某銀行職員員工信息安全行為規(guī)范

1、PAGE11XX銀行科技開(kāi)發(fā)部員工信息安全行為規(guī)范總則為提高總行科技開(kāi)發(fā)部員工(包括行內(nèi)員工、在我行工作的外部員工)的信息安全意識(shí)，規(guī)范員工的行為，指導(dǎo)員工合理、安全地使用信息資產(chǎn)，防止有意或無(wú)意的破壞信息安全行為的發(fā)生，保護(hù)我行信息資產(chǎn)安全，制定本規(guī)范。員工應(yīng)主動(dòng)了解本我行信息安全管理相關(guān)規(guī)定，積極參與我行組織的信息安全培訓(xùn)，提升信息安全意識(shí)和技能，并嚴(yán)格遵守我行信息安全要求。資產(chǎn)管理聲明禁止利用我行資產(chǎn)（包括我行配發(fā)的計(jì)算機(jī)、手機(jī)等個(gè)人終端設(shè)備）處理個(gè)人事務(wù)，以避免我行在信息安全管理中觸及個(gè)人隱私。員工利用我行的資產(chǎn)所產(chǎn)生、處理和存儲(chǔ)的一切信息，其所有權(quán)歸我行擁有。我行出于對(duì)運(yùn)營(yíng)管理、安全

2、管理和司法調(diào)查取證等需要，保留在任何時(shí)候?qū)ξ倚腥我赓Y產(chǎn)進(jìn)行監(jiān)控、復(fù)制、披露、使用和刪除的權(quán)利。工作環(huán)境安全要求進(jìn)入我行工作區(qū)域時(shí)，應(yīng)規(guī)范佩戴我行認(rèn)可的身份識(shí)別證件或按照我行相關(guān)管理規(guī)定登記并獲得許可后方可進(jìn)入。應(yīng)遵守安全區(qū)域訪問(wèn)規(guī)定，進(jìn)出非授權(quán)區(qū)域時(shí)，需按照我行相關(guān)規(guī)定經(jīng)相關(guān)責(zé)任人批準(zhǔn)。員工應(yīng)安全保管身份識(shí)別證件，丟失后及時(shí)向發(fā)證部門(mén)報(bào)告，禁止將身份識(shí)別證件借與他人使用；調(diào)離我行時(shí)，應(yīng)主動(dòng)交還我行配發(fā)的身份識(shí)別證件。我行內(nèi)調(diào)動(dòng)或更換工作區(qū)域時(shí)應(yīng)主動(dòng)申請(qǐng)門(mén)禁權(quán)限變更。若發(fā)現(xiàn)任何可疑人員進(jìn)入我行或進(jìn)行非授權(quán)活動(dòng)，要立即制止，并報(bào)告相關(guān)部門(mén)。啟用門(mén)禁的區(qū)域進(jìn)出時(shí)要防止人員尾隨，進(jìn)出后應(yīng)及時(shí)關(guān)閉。用戶(hù)

3、賬號(hào)安全任何賬號(hào)僅限申請(qǐng)賬號(hào)時(shí)批準(zhǔn)的所有者在授權(quán)范圍內(nèi)使用，嚴(yán)禁使用賬號(hào)訪問(wèn)未授權(quán)的資源，賬號(hào)所有者承擔(dān)使用該賬號(hào)所產(chǎn)生的一切責(zé)任和后果。賬號(hào)正式啟用前，必須為賬號(hào)添加密碼或修改缺省密碼，密碼應(yīng)具有足夠的安全強(qiáng)度；對(duì)于重要核心系統(tǒng)的密碼，應(yīng)加強(qiáng)密碼復(fù)雜度和密碼長(zhǎng)度。具有足夠強(qiáng)度密碼設(shè)置要求如下：口令最小長(zhǎng)度：8位口令字符組成復(fù)雜度：口令由數(shù)字、大小寫(xiě)字母及特殊字符，且至少包含其中兩種字符（動(dòng)態(tài)口令除外）；口令歷史：修改后的口令至少與前4次口令不同；口令最大連續(xù)嘗試次數(shù)：10次；口令錯(cuò)誤次數(shù)超過(guò)最大連續(xù)嘗試次數(shù)后，應(yīng)具有限制用戶(hù)登錄的機(jī)制?？诹钭铋L(zhǎng)有效期限： 180 天，可根據(jù)系統(tǒng)重要性和用戶(hù)權(quán)

