XX银行员工信息安全行为规范选编.docx

XX银行科技开发部员工信息安全行为规范V1.0 总则 为提高总行科技开发部员工(包括行内员工、在我行工作的外部员工)的信息安全意识，规范员工的行为，指导员工合理、安全地使用信息资产，防止有意或无意的破坏信息安全行为的发生，保护我行信息资产安全，制定本规范。 员工应主动了解本我行信息安全管理相关规定，积极参与我行组织的信息安全培训，提升信息安全意识和技能，并严格遵守我行信息安全要求。 资产管理声明 禁止利用我行资产（包括我行配发的计算机、手机等个人终端设备）处理个人事务，以避免我行在信息安全管理中触及个人隐私。 员工利用我行的资产所产生、处理和存储的一切信息，其所有权归我行拥有。 我行出于对运营管理、安全管理和司法调查取证等需要，保留在任何时候对我行任意资产进行监控、复制、披露、使用和删除的权利。 工作环境安全要求 进入我行工作区域时，应规范佩戴我行认可的身份识别证件或按照我行相关管理规定登记并获得许可后方可进入。 应遵守安全区域访问规定，进出非授权区域时，需按照我行相关规定经相关责任人批准。 员工应安全保管身份识别证件，丢失后及时向发证部门报告，禁止将身份识别证件借与他人使用；调离我行时，应主动交还我行配发的身份识别证件。 我行内调动或更换工作区域时应主动申请门禁权限变更。 若发现任何可疑人员进入我行或进行非授权活动，要立即制止，并报告相关部门。 启用门禁的区域进出时要防止人员尾随，进出后应及时关闭。 用户账号安全 任何账号仅限申请账号时批准的所有者在授权范围内使用，严禁使用账号访问未授权的资源，账号所有者承担使用该账号所产生的一切责任和后果。 账号正式启用前，必须为账号添加密码或修改缺省密码，密码应具有足够的安全强度；对于重要核心系统的密码，应加强密码复杂度和密码长度。 具有足够强度密码设置要求如下： 口令最小长度：8位 口令字符组成复杂度：口令由数字、大小写字母及特殊字符，且至少包含其中两种字符（动态口令除外）； 口令历史：修改后的口令至少与前4次口令不同； 口令最大连续尝试次数：10次；口令错误次数超过最大连续尝试次数后，应具有限制用户登录的机制。 口令最长有效期限： 180 天，可根据系统重要性和用户权限采取不同的有效期；口令使用期限即将达到口令最长有效期限时，应具有提示用户修改口令的机制。 主机系统、网络设备、安全设备等超级用户口令最长有效期应为90天，其它用户口令最长有效期应符合本章口令基本要求。 应安全保管或者随身携带实物密钥，如USBkey等，禁止随意放置在桌面上。如发现实物密钥遗失或怀疑密码被窃取，应立即通知信息技术部门进行处理。 应安全保管密码，如没有可靠的物理控制措施，不要将密码写在纸上，或记录于电子文件中；禁止将密码在终端软件（如IE浏览器）上自动保存；禁止公开本人或他人的密码信息，不得猜测窃取他人账号密码。 工作职责发生变动时，应主动申请帐号或者实物密钥权限的变更；当不再需要某系统的访问权限时，应主动申请注销账号或者权限；对不能关闭的账号或者实物密钥，应及时移交给本部门指定责任人；在离职时，应主动移交全部账号和实物密钥。 信息设备使用 终端计算机在配发时按照我行规范统一进行命名，使用人不得擅自修改计算机名。 所有终端计算机应安装我行要求的桌面管理软件、防病毒软件等，员工不得自行删除或修改。 终端计算机应设定统一的屏幕保护程序，屏幕保护程序等待时间设在10分钟以内。 自己使用的设备和系统应设置密码保护，如开机密码、登录密码、屏幕保护密码。 离开座位时，应锁定或关闭计算机；应安全保管终端信息设备，周末或者节假日期间禁止将便携信息设备放在桌面上。 原则上不要将我行配发的设备用于工作以外用途或接入办公以外的环境，如因工作需要需与外部环境对接，再次接入办公环境时应先进行病毒的查杀。 未经授权不得使用移动介质，使用移动介质前，应进行病毒检测，确认安全后方可使用。 使用公同终端后，应及时退出登录并关机或锁屏。 未经授权不得将终端设备、移动介质、实体信息和软件等带离办公区。 未经授权任何人不得私自调换信息设备，禁止私自拆卸、维修或者更换计算机硬件。 设备及存储介质提交维修、回收、报废前，应对设备上的重要数据进行备份和安全销毁。 应保管好个人使用的信息设备，一旦丢失，应立即向本部门报告，特别对于绑定用户账号的个人终端设备，还应立即报告信息技术部门，以及时锁定相应账号，以防止被冒用。 软件使用 终端设备初装或重装操作系统，必须使用我行提供的操作系统，不得随意使用其它操作系统安装包进行安装。 应使用我行许可的软件，禁止安装与工作无关的软件和盗版软件，不要随意安装从互联网下载的软件，禁止私自更改、禁用、卸载我行要求使用的软件。 严禁使用黑客工具等影响或破坏我行信息安全的软件。 严禁擅自复制、传播和销售我行的计算机软件产品。