XX银行员工信息安全行为规范.pdf

XXXX 银行科技开发部员工信息平安行为标准银行科技开发部员工信息平安行为标准 V1.0V1.0第一章第一章总那么总那么第一条第一条 为提高总行科技开发部员工(包括行内员工、在我行工作的外部员工)的信息平安意识，标准员工的行为，指导员工合理、平安地使用信息资产，防止有意或无意的破坏信息平安行为的发生，保护我行信息资产平安，制定本标准第二条第二条 员工应主动了解本我行信息平安管理相关规定，积极参与我行组织的信息平安培训，提升信息平安意识和技能，并严格遵守我行信息平安要求第二章第二章资产管理声明资产管理声明第三条第三条 禁止利用我行资产〔包括我行配发的计算机、等个人终端设备〕处理个人事务，以防止我行在信息平安管理中触及个人隐私第四条第四条 员工利用我行的资产所产生、处理和存储的一切信息，其所有权归我行拥有第五条第五条 我行出于对运营管理、平安管理和司法调查取证等需要，保存在任何时候对我行任意资产进行监控、复制、披露、使用和删除的权利第三章第三章工作环境平安要求工作环境平安要求第六条第六条 进入我行工作区域时，应标准佩戴我行认可的身份识别证件或按照我行相关管理规定登记并获得许可前方可进入第七条第七条 应遵守平安区域访问规定，进出非授权区域时，需按照我行相关规定经相关责任人批准。

第八条第八条 员工应平安保管身份识别证件， 丧失后及时向发证部门报告， 禁止将身份识别证件借与他人使用；调离我行时，应主动交还我行配发的身份识别证件第九条第九条 我行内调动或更换工作区域时应主动申请门禁权限变更第十条第十条 假设发现任何可疑人员进入我行或进行非授权活动，要立即制止，并报告相关部门第十一条第十一条 启用门禁的区域进出时要防止人员尾随，进出后应及时关闭第四章第四章用户账号平安用户账号平安第十二条第十二条 任何账号仅限申请账号时批准的所有者在授权范围内使用，严禁使用账号访问未授权的资源，账号所有者承当使用该账号所产生的一切责任和后果第十三条第十三条 账号正式启用前，必须为账号添加密码或修改缺省密码，密码应具有足够的平安强度；对于重要核心系统的密码，应加强密码复杂度和密码长度第十四条第十四条 具有足够强度密码设置要求如下：(一) 口令最小长度：8 位(二) 口令字符组成复杂度：口令由数字、大小写字母及特殊字符，且至少包含其中两种字符〔动态口令除外〕 ；(三) 口令历史：修改后的口令至少与前4 次口令不同；(四) 口令最大连续尝试次数：10 次；口令错误次数超过最大连续尝试次数后，应具有限制用户登录的机制。

五) 口令最长有效期限： 180 天，可根据系统重要性和用户权限采取不同的有效期；口令使用期限即将到达口令最长有效期限时，应具有提示用户修改口令的机制六) 主机系统、网络设备、平安设备等超级用户口令最长有效期应为90 天，其它用户口令最长有效期应符合本章口令根本要求第十五条第十五条 应平安保管或者随身携带实物密钥，如USBkey等，禁止随意放置在桌面上如发现实物密钥遗失或疑心密码被窃取，应立即通知信息技术部门进行处理第十六条第十六条 应平安保管密码，如没有可靠的物理控制措施，不要将密码写在纸上，或记录于电子文件中；禁止将密码在终端软件〔如IE 浏览器〕上自动保存；禁止公开本人或他人的密码信息，不得猜想窃取他人账号密码第十七条第十七条 工作职责发生变动时，应主动申请帐号或者实物密钥权限的变更；当不再需要某系统的访问权限时，应主动申请注销账号或者权限；对不能关闭的账号或者实物密钥，应及时移交给本部门指定责任人；在离职时，应主动移交全部账号和实物密钥第五章第五章信息设备使用信息设备使用第十八条第十八条 终端计算机在配发时按照我行标准统一进行命名，使用人不得擅自修改计算机名第十九条第十九条 所有终端计算机应安装我行要求的桌面管理软件、防病毒软件等，员工不得自行删除或修改。

