奖励,并记入关键事件库。
信息安全违规可分为哪几个等级?
对于触犯国家法律的,公司会移交国家司法机关依法处理。此外,则根据违规行为的后果、性质以及违规人的主观意愿,将违规行为分为如下四个等级:
一级:有意盗窃、泄露公司保密信息,或有意违反信息安全管理规定,性质严重造成重大损失。二级:有意违反信息安全管理规定,性质严重或造成损失。
三级:无意违反信息安全管理规定,造成公司损失;或者有意违反信息安全管理规定,但性质不严重且没有造成严重损失。
四级:违反信息安全管理规定,性质较轻,没有造成公司损失。常见违规行为(1)常见四级违规 未经批准,安装非标准软件
未经批准,拷贝、保存工作无关的文档资料等 未经批准,在公司办公区域摄像、摄影 发送与工作无关文件(人数少,性质不严重)没有安装、运行公司规定的防病毒软件,或未设置集中管理
没有设置屏保口令、开机口令、共享口令、硬盘口令(便携机)、Administrator口令 接待客人时,未按规定进行陪同(2)常见三级违规
未经批准,访问游戏站点、电影 未经批准,拨号上Internet网
无意启动DHCP服务,影响公司网络正常运行 未经批准,转借信息系统帐号 未经批准,使用特殊存储设备 持有与本岗位无关的保密文档 非正当渠道获取或传递保密文档
未经批准,私自将公司保密文档或信息授予未经授权的任何其他人员(包括公司人员和非公司人员)系统管理员未按公司规定设置相关系统的安全配置标准(3)常见二级违规 发送与工作无关连环邮件 访问不健康网站
系统管理员未经正常流程,私自授予系统权限 在公告栏发布与工作无关内容或造成泄密
未经允许,在各种媒体、公众场合发表与公司有关的评论或言论 未经批准,私自转借个人计算机 私自刻录文档 盗用他人帐号
非法收集大量与本岗位工作无关保密文档(4)常见一级违规
未经批准,系统管理员查看、传播公司业务敏感数据 编制或运行黑客程序 编制或传播病毒程序 攻击公司网络和信息系统 窃取、盗卖公司保密信息
四、文档保密
信息保密相关的基本原则和定义
访问保密信息有哪些基本原则?如何理解这些原则?
有三项基本原则:最小授权原则、审批受控原则、工作相关原则。(1)最小授权原则:就是授予的权限刚好满足员工的工作需要。
(2)审批受控原则:就是要严格控制信息的传递过程和扩散范围,保证做到“先审批,再获取;先登记,再传递”。
(3)工作相关原则:要求每一位员工只能查阅与本人工作有关的文档,严禁员工私自收集、保存与自己工作无关的文档。
对公司来说,哪些信息属保密信息?
公司对于信息从保密性的维度分为两大类:公开信息和保密信息,既包括公司内部业务运作过程中产生的信息,也包括客户、供应商、国家政府机关等相关方提供给公司的信息。
(1)公开信息指可对公司外公开发布的信息,如:公司对外的相关宣传资料、产品介绍资料等。(2)保密信息指仅可在一定范围内发布的信息,如果泄漏,可能给公司或相关方造成损失和不良影响。XX公司的保密信息是怎样进行密级划分的?
保密信息根据其价值、内容的敏感程度、影响及发放范围不同,划分为绝密、机密、秘密、内部公开等四个级别。
“绝密”信息是指包含公司最重要和最敏感的信息,关系公司未来发展的前途和命运,对公司根本利益有着决定性影响的保密信息。例如公司的年度预算方案、服务销售费用预算等文件。
“机密”信息是指包含公司的重要秘密,其泄露会使公司的安全和利益遭受严重损害的保密信息。例如,客户投资计划、第三方咨询报告、未发布的任命文件等。
“秘密”信息是指包含公司一般性信息,其泄露会使公司的安全和利益受到损害的保密信息。例如,供应商选择评估标准、部门审计报告、部门招聘计划等文件。“内部公开”信息是指仅在公司内部或在公司某一部门内部公开,向外扩散有可能对公司的利益造成损害的保密信息。例如,用户操作手册、已发布的任命文件、一般部门的例会纪要、友商公开信息等。
谁是“信息所有人”?
公司按信息密级划分的信息所有人分别如下: 绝密信息所有人是信息所属一级部门及以上主管; 机密信息所有人是信息所属二级部门及以上主管;
内部公开、秘密信息所有人是信息所属三级部门及以上主管。密级的标识和分类
什么时候需要确定文档的密级标识?
当您初步完成一篇文档,并准备将文档传递给主管或同事进行评审、修订时,这时就应确定文档的密级。
初步确定文档密级时,您可以先参考“信息资产密级管理”数据库中对同类文档的密级分类,可以根据同类文档的密级分类来初步确定文档的密级。如新拟制的文档在该数据库中找不到同类的文档供参考,您可根据文档涉及内容的价值、敏感程度确定一个初步的密级。
保密文档由拟制人初步判定其密级后,提交相应信息所有人进行密级确认。关于信息所有人的定义,请参考4.1.4节。
在日常工作中如何标识文档密级?
(1)对于Office文档,公司要求每位员工都使用公司提供的模板创建文档,创建后根据内容在页眉处添加正确的密级。
(2)对于打印资料,每一页都需要有明确的密级标识;
(3)对于装订的硬拷贝资料,需至少在开启前页、标题页和尾页上放置资料密级标签;(4)对于印刷的、手写的保密敏感信息需要在其某个醒目地方设置保密标签;(5)电子文档和纸件文档,均需注明“XX机密,未经许可不得扩散”或类似字样。文档的使用和交流
公司内部文档传递中有哪些保密要求和注意事项?
公司规定,公司内部的所有绝密、机密和秘密级文档是要求加密的。对于内部公开级文档,各业务部门可根据实际业务情况决定是否需要加密。对于 Office类保密文档,需要使用RMS进行加密,在无法使用RMS加密的情况下,需使用WinRar压缩加密,机密以上文档必须采用双重加密(文档本身加密+WinRar压缩加密),两个密码不能相同,密码设置须符合公司《帐号和口令标准》(特别对于销售与服务体系,密码位数必须大于10位,且由特殊字符、大小写字母、数字混合组成。另外,密码第一位须为特殊字符。所设定的密码禁止使用短信或邮件传递,仅允许通过电话语音通知)。非Office类的保密文档,需使用其它方式进行加密,例如winrar等。所设定的密码禁止使用短信或邮件传递,只能通过电话语音通知。传送含保密信息的纸件时,一定要用质量好的信封等进行封装,并且只能发给收件人本人或其机要秘书,同时做好传送记录。
另外,不能使用手机短信发送机密或机密级以上的保密信息。我可以将经过正常授权获得的保密文档提供给其他同事吗? 不可以。
公司规定,未经信息所有人批准,员工无权将自己所获得的保密信息再授权或提供给他人。因为经过授权后,您是信息的合法使用人,而不是信息所有人。经授权获得保密信息的人员也不能私下与他人交流该保密信息。
对不用的保密信息应如何销毁?
对作废的、或者已无权再接触的保密信息要删除和销毁,删除和销毁原始保密信息应征得相应主管同意。对纸件、电子件、存储有保密信息的存储介质销毁时的注意事项如下:
(1)纸件:含保密信息的纸件必须用碎纸机销毁,而不能直接扔垃圾箱或用手撕毁;含秘密级以上信息的纸件不能重复使用。
(2)电子件:删除后注意清空垃圾箱。
(3)存储有保密信息的存储介质:存储有保密信息的存储介质作废时,应采取不能恢复的物理性销毁:如将硬盘送到我司指定地方进行碾轧或消磁等;在计算机转移给公司其他员工前,要对硬盘进行格式化;在计算机转移到公司之外(如超过规定使用年限的便携机转移给个人)前,要对硬盘进行低级格式化。
员工调动部门后,如何处理与新岗位工作职责无关的文档?
在工作交接完毕后,应及时、彻底地删除或销毁您仍持有的所有与新岗位工作无关的文档,删除或销毁的方式必须符合公司规定,如要使用碎纸机销毁含保密信息的纸件,而不能直接扔垃圾箱或用手撕毁等。如在新岗位需继续保留原岗位保密信息,一定要经过保密信息所有人批准。
五、应用系统使用
Notes/Email系统
我要用Notes发送秘密级以上(含秘密)邮件,需要采取哪些安全措施?
在发送秘密级以上信息时,为了防止泄密,员工必须采取邮件加密发送的方式,并设置回执(可以从自己收到的回执查看接收并阅读邮件的人)。
我是否可以发送群组邮件?如果业务需要向多人发送邮件,我应如何做? 按照公司规定,未经批准,员工不可以使用群组发送邮件。
在特殊情况下,由于工作需要发送群组邮件,员工必须首先确定群组的每个人都是自己要发送邮件的接收人,然后经过部门主管批准,才可以使用群组发送邮件。具体要求可参考《Notes 群组管理规定》。使用Email发送保密邮件时,应该采取什么安全措施?
发往公司内部的Email保密邮件及其Office文档类保密附件,须使用RMS加密。发给公司外部人员的邮件,如客户、供应商等,可以不用RMS加密,但须使用其它方式加密,如Winrar或Office自带的加密功能,密码可单独通过电话等方式通知。
现在Email上的病毒越来越多,我应该采取哪些措施来预防呢?
在收到来历不明的邮件时,请不要打开,直接删除即可。因为目前大多数病毒和黑客软件就是通过邮件传播的。
一些病毒程序,甚至你没有打开邮件内容,只要把焦点移到邮件标题上就会执行,因此,请记住不要设置“自动预览/预览窗口”的功能。取消的方法是,在Outlook的“视图”菜单中点击“自动预览”取消此功能。
我经常收到一些广告邮件、无聊的垃圾邮件,如何防范垃圾邮件呢?
由于外面有人专门收集Email地址出售,所以您的Email地址可能被列入其他人的邮件列表,经常会收到别人发的广告邮件和其它垃圾邮件。为避免接收到这些垃圾邮件,用户可以在客户端设置禁止接收特定内容的Email(目前服务器端可以过滤部分垃圾邮件)。方法如下:
在Outlook中,先选中不想再接收发件人发送的邮件,然后选择菜单“动作”,在选项“垃圾邮件”中选择“将发件人添加到‘阻止发件人名单’”即可。
也可以转发垃圾邮件到antispam@luculentnet,由系统拦截。方法如下:
(1)Microsoft Outlook Express用户 a.选中收到的垃圾邮件。
b.单击右键,选择做为附件转发,您将会主题栏下看到一件附件。c.填写收件人:antispam@luculentnet。
d.发送邮件。如果提示主题为空,点击“确定”即可。(2)Foxmail用户
在Foxmail中选中(可以按住Ctrl键多选)垃圾邮件,将其拖至桌面或一个文件夹,这些垃圾邮件会以一封一封邮件文件的形式保存的。然后,将这些保存的垃圾邮件作为附件发送到antispam@luculentnet。
(3)Outlook 反馈方式(以下方法才可以保留邮件头,有效更新规则): a、在桌面新建一个Spam文件夹;
b、请您使用Ctrl选中多个垃圾邮件后,拖到Spam文件夹中; c、将这些spam文件夹打包成压缩包文件spam.rar;
d、将spam.rar作为附件通过Outlook反馈到antispam@luculentnet。岗位变化后,能否继续使用以前申请的Proxy帐号?
