XX银行员工信息安全行为规范

XX银行科技开发部员工信息安全行为规范V1.0

总则

为提高总行科技开发部员工(包括行内员工、在我行工作的外部员工)的信息安全意识，规范员工的行为，指导员工合理、安全地使用信息资产，防止有意或无意的破坏信息安全行为的发生，保护我行信息资产安全，制定本规范。

员工应主动了解本我行信息安全管理相关规定，积极参与我行组织的信息安全培训，提升信息安全意识和技能，并严格遵守我行信息安全要求。

资产管理声明

禁止利用我行资产（包括我行配发的计算机、手机等个人终端设备）处理个人事务，以避免我行在信息安全管理中触及个人隐私。

员工利用我行的资产所产生、处理和存储的一切信息，其所有权归我行拥有。

我行出于对运营管理、安全管理和司法调查取证等需要，保留在任何时候对我行任意资产进行监控、复制、披露、使用和删除的权利。

工作环境安全要求

进入我行工作区域时，应规范佩戴我行认可的身份识别证件或按照我行相关管理规定登记并获得许可后方可进入。

应遵守安全区域访问规定，进出非授权区域时，需按照我行相关规定经相关责任人批准。

员工应安全保管身份识别证件，丢失后及时向发证部门报告，禁止将身份识别证件借与他人使用；调离我行时，应主动交还我行配发的身份识别证件。

我行内调动或更换工作区域时应主动申请门禁权限变更。

若发现任何可疑人员进入我行或进行非授权活动，要立即制止，并报告相关部门。

启用门禁的区域进出时要防止人员尾随，进出后应及时关闭。

用户账号安全

任何账号仅限申请账号时批准的所有者在授权范围内使用，严禁使用账号访问未授权的资源，账号所有者承担使用该账号所产生的一切责任和后果。

账号正式启用前，必须为账号添加密码或修改缺省密码，密码应具有足够的安全强度；对于重要核心系统的密码，应加强密码复杂度和密码长度。

具有足够强度密码设置要求如下：

(一) 口令最小长度：8位

(二) 口令字符组成复杂度：口令由数字、大小写字母及特殊字符，且至少包含其中两种字符（动态口令除外）；

(三) 口令历史：修改后的口令至少与前4次口令不同；

(四) 口令最大连续尝试次数：10次；口令错误次数超过最大连续尝试次数后，应具有限制用户登录的机制。

(五) 口令最长有效期限： 180 天，可根据系统重要性和用户权限采取不同的有效期；口令使用期限即将达到口令最长有效期限时，应具有提示用户修改口令的机制。

(六) 主机系统、网络设备、安全设备等超级用户口令最长有效期应为90天，其它用户口令最长有效期应符合本章口令基本要求。

应安全保管或者随身携带实物密钥，如USBkey等，禁止随意放置在桌面上。如发现实物密钥遗失或怀疑密码被窃取，应立即通知信息技术部门进行处理。

应安全保管密码，如没有可靠的物理控制措施，不要将密码写在纸上，或记录于电子文件中；禁止将密码在终端软件（如IE浏览器）上自动保存；禁止公开本人或他人的密码信息，不得猜测窃取他人账号密码。

工作职责发生变动时，应主动申请帐号或者实物密钥权限的变更；当不再需要某系统的访问权限时，应主动申请注销账号或者权限；对不能关闭的账号或者实物密钥，应及时移交给本部门指定责任人；在离职时，应主动移交全部账号和实物密钥。

