工作人员信息安全守则.doc

精选优质文档-倾情为你奉上工作人员信息安全守则 第一章 总则第一条 目的：为提高XX银行（以下简称“我行”）工作人员(包括我行员工、在我行工作的外部人员)的信息安全意识，规范工作人员的行为，指导我行工作人员合理、安全地使用信息资产，防止有意或无意的破坏信息安全行为的发生，保护全体我行工作人员的利益，特制定本守则。第二条 依据：本安全守则根据XX银行人员安全管理办法制订。第三条 范围：本安全守则适用于我行全体员工和在我行工作的外部人员。第二章 基本要求第四条 工作人员应当严格遵守与信息安全有关的国家法律法规、上级监管部门的规范与标准，以及我行制订的信息安全管理方针、策略、程序等有关规定。第五条 工作人员应自觉遵守职业道德，有高度的责任心并自觉维护我行的利益，任何人不得以任何理由，利用我行信息资源从事危害国家利益、我行利益及他人利益的活动，不得从事危害信息系统安全的活动。此种危害活动包括但不限于：(一) 泄漏国家机密、我行秘密；(二) 对国家信息设施、我行信息系统进行攻击；(三) 制作、复制、查阅、传播反动、黄色、病毒等与工作无关的有害信息。第六条 我行的信息资产包括但不限于：计算机硬件、软件、信息、服务、人员和无形资产等。第三章 信息监控和信息所有权第七条 我行尊重工作人员的个人隐私权，但我行拥有的信息资产是为我行业务而使用的，在这种情况下，工作人员的隐私权将会受到一定的限制。第八条 工作人员利用我行的信息资产所产生、处理和存储的一切信息的所有权归我行所有，我行出于对信息系统维护、安全管理和司法取证调查等需要，保留在任何时候、对任何计算机及存储设备上的信息进行监控、复制、披露或删除的权利。第九条 对信息的调查取证并不需要事先通知相关人员，但要得到科技信息部的批准，由我行的相关授权人员履行相应书面程序后进行。第四章 物理安全要求第十条 我行工作人员必须严格遵守如下物理安全要求：（一） 我行办公场所分为五级安全区域，每一级安全区域都有相应的控制要求和授权条件，详见物理安全区域管理办法。（二） 必须在显眼处佩带身份识别卡，外部人员必须登记并佩带相应的身份识别卡或访客证后，才能进入我行。（三） 贵宾外部人员的身份识别卡授带为红色，临时和短期外部人员的身份识别卡授带为黄色，长期外部人员的身份识别卡授带为绿色，我行人员的身份识别卡授带为深蓝色。（四） 进出非授权区域需经过审批，三级以上安全区域需我行授权员工全程全责陪同。（五） 未带身份识别卡的我行员工，在进入我行物理场地时，需登记并领取临时身份识别卡。 （六） 获得身份识别卡的内部员工或外部人员，不得将身份识别卡借与他人使用。（七） 所有进入我行的外部人员，包括其携带的行李物品，必须通过我行的安全检查。（八） 有义务监督未佩带身份识别卡的访问人员的活动，若发现任何访问人员进行非授权访问，有责任立即制止其活动，及时报告安全保卫部门。（九） 每天最后一个离开办公区域的工作人员负责检查并确保其所在办公区域的门窗关好。（十） 接到恐怖威胁，应及时向主管领导和安全保卫部门报告。第五章 环境安全要求第十一条 我行工作人员必须严格遵守如下环境安全要求：（一） 不得将易燃物品堆放在电源插座上；不违规使用大功率电器设备；不私接（拉）电线；下班前负责检查并确保关闭所有应关闭的本人用电设备的电源；最后一个离开办公区域的工作人员负责检查并确保关闭其所在办公区域内所有应关闭的电源。（二） 不得在UPS电源上使用电热水器、电咖啡炉、电热毯等电器；不带电搬动电器设备，不拖拉电源线；手机电池充完电后，应及时将充电器拔出电源插座。（三） 严禁在办公区域内（包括办公室、卫生间、电梯等）吸烟。楼内只允许在每层的步梯间吸烟。（四） 在我行内进行工程施工时，必须严格遵守相关工程施工的法律法规和我行的规定。