通过邮件征得新部门主管(同申请时审批者级别)同意后,方可继续使用以前申请的Proxy帐号。访问外部网站应注意哪些问题?
公司为部分员工开通Proxy权限,目的是为员工从网上收集对工作有用资料、了解与工作有关的行业信息等提供方便。
在访问过程中,应注意:不能利用Proxy访问与工作无关的网站和内容,更不能从网上下载游戏、黑客工具等内容。特别强调一点,不要通过Proxy访问个人外部邮箱。
我能否在公司内登录到外网邮箱(如网易、SOHU等)收发邮件? 公司禁止员工访问公司以外的邮箱。
七、物理安全
环境安全
秘书告诉我下班离开前做好“五关”,我想知道“五关”具体是指什么? 五关是指:关门、关窗、关空调、关灯、关计算机,做好“五关”是保证办公环境安全的基本要求之一。
办公安全
在办公桌面安全上我应该注意什么?
下班或离开办公桌10分钟以上,应关闭或锁定计算机。桌面上不能放有秘密级以上文件。秘密级以上文件应放在带锁抽屉或保密柜内。
会议安全
在公司内部开会,需要注意哪些安全问题?
(1)开会前,需要确保选取的会议室和开会内容的安全级相匹配。例如:召开部门例会,可以选取部门公用会议室。
(2)会议结束后,要带走相关的会议资料,同时清理会议室场所(包括相关机器设备上的电子件材料、白板上的板书信息、纸件材料等),保证会议信息的保密不泄漏和会议室使用后的整洁。
什么情况下允许在公司外部开会?审批流程以及注意事项是什么?
如果是特别保密或敏感的会议建议在公司内的会议室召开。特殊情况下(比如时间和空间条件限制、会议与会者的情况限制等)才可以在公司外部场所召开会议,召开之前需要得到会议组织部门领导的批准。相关的注意事项是:
(1)会议召集人负责会议的信息安全。在会议前就应明确与会者名单;开会时确定与会者的身份及其参会资格,比如,要求与会者佩戴工卡并核对签到等;会议期间,会场的出入口应有专人看守;确认除主入口外,其他入口已经关闭或是有专人看守。(2)每位与会者应自觉将会议资料保管好,不得在离开会议现场时随意将其放置在桌面上或是在人离开后放置在宾馆房间里,更不能将保密资料随手丢到酒店的垃圾筐内。
(3)如果需要录音、录相或者拍照等,需要经过会议组织部门领导批准。对于电话会议,还需要注意什么?
(1)召开电话会议时,电话会议的会议ID和密码等信息,一般情况下需要通过公司的信息系统(Notes系统、Email系统等)发送,不能通过手机短信方式发送。如果情况比较紧急或特殊,请通过点对点的电话方式告知。电话会议接入信息只能发送给相关的与会人员。
(2)接入电话会议的人员,应到专用会议室接入会议系统;如条件限制需在开放办公区接入电话会议,应注意不要启用电话的免提功能。
(3)特别地,对于销售与服务体系,机密级以上的电话会议要求使用主叫呼出的安全电话会议系统(接入码285-60789)。使用其他2个系统(287-80999和285-60888)时,电话会议的会议ID和密码等信息,必须分不同的方式发送,密码只能通过电话语音通知,不能采用手机短信方式发送;或可以采用附件方式通过邮件发送,附件必须为OFFICE文档的RMS授权加密方式。如果情况比较紧急或特殊,可通过点对点的电话方式告知。
网络安全 网络连接安全
所有计算机都必须安装SPES才能接入公司网络吗?Unix平台的机器怎么办?
所有需要接入公司网络访问公司应用的Windows平台的客户端设备都需要安装SPES,包括但不限于公司内部人员管理的客户端设备、外包人员使用设备、供应商提供测试设备、顾问或临时来访人员使用设备。
非Windows平台的设备不需要安装,但需要申请固定IP并通过审批才能保证策略实施后正常接入公司网络。
个人能够设置FTP、Wins等网络服务吗,为什么?
未经批准,不得私自设置WWW、FTP以及BBS、NEWS、DNS、Wins、DHCP等各种形式的网络服务,更不能在公司网络上运行任何攻击或破坏网络服务的软件。因为设置这类服务会对网络正常运行造成不良影响。
如确实业务需要,不接入公司大网(如,仅在实验室小网使用)同时不需要IT协助的服务申请,提交“IS Authority Application”电子流进行申请,其余服务的申请通过IT requirment流程申请。
出差到办事处,需要在宾馆上网,需要注意什么来保证个人便携机的安全? 对于便携机的安全,一般从下面几个方面防范:
(1)安装和使用公司指定的个人防火墙,在外出差启动便携机时,也要把个人防火墙启动。个人防火墙策略在通过公司指定的服务器下载安装时已经配置好,个人不需要也不能改动个人防火墙策略。
(2)使用便携机收发电子邮件的附件时,下载和打开前要使用杀毒软件先杀毒。(3)通过便携机访问公司Email系统时,网址输入格式推荐使用https代替http。
我是全球技术服务部工程师,需要填写研发的需求承诺电子流,这个电子流放在研发区,我不能访问该如何办?
需要填写“NC帐号申请”电子流申请NC帐号,然后就可以使用NC服务器进行这类业务的操作。是否可以在公司的办公区使用无线上网服务?
公司所有办公区域目前没有开通无线上网服务。所以,在公司相关办公区域不能无线上网,如果有业务需要,请使用公司的有线网络服务。
我因工作需要通过MODEM、ISDN等连接到外部网络,应该怎么做?
首先需要通过”IS Authority Application”电子流提交申请,获取MODEM、ISDN等服务权限,没有经过批准不能私自使用MODEM、ISDN等服务。
获得MODEM、ISDN等网络连接批准后,在与外网连接前需要确保相关的机器和公司网络是断开的。因为如果您的计算机同时连到公司网络和外部网络,外部网络上的人员很可能通过您的机算计访问公司内部网络,这样会对公司网络带来很大的安全隐患,所以禁止在个人计算机与内部网络连接的情况下与外部网络通信。
如果在出差期间需要通过外网访问公司的相关系统和服务器时(比如Notes、Email等系统),应该怎么办?公司VPN服务能够解决此类需求吗?
通过使用VPN网络可以满足此业务需求:
但出差前你需要提交“Token 管理电子流”申请Token卡并在便携机上安装checkpoint客户端软件;这样出差时你就可以从外网通过VPN访问公司资源了。此时您只需要运行checkpoint软件,输入静态密码和Token卡产生的动态密码,通过验证以后,您就可以像在内网上一样使用公司的相关应用和服务了。
特别提示,公司禁止员工在处理工作邮件时使用公网上提供的免费邮箱,在外出差或者公干时也要求员工使用公司提供的邮箱;在访问公司的Webmail系统时,网址输入采用https形式,这样在信息传递时增加了一层加密保护的功能。
八、接待、对外合作和信息交流
对外接待和陪同
谁负责外部人员在公司的信息安全管理工作?
根据公司的信息安全管理策略,外部人员所服务或进行合作的接口部门的主管或项目经理应该总体负责外部人员的信息安全管理工作。
我被部门指派陪同非公司人员,应注意些什么? 作为接口人,或说接待人,您引领供应商/合作商等人员进入特定公司区域,需经主管该区域的部门负责人批准。供应商/合作商在上述区域活动时,您应全程陪同。
来访人员携带便携机时,如不需要使用,您可协助其将便携机存放于门卫处;如需携带便携机进入公司,您应注意不让来访人员独自在办公区域使用便携机。此外您还应注意,供应商/合作商只能在经批准的办公区域进行本次业务相关的活动。
因工作需要,向公司外人员发送保密信息有哪些注意事项?
(1)向外部提供文档资料时,应遵照《信息保密管理规定》,首先获得接口部门主管许可,然后向信息owner部门申请:(2)发送的资料要加密,以防止保密信息泄密;发送绝密、机密级文件,发送的方式范围、对象需经过信息所有人审批;
(3)保密信息必须加密发送并设置回执,如:口令、研究报告、开发信息和其他的敏感数据;需事先与接收方签署保密协议。
信息交流
作为接待人员,对外接待交流中需要注意哪些信息安全事项?
(1)接待人员不应向供应商/合作商透露业务范围之外的公司技术、商务情况,不随意承诺,不在授权范围之外行事, 已经承诺和双方达成意向的事宜应当做正式记录。
(2)供应商/合作商需要查看公司文档、资料,按如下优先顺序提供: 查阅(不借)->纸件借阅->电子档借阅。
(3)向供应商/合作商提供含有公司保密信息的文件、资料或实物的,接待人应获得部门主管批准,并与供应商/合作商签订保密协议后再行提供。
对外商务活动中,移动电话的使用有哪些安全注意事项?
(1)不能在电梯、汽车、餐厅、酒店大堂等公共场所接听重要电话,必须接听时请到相对空旷或不易被窃听的地方;
(2)销服员工在商谈重要的商务问题时尽可能使用随机的固定电话,不能使用本人名片上的移动电话和固定电话,若必须使用移动电话,则必须使用临时购买的预付费卡。
签署保密协议
哪些情况需要对外签署保密协议?
XX公司与其他公司或个人之间在合作、雇佣、技术支持等有可能接触公司的保密信息时需要签署保密协议。
对外签署保密协议有哪些注意事项?
(1)保密协议应首先使用公司模板,可从“法务之窗”Notes库获取。(2)必须签署原件保密协议。在紧急情况下可以先签署复印件、传真件,后补签原件;(3)英文保密协议一般不需盖章,只需签字,中文保密协议一般需签字盖章;(4)盖章时应盖法人章或保密协议专用章,不应盖部门章。
若与对方的合同中已有保密相关的内容,是否可以不再与对方单独签订保密协议?
合同中有关保密的内容大多是框架性的。实际作业中信息不同,保密条款中的要求会有所不同,可能需要进一步细化。要根据具体情况区分对待,不是说合同里签了就不用签了,有些可能是签附加条款,有些应该再签单独的保密协议。签署保密协议方面的问题,可咨询法务部。
九、研发信息安全
研发网络与非研发网络隔离
什么是研发工作区?研发工作区包含哪些区域?
