公司远程办公安全管理办法.docxVIP

公司远程办公安全管理办法

一、总则

（一）目的与依据

为规范公司远程办公行为，保障公司信息系统、数据资产及业务活动在远程环境下的安全稳定运行，防范各类安全风险，依据国家相关法律法规及公司内部信息安全管理规定，特制定本办法。

（二）适用范围

本办法适用于公司所有因工作需要采用远程方式办公的员工（以下简称“远程办公人员”）及其涉及的远程办公活动。远程办公是指员工在公司办公场所之外的地点，通过信息网络接入公司信息系统或处理公司业务的工作模式。

（三）基本原则

远程办公安全管理遵循“谁主管谁负责、谁使用谁负责”、“最小权限”及“安全与效率并重”的原则。

二、组织与职责

（一）公司信息安全管理部门

公司信息安全管理部门是远程办公安全的归口管理部门，负责本办法的制定、修订、解释与监督执行；组织远程办公安全风险评估；提供远程办公安全技术支持与咨询；组织安全意识培训。

（二）各业务部门

各业务部门负责人是本部门远程办公安全的第一责任人，负责组织本部门员工学习并执行本办法；审核本部门远程办公需求的合理性与必要性；监督本部门员工远程办公安全行为；配合信息安全管理部门处理相关安全事件。

（三）远程办公人员

远程办公人员是自身远程办公行为安全的直接责任人，应严格遵守本办法及公司其他相关安全规定；积极参加安全意识培训；妥善保管所使用的办公设备及账号密码；发现安全隐患或事件时，立即采取应急措施并向直属上级及信息安全管理部门报告。

三、远程办公设备安全要求

（一）设备准入与管理

1.远程办公优先使用公司配发的专用办公设备。确需使用个人设备的，必须向公司信息安全管理部门提出申请，经审核批准并安装必要的安全软件、配置安全策略后方可使用。个人设备需满足公司规定的最低安全配置标准。

2.所有用于远程办公的设备（包括公司设备和经批准的个人设备）均需设置开机密码及屏幕保护密码，密码应符合公司密码策略要求，并定期更换。

3.远程办公设备应启用操作系统自带的防火墙功能，并安装公司指定的防病毒软件，保持病毒库和扫描引擎自动更新。

4.及时对操作系统及应用软件进行安全补丁更新。

5.禁止将未经安全检测的外部存储介质接入办公设备。禁止使用来源不明的软件或盗版软件。

（二）设备物理安全

1.远程办公环境应相对独立、安全，避免在公共场所或不安全区域处理敏感工作。

2.妥善保管办公设备，防止设备被盗、丢失或被非授权人员接触、使用。离开办公设备时，应确保设备处于锁定状态。

3.如发生办公设备被盗、丢失或疑似被入侵，应立即报告直属上级及信息安全管理部门，并配合进行后续处理。

四、网络连接安全要求

（一）网络环境选择

1.远程办公应优先使用个人家庭网络或其他可信赖的私有网络。

2.禁止在公共Wi-Fi（如咖啡馆、机场、酒店等）环境下处理公司敏感信息或进行涉及公司核心业务的操作。如确有必要，必须通过公司指定的VPN（虚拟专用网络）接入。

（二）VPN使用规范

1.远程访问公司内部系统或处理敏感数据时，必须通过公司统一部署的VPN客户端接入。

2.VPN账号密码应严格保密，禁止转借他人使用。

3.不得利用VPN从事与工作无关的活动，不得绕过VPN直接访问内部敏感资源。

4.VPN连接建立后，应确保设备未同时连接其他不安全网络。

（三）网络行为规范

1.禁止私自更改网络配置或安装、使用非法网络工具。

2.禁止将公司办公设备作为热点共享网络给其他设备使用。

五、数据安全与保密要求

（一）数据传输安全

1.公司敏感数据应通过公司内部指定的安全通讯工具或加密方式进行传输，禁止使用非公司认可的公共即时通讯工具、个人邮箱等传输敏感信息。

2.禁止将公司敏感数据上传至外部云存储服务（如公共网盘等）。

（二）数据存储安全

1.公司数据应优先存储在公司内部服务器或指定的企业级云存储中。

2.确需在本地存储的敏感数据，应进行加密处理，并存储在安全的位置。

3.远程办公结束或不再需要时，应及时删除本地存储的公司敏感数据，并清空回收站。

（三）数据使用规范

1.严格遵守公司数据分类分级管理规定，按需访问和使用数据。

2.禁止未经授权复制、打印、传播公司敏感信息。

3.禁止将公司数据用于与工作无关的任何目的。

六、身份认证与访问控制

（一）账号与密码管理

1.严格保管个人账号信息（包括但不限于VPN账号、邮箱账号、业务系统账号等），禁止转借、共用或泄露给他人。

2.不同系统应使用不同的密码，并定期更换。密码应包含大小写字母、数字和特殊符号，长度符合公司规定。

3.如怀疑账号密码可能泄露，应立即更改密码并报告信息安全管理部门。

（二）多因素认证

对于公司核心业务系统或高敏感信息系统的访问，应启用并配合使用多因素认证