第二十条第二十条 终端计算机应设定统一的屏幕保护程序，屏幕保护程序等待时间设在10 分钟以内第二十一条第二十一条 自己使用的设备和系统应设置密码保护，如开机密码、登录密码、屏幕保护密码第二十二条第二十二条 离开座位时，应锁定或关闭计算机；应平安保管终端信息设备，周末或者节假日期间禁止将便携信息设备放在桌面上第二十三条第二十三条 原那么上不要将我行配发的设备用于工作以外用途或接入办公以外的环境，如因工作需要需与外部环境对接，再次接入办公环境时应先进行病毒的查杀第二十四条第二十四条 未经授权不得使用移动介质，使用移动介质前，应进行病毒检测，确认平安前方可使用第二十五条第二十五条 使用公同终端后，应及时退出登录并关机或锁屏第二十六条第二十六条 未经授权不得将终端设备、移动介质、实体信息和软件等带离办公区第二十七条第二十七条 未经授权任何人不得私自调换信息设备，禁止私自拆卸、维修或者更换计算机硬件第二十八条第二十八条 设备及存储介质提交维修、回收、报废前，应对设备上的重要数据进行备份和平安销毁第二十九条第二十九条 应保管好个人使用的信息设备，一旦丧失，应立即向本部门报告，特别对于绑定用户账号的个人终端设备，还应立即报告信息技术部门，以及时锁定相应账号，以防止被冒用。

第六章第六章软件使用软件使用第三十条第三十条 终端设备初装或重装操作系统，必须使用我行提供的操作系统，不得随意使用其它操作系统安装包进行安装第三十一条第三十一条 应使用我行许可的软件，禁止安装与工作无关的软件和盗版软件，不要随意安装从互联网下载的软件，禁止私自更改、禁用、卸载我行要求使用的软件第三十二条第三十二条 严禁使用黑客工具等影响或破坏我行信息平安的软件第三十三条第三十三条 严禁擅自复制、传播和销售我行的计算机软件产品第三十四条第三十四条 不得使用扫描软件、 压力测试软件或自编软件对我行内网及系统进行扫描、 攻击测试和干扰第七章第七章计算机网络使用计算机网络使用第三十五条第三十五条 禁止将未经许可的计算机设备接入我行网络第三十六条第三十六条 未经许可，不得擅自变更接入设备的网络设置第三十七条第三十七条 不得启用任何未经批准的网络协议第三十八条第三十八条 除我行提供的互联网出口外， 未经批准， 在我行办公室环境不得采用任何方式 〔如无线网卡、调制解调器等〕接入互联网或其它外部网络经批准可以使用的，应先断开与我行网络的连接，方可连接外部网络第三十九条第三十九条 要合法、文明访问互联网，禁止在互联网上进行以下活动：(一) 反对宪法所确定的根本原那么，含有法律、行政法规禁止的其他内容的；(二) 危害国家平安，泄露国家秘密，颠覆国家政权，破坏国家统一的，损害国家荣誉和利益；(三) 煽动民族仇恨、民族歧视，破坏民族团结的，破坏国家宗教政策，宣扬邪教和封建迷信；(四) 散布谣言，扰乱社会秩序，破坏社会稳定；(五) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪；(六) 侮辱或者诽谤他人，侵害他人合法权益。

第四十条第四十条 不得滥用我行网络资源进行与工作无关的活动，如访问与工作无关的网站和互联网效劳、下载与工作无关的文件、玩网络游戏、使用 和 MSN 聊天等等第四十一条第四十一条 禁止使用大量占用网络带宽的网络软件，如 P2P 下载、多线程下载、网络视频、网络电视、网络游戏等第四十二条第四十二条 除非受技术限制，禁止有以下情况之一的计算机终端接入互联网：(一) 涉及我行机密或敏感信息的；(二) 未安装指定防病毒软件和桌面管理软件等平安管理软件、病毒库未及时更新的；(三) 经评估存在其它平安隐患，不适宜接入互联网的第八章第八章电子邮件使用电子邮件使用第四十三条第四十三条 应以本人的真实身份使用电子邮箱，不得以他人名义或匿名滥发邮件；电子邮件的回复地址应设为本人电子邮箱地址第四十四条第四十四条 严格保密自己电子邮件系统的密码，如交与他人使用，由此造成的一切后果由电子邮件账号所有人承当第四十五条第四十五条 不要利用电子邮件效劳发送与工作无关的邮件第四十六条第四十六条 不得利用电子邮件效劳散布电脑病毒、木马软件、间谍软件等恶意软件，干扰他人或破坏网络系统的正常运行第四十七条第四十七条 不要翻开来历不明邮件中的链接地址与附件，防止泄漏个人信息或者终端被安装木马、病毒等恶意程序。