研发工作区:有明确的物理边界,贯彻和实施了研发信息安全政策的工作区域。
研发工作区包括深圳科研中心(F1、F3、F4、F5、中试中心)、华电研发工作区、南京研究所研发工作区、上海研究所研发工作区、北京研究所研发工作区、西安研究所研发工作区、成都研究所研发工作区、杭州研究所研发工作区等研发办公场地。具体研发工作区清单参见网络安全部维护与公布的“IS Policy, Standard & Regulation”数据库中的《最新研发工作区清单》。
研发区和非研发区之间不能直接实现文件共享,如果文件共享,怎么办? 分为两种情况:
1)数据从研发传递到其他工作区
小于10M的文档可以通过Notes Mail直接发送;大于10M的文档可以在“研发便携&文档外出管理”数据库中填写“公司内异地传输”申请,审批通过后,通过FTP服务器进行传送。
2)数据从非研发传递到研发区
小于10M的文档可以通过Notes Mail直接发送;大于10M的文档可以通过公司的FTP服务器进行传送或者通过Bigmail数据库进行传送。
可通过FTP帐号申请电子流程申请FTP帐号。
研发工作区的应用,公司非研发区无法访问;公司非研发的应用,研发工作区无法访问。如果需要全公司的都需要访问,这个问题怎么解决?
由于研发工作区和公司其他工作区网络都可以访问数据中心通用区,所以全公司访问的服务器/应用可申请搬迁到数据中心。服务器/应用搬迁到通用区的需求由信息所属部门提交需求。
我是非研发员工,如果到研发区办公,无法访问我的非研发Notes邮箱,该怎么办?
由于在研发区是不允许访问非研发的Notes服务器的,因此非研发员工如果因工作需要到研发区办公,在办公位变动之前,需要填写““Notes邮箱搬迁”将您的Notes邮箱从非研发区服务器迁移到研发区服务器上。
注意:邮箱搬迁到新服务器后,原先旧服务器上的邮件不会同步搬迁过来,因此搬迁之前需要先将服务器上的邮件下载到本地。
我是研发员工,到海外代表处出差,我该怎么访问Notes?
由于实施研发/非研发网络隔离,海外代表处属于非研发区,无法直接访问研发Notes邮箱和研发Notes应用数据库。
您可以出差之前申请NC帐户(在“IS Authority Application”数据库中填写“NC帐号申请”),通过NC来访问您的研发Notes邮箱与研发Notes应用。
对于Notes邮箱,除通过NC可以访问外,也可以在出差之前将您的Notes邮箱从研发区服务器搬迁(填写“IT Service Application”中的“Notes邮箱搬迁”)至海外代表处当地区域数据中心非研发的服务器上。优点是访问Notes邮箱速度快,缺点是出差结束后需要考虑将出差期间的邮件拷贝到个人PC机上。
研发信息安全问题求助渠道
(1)发邮件给Public IS/luculent,会有专人处理回答您的疑问。(2)可以联系本部门信息安全专员。
(3)访问Notes数据库“研发信息安全工作平台”获取帮助。
十、离职
离开公司前为什么需要与公司签署保密承诺?
员工离职前,公司有相应的离职流程收回员工拥有的相关信息系统和资源的访问使用权限,同时公司也相信绝大多数员工是遵纪守法的。但是,为防止少数人泄漏XX公司的重要信息,防止离职人员在规定期限未满就到公司竞争对手处工作或间接工作,于是需要与离职员工签署竞业保密承诺。
离职员工有哪些保密责任?
XX员工在其离职两年内仍要按照进公司时签订的合同,承担下列保密责任,否则将承担违约的民事或刑事责任:
(1)不带走从XX公司获取的任何资料,包括但不限于记载于纸件或胶片上的文档、文件、图表、目录,存储于磁盘、光盘上的软件、程序等。
(2)离职后两年内不得到与XX公司有竞业关系的公司从事与在XX公司工作期间工作性质相同或者相似的工作。
(3)未经XX公司书面同意,不向任何单位和个人透露或使用在XX公司就职期间获得的商业秘密,包括技术秘密、商务秘密、财务秘密、管理秘密以及其它经营秘密。
附录一:常用信息安全IT系统说明 1 IS Portal 为了帮助公司员工更多地了解公司信息安全规定、管理体系,降低无意违规的发生频率,加强公司员工的信息安全保密意识。网络安全部建立了IS Portal(SZXAP18-DS)数据库。初始界面如图所示:
2常用信息安全电子流、数据库索引
IS Policy, Standard & Regulation„„„ SZXAP17-DS服务器 IS Authority Application„„„„„„ SZXAP18-DS服务器 信息资产密级管理„„„„„„„„„ SZXAP01-DS服务器 信息安全问题受理„„„„„„„„„ SZXAP71-DS服务器 员工个人诚信档案„„„„„„„„„„„SZXAP15-DS服务器 保密业务电子流„„„„„„„„„„„„„rnd-apps服务器 IT Requirement Application„„„„„„SZXAP16-DS服务器 IT Service Application„„„„„„„„SZXAP74-DS服务器 IT热线专栏„„„„„„„„„„„„ dnp-app3服务器 IT资产申请„„„„„„„„„„„„ SZXAP01-DS服务器 XX卡证门禁„„„„„„„„„„„ SZXAP77-DS服务器(研发)文档查阅„„„„„„„„„„„„ HW-TF-APP服务器 研发便携&文档外出管理„„„„„„ SZXUC05-DS服务器
以上信息如有变化,请以“应用信息分布”(SZXUA05-DS)查询的最新数据为准。3公司内部常用信息安全工具索引
SPES………………………………… http://spes.luculentnet ACC…………………………………… http://acc.luculentnet RMS……………………………… http://rmshelp.luculentnet Symantec AntiVirus……… http://szxav01-ss.luculentnet Anti-Spyware……………………… http://scan.luculentnet NC………………………………… http://nchelp.luculentnet 附录二:公司信息安全体系及职责说明 1公司信息安全监管委员会工作职责:
1.1审查和核准信息安全总体策略,对重大问题达成共识; 1.2审核批准重大的信息安全建设方案;
1.3在整个组织中增加对信息安全工作的领导力度; 1.4对紧急重大安全事故进行响应决策;
1.5提出信息安全总体要求和批准信息安全战略规划。2公司信息安全管理办公室工作职责:
2.1负责组织制定公司的信息安全策略、标准和流程;
2.2负责组织信息安全策略、标准和流程在业务部门的推行工作; 2.3负责组织公司范围内的信息安全监控与审计; 2.4负责对公司的信息安全状况进行定期评估和风险分析; 2.5负责组织对跨业务部门的或重大的安全事故的调查; 2.6负责组织公司的信息安全培训和宣传。附录三:信息安全案例汇编
(一)公司信息案例汇编 1私自转借工卡
【事件描述】2004年5月,深圳总部某安全岗值班员在对进出人员卡证佩戴情况进行检查时,发现一名佩戴XX正式工卡的人员与工卡上照片不符,当即求助相关部门对该工卡的真伪进行鉴别,同时要求当事人配合安全岗进行调查,并报行政管理部处理。
经查,该佩戴XX员工工卡的人员为固网产品线的外协文员,因自己的临时通行证没有在生产中心通行的权限,所以借用XX员工工卡通行。
【违规等级】四级
【事件描述】2004年8月,公司某部门员工接待一名供应商进入研发区域,在接待过程中,该员工私自将工卡借给供应商,让其独自到机要室拷贝资料,供应商随身携带的U盘也未在门岗登记,直接被带入了研发办公区域。
【违规等级】三级
【事件点评】工卡是公司员工的身份证明,只限于员工本人使用,是不允许私自转借的。它不仅关系到公司的形象和安全,而且还关系到员工本人的切身利益。另外,临时出入公司的客户、供应商等人员,接待人员需要全程陪同。需要注意的是,在接待过程中,接待人员是要对来访人员的所有信息安全行为负责的!
2未升级防病毒软件造成网络瘫痪
【事件描述】2006年初,某员工到一外研所出差。该员工计算机安装的防病毒软件为Norton 7.6版本,且病毒库版本为05年9月,未及时升级到Symantec Antivirus 10企业版并实行集中管理,导致无法查出病毒。在外研所办公期间,由于该员工的便携机携带了病毒并且该病毒自动向网络发送大量数据包,数据流量大大超过日常办公时的流量,导致外研所网络服务器CPU过载,网络瘫痪达1小时之久。给外研所的办公带来较大影响。
【违规等级】三级 【事件点评】随着计算机技术的发展,病毒的种类越来越多,危害越来越大。据《InformationWeek》研究部和埃森哲咨询公司(Accenture)合作进行的第九年度“全球安全调查”显示,在所有受访者当中,有57%的美国公司在过去一年中曾遭受病毒攻击,34%曾受到蠕虫的攻击!这些数据足以提醒我们每位员工一定按照公司要求,及时安装杀毒软件并执行集中管理,防止这类事故的再次出现。
3违规安装非标软件,影响公司网络
【事件描述】2003年5月,技术支援系统某员工未经批准,私自在其便携机中违规安装Sygate软件,结果在公司网上无意启动了DHCP服务,影响了公司网络的正常运行,使得该员工所在代表处的网络瘫痪达2个小时之久。
【违规等级】三级
【事件描述】 2006年2月份,在信息安全例行检查中,发现供应链某业务部一位员工未经批准私自从外网下载了并安装了危及网络安全的违规软件Ethereal。
【违规等级】四级
【事件点评】安装违规软件是公司员工最典型的信息安全违规行为之一。尽管公司一再重申相关规定,但仍有个别员工无视这些规定的存在。一些违规软件(如 Wingate, Sygate等)可能会影响公司网络正常运行,而诸如Ethereal、NetXray、Sniffer等软件则会危及公司的网络安全。请各位员工遵守公司要求,安装符合公司标准的应用软件。
4违规使用USB 【事件描述】全球技服某员工未经允许,私自使用优盘拷贝便携机上的资料,准备复制到家中的私人电脑中,其中包括部分公司保密资料。此事随即被网络安全部查获。
【违规等级】三级
【事件点评】公司明文规定,因工作需要使用USB是可以的,但需要申请。而未经批准,私自使用USB的话,一经发现,就会被严惩。
5私拆硬盘刻光盘
【事件描述】2006年4月27日,北研所某员工利用工作之便,在未经批准的情况下,私自撤除计算机封条,取出硬盘带到外面进行光盘刻录。
【违规等级】一级,辞退
【事件点评】私自拆除硬盘,流失的文档包含着公司各位员工的血汗。我们辛辛苦苦才收获到这些粮食,切记不可让别人随随便便就偷走。各位员工如果发现有人盗窃公司信息资产,一定要挺身而出,保护大家的利益,也保护自己的利益。
6计算机密码管理不善造成泄密
【事件描述】2006年3月,供应链管理,离开工作岗位而又有外部人员在场的情况下,未手动锁定电脑,存在信息泄密的风险;第三方物流公司的两名员工趁我司员工不在场,多次私自使用公司电脑。
【违规等级】四级
【事件描述】某员工在外出差期间,利用宾馆局域网上网,共享了存有公司保密文档的文件夹,但未设置共享口令。此事被宾馆其他人员发现,并及时向公司报告,避免了保密文档的外流。
【违规等级】四级
【事件点评】幸好及时发现,没有给公司造成损失,否则三级违规就不可避免了!每位员工都应注意,在设置了计算机密码的同时,还千万不要忘记离开座位时及时锁定电脑。设置了密码但没有启用密码锁定的电脑就如同于保密柜虽然配备了锁头但把锁头丢在一旁,对于盗贼而言,密码或锁头都如同虚设。另外还要注意,员工在出差时如需通过网络传递电子件形式的保密资料必须加密后才能通过计算机网络进行传送,在传送时要设置回执,如因技术原因无法设置回执时,则应该做好传送记录。现在很多宾馆都有上网的专线,员工在宾馆上网要注意取消计算机内所有的文件共享。通过宾馆的专线发送邮件时,一定要对发送的文件在本地进行加密后才发送。计算机自身的安全防护措施也要配置好,比如安装个人防火墙软件、防病毒软件以及设置Administrator和硬盘口令等等。
7保留违规文档并逃避检查
【事件描述】2002年11月,在信息安全例行检查中,发现研发某员工在工作已完成交接后,未删除过去工作中涉及到的大量保密文档,并以更改后缀的方式保留以逃避检查。
【违规等级】三级
【事件点评】这种更改后缀,有意逃避信息安全检查的行为实在是比较恶劣,也体现了该员工的人品素质比较差。幸运的是没有给公司造成损失,否则信息安全一级违规、辞退或司法机关处理也不为过。奉劝那些打公司注意的少数人,一定要保持清醒的头脑,想清楚仅因一时贪念而影响了个人前途是否值得?