4、限采取不同的有效期；口令使用期限即將達(dá)到口令最長(zhǎng)有效期限時(shí)，應(yīng)具有提示用戶(hù)修改口令的機(jī)制。主機(jī)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等超級(jí)用戶(hù)口令最長(zhǎng)有效期應(yīng)為90天，其它用戶(hù)口令最長(zhǎng)有效期應(yīng)符合本章口令基本要求。應(yīng)安全保管或者隨身攜帶實(shí)物密鑰，如USBkey等，禁止隨意放置在桌面上。如發(fā)現(xiàn)實(shí)物密鑰遺失或懷疑密碼被竊取，應(yīng)立即通知信息技術(shù)部門(mén)進(jìn)行處理。應(yīng)安全保管密碼，如沒(méi)有可靠的物理控制措施，不要將密碼寫(xiě)在紙上，或記錄于電子文件中；禁止將密碼在終端軟件（如IE瀏覽器）上自動(dòng)保存；禁止公開(kāi)本人或他人的密碼信息，不得猜測(cè)竊取他人賬號(hào)密碼。工作職責(zé)發(fā)生變動(dòng)時(shí)，應(yīng)主動(dòng)申請(qǐng)帳號(hào)或者實(shí)物密鑰權(quán)限的變更；當(dāng)不再需要某系統(tǒng)

5、的訪問(wèn)權(quán)限時(shí)，應(yīng)主動(dòng)申請(qǐng)注銷(xiāo)賬號(hào)或者權(quán)限；對(duì)不能關(guān)閉的賬號(hào)或者實(shí)物密鑰，應(yīng)及時(shí)移交給本部門(mén)指定責(zé)任人；在離職時(shí)，應(yīng)主動(dòng)移交全部賬號(hào)和實(shí)物密鑰。信息設(shè)備使用終端計(jì)算機(jī)在配發(fā)時(shí)按照我行規(guī)范統(tǒng)一進(jìn)行命名，使用人不得擅自修改計(jì)算機(jī)名。所有終端計(jì)算機(jī)應(yīng)安裝我行要求的桌面管理軟件、防病毒軟件等，員工不得自行刪除或修改。終端計(jì)算機(jī)應(yīng)設(shè)定統(tǒng)一的屏幕保護(hù)程序，屏幕保護(hù)程序等待時(shí)間設(shè)在10分鐘以?xún)?nèi)。自己使用的設(shè)備和系統(tǒng)應(yīng)設(shè)置密碼保護(hù)，如開(kāi)機(jī)密碼、登錄密碼、屏幕保護(hù)密碼。離開(kāi)座位時(shí)，應(yīng)鎖定或關(guān)閉計(jì)算機(jī)；應(yīng)安全保管終端信息設(shè)備，周末或者節(jié)假日期間禁止將便攜信息設(shè)備放在桌面上。原則上不要將我行配發(fā)的設(shè)備用于工作以外用途

6、或接入辦公以外的環(huán)境，如因工作需要需與外部環(huán)境對(duì)接，再次接入辦公環(huán)境時(shí)應(yīng)先進(jìn)行病毒的查殺。未經(jīng)授權(quán)不得使用移動(dòng)介質(zhì)，使用移動(dòng)介質(zhì)前，應(yīng)進(jìn)行病毒檢測(cè)，確認(rèn)安全后方可使用。使用公同終端后，應(yīng)及時(shí)退出登錄并關(guān)機(jī)或鎖屏。未經(jīng)授權(quán)不得將終端設(shè)備、移動(dòng)介質(zhì)、實(shí)體信息和軟件等帶離辦公區(qū)。未經(jīng)授權(quán)任何人不得私自調(diào)換信息設(shè)備，禁止私自拆卸、維修或者更換計(jì)算機(jī)硬件。設(shè)備及存儲(chǔ)介質(zhì)提交維修、回收、報(bào)廢前，應(yīng)對(duì)設(shè)備上的重要數(shù)據(jù)進(jìn)行備份和安全銷(xiāo)毀。應(yīng)保管好個(gè)人使用的信息設(shè)備，一旦丟失，應(yīng)立即向本部門(mén)報(bào)告，特別對(duì)于綁定用戶(hù)賬號(hào)的個(gè)人終端設(shè)備，還應(yīng)立即報(bào)告信息技術(shù)部門(mén)，以及時(shí)鎖定相應(yīng)賬號(hào)，以防止被冒用。軟件使用終端設(shè)備初裝