（五） 禁止在我行办公区域内使用明火施工，除非该项施工已取得相关授权，并在做好相应防护措施的情况下，遵守操作规程施工。（六） 不得将办公设备、杂物等物品堆放在消防通道上，保持消防通道畅通。（七） 一旦发现火灾，所有工作人员应立即将火灾情况报告消防监控中心，并报告相关负责人或值班人员。工作人员可根据起火点的部位，迅速从办公室奔消防门口，从消防通道撤离，切勿盲目乱跑，严禁使用电梯。（八） 在办公区域内使用二氧化碳灭火器时一定要注意安全，使用后应立即开窗通风，以防止出现由于空气中二氧化碳含量超过一定浓度，所引起血压升高、呼吸困难、甚至窒息死亡等严重后果。（九） 我行办公楼机房安装了二氧化碳气体自动灭火装置，如果机房气体消防系统被触发，所有在机房内工作的人员应立即放下手上工作（无论该工作有多么重要和紧急），在30秒内必须撤出机房。在机房残留的二氧化碳气体没有被清理完毕前，不得进入机房现场。（十） 严禁使用水扑救电气火灾，以防触电。第六章 账户及口令安全要求第十二条 我行工作人员必须严格遵守如下计算机口令要求：（一） 在使用自己所属的计算机时，应该设置计算机开机口令、操作系统登录口令、操作系统屏幕保护口令（操作系统屏幕保护程序要设置为在10分钟内自动启动）、操作系统目录共享口令。 （二） 计算机口令应当同时包含大、小写字母、数字和特殊字符的组合，口令长度不能小于8个字符。在没有实施可靠的物理控制措施的情况下，不得将口令写在纸上，或记录于电子文件中；（三） 操作系统或应用系统应当启动口令设置规则，防止用户使用弱口令。（四） 口令中不得使用以下组合：用户名、姓名的拼音、英文名、身份证号码、电话号码、生日等容易被别人猜测试的信息，以及其它系统已使用的口令等；（五） 口令至少每3月更改一次，6个月内不得重复使用相同的口令；第十三条 我行工作人员必须严格遵守如下计算机系统使用权限要求：（一） 未经许可不应设置具有公共存取权限（如“guest”用户）的文件共享。确需通过共享文件夹进行文件交换时，应严格控制存取权限，并只给需要的人员分配权限。（二） 通过VPN远程接入我行内部网的员工，应妥善保存用于接入身份认证的动态密码令牌卡或静态密码，不得转借动态密码令牌卡给他人使用，不得向他人泄漏静态密码。（三） 动态密码令牌卡若有遗失，或怀疑静态密码被窃取，员工应立即通知科技信息部，以便管理员及时采取必要的措施，防止信息泄漏。（四） 不得在公共电脑（如网吧、多人共用的电脑等）上安装并使用VPN客户端接入我行内部网络；（五） 不得私下互相转让、借用我行IT资源的账号，如Email账户；（六） 在工作岗位调动或离职时，工作人员应主动移交全部账号和口令。第七章 计算机设备使用要求第十四条 我行工作人员必须严格遵守如下计算机设备使用要求：（一） 任何计算机设备，未经审批不得接入我行网络；经批准接入的，须使用指定的端口和网段；安装我行规定的安全接入控制软件和防病毒软件，并进行病毒扫描，在确认该电脑安全无毒后，方可接入。（二） 严禁任何人员（包括我行员工和外部人员）未经批准，携带移动办公设施进入机房。由于工作需要，需要携带进入机房的移动办公设施，必须经机房管理部门负责人审批后才能获准进入。 （三） 接入我行网络的计算机设备，不得同时使用无线网卡、调制解调器等接入公共互联网或其它非我行网络。（四） 严格控制移动介质（软盘、USB盘）的使用。机密信息不得复制到移动介质上；移动介质上的数据、文件使用后应马上删除；来自移动介质的文件使用前必须进行计算机病毒检测和扫描，确认安全无毒后方可使用。（五） 离开座位时，要锁定或关闭计算机。（六） 每天下班后，如果没有特殊工作需要，应关闭所使有的计算机设备的电源。