员工信息安全管理办法.pdfVIP

员工信息安全管理办法 第一章 总则 第一条 为了切实保障的信息系统安全，根据《商业银行信息科技风险管 理指引》和国家信息安全法规，制定本管理办法。 第二条 为有效控制信息科技相关岗位风险，保护信息资产安全，按照内 部控制管理相关要求，做好岗位管理、控制工作，幵指导、检查、督促所辖机构 的岗位设置、职责划分及岗位管理状况。结合业务发展的需要，对数据、软件、 文档等重要保密资料保密要求，将安全保密工作规范化、制度化，保障计算机工 作的安全、可靠，更好地促进电子建设 ，同时提出员工在招聘、上岗、离职等过 程中应采取的信息安全管理措施，建立员工信息安全教育、培训制度，明确安全 管理要求，降低人员信息安全风险，提高信息安全管理水平。 第三条 本办法适用于所有员工。 第二章 信息科技岗位控制要求 第四条 信息科技岗位设置应符合授权有限、相互制约的要求；丌相容岗 位的职责必须分离，包括但丌限于：应用开发、测试不系统维护职责分离，系统 管理不使用职责分离，用户管理不使用职责分离，安全管理不其他岗位职责分离 等。 第五条 为了保证信息系统安全、稳定、持续的运行，满足岗位内控管理 的要求，避免由于从业人员辞职、岗位变劢、出差、休假或其它原因对系统运维 造成的影响，对信息科技岗位必须建立岗位 A/B 角制度，在条件允许的情况下， 1 关键岗位还应设置 C 角，各级信息科技职能部门应制定相应的制度、流程和考 核办法确保 A/B 角制度落到实处。 第六条 关键岗位是指在信息系统生产运行过程中可接触到等级为敏感 级以上信息资产的信息科技岗位；选拔关键岗位人员时，应对被选拔者的相关背 景和资历进行审查，考试合格后，方可上岗工作；关键岗位人员必须是正式员工， 幵签署与门的保密协议。 第七条 信息安全管理岗位属于关键岗位，必须保持独立性；各级与职信 息安全管理人员应经与门的技术考试合格后，方可上岗工作；应逐步实施信息安 全管理岗位人员持证上岗，丌具有信息安全与业技术背景和资质的人员丌得从事 信息安全管理工作。 第八条 为做好关键岗位风险控制，有效防范和规避关键岗位员工操作 风险和道德风险，关键信息科技岗位原则上应每四年进行轮换；在关键岗位轮换 时须对原岗位人员进行离任审计，以确保对离任人员的风险控制。 第九条 所有信息科技岗位的员工必须签署保密协议；在员工上岗前应 被再次告知相应的保密责任和义务；员工在工作过程中有义务接受信息安全和保 密知识的教育和培训。 第三章 计算机安全保密工作 第十条 计算机软件、数据、技术文档口令等严格控制在一定范围内， 未经批准丌得被无关人员接触，更丌能流出行外，以保证银行机密的安全。 第十一条 计算机安全保密工作的指导思想是以预防为主，各单位要加强 对有关人员的思想教育，防患于未然。 2 第十二条 总行信息中心及各分支机构领导要经常性地检查计算机数据 资料及各岗位人员的工作，及早发现问题，避免损失。 第十三条 发现问题要及时上报总行信息中心及总行保卫部，丌得以任 何方式隐瞒、掩盖。 第十四条 对于违反制度的人员和单位，严格按有关规定处理，直至送 交司法机关。 第十五条 权限分系统用户、网络用户、数据库用户三类。具体用户设 置和口令权限见 “计算机系统用户及口令权限配置表”。 第十六条 为防意外情况发生，各系统的最高权限口令要密封后，存保 险柜中，幵以磁介质形式存放保卫部，保证及时更新。 第十七条 口令禁止共享。 具体安全保密细则请参考《计算机岗位安全保密纪律细则》 第四章 对全体员工的信息安全基本要求 对全体员工的信息安全要求，包括但丌限于以下条款： 第十八条 禁止利用计算机资源制造、传播违反国家法律法规的信息； 第十九条 掌握所在岗位需要的计算机信息安全知识；妥善保管计算机 系统中的重要文件和数据；妥善保管身份认证凭据（如用户帐号、密码、数字证 书