7、或重裝操作系統(tǒng)，必須使用我行提供的操作系統(tǒng)，不得隨意使用其它操作系統(tǒng)安裝包進(jìn)行安裝。應(yīng)使用我行許可的軟件，禁止安裝與工作無(wú)關(guān)的軟件和盜版軟件，不要隨意安裝從互聯(lián)網(wǎng)下載的軟件，禁止私自更改、禁用、卸載我行要求使用的軟件。嚴(yán)禁使用黑客工具等影響或破壞我行信息安全的軟件。嚴(yán)禁擅自復(fù)制、傳播和銷(xiāo)售我行的計(jì)算機(jī)軟件產(chǎn)品。不得使用掃描軟件、壓力測(cè)試軟件或自編軟件對(duì)我行內(nèi)網(wǎng)及系統(tǒng)進(jìn)行掃描、攻擊測(cè)試和干擾。計(jì)算機(jī)網(wǎng)絡(luò)使用禁止將未經(jīng)許可的計(jì)算機(jī)設(shè)備接入我行網(wǎng)絡(luò)。未經(jīng)許可，不得擅自變更接入設(shè)備的網(wǎng)絡(luò)設(shè)置。不得啟用任何未經(jīng)批準(zhǔn)的網(wǎng)絡(luò)協(xié)議。除我行提供的互聯(lián)網(wǎng)出口外，未經(jīng)批準(zhǔn)，在我行辦公室環(huán)境不得采用任何方式（如無(wú)線(xiàn)網(wǎng)

8、卡、調(diào)制解調(diào)器等）接入互聯(lián)網(wǎng)或其它外部網(wǎng)絡(luò)。經(jīng)批準(zhǔn)可以使用的，應(yīng)先斷開(kāi)與我行網(wǎng)絡(luò)的連接，方可連接外部網(wǎng)絡(luò)。要合法、文明訪問(wèn)互聯(lián)網(wǎng)，禁止在互聯(lián)網(wǎng)上進(jìn)行以下活動(dòng)：反對(duì)憲法所確定的基本原則，含有法律、行政法規(guī)禁止的其他內(nèi)容的；危害國(guó)家安全，泄露國(guó)家秘密，顛覆國(guó)家政權(quán)，破壞國(guó)家統(tǒng)一的，損害國(guó)家榮譽(yù)和利益；煽動(dòng)民族仇恨、民族歧視，破壞民族團(tuán)結(jié)的，破壞國(guó)家宗教政策，宣揚(yáng)邪教和封建迷信；散布謠言，擾亂社會(huì)秩序，破壞社會(huì)穩(wěn)定；散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪；侮辱或者誹謗他人，侵害他人合法權(quán)益。不得濫用我行網(wǎng)絡(luò)資源進(jìn)行與工作無(wú)關(guān)的活動(dòng)，如訪問(wèn)與工作無(wú)關(guān)的網(wǎng)站和互聯(lián)網(wǎng)服務(wù)、下載與工作無(wú)關(guān)的文件

9、、玩網(wǎng)絡(luò)游戲、使用QQ和MSN聊天等等。禁止使用大量占用網(wǎng)絡(luò)帶寬的網(wǎng)絡(luò)軟件，如P2P下載、多線(xiàn)程下載、網(wǎng)絡(luò)視頻、網(wǎng)絡(luò)電視、網(wǎng)絡(luò)游戲等。除非受技術(shù)限制，禁止有下列情況之一的計(jì)算機(jī)終端接入互聯(lián)網(wǎng)：涉及我行機(jī)密或敏感信息的；未安裝指定防病毒軟件和桌面管理軟件等安全管理軟件、病毒庫(kù)未及時(shí)更新的；經(jīng)評(píng)估存在其它安全隱患，不適宜接入互聯(lián)網(wǎng)的。電子郵件使用應(yīng)以本人的真實(shí)身份使用電子郵箱，不得以他人名義或匿名濫發(fā)郵件；電子郵件的回復(fù)地址應(yīng)設(shè)為本人電子郵箱地址。嚴(yán)格保密自己電子郵件系統(tǒng)的密碼，如交與他人使用，由此造成的一切后果由電子郵件賬號(hào)所有人承擔(dān)。不要利用電子郵件服務(wù)發(fā)送與工作無(wú)關(guān)的郵件。不得利用電子郵件服