信息设备使用

终端计算机在配发时按照我行规范统一进行命名，使用人不得擅自修改计算机名。

所有终端计算机应安装我行要求的桌面管理软件、防病毒软件等，员工不得自行删除或修改。

终端计算机应设定统一的屏幕保护程序，屏幕保护程序等待时间设在10分钟以内。

自己使用的设备和系统应设置密码保护，如开机密码、登录密码、屏幕保护密码。

离开座位时，应锁定或关闭计算机；应安全保管终端信息设备，周末或者节假日期间禁止将便携信息设备放在桌面上。

原则上不要将我行配发的设备用于工作以外用途或接入办公以外的环境，如因工作需要需与外部环境对接，再次接入办公环境时应先进行病毒的查杀。

未经授权不得使用移动介质，使用移动介质前，应进行病毒检测，确认安全后方可使用。

使用公同终端后，应及时退出登录并关机或锁屏。

未经授权不得将终端设备、移动介质、实体信息和软件等带离办公区。

未经授权任何人不得私自调换信息设备，禁止私自拆卸、维修或者更换计算机硬件。

设备及存储介质提交维修、回收、报废前，应对设备上的重要数据进行备份和安全销毁。

应保管好个人使用的信息设备，一旦丢失，应立即向本部门报告，特别对于绑定用户账号的个人终端设备，还应立即报告信息技术部门，以及时锁定相应账号，以防止被冒用。

软件使用

终端设备初装或重装操作系统，必须使用我行提供的操作系统，不得随意使用其它操作系统安装包进行安装。

应使用我行许可的软件，禁止安装与工作无关的软件和盗版软件，不要随意安装从互联网下载的软件，禁止私自更改、禁用、卸载我行要求使用的软件。

严禁使用黑客工具等影响或破坏我行信息安全的软件。

严禁擅自复制、传播和销售我行的计算机软件产品。

不得使用扫描软件、压力测试软件或自编软件对我行内网及系统进行扫描、攻击测试和干扰。

计算机网络使用

禁止将未经许可的计算机设备接入我行网络。

未经许可，不得擅自变更接入设备的网络设置。

不得启用任何未经批准的网络协议。

除我行提供的互联网出口外，未经批准，在我行办公室环境不得采用任何方式（如无线网卡、调制解调器等）接入互联网或其它外部网络。经批准可以使用的，应先断开与我行网络的连接，方可连接外部网络。

要合法、文明访问互联网，禁止在互联网上进行以下活动：

(七) 反对宪法所确定的基本原则，含有法律、行政法规禁止的其他内容的；

(八) 危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的，损害国家荣誉和利益；

(九) 煽动民族仇恨、民族歧视，破坏民族团结的，破坏国家宗教政策，宣扬邪教和封建迷信；

(十) 散布谣言，扰乱社会秩序，破坏社会稳定；

(十一) 散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪；

(十二) 侮辱或者诽谤他人，侵害他人合法权益。

不得滥用我行网络资源进行与工作无关的活动，如访问与工作无关的网站和互联网服务、下载与工作无关的文件、玩网络游戏、使用QQ和MSN聊天等等。

禁止使用大量占用网络带宽的网络软件，如P2P下载、多线程下载、网络视频、网络电视、网络游戏等。

除非受技术限制，禁止有下列情况之一的计算机终端接入互联网：

(十三) 涉及我行机密或敏感信息的；

(十四) 未安装指定防病毒软件和桌面管理软件等安全管理软件、病毒库未及时更新的；

(十五) 经评估存在其它安全隐患，不适宜接入互联网的。

电子邮件使用

应以本人的真实身份使用电子邮箱，不得以他人名义或匿名滥发邮件；电子邮件的回复地址应设为本人电子邮箱地址。

严格保密自己电子邮件系统的密码，如交与他人使用，由此造成的一切后果由电子邮件账号所有人承担。

不要利用电子邮件服务发送与工作无关的邮件。

不得利用电子邮件服务散布电脑病毒、木马软件、间谍软件等恶意软件，干扰他人或破坏网络系统的正常运行。

不要打开来历不明邮件中的链接地址与附件，防止泄漏个人信息或者终端被安装木马、病毒等恶意程序。

严禁将我行的电子邮件用于非工作目的，特别是以娱乐、购物、交友等为目的的身份注册。

不得猜测他人电子邮件账号和密码，窃取、公开或篡改他人邮件信息。

数据安全管理与保密

使用数据时参照《XX银行资产安全管理办法》中的信息资产分级说明对数据进行分级（从高到低依次为“关键数据”、“敏感数据”、“内部数据”），对于“敏感数据”及“关键数据”应进行标识，以指导数据的规范使用。