8私自外发公司保密信息
【事件描述】2006年初,国际营销系统某海外机构某员工未经批准,通过多方渠道获取公司的一些产品价格清单通过E-Mail外发给外部人员,对公司业务产生重大影响。
【违规等级】一级,辞退
【事件描述】2005年6月,全球技术服务部,违规将绝密文件发给没有与我方签订保密协议的第三方工程师。
【违规等级】二级
【事件描述】2005年12月,内部服务管理部某员工未经公司批准,将项目招标文件及相关附件清单通过E-mail发送至个人外部邮箱。后来还发现此员工多次私自通过E-mail将公司相关主管及秘书通讯录、我司认证的相关供应商信息以及工程文件发送至公司外部其朋友邮箱。
【违规等级】二级 【事件描述】国内营销部员工刘某将公司电话号码查询数据库复制后,发往公司外部同学的邮箱,以方便其同学的夫人向公司员工进行房地产推销。
【违规等级】三级
【事件点评】保密信息外泄占公司员工信息安全违规的一个很大比例。少数员工存在侥幸心理,为一时贪念就铤而走险,有意触犯公司的信息安全高压线,以为可以逃脱公司的检查和审计,殊不知“法网恢恢,疏而不漏”。总有一天他们要为自己的贪婪付出惨痛代价。也存在很多员工,无意间就违反了公司的信息安全规定。归根结底,这是由于安全意识低,安全知识匮乏等造成的。还请这些员工多多关注公司的信息安全制度流程,培养信息安全意识。针对上述的几个案例,特别强调以下几点:
(1)在与合作方合作期间,接口部门千万不要忘记与他们签署保密协议。这是对公司负责,也是对员工个人工作负责。但即使是签署了保密协议,员工也不能随意将公司的保密文件发送给合作方,必须经过业务部门主管批准才可以。
(2)因工作需要发送涉密文档,须经过信息所有人批准之后才可外发,发送的时候要先给文档加密。(3)不仅公司的产品相关文档需要保密,公司的管理制度、业务流程、工作职责、部门结构以及电话号码信息等类文档,都是重要的信息资产,未经批准,都是禁止外发的。
9私自记录并使用他人Proxy帐号
【事件描述】2006年2月,研发某员工A在帮助员B工配置Proxy帐号时私自记下了该员工的帐号密码,并通过该帐号上传公司内部保密资料到外部邮箱,当即被公司网络安全部查获。
【违规等级】二级
【事件点评】这种盗取他人帐号的行为足以显示员工A的人品素质存在问题。现在这个信息化社会里,非法使用他人帐号就相当于冒用他人身份。任何人都不会希望别人用自己的身份去做坏事。所以,一方面,我们应该保护好自己的帐号,不要被他人盗用;另一方面,由人及己,也不要做擅自使用他人帐号这种不诚信的事。
10发送工作无关邮件
【事件1描述】02年3、4月间,部分员工在公司网上传播一篇工作无关的Notes邮件。经查明,先后有225人参与了该邮件的发送或转发。
【违规等级】二级
【事件2描述】05年,某员工用一大群组发送内容为租房信息的Notes邮件。邮件发送后又有多人直接对所有收件人进行回复,导致多名员工收到多封工作无关邮件。
【违规等级】三级
【事件3描述】06年2月,某员工利用Notes发送内容为含“2天内把该信息转发给20人,幸运就会降临;反之则有厄运降临”的连环垃圾邮件,导致邮件迅速在公司网络中传播。【违规等级】二级
【事件点评】某些利用公司网络资源发送的工作无关连环邮件,不但浪费公司的IT资源,也浪费收件人的时间。甚至有些工作无关邮件收件成员中包含了很多公司海外网络条件比较差地区的海外员工,收这些垃圾邮件严重影响了他们的的正常工作。如果将这些浪费的资源和时间的成本转换为金钱,可是一个大数目。对公司来说,也是一笔不小的浪费!还请每位员工专注本职工作,连环垃圾邮件切莫发。
11有意利用系统漏洞
【事件描述】公司某员工,于2006年将朋友发至其E-mail邮箱中的团购公告绕过正常审批程序直接在Notes数据库“行政服务之窗”上发布,为其朋友进行广告宣传,且故意虚构发布人信息。网络安全部于当天下午两点三十分收到员工举报,仅用半个小时便查明事件真相,随即对员工的非法操作行为进行了处理。
【违规等级】一级
【事件点评】这种有意利用公司IT系统漏洞的行为,无论产生的后果是否严重都是应该严惩的。作为公司的员工,我们应该保护公司的利益,一旦发现了流程或系统中存在的漏洞,应及时向有关部门反馈,进行弥补,断不可利用其为己牟利。
12私设论坛发表恶劣言论被除名
【事件描述】2005年10月,供应链某员工,利用工作时间登录公司内部Notes邮箱私设论坛,并多次发布极其恶劣的辱骂性话语。
【违规等级】一级,辞退。
【事件点评】公司IT资源只能用于工作需要,利用公司网络资源私设论坛,并多次发布极其恶劣的辱骂性话语,不但浪费IT资源,还在公司范围内造成了极其恶劣的影响。
13门禁尾随不以为意,引狼入室埋下祸根
【事件描述】2004年12月,供应链管理部电装部某员工因当晚有培训,经由厂房三楼门禁进入实验楼。在刷开进入实验楼的门禁时,有一名佩戴临时通行证(无门禁卡)的外协员工尾随其进入了实验楼办公区,该员工未在意,更未过问。在随后的一个小时内,该名外协员工在实验楼利用工具盗窃办公电脑软件标签十余张。后经严密布控,嫌疑人于再次潜入作案时被当场抓获。
【违规等级】三级
【事件点评】该员工安全意识薄弱,导致被窃贼利用。公司规定,非工作需要不得引领无权限人员进入非授权门禁区域。虽然该员工行为无意,但客观上为该外协员工盗窃电脑标签提供了便利,给公司造成的损失是他必须承担的。
14在办公区拨号上网处罚案例
【事件描述】技术支援部某员工,在驻外某研究所办公场所私自拨号上网。自2003年5月21日至6月20日,累计拨号上网看新闻等内容34次、301分钟,给公司的网络安全带来极大的隐患,也严重浪费了公司的资源。
【违规等级】三级
【事件点评】尽管公司三令五申:未经批准严禁在办公场所拨号上网,但仍有少数人置若罔闻。要知道在办公区拨号上网不仅浪费公司的资源、影响正常业务,更可能将黑客、病毒、木马以及间谍软件通过网络传播到公司来,影响的不仅仅是一个员工,很有可能对公司某个区域的网络安全产生重大影响!
15私自将公司便携借给合作方使用
【事件描述】2006年1月,全球技术服务部某员工违规将便携机借给合作方员工使用,合作方员工利用上班时间上QQ传递工作所需文件;并且未经审批在机房使用移动存储设备给用户拷贝相关用户文档或版本文件;
【违规等级】二级
【事件点评】便携机上保存有很多工作相关的文档,自己可能司空见惯,觉得没什么大不了,可是其他人拿到可就不一定了,外界的信息战正打得轰轰烈烈呢。正所谓千里之堤,溃于蚁穴。大家都需要从细节做起,自觉保护信息和资料,打下来的粮食才能有保障。
16私自收集资料并外发
【事件描述】2005年6月,光网络某员工非法大量收集部门培训资料、典型案例和开发规范,更改文件名后,私自通过E-mail加密发送到外部邮箱。
【违规等级】一级,辞退。
【事件点评】根据工作相关原则,非法收集大量文档本身就已经是被禁止的,而在发送之前更改文件名,则明显是动机不良,想要掩人耳目。如果真是因为工作所需,领导批准之后光明正大的发送不可以吗?文档流失出公司,受到损害的可是所有员工的利益。请千万要三思而后行啊!