第八章 公用计算机设备使用要求第十五条 我行工作人员必须严格遵守如下公用计算机设备管理要求：（一） 公用计算机设备的管理责任人是所属部门的资产管理员或指定的专人进行管理。管理责任人须对公用计算机设备的物理安全负责，防止其被盗，防止被滥用而导致不必要的损坏，并采取必要的、正确的安全措施，防止被电脑病毒或黑客程序入侵。（二） 除所属部门允许使用公用计算机设备的人员外，其他人员（特别是外单位人员）一律不得使用该公用计算机设备。（三） 公用计算机无人看管时，不应保留在已登入状态，应立即锁定或关闭计算机。（四） 公用计算机设备不允许处理敏感信息。（五） 对于公用的打印机、复印机设备，在使用完后，要及时将打印或复印的文档取走。第九章 计算机软件使用要求第十六条 我行工作人员必须严格遵守如下软件使用要求：（一） 应安装、运行我行规定的操作系统软件，并及时打操作系统补丁。（二） 应安装、运行我行规定的防病毒软件，未经授权不得私自和卸载，并及时升级防病毒软件的病毒库，及时完成我行公布的防病毒措施，不得私自安装运行未经我行许可的防病毒软件。（三） 如果发现工作计算机被入侵或感染了病毒，应立即断开网络连接，并报告科技信息部；如果发现计算机内的数据正在被删除或破坏，应立即关闭计算机电源。（四） 如果发现被感染文件的病毒不能被我行规定的防病毒软件进行有效清除，应立即报告科技信息部；在问题处理前禁止使用感染病毒的文件。（五） 应安装、运行我行规定的安全接入控制软件，未经授权不得私自安装和卸载。（六） 应安装我行规定且拥有版权的操作系统和工具软件，不得私自安装与工作无关的应用软件，特别是盗版软件。（七） 在收到来自我行内部工作人员发来的含有病毒的邮件，除自己进行杀毒外，还应及时通知对方杀毒。（八） 不得制造、传播计算机病毒。（九） 不得在办公计算机上玩游戏。（十） 不得私自编制与其工作职责不相符的软件。（十一） 不得安装、使用黑客工具软件，不得安装影响或破坏我行系统或网络运行的软件。（十二） 对工作计算机上的敏感类数据文件，应采取加密措施，妥善存放；（十三） 工作人员完成应用系统的操作或离开工作岗位时，应及时退出应用系统，并将计算机屏幕锁定。第十七条 我行工作人员必须严格遵守如下安全设置要求：（一） 工作计算机必须按照我行相关规定和要求进行安全设置，我行相关规定和要求包括但不限于：1. 安装最新的Windows Service Pack以及安全补丁。2. 关闭邮件软件的预览功能。3. 将IE的“Internet安全级别”调整到级别“中”，以限制不安全的cookies。4. 定期清除IE访问临时文件。5. 定期检查、删除非必需的Windows帐户。6. 其它必要的安全设置。（二） 安装Windows操作系统的工作计算机，都应设置Windows自动更新，以自动下载并安装微软最新补丁包，确保Windows系统安全。（三） 不得私自设立WWW、FTP、TELNET、BBS、NEWS等服务，除非该服务是工作需要。（四） 不得私自设立拨号接入服务。第十章 计算机网络使用要求第十八条 我行工作人员必须严格遵守如下网络使用要求：（一） 办公电脑接入我行网络须遵循以下命名规则，规则如下：<接入网络端口号><_><用户办公网帐号>。例如接入网络端口号为“5105”且用户办公网帐号为“OAUSER”的计算机名称应为“5105_OAUSER”。（二） 未经批准，不得更改自己所辖办公电脑的IP地址或获取方式。（三） 不得启用任何未经批准的网络协议。（四） 未经批准，不能在我行私自拨号上网。对经批准可以拨号上网的，确认使用的计算机与我行网络断开后才可与外部网络连接。（五） 因工作需要，在计算机上安装两块或多块网卡并连接到不同网络设备时，应提出申请并获得审批，由我行网络管理员负责安装和调试，同时应注意在计算机上不得启动路由网关功能。