某銀行職員員工信息安全行為規(guī)范

1、PAGE11XX銀行科技開發(fā)部員工信息安全行為規(guī)范總則為提高總行科技開發(fā)部員工(包括行內(nèi)員工、在我行工作的外部員工)的信息安全意識，規(guī)范員工的行為，指導員工合理、安全地使用信息資產(chǎn)，防止有意或無意的破壞信息安全行為的發(fā)生，保護我行信息資產(chǎn)安全，制定本規(guī)范。員工應主動了解本我行信息安全管理相關(guān)規(guī)定，積極參與我行組織的信息安全培訓，提升信息安全意識和技能，并嚴格遵守我行信息安全要求。資產(chǎn)管理聲明禁止利用我行資產(chǎn)（包括我行配發(fā)的計算機、手機等個人終端設備）處理個人事務，以避免我行在信息安全管理中觸及個人隱私。員工利用我行的資產(chǎn)所產(chǎn)生、處理和存儲的一切信息，其所有權(quán)歸我行擁有。我行出于對運營管理、安全

2、管理和司法調(diào)查取證等需要，保留在任何時候?qū)ξ倚腥我赓Y產(chǎn)進行監(jiān)控、復制、披露、使用和刪除的權(quán)利。工作環(huán)境安全要求進入我行工作區(qū)域時，應規(guī)范佩戴我行認可的身份識別證件或按照我行相關(guān)管理規(guī)定登記并獲得許可后方可進入。應遵守安全區(qū)域訪問規(guī)定，進出非授權(quán)區(qū)域時，需按照我行相關(guān)規(guī)定經(jīng)相關(guān)責任人批準。員工應安全保管身份識別證件，丟失后及時向發(fā)證部門報告，禁止將身份識別證件借與他人使用；調(diào)離我行時，應主動交還我行配發(fā)的身份識別證件。我行內(nèi)調(diào)動或更換工作區(qū)域時應主動申請門禁權(quán)限變更。若發(fā)現(xiàn)任何可疑人員進入我行或進行非授權(quán)活動，要立即制止，并報告相關(guān)部門。啟用門禁的區(qū)域進出時要防止人員尾隨，進出后應及時關(guān)閉。用戶

3、賬號安全任何賬號僅限申請賬號時批準的所有者在授權(quán)范圍內(nèi)使用，嚴禁使用賬號訪問未授權(quán)的資源，賬號所有者承擔使用該賬號所產(chǎn)生的一切責任和后果。賬號正式啟用前，必須為賬號添加密碼或修改缺省密碼，密碼應具有足夠的安全強度；對于重要核心系統(tǒng)的密碼，應加強密碼復雜度和密碼長度。具有足夠強度密碼設置要求如下：口令最小長度：8位口令字符組成復雜度：口令由數(shù)字、大小寫字母及特殊字符，且至少包含其中兩種字符（動態(tài)口令除外）；口令歷史：修改后的口令至少與前4次口令不同；口令最大連續(xù)嘗試次數(shù)：10次；口令錯誤次數(shù)超過最大連續(xù)嘗試次數(shù)后，應具有限制用戶登錄的機制?？诹钭铋L有效期限： 180 天，可根據(jù)系統(tǒng)重要性和用戶權(quán)

4、限采取不同的有效期；口令使用期限即將達到口令最長有效期限時，應具有提示用戶修改口令的機制。主機系統(tǒng)、網(wǎng)絡設備、安全設備等超級用戶口令最長有效期應為90天，其它用戶口令最長有效期應符合本章口令基本要求。應安全保管或者隨身攜帶實物密鑰，如USBkey等，禁止隨意放置在桌面上。如發(fā)現(xiàn)實物密鑰遺失或懷疑密碼被竊取，應立即通知信息技術(shù)部門進行處理。應安全保管密碼，如沒有可靠的物理控制措施，不要將密碼寫在紙上，或記錄于電子文件中；禁止將密碼在終端軟件（如IE瀏覽器）上自動保存；禁止公開本人或他人的密碼信息，不得猜測竊取他人賬號密碼。工作職責發(fā)生變動時，應主動申請帳號或者實物密鑰權(quán)限的變更；當不再需要某系統(tǒng)