17离职前盗取机密文档,离职后公开发售
【事件描述】某外研所员工两名员工A和B于2001年前后离职,在离职之前,两人串通,由A利用职务之便通过B的计算机USB口,将某产品代码利用移动硬盘拷贝带出。当时,公司正开始启动计算机加封USB口并口的保密措施,外研所也是于2002年初对所有计算机进行端口加封的,两人正是利用了当时 USB口没加封这一安全漏洞。两人离职后,A将从公司带出的这些代码拷贝给了B。2003年B又重新应聘回公司工作,7月将这些代码在网站上发帖子进行了出售,被公司员工发现举报,公安机关经侦查核实后将两人依法拘留
【违规等级】一级,辞退,并由司法机关依法追究其刑事责任。
【事件点评】“君子求财,取之有道”。象B这样通过损害公司和其他大多数员工利益,以谋求私利的做法,最终只能以他自毁前程的悲剧收场。A窃取公司代码,拷贝给B,后被B(未告之A)出卖,再次验证“伸手必捉”的古训。每个员工都与公司签署的保密协议,在办理离职手续时,也有相应的保密规定的约定。对于在公司里获得的文档,在离职前必须全部移交,是绝对不允许带出公司的。这里包括任何形式的任何文档资料,即使是公司内部公开的培训资料、管理规定等,也是不允许带出的。
(二)业界信息案例汇编
1宝洁和联合利华公司的情报纠纷事件
【事件描述】2001年初,宝洁公司和联合利华公司之间爆发了情报纠纷事件。
面对主要竞争对手联合利华的强烈质疑,宝洁公司公开承认,该公司员工通过一些不太光明正大的途径获取了联合利华的产品资料,而这80多份重要的机密文件中居然有相当比例是宝洁的情报人员从联合利华扔出的“垃圾”里找到的。后来,宝洁公司归还了那些文件,并保证不会使用得来的情报,沸沸扬扬的“间谍案”就此不了了之。
【事件点评】因为这些机密文件是从联合利华扔出的“垃圾”里找到的,所以联合利华无法起诉宝洁公司。任何关于侵犯商业秘密的案子,很重要的一点就是要提供证据证明商业秘密的持有人对商业秘密采取了保密措施。联合利华扔到垃圾桶里的东西怎么能证明它采取了保密措施呢。所以。联合利华这是“打掉牙齿和血吞,有苦说不出啊”。现在各个部门都有碎纸机,如果是包含机密信息的纸件,一定要用碎纸机碎掉,千万不要直接扔进垃圾桶里,不然,我们也会重蹈联合利华的覆辙的。
2可口可乐秘方泄漏事件
【事件描述】美国联邦调查局(FBI)于2006年7月5日逮捕了3名涉嫌从可口可乐公司偷盗饮料配方、并尝试将其卖给可口可乐公司宿敌百事可乐的疑犯。令人震惊的是,其中一名嫌疑人竟是亚特兰大可口可乐公司的高级行政助理若亚•威廉斯。据检察官透露,嫌犯之一迪姆松准备卖给百事可乐的机密信息是可口可乐公司内部人士威廉斯提供的。
可口可乐公司的监视录像拍下了威廉斯盗取公司机密的情况。威廉斯在可口可乐公司总部翻阅大量文件,然后把一些文件装进袋子里,还拿走了一个贴有白色标签的容器,容器中的液体看起来和可口可乐新产品的样本相似。可口可乐公司随后证实,威廉斯拿走的液体正是可口可乐公司正在研发的新产品。
【事件点评】虽然当今的竞争如此激烈,但盗取并售卖公司商业机密的人,也是不会被其他有良知的公司所接纳的,因为这是完全没有职业道德的表现。
据报道,跻身世界500强的大公司,几乎每一家都设有保护商业机密的部门,专门从事商业情报的保密工作。比如:通用电气和英特尔等公司,委派公司中最优秀的人负责保密工作;摩托罗拉公司还从美国中央情报局挖来专业的情报人员,组建起公司的情报部门,以保护自己的商业机密;安永会计师事务所则组建了拥有25名员工的竞争情报部。美国硅谷一直被誉为世界高科技的“风向标”。尖端科技蕴含着极高的商业价值,因此,防范商业间谍、保护公司核心机密就成了硅谷中每家公司的头等大事。有报道说,几乎垄断了全球芯片市场的英特尔公司,甚至把前来采访的记者当成商业间谍严加防范,公司里处处都有保安人员“盯梢”以杜绝拍照,除了企业大门口和餐厅等无关紧要的地方,其他任何地点都不准拍照。公司的所有员工,在进出时都要进行安检并验明证件。
3网络内外窃贼猖狂,各大公司防不胜防
【事件描述】2006年2月,安永会计师事务所一名职员放在车里的便携机被盗,电脑中存有公司3.8万名客户的个人资料。案发后,安永会计师事务所开始采取行动,对大约3万名员工的笔记本电脑资料进行加密保护。
2006年3月,美国信诚投资公司的一台便携机遭遇“网上窃贼”,致使惠普公司19.6万名员工的个人资料泄漏。此后,信诚投资公司加紧对公司员工的笔记本电脑资料进行加密。
2006年4月,安泰保险公司一名员工放在车里的便携机被盗,上面存有5.9万名客户的姓名、住址和身份证号码。案发后,安泰保险公司采取了一系列防范措施,防止电脑资料泄漏。公司要求员工对电脑上文件和资料重新进行加密。公司对每一台电脑进行检查,确保电脑上的文件设置有必要的加密保护。此外,安泰保险公司还对备份和保存资料用的外部存储器进行严格管理。
【事件点评】据一个美国公司的调查,从2005年2月到现在,约有8800万美国人曾遭遇身份证号码和其他个人隐私资料被窃取的风险。而随着越来越多的人开始把资料保存在便于携带的便携机上,窃贼们也把目标对准了便携机。甚至就像上面案例里面的窃贼那样,直接从车里窃取便携机,真的是“一点技术含量都没有”,但成功率无疑是加大了。随着资料失窃案的频频发生,一些窃贼甚至还开始在网络上兜售自己窃取的资料。
我们公司在保护资料方面一直都有采取措施。像大部分公司一样,我们也要求员工对计算机上的资料都进行加密,这样就减少了因为网络窃贼窃取资料而造成泄密的可能性。公司现在要求所有员工使用RMS对文档进行授权保护,也是出于这方面的考虑。这样一来,即使窃贼拿到了文档,只要他无法通过身份认证(通过认证需要将正确的域帐号和密码通过网络发送到公司的域服务器,并且还需要文档中已经给这个域帐号设置权限),也无法查看文档。
对于便携机,除要求对文档加密和操作系统、应用系统设置口令之外,还要求对硬盘口令进行设置,这样也降低了因便携机丢失而发生信息泄漏的可能性。另外,同安泰保险公司一样,我们公司对外部存储器的使用也是严格控制的。
信息安全无小事!只有大家一起来关注安全问题,防患于未然,才能更好的保护信息资产,保障所有员工的利益。
4恶意软件要当心
【事件描述】赛门铁克(Symantec)公司日前公布的半年度互联网安全威胁报告显示,黑客近来从传播病毒转向牟取钱财。2005年下半年,在排名前50例的黑客攻击事件中,有88%是以金钱为目的。这一比例比2005年上半年的77%有明显增加。报告称,黑客牟财途径主要有两种:恶意软件和“钓鱼”骗局邮件。从2005年7月1日至12月31日,互联网上最流行的恶意软件的用途是收集个人电脑用户机密信息,黑客窃取个人信息的目的在于“捞钱”。在排名前50位的攻击软件中,有80%是用于收集用户个人信息的,2005年上半年这一比例是74%。
赛门铁克公司自称能够跟踪世界1/4的电子邮件。2005年下半年,每119份电子邮件中就有一例是“钓鱼”骗局邮件,而在2005年上半年是125份邮件发现一例。所谓“钓鱼”就是欺骗用户下载能够偷取密码和信用卡号码的软件。而黑客传播的新病毒和蠕虫数量比以往明显减少。针对微软公司视窗平台的新病毒和蠕虫数量在 2005年下半年下降了39%,2005年全年只出现5种比较严重的病毒和蠕虫,数量比2004年的减少了50%。
【事件点评】网络安全部针对这一问题,提供了一项“在线扫描”的服务,大家在公司内网可以登录站点http://scan.luculentnet来扫描自己的计算机看看有没有被植入恶意程序。使用中碰到任何问题,可以咨询IT热线(+86-755-28560160)。当您收到“钓鱼”骗局邮件(建立假冒网站或发送含有欺诈信息的电子邮件,以盗取网上银行、网上证券或其他电子商务用户的账户密码一类邮件)一定不要直接点击邮件内提供的网址,或者对邮件进行回复,应该使用该金融中心的服务电话联系确认相关信息,也不要使用邮件中提供的联系电话进行联系。时刻保持警惕是防范被骗的最佳法宝。
第二篇:新员工入职保密协议
×××公司 【协议编号:】
新员工入职保密协议
甲方:xxxxxxx公司
乙方:______________(身份证号码:)
双方确认,乙方在甲方任职期间,因工作需要接触到任何材料,除工作需要外,都不得对对材料进行复印,或以其他形式对外发送。未经公司确认,不得将任何材料向第三方提供,所有工作要遵循公司和工厂保密制度进行。
第一条 知识产权归属
双方确认,乙方在甲方任职期间,因履行职务或者主要是利用甲方的物质技术条件、业务信息等产生的发明创造、作品、计算机软件、技术秘密或其他商业秘密信息,有关的知识产权均属于甲方所有。甲方可以在其业务范围内充分自由地利用这些发明创造、作品、计算机软件、技术秘密或其他商业秘密信息,进行生产、经营或者向第三方转让。乙方应当依甲方的要求,提供一切必要的信息和采取一切必要的行动,包括申请、注册、登记等,协助甲方取得和行使有关的知识产权。
上述发明创造、作品、计算机软件、技术秘密及其他商业秘密,有关的署名权(依照法律规定应由甲方署名的除外)由作为发明人、创作人或开发者的乙方享有,甲方尊重乙方的精神权利并协助乙方行使这些权利。乙方除署名权外不享该秘密的其他权利。
第二条 职务技术成果与非职务技术成果
乙方在甲方任职期间所完成的、与甲方业务相关的发明创造、作品、计算机软件、技术秘密或其他商业秘密信息,乙方主张由其本人享有知识产权的,应当及时向甲方申明。经甲方核实并书面确认,认为确属于非职务技术成果的,由乙方享有知识产权,否则乙方不得在未经甲方明确授权的前提下利用这些成果进行生产、经营,亦不得自行向第三方转让。
乙方没有申明的,推定其属于职务技术成果,甲方可以使用这些成果进行生产、经营或者向第三方转让。即使日后证明实际上是非职务成果的,乙方亦不得要求甲方承担任何经济责任。乙方申明后,甲方对成果的权属有异议的,可以通过协商解决;协商不成的,通过诉/ 4
讼途径解决。
第三条保密义务
乙方在甲方任职期间,必须遵守甲方规定的任何成文或不成文的保密规章、制度,履行与其工作岗位相应的保密职责。
甲方的保密规章、制度没有规定或者规定不明确之处,乙方亦应本着谨慎、诚实的态度,采取任何必要、合理的措施,维护其于任职期间知悉或者持有的任何属于甲方或者虽属于第三方但甲方承诺有保密义务的技术秘密或其他商业秘密信息,以保持其机密性。