第四十八条第四十八条 严禁将我行的电子邮件用于非工作目的，特别是以娱乐、购物、交友等为目的的身份注册第四十九条第四十九条 不得猜想他人电子邮件账号和密码，窃取、公开或篡改他人邮件信息第九章第九章数据平安管理与保密数据平安管理与保密第五十条第五十条 使用数据时参照?XX 银行资产平安管理方法?中的信息资产分级说明对数据进行分级〔从高到低依次为“关键数据〞、 “敏感数据〞、 “内部数据〞〕 ，对于“敏感数据〞及“关键数据〞应进行标识，以指导数据的标准使用第五十一条第五十一条 应及时备份工作中的重要数据，以防数据丧失；第五十二条第五十二条 不得向未授权机构或人员提供我行保密性数据〔包括“内部数据〞、 “敏感数据〞和“关键数据〞〕 ，或者未经批准将我行信息带离我行网络环境，包括拷贝至个人信息设备、发送至个人公网邮箱、上传至互联网等第五十三条第五十三条 经授权向外部机构或人员提供保密性数据时，必须通过数据主管理部门批准的途径和方式进行传递第五十四条第五十四条 在内部部门或者员工间进行“敏感数据〞及以上级别数据传输时，应选择我行内部的邮件系统、个人网盘、即时消息系统或者我行提供的移动介质等传输方式，并进行加密。

不得使用非我行提供的技术手段，如个人公网邮箱、MSN、 等传输数据第五十五条第五十五条 处理“敏感数据〞及以上级别数据时，要注意周围环境，防止被窥视；防止在公共场合谈论我行保密性信息，以防被窃听第五十六条第五十六条 对于“关键数据〞，应采取加密措施并妥善存放； 接入互联网的终端不得存放 “关键数据〞第五十七条第五十七条 载有“敏感数据〞及以上级别数据的文件资料等不再使用时应及时锁放在文件柜中，不要放在桌面或夹在日常的文件中第五十八条第五十八条 在公用的打印机、复印机设备上处理“敏感数据〞及以上级别数据时，要及时将打印或复印的文档取走如设备出现故障，未能打印或复印，应清空设备的处理列表，以免“敏感数据〞及以上级别数据留在设备缓存区中，被他人获得第五十九条第五十九条 使用机接收“敏感数据〞及以上级别数据时，要提前守候，发送此类数据时，要与对方提前约定，并在发送后及时确认第六十条第六十条 不得使用公用计算机设备处理 “敏感数据〞及以上级别数据， 废弃纸质文件如含有 “敏感数据〞及以上级别数据内容，要及时销毁，不可留做二次用纸第六十一条第六十一条 使用移动介质传输和存储保密性数据时，应对数据或介质进行加密，使用结束后应及时去除介质上的保密性数据。

第六十二条第六十二条 泄露客户与员工等个人隐私属于违法行为，严禁违反我行流程复制、外传和使用我行客户与员工的个人信息数据第六十三条第六十三条 不得未经批准翻印、复制、摘录和外传我行购置具有第三方版权的外部信息，信息中含有版权或者保密要求的，应严格遵照执行第十章第十章防病毒要求防病毒要求第六十四条第六十四条 除非受到技术限制，任何设备接入我行网络前，均需先安装我行规定的平安接入控制软件和防病毒软件，并进行病毒扫描，在确认该电脑平安无毒后，方可接入第六十五条第六十五条 使用个人计算机时，要运行防病毒软件，及时更新病毒库、升级系统补丁，并定期执行病毒检测和去除未经许可，不得下载和安装规定以外的防病毒软件或病毒监控程序第六十六条第六十六条 在使用新购、借入或维修返回的计算机前，应对硬盘进行病毒检查，确保无病毒之后才能投入正式使用第六十七条第六十七条 使用Ｕ盘、光盘等移动介质前，要进行病毒检测，不要使用任何未经防病毒软件检测过的移动介质第六十八条第六十八条 向外发布文件或软件时，要使用规定的防病毒软件进行检查，确保无病毒或病毒已去除，才能向外发布第六十九条第六十九条 提高对电子邮件病毒的防范意识，不要阅读和传播来历不明的电子邮件及其附件。

第七十条第七十条 收到我行内部员工发来的含有病毒的邮件，应及时报告信息平安管理人员第七十一条第七十一条 如发现计算机感染了病毒，或者数据被删除破坏等异常情况，要立即断开网络连接，并及时向信息平安管理人员汇报病毒情况第七十二条第七十二条 如发现感染的病毒不能被我行规定的防病毒软件有效去除，应立即断网，并报告信息平安管理人员；在得到妥善处理前不要使用被感染的文件，并保持断网状态第七十三条第七十三条 不得以任何名义制造、传播、复制、收集计算机病毒第十一章第十一章罚那么罚那么第七十四条第七十四条 对于违反以上要求及我行信息平安方针政策的行为，将按照我行的有关规定进行处分第七十五条第七十五条 对于违反本标准的人员，将依照情节轻重对其采取以下惩罚措施：(一) 警告提示；(二) 暂停账号或计算机终端入网，并进行通报批评第七十六条第七十六条 对于情节严重，对公司造成重大损失，甚至构成犯罪的，交由司法机构追究其法律责任第十二章第十二章附那么附那么第七十七条第七十七条 本方法由总行科技开发部负责解释、修订第七十八条第七十八条 本方法自发布之日起执行。