5、的訪問權(quán)限時，應主動申請注銷賬號或者權(quán)限；對不能關(guān)閉的賬號或者實物密鑰，應及時移交給本部門指定責任人；在離職時，應主動移交全部賬號和實物密鑰。信息設備使用終端計算機在配發(fā)時按照我行規(guī)范統(tǒng)一進行命名，使用人不得擅自修改計算機名。所有終端計算機應安裝我行要求的桌面管理軟件、防病毒軟件等，員工不得自行刪除或修改。終端計算機應設定統(tǒng)一的屏幕保護程序，屏幕保護程序等待時間設在10分鐘以內(nèi)。自己使用的設備和系統(tǒng)應設置密碼保護，如開機密碼、登錄密碼、屏幕保護密碼。離開座位時，應鎖定或關(guān)閉計算機；應安全保管終端信息設備，周末或者節(jié)假日期間禁止將便攜信息設備放在桌面上。原則上不要將我行配發(fā)的設備用于工作以外用途

6、或接入辦公以外的環(huán)境，如因工作需要需與外部環(huán)境對接，再次接入辦公環(huán)境時應先進行病毒的查殺。未經(jīng)授權(quán)不得使用移動介質(zhì)，使用移動介質(zhì)前，應進行病毒檢測，確認安全后方可使用。使用公同終端后，應及時退出登錄并關(guān)機或鎖屏。未經(jīng)授權(quán)不得將終端設備、移動介質(zhì)、實體信息和軟件等帶離辦公區(qū)。未經(jīng)授權(quán)任何人不得私自調(diào)換信息設備，禁止私自拆卸、維修或者更換計算機硬件。設備及存儲介質(zhì)提交維修、回收、報廢前，應對設備上的重要數(shù)據(jù)進行備份和安全銷毀。應保管好個人使用的信息設備，一旦丟失，應立即向本部門報告，特別對于綁定用戶賬號的個人終端設備，還應立即報告信息技術(shù)部門，以及時鎖定相應賬號，以防止被冒用。軟件使用終端設備初裝

7、或重裝操作系統(tǒng)，必須使用我行提供的操作系統(tǒng)，不得隨意使用其它操作系統(tǒng)安裝包進行安裝。應使用我行許可的軟件，禁止安裝與工作無關(guān)的軟件和盜版軟件，不要隨意安裝從互聯(lián)網(wǎng)下載的軟件，禁止私自更改、禁用、卸載我行要求使用的軟件。嚴禁使用黑客工具等影響或破壞我行信息安全的軟件。嚴禁擅自復制、傳播和銷售我行的計算機軟件產(chǎn)品。不得使用掃描軟件、壓力測試軟件或自編軟件對我行內(nèi)網(wǎng)及系統(tǒng)進行掃描、攻擊測試和干擾。計算機網(wǎng)絡使用禁止將未經(jīng)許可的計算機設備接入我行網(wǎng)絡。未經(jīng)許可，不得擅自變更接入設備的網(wǎng)絡設置。不得啟用任何未經(jīng)批準的網(wǎng)絡協(xié)議。除我行提供的互聯(lián)網(wǎng)出口外，未經(jīng)批準，在我行辦公室環(huán)境不得采用任何方式（如無線網(wǎng)