（六） 未经批准，不能私自更改到网络设备的连接。需要变动时应提出申请并审批，由网络管理员负责更改。（七） 不得滥用网络资源进行与工作无关的活动。第十九条 我行工作人员必须严格遵守如下无线网络使用要求：（一） 我行内部网严格限制无线网的接入，除非该接入是工作需要并已取得相关授权。（二） 对使用无线设备接入我行网络的个人计算机、笔记本或PDA等，须采用网络号码、WEP加密传输、WAPI等安全保障技术。第十一章 电子邮件使用要求第二十条 我行工作人员必须严格遵守如下电子邮件使用要求：（一） 电子邮件的邮箱设置应符合我行的配置要求，回复地址应设为本人电子邮箱地址。（二） 如收到可疑的电子邮件，不要打开，并及时通知科技信息部处理，以免受到感染。（三） 外部电子邮件的附件在使用前，必须进行病毒检查。（四） 使用电子邮件发送敏感类信息，需要根据信息的敏感程度，采用有效、合理的加密措施和传输途径。（五） 编写由我行电子邮箱发送的电子邮件时，应在电子邮件正文最后附加我行统一的标识和免责声明。第十二章 互联网使用要求第二十一条 我行工作人员必须严格遵守如下互联网使用要求：（一） 不得使用我行网络访问与工作无关的网站和互联网服务。（二） 不得使用我行网络下载游戏程序、屏幕保护程序、图片文件、小说文件和音像文件等与工作无关的文件。（三） 不得使用我行网络进行与工作无关的网上即时通信，包括QQ、MSN、ICQ等。（四） 通过互联网远程接入时，应使用VPN技术以建立可靠的连接通道。第十三章 数据备份要求第二十二条 我行工作人员必须严格遵守如下数据备份要求：（一） 工作计算机中的重要数据文件，要严格按照我行数据备份管理办法，作好定期备份工作。工作计算机中的其它数据文件，也要作好定期备份。（二） 备份方式可以定期拷贝到部门指定的公共服务器上，或刻录到磁带和光盘上。（三） 对于委托给科技信息部备份的数据，要事前做好规划，确认备份内容，并支持与配合科技信息部对备份数据的测试验证工作。第十四章 外部人员计算机设备接入要求第二十三条 外部人员必须严格遵守如下计算机设备接入要求：（一） 外部人员的计算机设备如果需要接入我行网络，必须向科技信息部提出申请，经批准接入的，只可以使用指定端口接入专门网段。（二） 外部人员的计算机设备接入前，须安装我行规定的安全接入控制软件和防病毒软件，进行病毒扫描，并安装我行要求的系统安全补丁。第十五章 信息保密要求第二十四条 我行工作人员必须严格遵守如下敏感信息使用要求：（一） 我行的信息敏感程度分为四级：公开使用、内部使用、内部秘密、内部机密，除了公开使用类信息外，其他三类都为敏感类信息，工作人员要严格遵守敏感类信息的有关管理规定。（二） 对于敏感类的电子信息，要建立严格的逻辑访问控制措施，例如数字证书、 动态口令、一次性口令卡等强认证措施来保证电子数据的安全使用；同时也须建立留痕机制，以确定敏感信息使用情况的可审计性。限制敏感类电子信息在网上，特别是在外网上进行传输。（三） 对敏感类的文件、资料、音像制品等，要存放在文件柜内，并加锁保护；不得随意搁置在桌面或夹带在日常的文件中，不得私自翻印、复制、摘录与外传。符合保密办要求的机密类文件，按保密办的有关要求处理。（四） 一旦发现他人对敏感类信息的非授权使用或内部工作人员滥用等情况，必须立即作为安全事件向本部门信息安全管理员报告。第十六章 罚则第二十五条 对于违反以上规则及我行信息安全政策的行为，将按照我行人力资源管理部门制定的有关规定进行处罚。对于情节严重，对我行造成重大损失，甚至构成犯罪的，交由公安机关追究其法律责任。 第十七章 附则第二十六条 本管理办法由科技信息部负责解释和修订。第二十七条 本办法自发布之日起施行。专心-专注-专业