信息安全懲戒管理規(guī)定

1、信息安全懲戒管理規(guī)定 信息科技部 信息安全懲戒管理要求 a 版 6 月 1 日 公布 6 月 1 日 實施 目錄 1 目標. 錯誤! 未定義書簽。 2 范圍. 錯誤! 未定義書簽。 3 相關文件 . 錯誤! 未定義書簽。 4 職責. 錯誤! 未定義書簽。 5 程序. 錯誤! 未定義書簽。 5.1 計算機信息系統(tǒng)安保 . 錯誤! 未定義書簽。 5.2 計算機應用和管理違規(guī)行為處罰要求 . 錯誤! 未定義書簽。 5.3 計算機信息類違規(guī)處罰 . 錯誤! 未定義書簽。 5.4 獎懲統(tǒng)計 . 錯誤! 未定義書簽。 5.5 證據搜集 . 錯誤! 未定義書簽。 5.6 證據保留及提供 . 錯誤! 未定義書

2、簽。 6 統(tǒng)計. 錯誤! 未定義書簽。 文件修訂歷史統(tǒng)計 版本 日期 修訂者 修訂描述 1.0 1 目標 為對違反信息安全方針、體系文件要求、法律法規(guī)、協(xié)議要求職員實施公正有效獎懲，并作為對可能在其它情況下有意輕視信息安全程序職員威懾，強化全體職員信息安全意識，有效預防信息安全事故發(fā)生，特制訂本要求。 2 范圍 本程序適適用于阜新銀行信息科技部對違反信息安全方針、體系文件要求、法律法規(guī)、協(xié)議要求職員獎懲及對信息安全做出貢獻職員獎勵。 3 相關文件 4 職責 4.1 各副總經理負責自己區(qū)域內獎懲。 4.2 管理者代表負責對 it 方面信息安全事故獎懲管理。 4.3 信息安全管理委員會負責決定重大

3、信息安全和事故處罰。 4.4 綜合管理員負責阜新銀行信息科技部內部泄密或信息泄漏調查。 5 程序 5.1 計算機信息系統(tǒng)安保 5.1.1 在計算機信息系統(tǒng)安全保護工作中成績顯著單位和個人，由市行、市行所轄各單位或公安機關給表彰、獎勵。 5.1.2 存在計算機信息系統(tǒng)安全隱患市行所轄單位，由市行或公安機關發(fā)出整改通知，限期整改。因不立即整改而發(fā)生重大事故和案件，由市行對該單位主管責任人和直接責任人給予行政處分；組成違反治安管理或違反計算機管理監(jiān)察行為，由公安機關依法給予處罰；組成犯罪，由司法機關依法追究刑事責任。 注：以上條款由阜新銀行信息科技部計算機信息系統(tǒng)安全保護小組負責解釋。 5.2 計算

4、機應用和管理違規(guī)行為處罰要求 5.2.1 計算機應用、維護及操作人員違反要求對賬務、信息進行處理，給經濟處罰或警告至降級處分；造成嚴重后果，給免職至開除處分。 5.2.2 違反要求，私自編制、使用、修改業(yè)務應用程序、調整系統(tǒng)參數(shù)和業(yè)務數(shù)據，給主管人員和其它責任人員記過至免職處分；造成嚴重后果，給主管人員和其它責任人員留用察看至開除處分。 5.2.3 利用計算機進行違法違規(guī)活動或為違法違規(guī)活動提供條件，給主管人員和其它責任人員記過免職處分；造成嚴重后果，給留用至開除處分。 5.2.4 違反要求，有下列危害阜新銀行網絡安全行為之一，給相關責任人員經濟處罰或警告至記過處分；造成嚴重后果，給記大過至開

5、除處分： （a）在生產經營用機上使用和業(yè)務無關軟件或利用通訊手段非法侵入其它系統(tǒng)和網絡（含從阜新銀行一個業(yè)務系統(tǒng)進入另一個業(yè)務系統(tǒng)，從阜新銀行以外系統(tǒng)和設備侵入阜新銀行業(yè)務網絡系統(tǒng)，和從阜新銀行業(yè)務網絡系統(tǒng)進入阜新銀行以外網絡系統(tǒng)）； （b）未經審批，私自使用阜新銀行內部網絡上計算機撥號上國際互聯(lián)網； （c）將非阜新銀行計算機設備接入阜新銀行網絡系統(tǒng)； （d）私自卸載或屏蔽計算機安全軟件； （e）私自修改計算機操作系統(tǒng)、網絡系統(tǒng)安全設置； （f）未經審批，私自在阜新銀行網絡系統(tǒng)內開設游戲網站、論壇、聊天室等和工作無關網絡服務； （g）利用郵件系統(tǒng)傳輸損害阜新銀行形象郵件。 5.2.5 利用阜新

6、銀行計算機設備和網絡系統(tǒng)制造、傳輸計算機病毒，給主管人員和其它責任人員記過至記大過處分；造成嚴重后果，給主管人員和其它責任人員降級至開除處分。 5.2.6 計算機房值班人員私自離崗，給經濟處罰或警告處分；造成嚴重后果，給記過至開除處分。 5.2.7 系統(tǒng)管理和操作人員離開主機或終端時沒有按操作規(guī)程退出系統(tǒng)，給經濟處罰或警告至記過處分；造成嚴重后果，給記大過至開除處分。 5.2.8 違反要求將屬于阜新銀行計算機軟件、文檔、資料、用戶信息等據為己有、復制或借給外單位，給相關責任人員記過至免職處分；造成嚴重后果，給留用察看至開除處分。 5.2.9 未按要求進行數(shù)據備份、沒有妥善保管備份數(shù)據或備分數(shù)據