除了履行职务的需要之外,乙方承诺,未经甲方同意,不得以泄露、告知、公布、发布、出版、传授、转让或者其他任何方式使任何第三方(包括按照保密制度的规定不得知悉该项秘密的甲方其他职员)知悉属于甲方或者虽属于他人但甲方承诺有保密义务的技术秘密或其他商业秘密信息,也不得在履行职务之外使用这些秘密信息。
双方同意,乙方离职之后仍对其在甲方任职期间接触、知悉的属于甲方或者虽属于第三方但甲方承诺有保密义务的技术秘密和其他商业秘密信息,承担如同任职期间一样的保密义务和不擅自使用有关秘密信息的义务,而无论乙方因何种原因离职。
乙方承诺,在为甲方履行职务时,不得擅自使用任何属于他人的技术秘密或其他商业秘密信息,亦不得擅自实施可能侵犯他人知识产权的行为。
乙方离职后承担保密义务的期限为无限期承担保密义务,直至乙方宣布解密或者秘密信息实际上已经公开。
乙方认可,甲方在支付乙方的工资报酬时,应考虑了乙方离职后需要承担的保密义务。
若乙方违反上述承诺而导致甲方遭受第三方的侵仅指控时,乙方应当承担甲方为应诉而支付的一切费用;甲方因此而承担侵权赔偿责任的,有权向乙方追偿。
第四条(其它约定)
乙方在履行职务时,按照甲方的明确要求或者为了完成甲方明确交付的具体工作任务必然导致侵犯他人知识产权的,若甲方遭受第三方的侵权指控,应诉费用和侵权赔偿不得由乙方承担或部分承担。
第五条(保密义务与竞业禁止)
(在职期间的竞业禁止)乙方承诺,其在甲方任职期间,非经甲方事先同意,不在与甲方生产、经营同类产品或提供同类服务的其他
企业、事业单位、社会团体内担任任何职务,包括但不限于股东、合伙人、董事、监事、经理、职员、代理人、顾问等等。
(离职后的竞业禁止)乙方离职之后一年时间以内仍负有前款的义务。
第六条(其它约定)
乙方因职务上的需要所持有或保管的一切记录着甲方秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归甲方所有,而无论这些秘密信息有无商业上的价值。
第七条(其它约定)
乙方应当于离职时或者于甲方提出请求时,返还全部属于甲方的财物,包括记载着甲方秘密信息的一切载体。但当记录着秘密信息的栽体是由乙方自备的,且秘密信息可以从载体上消除或复制出来时,可以由甲方将秘密信息复制到甲方享有所有权的其他载体上,并把原载体上的秘密信息消除。此种情况乙方无须将载体返还,甲方也无须给予乙方经济补偿。
第八条(商业秘密范围)
本协议提及的技术秘密,包括但不限于:技术方案、设计方案、制造方法、配方、工艺流程、技术指标、计算机软件、数据库、研究开发记录、技术报告、检测报告、实验数据、试验结果、图纸、样品、样机、模型、模具、操作手册、技术文档、相关的函电等等。
本协议提及的其他商业秘密,包括但不限于:客户名单、行销计划、采购资料、定价政策、财务资料、进货渠道等等。
本协议提及的客户资料秘密,包括但不限于:客户提供的原件、复印件、电子文件、印刷文件、核对文件,等等。
第九条(概念释义)
本协议中所称的任职期间,以乙方从甲方领取工资为标志,并以该项工资所代表的工作期间为任职期间。任职期间包括乙方在正常工作时间以外加班的时间,而无论加班场所是否在甲方工作场所内。
本协议中所称的离职,以任何一方明确表示解除或辞去聘用关系的时间为准。乙方拒绝领取工资且停止履行职务的行为,视为提出辞职。甲方无正当理由拒绝发给乙方全部或部分工资的行为,视为将乙方解聘。
第十条(争议解决办法)
因本协议而引起的纠纷,如果协商解决不成,任何一方均有权提起诉讼。双方同意,选择甲方所在地的符合级别管辖规定的人民法院作为双方协议纠纷的第一审管辖法院。
上述约定不影响甲方请求知识产权管理部门对侵权行为进行行政处理。
第十一条(违约责任)
乙方如违反本协议任一条款,应当承担该后果给甲方带来的一切经济损失,同时甲方有权不经预告立即解除与乙方的聘用关系。第十二条(协议的生效条件)
1)本协议一式二份,甲方一份,乙方一份,具有同等效力,自双方
签字或盖章之日起生效。
2)本协议如与双方以前的口头或书面协议有抵触,以本协议为准。
3)本协议的修改必须采用双方同意的书面形式。
4)双方确认,在签署本协议前已仔细审阅过协议的内容,并完全了
解协议各条款的法律含义,协议的内容是双方真实意思表示,有以下签字盖章为证。
甲方(盖章):xxxxxxxxxxxxxxxxxxxxxx
乙方签字:
身份证书复印件粘贴处
签订时间:
签订地点:
第三篇:新员工入职保密协议
新入职员工保密协议
甲方(员工):身份证号码:
乙方(企业):
鉴于甲方在乙方任职,并将获得乙方支付的相应报酬,双方当事人就甲方在任职期间及离职以后保守乙方技术秘密和其他商业秘密的有关事项,订定下列条款共同遵守:
第一条(知识产权归属)
双方确认,甲方在乙方任职期间,因履行职务或者主要是利用乙方的物质技术条件、业务信息等产生的发明创造、作品、计算机软件、技术秘密或其他商业秘密信息,有关的知识产权均属于乙方享有。乙方可以在其业务范围内充分自由地利用这些发明创造、作品、计算机软件、技术秘密或其他商业秘密信息,进行生产、经营或者向第三方转让。甲方应当依乙方的要求,提供一切必要的信息和采取一切必要的行动,包括申请、注册、登记等,协助乙方取得和行使有关的知识产权。
上述发明创造、作品、计算机软件、技术秘密及其他商业秘密,有关的发明权、署名权(依照法律规定应由乙方署名的除外)等精神权利由作为发明人、创作人或开发者的甲方享有,乙方尊重甲方的精神权利并协助甲方行使这些权利。
第二条(职务技术成果与非职务技术成果)
甲方在乙方任职期间所完成的、与乙方业务相关的发明创造、作品、计算机软件、技术秘密或其他商业秘密信息,甲方主张由其本人享有知识产权的,应当及时向乙方申明。经乙方核实,认为确属于非职务技术成果的,由甲方享有知识产权,乙方不得在未经甲方明确授权的前提下利用这些成果进行生产、经营,亦不得自行向第三方转让。
甲方没有申明的,推定其属于职务技术成果,乙方可以使用这些成果进行生产、经营或者向第三方转让。即使日后证明实际上是非职务成果的,甲方亦不得要求乙方承担任何经济责任。甲方申明后,乙方对成果的权属有异议的,可以通过协商解决;协商不成的,通过诉讼途径解决。
第三条(保密义务)
甲方在乙方任职期间,必须遵守乙方规定的任何成文或不成文的保密规章、制度,履行与其工作岗位相应的保密职责。
乙方的保密规章、制度没有规定或者规定不明确之处,甲方亦应本着谨慎、诚实的态度,采取任何必要、合理的措施,维护其于任职期间知悉或者持有的任何属于乙方或者虽属于第三方但乙方承诺有保密义务的技术秘密或其他商业秘密信息,以保持其机密性。
第四条(保密义务)
除了履行职务的需要之外,甲方承诺,未经乙方同意,不得以泄露、告知、公布、发布、出版、传授、转让或者其他任何方式使任何第三方(包括按照保密制度的规定不得知悉该项秘密的乙方其他职员)知悉属于乙方或者虽属于他人但乙方承诺有保密义务的技术秘密或其他商业秘密信息,也不得在履行职务之外使用这些秘密信息。
甲方的上级主管人员同意甲方披露、使用有关的技术秘密或其他商业秘密的,视为甲方已同意这样做,除非乙方已事先公开明确该主管人员无此权限。
第五条(保密义务)
双方同意,甲方离职之后仍对其在乙方任职期间接触、知悉的属于乙方或者虽属于第三方但乙方承诺有保密义务的技术秘密和其他商业秘密信息,承担如同任职期间一样的保密
义务和不擅自使用有关秘密信息的义务,而无论甲方因何种原因离职。
甲方离职后承担保密义务的期限为下列第(A)种(没有做出选择的,视为无限期承担保密义务):
(A)无限期承担保密义务,直至乙方宣布解密或者秘密信息实际上已经公开;
(B)有限期保密,保密期限自离职之日起,计算到
第六条(保密义务)
甲方承诺,在为乙方履行职务时,不得擅自使用任何属于他人的技术秘密或其他商业秘密信息,亦不得擅自实施可能侵犯他人知识产权的行为。
若甲方违反上述承诺而导致乙方遭受第三方的侵仅指控时,甲方应当承担乙方为应诉而支付的一切费用;乙方因此而承担侵权赔偿责任的,有权向甲方追偿。上述应诉费用和侵权赔偿可以从甲方的工资报酬中扣除。
第七条(其它约定)
甲方在履行职务时,按照乙方的明确要求或者为了完成乙方明确交付的具体工作任务必然导致侵犯他人知识产权的,若乙方遭受第三方的侵权指控,应诉费用和侵权赔偿不得由甲方承担或部分承担。
甲方的上级主管人员提出的要求或交付的工作任务,视为乙方提出的要求或交付的工作任务,除非乙方已事先公开明确该主管人员无此权限。
第八条(保密义务与竞业禁止)
(在职期间的竞业禁止)甲方承诺,其在乙方任职期间,非经乙方事先同意,不在与乙方生产、经营同类产品或提供同类服务的其他企业、事业单位、社会团体内担任任何职务,包括股东、合伙人、董事、监事、经理、职员、代理人、顾问等等。
(离职后的竞业禁止)甲方离职之后是否仍负有前款的义务,由双方依据政府主管部门的相关规定以单独的协议另行规定。如果双方没有签署这样的单独协议,则乙方不得限制甲方从乙方离职之后的就业、任职范围。
第九条(其它约定)
甲方因职务上的需要所持有或保管的一切记录着乙方秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归乙方所有,而无论这些秘密信息有无商业上的价值。
若记录着秘密信息的载体是由甲方自备的,则视为甲方已同意将这些载体物的所有权转让给乙方。乙方应当在甲方返还这些载体时,给予甲方相当于载体本身价值的经济补偿。
第十条(其它约定)
甲方应当于离职时,或者于乙方提出请求时,返还全部属于乙方的财物,包括记载着乙方秘密信息的一切载体。
但当记录着秘密信息的栽体是由甲方自备的,且秘密信息可以从载体上消除或复制出来时,可以由乙方将秘密信息复制到乙方享有所有权的其他载体上,并把原载体上的秘密信息消除。此种情况甲方无须将载体返还,乙方也无须给予甲方经济补偿。
第十一条(商业秘密范围)
本协议提及的技术秘密,包括但不限于:技术方案、工程设计、电路设计、制造方法、配方、工艺流程、技术指标、计算机软件、数据库、研究开发记录、技术报告、检测报告、实验数据、试验结果、图纸、样品、样机、模型、模具、操作手册、技术文档、相关的函电,等等。
本协议提及的其他商业秘密,包括但不限于:客户名单、行销计划、采购资料、定价政策、财务资料、进货渠道,等等。
第十二条(概念释义)
本协议中所称的任职期间,以甲方从乙方领取工资为标志,并以该项工资所代表的工作期间为任职期间。任职期间包括甲方在正常工作时间以外加班的时间,而无论加班场所是否在乙方工作场所内。