8、卡、調(diào)制解調(diào)器等）接入互聯(lián)網(wǎng)或其它外部網(wǎng)絡。經(jīng)批準可以使用的，應先斷開與我行網(wǎng)絡的連接，方可連接外部網(wǎng)絡。要合法、文明訪問互聯(lián)網(wǎng)，禁止在互聯(lián)網(wǎng)上進行以下活動：反對憲法所確定的基本原則，含有法律、行政法規(guī)禁止的其他內(nèi)容的；危害國家安全，泄露國家秘密，顛覆國家政權(quán)，破壞國家統(tǒng)一的，損害國家榮譽和利益；煽動民族仇恨、民族歧視，破壞民族團結(jié)的，破壞國家宗教政策，宣揚邪教和封建迷信；散布謠言，擾亂社會秩序，破壞社會穩(wěn)定；散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪；侮辱或者誹謗他人，侵害他人合法權(quán)益。不得濫用我行網(wǎng)絡資源進行與工作無關(guān)的活動，如訪問與工作無關(guān)的網(wǎng)站和互聯(lián)網(wǎng)服務、下載與工作無關(guān)的文件

9、、玩網(wǎng)絡游戲、使用QQ和MSN聊天等等。禁止使用大量占用網(wǎng)絡帶寬的網(wǎng)絡軟件，如P2P下載、多線程下載、網(wǎng)絡視頻、網(wǎng)絡電視、網(wǎng)絡游戲等。除非受技術(shù)限制，禁止有下列情況之一的計算機終端接入互聯(lián)網(wǎng)：涉及我行機密或敏感信息的；未安裝指定防病毒軟件和桌面管理軟件等安全管理軟件、病毒庫未及時更新的；經(jīng)評估存在其它安全隱患，不適宜接入互聯(lián)網(wǎng)的。電子郵件使用應以本人的真實身份使用電子郵箱，不得以他人名義或匿名濫發(fā)郵件；電子郵件的回復地址應設為本人電子郵箱地址。嚴格保密自己電子郵件系統(tǒng)的密碼，如交與他人使用，由此造成的一切后果由電子郵件賬號所有人承擔。不要利用電子郵件服務發(fā)送與工作無關(guān)的郵件。不得利用電子郵件服

10、務散布電腦病毒、木馬軟件、間諜軟件等惡意軟件，干擾他人或破壞網(wǎng)絡系統(tǒng)的正常運行。不要打開來歷不明郵件中的鏈接地址與附件，防止泄漏個人信息或者終端被安裝木馬、病毒等惡意程序。嚴禁將我行的電子郵件用于非工作目的，特別是以娛樂、購物、交友等為目的的身份注冊。不得猜測他人電子郵件賬號和密碼，竊取、公開或篡改他人郵件信息。數(shù)據(jù)安全管理與保密使用數(shù)據(jù)時參照XX銀行資產(chǎn)安全管理辦法中的信息資產(chǎn)分級說明對數(shù)據(jù)進行分級（從高到低依次為“關(guān)鍵數(shù)據(jù)”、“敏感數(shù)據(jù)”、“內(nèi)部數(shù)據(jù)”），對于“敏感數(shù)據(jù)”及“關(guān)鍵數(shù)據(jù)”應進行標識，以指導數(shù)據(jù)的規(guī)范使用。應及時備份工作中的重要數(shù)據(jù)，以防數(shù)據(jù)丟失； 不得向未授權(quán)機構(gòu)或人員提供我

11、行保密性數(shù)據(jù)（包括“內(nèi)部數(shù)據(jù)”、“敏感數(shù)據(jù)”和“關(guān)鍵數(shù)據(jù)”），或者未經(jīng)批準將我行信息帶離我行網(wǎng)絡環(huán)境，包括拷貝至個人信息設備、發(fā)送至個人公網(wǎng)郵箱、上傳至互聯(lián)網(wǎng)等。經(jīng)授權(quán)向外部機構(gòu)或人員提供保密性數(shù)據(jù)時，必須通過數(shù)據(jù)主管理部門批準的途徑和方式進行傳遞。在內(nèi)部部門或者員工間進行“敏感數(shù)據(jù)”及以上級別數(shù)據(jù)傳輸時，應選擇我行內(nèi)部的郵件系統(tǒng)、個人網(wǎng)盤、即時消息系統(tǒng)或者我行提供的移動介質(zhì)等傳輸方式，并進行加密。不得使用非我行提供的技術(shù)手段，如個人公網(wǎng)郵箱、MSN、QQ等傳輸數(shù)據(jù)。處理“敏感數(shù)據(jù)”及以上級別數(shù)據(jù)時，要注意周圍環(huán)境，防止被窺視；避免在公共場合談論我行保密性信息，以防被竊聽。對于“關(guān)鍵數(shù)據(jù)”，應