10、務(wù)散布電腦病毒、木馬軟件、間諜軟件等惡意軟件，干擾他人或破壞網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行。不要打開(kāi)來(lái)歷不明郵件中的鏈接地址與附件，防止泄漏個(gè)人信息或者終端被安裝木馬、病毒等惡意程序。嚴(yán)禁將我行的電子郵件用于非工作目的，特別是以?shī)蕵?lè)、購(gòu)物、交友等為目的的身份注冊(cè)。不得猜測(cè)他人電子郵件賬號(hào)和密碼，竊取、公開(kāi)或篡改他人郵件信息。數(shù)據(jù)安全管理與保密使用數(shù)據(jù)時(shí)參照XX銀行資產(chǎn)安全管理辦法中的信息資產(chǎn)分級(jí)說(shuō)明對(duì)數(shù)據(jù)進(jìn)行分級(jí)（從高到低依次為“關(guān)鍵數(shù)據(jù)”、“敏感數(shù)據(jù)”、“內(nèi)部數(shù)據(jù)”），對(duì)于“敏感數(shù)據(jù)”及“關(guān)鍵數(shù)據(jù)”應(yīng)進(jìn)行標(biāo)識(shí)，以指導(dǎo)數(shù)據(jù)的規(guī)范使用。應(yīng)及時(shí)備份工作中的重要數(shù)據(jù)，以防數(shù)據(jù)丟失； 不得向未授權(quán)機(jī)構(gòu)或人員提供我

11、行保密性數(shù)據(jù)（包括“內(nèi)部數(shù)據(jù)”、“敏感數(shù)據(jù)”和“關(guān)鍵數(shù)據(jù)”），或者未經(jīng)批準(zhǔn)將我行信息帶離我行網(wǎng)絡(luò)環(huán)境，包括拷貝至個(gè)人信息設(shè)備、發(fā)送至個(gè)人公網(wǎng)郵箱、上傳至互聯(lián)網(wǎng)等。經(jīng)授權(quán)向外部機(jī)構(gòu)或人員提供保密性數(shù)據(jù)時(shí)，必須通過(guò)數(shù)據(jù)主管理部門(mén)批準(zhǔn)的途徑和方式進(jìn)行傳遞。在內(nèi)部部門(mén)或者員工間進(jìn)行“敏感數(shù)據(jù)”及以上級(jí)別數(shù)據(jù)傳輸時(shí)，應(yīng)選擇我行內(nèi)部的郵件系統(tǒng)、個(gè)人網(wǎng)盤(pán)、即時(shí)消息系統(tǒng)或者我行提供的移動(dòng)介質(zhì)等傳輸方式，并進(jìn)行加密。不得使用非我行提供的技術(shù)手段，如個(gè)人公網(wǎng)郵箱、MSN、QQ等傳輸數(shù)據(jù)。處理“敏感數(shù)據(jù)”及以上級(jí)別數(shù)據(jù)時(shí)，要注意周?chē)h(huán)境，防止被窺視；避免在公共場(chǎng)合談?wù)撐倚斜Ｃ苄孕畔?，以防被竊聽(tīng)。對(duì)于“關(guān)鍵數(shù)據(jù)”，應(yīng)