本协议中所称的离职,以任何一方明确表示解除或辞去聘用关系的时间为准。甲方拒绝领取工资且停止履行职务的行为,视为提出辞职。乙方无正当理由拒绝发给甲方全部或部分工资的行为,视为将甲方解聘。
第十三条(争议解决办法)
因本协议而引起的纠纷,如果协商解决不成,任何一方均有权提起诉讼。双方同意,选择乙方住所地的、符合级别管辖规定的人民法院作为双方协议纠纷的第一审管辖法院。上述约定不影响乙方请求知识产权管理部门对侵权行为进行行政处理。
第十四条(违约责任)
甲方的违约行为给乙方造成损失的,甲方应当赔偿乙方的损失。乙方保持追究甲方法律责任的权力;乙方均有权不经预告立即解除与甲方的聘用关系。
第十五条(协议的生效条件)
本协议一式两份,甲方一份,乙方一份,具有同等效力,自双方签字或盖章之日起生效。第十六条 本协议如与双方以前的口头或书面协议有抵触,以本协议为准。
本协议的修改必须采用双方同意的书面形式。
第十七条 双方确认,在签署本协议前已仔细审阅过协议的内容,并完全了解协议各条款的法律含义,协议的内容是双方真实意思表示,有以下签字盖章为证:
立约人签字、盖章:
甲方:身份证号码:
乙方:法定代表人:
签约日期:
第四篇:新员工入职培训手册2014
企业简介
天津中有物业服务有限公司(简称:中有物业)成立于2012年10月15日,经营项目包括物业管理、家政服务、日用百货、五金电料、办公用品零售等,是具有三级资质的物业管理企业。公司注册资本为人币三百万元,现有总资产五百万元,管理人员19余名,我们以“真诚服务,共同发展,学习创新,尊重信任”为公司核心价值观,以专业化物业管理为理念,以星级酒店服务为标准,以超越客户期望为目标,我们要用细腻、周到的服务,为客户营造“安全舒适、干净整洁”的办公氛围,定位于高端物业管理,力争成为高端物业管理行业的旗帜。
工作规范
一、职业守则
1、工作行为
①员工应随时维护公司的形象和利益,不得做有损公司形象及利益的事情;
②公司员工必须严格执行公司各项管理程序、管理要求、服务规范等;
③员工必须服从上级的工作安排和调度,按时完成任务,不得无故拖延、拒绝或终止工作,发生紧急情况时,员工获悉情况后必须立即赶赴岗位而不得以任何理由推托;
④员工若对直接上级有疑难或不满,可越级向上领导请示或投诉,不得当面相撞,谩骂领导或在背后挑拨离间;
⑤员工应及时向上级回复工作情况和结果,如发生事情及时向上级汇报,不得故意隐瞒或虚报、捏造事实;
⑥员工应该爱护公共设施设备、办公用品,节约能源,杜绝浪费; ⑦员工上班时间不应玩电脑游戏、擅离工作岗位,需暂时离开时应向直接领导报备;
⑧员工不得与客户发生冲突,故意刁难或威胁客户,不得向客户索要红包、小费。
2、商业保密
公司员工应当承担保护公司商业秘密的义务,未经公司批准,员工不得获取与本职工作无关的商业秘密,不得向外界传播或提供公司的一切重要资料,包括:技术信息(技术方案、服务方案、制度方法、工作程序、计算机软件、数据资料、体系文件、公司文件及来往函件),经营信息(客户资料、营销计划、采购资料、财务资料数据、薪酬数据及成本、销售策划方案、招标投标资料及内容、商业合约、合同),公司供应商、客户、合作方伙伴的商业机密等;
员工若违反商业保密义务,一经发现,公司将给予扣除奖金、降级、免职、辞退等处罚,情节严重者追诉法律责任;
二、礼仪规范
1、仪容仪表
公司员工上班时间必须穿着规定制服,男士佩带领带,女士佩带领
花,制服应保持整洁、得体,符合着装的基本规范,;
员工上岗时必须穿皮鞋,员工不得穿凉鞋、拖鞋或赤脚上班; 男员工不得留长头发,男士头发应在衣领之上,梳齐,不留胡子,鬓角要修整齐,不遮住耳朵;
女员工化妆及装饰不应太多,发型整洁,女士脸部不应有头发遮住; 员工应注意保持个人卫生,勤洗澡、理发,手指甲保持清洁、剪短; 员工上班必须佩带工作牌、工作卡,管理处员工的工作牌应端正戴于左胸上方,其它员工的工作牌应挂于胸前;
2、服装管理 1)员工工作服装
夏装每两年发放一次,冬装每三年发放一次;工牌每两年换放一次; 2)发放标准 男士
冬装1套:上衣1件,长袖衬衣2件、裤子2条; 夏装2套:每套包括短袖衬衣1件,裤子1条,领带2条; 女士
冬装1套:上衣1件,长袖衬衣2件、裤子1条;
夏装2套:每套包括短袖衬衣1件,裤子1条,丝巾2条;头花2个;
3)离职时,员工应在工作交接时将工牌交回办公室,其工作制服不回收;
3、电话礼仪
接听电话用语“您好,中有物业”,发音清晰,音调适中,语言简明、热情、礼貌,做好必要记录并及时转达;
办公区域内适当调整私人手机铃声,禁止长时间接打私人电话; 培训、会议中,私人手机保持震动或静音状态;
4、办公环境
注意保持整洁的办公环境,不应在办公区域进食或吸烟,并适时提醒来访者,以免产生误会;
各类文件、资料、办公用品整齐摆放,保持办公桌面整洁; 禁止在办公区域高声喧哗,接待来访、业务洽谈要在洽谈室内或其他公司制定区域进行;
5、办公设备使用
办公设备、用品由办公室统一管理和调配;
请保管好您的办公设备和用品,员工调动、离职时须在所在部门办理交接手续。
基本制度
一、员工聘用
1、采用内部选聘、外部招聘相结合的方式聘用员工。
当公司有职位空缺或新的职位时,办公室将发布内部选聘信息,受理内部员工报名;当内部无合适人选时,将进行外部招聘。
根据职位任职基本条件,以全面考核,择优录取的原则进行甄选; 在选聘时,对应聘者基本任职资格进行筛选,并通过笔试、面试等
方式,考核应聘者的核心能力、专业能力;对于企业中层以上职位,还需要考核领导力;
2、员工试用期一般为2-3个月,根据劳动合同期限确定试用期;
试用期间,如果您认为公司的现状、个人的发展机会,与您的预期有较大差距,或由于其它原因,可提出辞职,并按规定办理离职手续;同样,如果您的工作表现无法达到公司要求,公司也会终止试用期,解除劳动合同;
3、转正
试用表现良好,并入职培训考试、工作评估合格者,办公室将通知您提交转正申请,执行转正流程;如在试用期内请假,转正时间将随之顺延。
二、劳动合同
1、劳动合同签订
新入职员工在履职三天后,办公室以书面形式与员工订立劳动合同,最晚不能超过一个月;
2、劳动合同变更
当员工工作地点、工作职位、工资待遇、合同期限、工作时间等发生变化时,办公室应与员工签订《劳动合同变更确认单》;《劳动合同变更确认单》为员工劳动合同的有效组成部分;
3、劳动合同续签/终止
公司与员工签订的劳动合同期满时,评估合格的员工,公司将与员工续签劳动合同;否则可终止劳动合同,员工也可提出终止劳动合同;
公司或员工确定不再续签劳动关系时,双方均需在合同期满前三十天通知对方;
4、劳动合同解除
公司和员工均有权提出解除劳动合同,经双方协商可解除劳动合同,解除劳动合时,双方应遵守《劳动合同书》及国家相关法律法规;公司和员工均需提前提前三十天以书面形式;
三、员工离职
1、员工因个人原因,不能继续履行劳动合同时,员工应以书面形式,提前30天向用人单位提出申请,经公司批准后,可办理离职手续;
2、员工有下列情形之一的,公司有权予以解除劳动合同,公司不予支付经济补偿:
①试用期间不符合录用条件; ②严重违反公司制度及相关条款; ③两次拒绝岗位调整;
④员工同时与其他用人单位建立劳动关系(兼职岗位除外); ⑤被依法追究刑事责任;
⑥员工连续旷工3天以上,全年累计旷工6天以上;
⑦请假期满后三天内未按要求回原单位工作,又未办理辞职手续的; ⑧员工要求辞职,但未经批准而擅离职守三天以上;
3、离职员工均须按公司规定流程办理离职手续,否则视为自动离职,公司不承担任何责任;
4、离职员工应向指定的员工在距离职日期7日内办理完成工作交接,办
公室对相关手续逐级上报备案,交接工作包括:工作内容、文件资料、办公用品及其它公物;担任企业中层以上职位的员工、财务人员离职时,须要进行离任审计;办公室在确认工作交接及审计完毕后,与离职员工结算工资。如有遗失或损坏公司任何财物的将作价酌情赔偿;接受培训的离职员工,在其服务期间内的,按签订的培训协议中约定条款处理,详见培训协议;
5、在办理完离职手续后,办公室应为离职员工开具《离职证明书》。
四、入职培训
在试用期间,公司安排新员工参加入职培训,以便新员工尽快了解公司文化和基本制度,熟识工作环境;培训完毕进行考试,如不合格,在规定期间内自学,由办公室安排补考,补考不合格,公司有权予以辞退。
五、考勤制度
1、考勤
公司采用人脸识别考勤,员工上下班均须考勤,一天四次,如因病、因事不能正常出勤,应提前请假;员工应按规定时间上下班,晚于上班时间到岗的视为迟到,早于下班时间离岗的视为早退;员工未请假,未到工作岗位半天及以上的视为旷工;一次迟到、早退30分以上按旷工半天计;迟到、早退30分钟以下,当月累计3次,按旷工1天计,以此类推;员工如有休假、出差、公务外出、培训等情况时,需要员工所在部门责任人确认。
2、请销假
员工因事、因病及其它原因不能上班,需要提前书面提出申请,请假申请应明确请假原因、请假时间及相应的资料,不能提供相应证明资料,视为旷工;如因病不能提前请假,可口头与直接上司请假,应在三天内补办请假手续,并在假期满后提交资料;
员工在假期期间应当保持通讯畅通,随时可以联系到。
3、加班
由于工作原因,需要加班时,应由员工所在单位责任人提出申请,由总经理批准;员工加班后,优先考虑安排调休,如确实不能调休的才计付加班费。
六、薪酬制度
1、薪酬原则
①市场化原则:公司参照不同区域行业同等规模企业的薪酬水平,制定薪酬策略,提供在目标人才市场中具有竞争力的薪酬机制;
②内部公平和效率优先的原则:员工的薪酬与所聘职位、职级、绩效结果挂钩;
2、薪酬构成=基本薪酬+绩效薪酬
基本薪酬属固定薪酬部分,与员工的职位、职级相关;绩效薪酬属浮动部分,与员工绩效评估结果相关;
员工绩效薪酬占整体薪酬的比例与员工的职位、职级相关,职级越高,绩效薪酬比例越大。
3、薪酬确定
员工薪酬在所聘职位、职级对应的薪酬区间内取值,同时参考个人
职位胜任能力、公司薪酬政策、市场供求情况等;
员工同时兼任二个职位时,采用“就高不就低”的原则确定职级及对应的薪酬区间;
应届毕业生第一年的薪酬,由办公室根据每年市场薪酬调研水平另行制定;
员工在试用期内,基本薪酬按80%计发;
绩效薪酬以工作团队为单位进行分配,根据工作团队绩效结果将绩效薪酬分配致团队,然后根据员工个人绩效进行二次分配;
4、薪酬发放
员工基本薪酬支付周期为月;绩效薪酬支付周期为月;