12、采取加密措施并妥善存放；接入互聯(lián)網(wǎng)的終端不得存放“關(guān)鍵數(shù)據(jù)”。載有“敏感數(shù)據(jù)”及以上級別數(shù)據(jù)的文件資料等不再使用時應及時鎖放在文件柜中，不要放在桌面或夾在日常的文件中。在公用的打印機、復印機設備上處理“敏感數(shù)據(jù)”及以上級別數(shù)據(jù)時，要及時將打印或復印的文檔取走。如設備出現(xiàn)故障，未能打印或復印，應清空設備的處理列表，以免“敏感數(shù)據(jù)”及以上級別數(shù)據(jù)留在設備緩存區(qū)中，被他人獲得。使用傳真機接收“敏感數(shù)據(jù)”及以上級別數(shù)據(jù)時，要提前守候，發(fā)送此類數(shù)據(jù)時，要與對方提前約定，并在發(fā)送后及時確認。不得使用公用計算機設備處理“敏感數(shù)據(jù)”及以上級別數(shù)據(jù)，廢棄紙質(zhì)文件如含有“敏感數(shù)據(jù)”及以上級別數(shù)據(jù)內(nèi)容，要及時銷毀，

13、不可留做二次用紙。使用移動介質(zhì)傳輸和存儲保密性數(shù)據(jù)時，應對數(shù)據(jù)或介質(zhì)進行加密，使用結(jié)束后應及時清除介質(zhì)上的保密性數(shù)據(jù)。泄露客戶與員工等個人隱私屬于違法行為，嚴禁違反我行流程復制、外傳和使用我行客戶與員工的個人信息數(shù)據(jù)。不得未經(jīng)批準翻印、復制、摘錄和外傳我行購買具有第三方版權(quán)的外部信息，信息中含有版權(quán)或者保密要求的，應嚴格遵照執(zhí)行。防病毒要求除非受到技術(shù)限制，任何設備接入我行網(wǎng)絡前，均需先安裝我行規(guī)定的安全接入控制軟件和防病毒軟件，并進行病毒掃描，在確認該電腦安全無毒后，方可接入。使用個人計算機時，要運行防病毒軟件，及時更新病毒庫、升級系統(tǒng)補丁，并定期執(zhí)行病毒檢測和清除。未經(jīng)許可，不得下載和安裝

14、規(guī)定以外的防病毒軟件或病毒監(jiān)控程序。在使用新購、借入或維修返回的計算機前，應對硬盤進行病毒檢查，確保無病毒之后才能投入正式使用。使用盤、光盤等移動介質(zhì)前，要進行病毒檢測，不要使用任何未經(jīng)防病毒軟件檢測過的移動介質(zhì)。向外發(fā)布文件或軟件時，要使用規(guī)定的防病毒軟件進行檢查，確保無病毒或病毒已清除，才能向外發(fā)布。提高對電子郵件病毒的防范意識，不要閱讀和傳播來歷不明的電子郵件及其附件。收到我行內(nèi)部員工發(fā)來的含有病毒的郵件，應及時報告信息安全管理人員。如發(fā)現(xiàn)計算機感染了病毒，或者數(shù)據(jù)被刪除破壞等異常情況，要立即斷開網(wǎng)絡連接，并及時向信息安全管理人員匯報病毒情況。如發(fā)現(xiàn)感染的病毒不能被我行規(guī)定的防病毒軟件有效清除，應立即斷網(wǎng)，并報告信息安全管