12、采取加密措施并妥善存放；接入互聯(lián)網(wǎng)的終端不得存放“關(guān)鍵數(shù)據(jù)”。載有“敏感數(shù)據(jù)”及以上級(jí)別數(shù)據(jù)的文件資料等不再使用時(shí)應(yīng)及時(shí)鎖放在文件柜中，不要放在桌面或夾在日常的文件中。在公用的打印機(jī)、復(fù)印機(jī)設(shè)備上處理“敏感數(shù)據(jù)”及以上級(jí)別數(shù)據(jù)時(shí)，要及時(shí)將打印或復(fù)印的文檔取走。如設(shè)備出現(xiàn)故障，未能打印或復(fù)印，應(yīng)清空設(shè)備的處理列表，以免“敏感數(shù)據(jù)”及以上級(jí)別數(shù)據(jù)留在設(shè)備緩存區(qū)中，被他人獲得。使用傳真機(jī)接收“敏感數(shù)據(jù)”及以上級(jí)別數(shù)據(jù)時(shí)，要提前守候，發(fā)送此類(lèi)數(shù)據(jù)時(shí)，要與對(duì)方提前約定，并在發(fā)送后及時(shí)確認(rèn)。不得使用公用計(jì)算機(jī)設(shè)備處理“敏感數(shù)據(jù)”及以上級(jí)別數(shù)據(jù)，廢棄紙質(zhì)文件如含有“敏感數(shù)據(jù)”及以上級(jí)別數(shù)據(jù)內(nèi)容，要及時(shí)銷(xiāo)毀，

13、不可留做二次用紙。使用移動(dòng)介質(zhì)傳輸和存儲(chǔ)保密性數(shù)據(jù)時(shí)，應(yīng)對(duì)數(shù)據(jù)或介質(zhì)進(jìn)行加密，使用結(jié)束后應(yīng)及時(shí)清除介質(zhì)上的保密性數(shù)據(jù)。泄露客戶(hù)與員工等個(gè)人隱私屬于違法行為，嚴(yán)禁違反我行流程復(fù)制、外傳和使用我行客戶(hù)與員工的個(gè)人信息數(shù)據(jù)。不得未經(jīng)批準(zhǔn)翻印、復(fù)制、摘錄和外傳我行購(gòu)買(mǎi)具有第三方版權(quán)的外部信息，信息中含有版權(quán)或者保密要求的，應(yīng)嚴(yán)格遵照?qǐng)?zhí)行。防病毒要求除非受到技術(shù)限制，任何設(shè)備接入我行網(wǎng)絡(luò)前，均需先安裝我行規(guī)定的安全接入控制軟件和防病毒軟件，并進(jìn)行病毒掃描，在確認(rèn)該電腦安全無(wú)毒后，方可接入。使用個(gè)人計(jì)算機(jī)時(shí)，要運(yùn)行防病毒軟件，及時(shí)更新病毒庫(kù)、升級(jí)系統(tǒng)補(bǔ)丁，并定期執(zhí)行病毒檢測(cè)和清除。未經(jīng)許可，不得下載和安裝

14、規(guī)定以外的防病毒軟件或病毒監(jiān)控程序。在使用新購(gòu)、借入或維修返回的計(jì)算機(jī)前，應(yīng)對(duì)硬盤(pán)進(jìn)行病毒檢查，確保無(wú)病毒之后才能投入正式使用。使用盤(pán)、光盤(pán)等移動(dòng)介質(zhì)前，要進(jìn)行病毒檢測(cè)，不要使用任何未經(jīng)防病毒軟件檢測(cè)過(guò)的移動(dòng)介質(zhì)。向外發(fā)布文件或軟件時(shí)，要使用規(guī)定的防病毒軟件進(jìn)行檢查，確保無(wú)病毒或病毒已清除，才能向外發(fā)布。提高對(duì)電子郵件病毒的防范意識(shí)，不要閱讀和傳播來(lái)歷不明的電子郵件及其附件。收到我行內(nèi)部員工發(fā)來(lái)的含有病毒的郵件，應(yīng)及時(shí)報(bào)告信息安全管理人員。如發(fā)現(xiàn)計(jì)算機(jī)感染了病毒，或者數(shù)據(jù)被刪除破壞等異常情況，要立即斷開(kāi)網(wǎng)絡(luò)連接，并及時(shí)向信息安全管理人員匯報(bào)病毒情況。如發(fā)現(xiàn)感染的病毒不能被我行規(guī)定的防病毒軟件有效清除，應(yīng)立即斷網(wǎng)，并報(bào)告信息安全管