员工月度基本薪酬、支付周期为月的绩效薪酬,在次月三十日前支付;
员工个人承担的社会保险、个人所得税,由公司按规定代扣代缴; 劳动关系解除或终止时,基本工资计发批准的离职日期;不履行离职手续的,薪酬计发至离职之日,并承担由此引发的各项责任。
5、假期薪酬
员工按规定享受法定节日假、产假、婚假、晚婚假、计划生育假、年休假和丧假,在批准的假期内,员工的相关薪酬照发。超过假期的,经批准按事假处理,擅自超假按旷工处理;
员工请假,按实际出勤天数计发其当月的薪酬;
员工因疾病或非因工负伤而请病假的,按《劳动法》有关规定处理; 员工因工负伤医疗期间的薪酬按照工伤保险的有关规定处理;
员工累计旷工三天(含三天)以内的,按实际出勤天数计算月度基本薪酬,绩效薪酬为0;员工旷工累计超过三天的,暂停发放员工的当月薪酬;
公司安排员工参加培训的,培训期间的相关薪酬照发;其它经公司批准参加培训的,员工在培训期间的相关薪酬,按双方签订的培训协议执行;
6、薪酬调整
整体薪酬区间调整:根据市场调研情况,以保持公司薪酬水平在市场中的竞争力为前提,进行调整;
晋级调薪:以员工职位晋升级别、员工能力胜任情况进行调薪;
7、薪酬纪律
员工的直接上司是员工薪酬沟通的第一责任人,其有义务与您沟通,如有疑问可与其沟通,也可与办公室咨询;
公司薪酬数据属公司商业机密,实行薪酬制度公开,数据保密的原则,各级责任人、薪酬管理者必须保守所有负责管理的薪酬数据秘密;
员工个人薪酬收入属于个人隐私,不得相互询问,传播其它人的薪酬数据;
有下列情形之一,公司将扣除其当月基本薪酬的50%(但不低于当地政府公布的最低工资标准),并予以降薪。同时可根据情节轻重取消其当年全部绩效薪酬,直至解除劳动合同关系:
别人询问时,擅自告知自己或他人薪酬数据的;
超越自己权限,擅自查阅员工薪酬数据的;
未经公司批准,擅自泄露本人或他人薪酬数据的; 未按规定程序批准,擅自调整员工的工资水平的; 未按规定调薪流程进行相关工作的; 虚假报送薪酬报表数据的。
七、员工福利
1、法定福利 1)社会保险
公司按政府规定为员工办理社会保险,并承担公司应缴纳部分,个人应承担部分由公司代缴并从员工的薪酬中扣除。
社会保险包括:养老保险、失业保险、医疗保险、工伤保险、生育保险;
原则上,社会保险在工作单位所在地交缴,如果因员工工作地点变化,可另行向公司提出申请。2)假期 法定假期
元旦、春节、清明、五
一、端午、中秋、国庆为国家法定假期,员工可按规定享受假期; 年休假
员工在公司连续工作满一年以上,可享受带薪年休假;
员工可按计划安排休假,年休假应在当年休完,不能跨累计,在一个内可分二次休假;
员工内病假、事假、计划生育假累计超过15天,不再享受年休假;
员工如离职,本未休假的假期将不再安排。病假
员工非因工患病或负伤,凭县区级及以上医院出具的有效病假证明,可申请病假; ④事假
员工因私人原因不能按时上班,经审批,可以请事假,试用期内原则上不得请事假;
员工请假应先填写请假单。普通员工请假3天(含)以内的由部门主管进行审批,3天以上的事假假条必须有部门领导签字,报经理审批同意准假方可执行,如越级直接报经理审批假条,一律不准假。部门领导请假应填写请假条交经理审批。所有员工事假批准后方能休假,经批准的请假单交至办公室备案。办公室工作人员根据请假单核实考勤表进行事假扣款。员工事假每年累计不得超过30天,特殊情况应由总经理批准,如果未依照制度请假,一律按旷工处理。
员工上班直接在外公干的,上班后外出公干的,必须经部门主管或领导同意,外出前如没有得到部门主管确认私自外出的,视为旷工。
员工未请假即不到岗或虽已事先知会公司但事后不按规定补办请假手续的视为旷工。⑤婚假
员工可享受婚假(国家规定的婚假3天);
婚假期间全额发放工资,超出婚假期限的必须办理请假手续,并提供有效结婚证明文件,未办理请假手续的按旷工算;
若婚假与法定休假日重合的,将不再另行给假; 员工的婚假,应在结婚注册日后6个月内一次性休完。⑥产假
女职工产假为98天,难产的增加15天,多胞胎多生一个加15天,如果特殊情况超过98天的,须出具医院的诊断证明,方可办理病假手续,但病假期间不享受产假待遇;男职工其配偶休产假期间,可享受带薪陪产假15天;
若产假与法定休假日重合的,将不再另行给假;
员工休假时应办理请假手续,并提供相应的计划生育证明。⑦丧假
员工直系亲属(父母、配偶、子女)丧亡,可享受丧假3天,外地员工的直系亲属死亡,可以根据路程远近,另给予路程假,但是途中的车船费等,全部由职工自理;丧假期间全额发放工资,超出丧假期限的必须办理请假手续,未办理请假手续的按旷工算;
若丧假与法定休假日重合的,将不再另行给假。
2、非法定福利 1)员工活动经费
公司为提高团队凝聚力,每年为员工活动提供活动费用,由团队统一支配; 2)住宿
公司为员工提供免费宿舍;宿舍水电费、管理费由员工支付; 3)工龄工资
工作满一年以上、连续签订劳动合同的员工,并且绩效评估为A、B、C、D的员工,可享受工龄工资的补贴;
工龄工资的补贴标准,按照100元为基数,同时以50元为标准进行递增的方式,即:第二年每月工资增加100元,第三年每月工资增加150元,第四年每月工资增加200元,以此类推。
八、绩效管理
1、绩效管理系统
绩效管理系统帮助员工提高工作绩效与工作胜任能力,促进沟通与交流,形成开放与沟通的企业氛围,确保整体目标的实现;
绩效管理采用逐级下达绩效目标计划、逐级评估,直接上级评估下级的方式;以奖励绩效结果为主,奖惩结合;
2、绩效周期
绩效计划周期以“月”为单位;
3、绩效管理环节
在绩效管理周期内,绩效管理包括绩效计划、日常绩效辅导、绩效评估、绩效结果应用等环节;
4、绩效计划
根据年初绩效目标计划,并分解至月度;
每月直接上级与员工沟通基于绩效目标的月度工作计划,并跟踪计划完成情况,对出现的问题及时指导、反馈,月底对员工绩效情况进行全面总结,面谈,提出下一步改进计划和措施;
5、绩效评估
根据绩效周期,直接上司根据绩效目标计划对员工进行月度绩效评估,并进行绩效面谈,沟通绩效结果情况,制定下一绩效周期改进计划及措施。
6、绩效结果及应用
公司绩效评估结果分为五个等级,A:卓越、B:优秀、C:良好、D:一般,E:待改进、F:不合格;
绩效结果应用在以下方面:
薪酬福利,员工绩效结果直接应用绩效薪酬分配;绩效评估为A、B的员工可享受调薪;
职业发展,员工绩效评估结果是员工晋升的依据。员工在连二年绩效评估等级为B级(含B级)以上员工,有资格参加;
员工绩效参与评优及其它奖励评选的依据; 作为公司与员工处理劳动关系的依据; 作为公司制定培训计划的依据;
九、奖惩制度
1、奖项
员工在符合下述条件时,公司将以奖金、奖状、奖品等形式给予员工奖励,奖励根据需要可以随时进行:
①为公司产品或服务打开新市场销路,对产品或服务销售及利润增长作出突出贡献者;
②为公司成功研发新产品或者新服务,或者实施重大技术革新或者发明创造、改良、增值,经审核评定,确具有实用价值,能削减成本或
提高效率,能为客户增值者;
③为维护公司利益,在对外经济活动或者其他突发性事件或者事故中一次性为公司节约大量资金或者挽回巨大经济损失者;
④对公司的业务流程等现场情况提出问题所在及有价值的改良意见、合理化解决方案和建议,经审核评定,确具有实用价值,能削减成本或提高效率,能为公司生产和经营管理带来实际正面效应者;
⑤其他对公司作出突出贡献者;
⑥内工作表现优秀,成为员工楷模者;
⑦对社会、社区作出特别贡献,显著提高公司及员工名誉者; ⑧其他被认为有与上述各项相当功绩者。
2、违纪处分
1)发生以下情况时,公司将给予通报批评,可视情况给予当事人延长试用期、降级、调动、扣除薪资等处分:
①连续旷工超过三天及以上或全年累计超过六天者; ②拒不服上级工作指令者;
③搬弄是非、诽谤他人,影响团队团结和声誉者; ④有客户对其进行有效投诉的(情节较轻); ⑤违反操作规程,造成公司或客户轻度损失者; ⑥未经批准擅自对外传播公司范围内文件或资料者。2)发生以下情况时,公司有权给予辞退处分: ①蓄意破坏、损害公物或客户之物品者; ②擅自涂改、伪造单据、证明、质量记录等者;
③仿效上司签字者;
④玩忽职守、违反规程,导致公司或客户遭受严重损失者; ⑤有客户对其有效投诉的(情节严重);
⑥贪污或挪用公款、收钱不给票、向客户索取小费或物品、从事中介活动等谋取私利者;
⑦欺上瞒下、搞小团体、采用威胁、恐吓客户或同事等不正当手段,恶意扰乱正常工作秩序者;
⑧违背国家法规或公司规章情节严重者。
附则:
1、本手册所陈述内容是员工与公司签订的劳动合同的补充条款,未尽事宜参照政府及公司的有关规定执行;
2、本手册内容属企业知识产权,不得翻印、转抄或提供缎带公司以外的任何单位和个人,员工离职前应交还人力资源管理部门;
3、本手册解释权为办公室所有;
声明
本人收到天津中有物业服务有限公司《员工手册》一本;并认真阅读、了解该手册内容,本人谨此声明愿意遵守手册中的各项规定。
员工签名:
第五篇:新员工的入职信息
新员工的入职信息
从哪方面能了解新员工入职基本情况
1、对待遇的要求:(1)是否协商自愿同意(预算今后的变化)
(2)是否对自己有要求、有目标(预算达成目的)
2、对岗位的认识与兴趣:(1)是否熟悉本岗位工作事项(了解选择原因)
(2)是否自己选择本岗位工作(了解对工作的爱好)
3、以前工作变动事项:(1)是否工作经常变动(了解工作方向与成绩)
(2)是否对工作有责任心(了解工作是否稳定合作性)
4、年龄、外貌与反应能力情况:(1)是否形象标准(了解日常习惯)
(2)是否工作有悟性(了解灵活巧妙)
5、对工作时间期限情况:(1)是否遵守诚信、关于品格与道德的问题(特
殊情况除外)(2)入职时察言观色(预算今后合作变化情况)员工入职说明情况1、2、3、进入三天为(适应期)如不符合,不录取 如新进员工再半个月至一个月之内考核不合格者将不录取裱花学徒工作 培训时间半个月至三个月(为试用期间)经过考核合格后方能给予相
关工作待遇4、5、6、7、8、9、服从调动、管理安排所有工作事项 对所选择的工作要有兴趣,不但要认真,还要用心才能做好工作 在工作中任务要勤快,积极向上,有吃苦耐劳的精神,才能学习快 在学习中,主动好学,多看、多问、多练、多悟、用心学习要好学多问,不懂就问,知错能改进步快 逢年过节日期中,基本没有放假日(除特殊情况另调整)
10、___吃___住,上班时间及福利待遇,根据门店的规定调整
点击咨询 