7、無效，給主管人員和其它責任人員經濟處罰或警告至記過處分；造成嚴重后果，給記大過至開除處分。 5.2.10 在對面向用戶業(yè)務應用系統(tǒng)管理中，從事后臺維護技術人員，違反要求同時進行前臺技術維護，給主管人員和其它責任人員記過至記大過處分；造成嚴重后果，給降級至開除處分。 5.2.11 在關鍵業(yè)務系統(tǒng)、支付系統(tǒng)、國際業(yè)務系統(tǒng)、銀行卡系統(tǒng)、網上銀行系統(tǒng)及儲蓄事后監(jiān)督系統(tǒng)等面向用戶業(yè)務應用系統(tǒng)相關各項業(yè)務操作過程中，技術人員替換業(yè)務人員操作，或員工許可技術人員替換從事業(yè)務操作，給主管人員和其它責任人員記過至開除處分。 5.2.12 在電子銀行業(yè)務中，有下列行為之一，給主管人員和其它責任人員警告至 降級處分

8、；造成嚴重后果，給免職至開除處分： （a）違反要求，套取用戶用戶名、口令等機密信息； （b）違反要求，復制、截留用戶電子證書； （c）冒用用戶名義，偽造相關資料，騙取電子證書。 5.2.13 偽造電子銀行轉賬信息，給主管人員和其它責任人員警告至降級處分；造成嚴重后果，給免職至開除處分。 5.3 計算機信息類違規(guī)處罰 5.3.1 信息科技部職員違規(guī)操作，給系統(tǒng)造成一定影響，但沒有影響業(yè)務正常運行或對業(yè)務造成輕微危害者，給當事人警告或嚴重警告、情節(jié)較重或嚴重者，視情節(jié)輕重給當事人和主管領導 200 元以上 1000 元以下罰款。 5.3.2 信息科技部職員違規(guī)操作造成系統(tǒng)發(fā)生問題，影響業(yè)務長時間正

9、常運行，立即調離信息科技部，情節(jié)嚴重者，根據市行相關要求處罰。 5.3.3 支行系統(tǒng)員通常不按要求管理，出現(xiàn)公網和內網混網現(xiàn)象，或其它安全問題，一經發(fā)覺，除全行通報批評外，處以 200 元罰款，情節(jié)嚴重者，調離系統(tǒng)員崗位。 5.3.4 市行機關和支行全部計算機使用用戶，違規(guī)私自修改網絡地址進入不該進入業(yè)務網段、或使用內網主機進入 internet 網絡者，若對系統(tǒng)和業(yè)務未造成影響，除全行通報批評外，處以當事人和相關責任人 200 元罰款，若對系統(tǒng)或業(yè)務造成影響著，視情節(jié)輕重，處以 500 以上 10000 元以下罰款。 5.3.5 對全行全部營業(yè)網點天天晚間業(yè)務結束后，未做網點平賬交易，除全行

10、通報批評外，處以該網點 200 元罰款，該單位第二天必需向信息科技部出具事件說明匯報。 5.3.6 通常利用非法手段竊取系統(tǒng)密鑰，進入我行業(yè)務系統(tǒng)，盜取用戶資料，向外界提供用戶資料并造成用戶損失或進入系統(tǒng)作案者，一經發(fā)覺，立即開除行籍，情節(jié)嚴重者，送交司法機關處理。 5.4 獎 懲統(tǒng)計 5.4.1 綜合管理員依據阜新銀行信息科技部獎懲管理要求，對獎懲實施進行統(tǒng)計并形成獎懲統(tǒng)計單統(tǒng)計完成后由綜合管理員進行留存。 5.5 證據搜集 5.5.1 當信息安全事件包含到訴訟（民事或刑事），需要深入對個人或組織進行起訴時，應搜集、保留和呈遞證據，以使證據符合相關訴訟管轄權。 5.5.2 證據在搜集時不得侵

11、犯個人權益，應在不侵犯個人權益時對證據進行收拾而且證實證據是否可在法庭上使用。 5.5.3 應確保證據質量和完備性，預防未被授權篡改和泄漏。 5.5.4 證據取得確保：阜新銀行信息科技部應確保搜集證據其信息系統(tǒng)符合任何公布標準或實用規(guī)則來產生被許可證據。 5.6 證據 保留及 提供 5.6.1 提供證據份量應符合任何適用要求。對該證據存放和處理整個時期內，應進行過程控制確保證據質量和完備性。 5.6.2 紙面文檔證據提供：原物應被安全保留且?guī)в邢铝行畔⒔y(tǒng)計：誰發(fā)覺了這個文檔，文檔是在哪兒被發(fā)覺，文檔是什么時候被發(fā)覺，誰來證實這個發(fā)覺；任何調查應確保原物沒有被篡改； 5.6.3 對計算機介質上信息：任何可移動介質鏡像或拷貝（依靠于適用要求）、硬盤或內存中信息全部應確保其可用性；拷貝過程中全部行為日志全部應保留下來，且應有證據證實該過程；原始介質和日志（假如這一點不可能話，那么最少有一個鏡像