银行员工信息安全行为规范精编

银行员工信息安全行为规

范精编

High quality manuscripts are welcome to download

XX银行科技开发部员工信息安全行为规范

第一章总则

第一条为提高总行科技开发部员工(包括行内员工、在我行工作的外部员工)的信息安全意识，规范员工的行为，指导员工合理、安全地使用信息资产，防止有意或无意的破坏信息安全行为的发生，保护我行信息资产安全，制定本规范。

第二条员工应主动了解本我行信息安全管理相关规定，积极参与我行组织的信息安全培训，提升信息安全意识和技能，并严格遵守我行信息安全要求。

第二章资产管理声明

第三条禁止利用我行资产（包括我行配发的计算机、手机等个人终端设备）处理个人事务，以避免我行在信息安全管理中触及个人隐私。

第四条员工利用我行的资产所产生、处理和存储的一切信息，其所有权归我行拥有。

第五条我行出于对运营管理、安全管理和司法调查取证等需要，保留在任何时候对我行任意资产进行监控、复制、披露、使用和删除的权利。

第三章工作环境安全要求

第六条进入我行工作区域时，应规范佩戴我行认可的身份识别证件

或按照我行相关管理规定登记并获得许可后方可进入。

第七条应遵守安全区域访问规定，进出非授权区域时，需按照我行相关规定经相关责任人批准。

第八条员工应安全保管身份识别证件，丢失后及时向发证部门报告，禁止将身份识别证件借与他人使用；调离我行时，应主动交还我行配发的身份识别证件。

第九条我行内调动或更换工作区域时应主动申请门禁权限变更。

第十条若发现任何可疑人员进入我行或进行非授权活动，要立即制止，并报告相关部门。

第十一条启用门禁的区域进出时要防止人员尾随，进出后应及时关闭。

第四章用户账号安全

第十二条任何账号仅限申请账号时批准的所有者在授权范围内使用，严禁使用账号访问未授权的资源，账号所有者承担使用该账号所产生的一切责任和后果。

第十三条账号正式启用前，必须为账号添加密码或修改缺省密码，密码应具有足够的安全强度；对于重要核心系统的密码，应加强密码复杂度和密码长度。

第十四条具有足够强度密码设置要求如下：

(一)口令最小长度：8位

(二)口令字符组成复杂度：口令由数字、大小写字母及特殊字

符，且至少包含其中两种字符（动态口令除外）；

(三)口令历史：修改后的口令至少与前4次口令不同；

(四)口令最大连续尝试次数：10次；口令错误次数超过最大连

续尝试次数后，应具有限制用户登录的机制。

(五)口令最长有效期限： 180 天，可根据系统重要性和用户

权限采取不同的有效期；口令使用期限即将达到口令最长有

效期限时，应具有提示用户修改口令的机制。

(六)主机系统、网络设备、安全设备等超级用户口令最长有效

期应为90天，其它用户口令最长有效期应符合本章口令基

本要求。

第十五条应安全保管或者随身携带实物密钥，如USBkey等，禁止随意放置在桌面上。如发现实物密钥遗失或怀疑密码被窃取，应立即通知信息技术部门进行处理。

第十六条应安全保管密码，如没有可靠的物理控制措施，不要将密码写在纸上，或记录于电子文件中；禁止将密码在终端软件（如IE浏览器）上自动保存；禁止公开本人或他人的密码信息，不得猜测窃取他人账号密码。

第十七条工作职责发生变动时，应主动申请帐号或者实物密钥权限

的变更；当不再需要某系统的访问权限时，应主动申请注销账号或者权限；对不能关闭的账号或者实物密钥，应及时移交给本部门指定责任人；在离职时，应主动移交全部账号和实物密钥。

第五章信息设备使用

第十八条终端计算机在配发时按照我行规范统一进行命名，使用人不得擅自修改计算机名。

第十九条所有终端计算机应安装我行要求的桌面管理软件、防病毒软件等，员工不得自行删除或修改。

第二十条终端计算机应设定统一的屏幕保护程序，屏幕保护程序等待时间设在10分钟以内。

第二十一条自己使用的设备和系统应设置密码保护，如开机密码、登录密码、屏幕保护密码。

第二十二条离开座位时，应锁定或关闭计算机；应安全保管终端信息设备，周末或者节假日期间禁止将便携信息设备放在桌面上。

第二十三条原则上不要将我行配发的设备用于工作以外用途或接入办公以外的环境，如因工作需要需与外部环境对接，再次接入办公环境时应先进行病毒的查杀。

第二十四条未经授权不得使用移动介质，使用移动介质前，应进行

病毒检测，确认安全后方可使用。

第二十五条使用公同终端后，应及时退出登录并关机或锁屏。

第二十六条未经授权不得将终端设备、移动介质、实体信息和软件等带离办公区。

第二十七条未经授权任何人不得私自调换信息设备，禁止私自拆卸、维修或者更换计算机硬件。

第二十八条设备及存储介质提交维修、回收、报废前，应对设备上的重要数据进行备份和安全销毁。

第二十九条应保管好个人使用的信息设备，一旦丢失，应立即向本部门报告，特别对于绑定用户账号的个人终端设备，还应立即报告信息技术部门，以及时锁定相应账号，以防止被冒用。

第六章软件使用

第三十条终端设备初装或重装操作系统，必须使用我行提供的操作系统，不得随意使用其它操作系统安装包进行安装。

第三十一条应使用我行许可的软件，禁止安装与工作无关的软件和盗版软件，不要随意安装从互联网下载的软件，禁止私自更改、禁用、卸载我行要求使用的软件。

第三十二条严禁使用黑客工具等影响或破坏我行信息安全的软件。第三十三条严禁擅自复制、传播和销售我行的计算机软件产品。

第三十四条不得使用扫描软件、压力测试软件或自编软件对我行内网及系统进行扫描、攻击测试和干扰。

第七章计算机网络使用

第三十五条禁止将未经许可的计算机设备接入我行网络。

第三十六条未经许可，不得擅自变更接入设备的网络设置。

第三十七条不得启用任何未经批准的网络协议。

第三十八条除我行提供的互联网出口外，未经批准，在我行办公室环境不得采用任何方式（如无线网卡、调制解调器等）接入互联网或其它外部网络。经批准可以使用的，应先断开与我行网络的连接，方可连接外部网络。

第三十九条要合法、文明访问互联网，禁止在互联网上进行以下活动：

(一)反对宪法所确定的基本原则，含有法律、行政法规禁止的

其他内容的；

(二)危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家

统一的，损害国家荣誉和利益；

(三)煽动民族仇恨、民族歧视，破坏民族团结的，破坏国家宗

教政策，宣扬邪教和封建迷信；

(四)散布谣言，扰乱社会秩序，破坏社会稳定；