应及时备份工作中的重要数据，以防数据丢失；

不得向未授权机构或人员提供我行保密性数据（包括“内部数据”、“敏感数据”和“关键数据”），或者未经批准将我行信息带离我行网络环境，包括拷贝至个人信息设备、发送至个人公网邮箱、上传至互联网等。

经授权向外部机构或人员提供保密性数据时，必须通过数据主管理部门批准的途径和方式进行传递。

在内部部门或者员工间进行“敏感数据”及以上级别数据传输时，应选择我行内部的邮件系统、个人网盘、即时消息系统或者我行提供的移动介质等传输方式，并进行加密。不得使用非我行提供的技术手段，如个人公网邮箱、MSN、QQ等传输数据。

处理“敏感数据”及以上级别数据时，要注意周围环境，防止被窥视；避免在公共场合谈论我行保密性信息，以防被窃听。

对于“关键数据”，应采取加密措施并妥善存放；接入互联网的终端不得存放“关键数据”。

载有“敏感数据”及以上级别数据的文件资料等不再使用时应及时锁放在文件柜中，不要放在桌面或夹在日常的文件中。

在公用的打印机、复印机设备上处理“敏感数据”及以上级别数据时，要及时将打印或复印的文档取走。如设备出现故障，未能打印或复印，应清空设备的处理列表，以免“敏感数据”及以上级别数据留在设备缓存区中，被他人获得。

使用传真机接收“敏感数据”及以上级别数据时，要提前守候，发送此类数据时，要与对方提前

约定，并在发送后及时确认。

不得使用公用计算机设备处理“敏感数据”及以上级别数据，废弃纸质文件如含有“敏感数据”及以上级别数据内容，要及时销毁，不可留做二次用纸。

使用移动介质传输和存储保密性数据时，应对数据或介质进行加密，使用结束后应及时清除介质上的保密性数据。

泄露客户与员工等个人隐私属于违法行为，严禁违反我行流程复制、外传和使用我行客户与员工的个人信息数据。

不得未经批准翻印、复制、摘录和外传我行购买具有第三方版权的外部信息，信息中含有版权或者保密要求的，应严格遵照执行。

防病毒要求

除非受到技术限制，任何设备接入我行网络前，均需先安装我行规定的安全接入控制软件和防病毒软件，并进行病毒扫描，在确认该电脑安全无毒后，方可接入。

使用个人计算机时，要运行防病毒软件，及时更新病毒库、升级系统补丁，并定期执行病毒检测和清除。未经许可，不得下载和安装规定以外的防病毒软件或病毒监控程序。

在使用新购、借入或维修返回的计算机前，应对硬盘进行病毒检查，确保无病毒之后才能投入正式使用。

使用Ｕ盘、光盘等移动介质前，要进行病毒检测，不要使用任何未经防病毒软件检测过的移动介

质。

向外发布文件或软件时，要使用规定的防病毒软件进行检查，确保无病毒或病毒已清除，才能向外发布。

提高对电子邮件病毒的防范意识，不要阅读和传播来历不明的电子邮件及其附件。

收到我行内部员工发来的含有病毒的邮件，应及时报告信息安全管理人员。

如发现计算机感染了病毒，或者数据被删除破坏等异常情况，要立即断开网络连接，并及时向信息安全管理人员汇报病毒情况。

如发现感染的病毒不能被我行规定的防病毒软件有效清除，应立即断网，并报告信息安全管理人员；在得到妥善处理前不要使用被感染的文件，并保持断网状态。

不得以任何名义制造、传播、复制、收集计算机病毒。

罚则

对于违反以上要求及我行信息安全方针政策的行为，将按照我行的有关规定进行处罚。

对于违反本规范的人员，将依照情节轻重对其采取以下惩罚措施：

(十六) 警告提示；

(十七) 暂停账号或计算机终端入网，并进行通报批评。

对于情节严重，对公司造成重大损失，甚至构成犯罪的，交由司法机构追究其法律责任。

附则

本办法由总行科技开发部负责解释、修订。

本办法自发布之日起执行。