员工信息安全管理办法.docxVIP

员工信息安全管理办法 员工信息安全管理办法 员工信息安全管理办法 第一条 为了切实保障的信息系统安全，根据《商业银行信息科技风险管理指引》和国家信息安全法规，制定本管理办法。 第二条 为有效控制信息科技相关岗位风险，保护信息资产安全，按照内部控制管理相关要求，做好岗位管理、控制工作，并指导、检查、督促所辖机构的岗位设置、职责划分及岗位管理状况。结合业务发展的需要，对数据、软件、文档等重要保密资料保密要求，将安全保密工作规范化、制度化，保障计算机工作的安全、可靠，更好地促进电子建设，同时提出员工在招聘、上岗、离职等过程中应采取的信息安全管理措施，建立员工信息安全教育、培训制度，明确安全管理要求，降低人员信息安全风险，提高信息安全管理水平。 第三条 本办法适用于所有员工。 第二章 信息科技岗位控制要求 第四条 信息科技岗位设置应符合授权有限、相互制约的要求；不相容岗位的职责必须分离，包括但不限于：应用开发、测试与系统维护职责分离，系统管理与使用职责分离，用户管理与使用职责分离，安全管理与其他岗位职责分离等。 第五条 为了保证信息系统安全、稳定、持续的运行，满足岗位内控管理的要求，避免由于从业人员辞职、岗位变动、出差、休假或其它原因对系统运维造成的影响，对信息科技岗位必须建立岗位 A/B角制度，在条件允许的情况下， 关键岗位还应设置 C角，各级信息科技职能部门应制定相应的制度、流程和考核办法确保 A/B角制度落到实处。 第六条 关键岗位是指在信息系统生产运行过程中可接触到等级为敏感级以上信息资产的信息科技岗位；选拔关键岗位人员时，应对被选拔者的相关背景和资历进行审查，考试合格后，方可上岗工作；关键岗位人员必须是正式员工，并签署专门的保密协议。 第七条 信息安全管理岗位属于关键岗位，必须保持独立性；各级专职信息安全管理人员应经专门的技术考试合格后，方可上岗工作；应逐步实施信息安全管理岗位人员持证上岗，不具有信息安全专业技术背景和资质的人员不得从事信息安全管理工作。 第八条 为做好关键岗位风险控制，有效防范和规避关键岗位员工操作风险和道德风险，关键信息科技岗位原则上应每四年进行轮换；在关键岗位轮换时须对原岗位人员进行离任审计，以确保对离任人员的风险控制。 第九条 所有信息科技岗位的员工必须签署保密协议；在员工上岗前应被再次告知相应的保密责任和义务；员工在工作过程中有义务接受信息安全和保密知识的教育和培训。 第三章 计算机安全保密工作 第十条 计算机软件、数据、技术文档口令等严格控制在一定范围内，未经批准不得被无关人员接触，更不能流出行外，以保证银行机密的安全。 第十一条 计算机安全保密工作的指导思想是以预防为主，各单位要加强对有关人员的思想教育，防患于未然。 第十二条 总行信息中心及各分支机构领导要经常性地检查计算机数据资料及各岗位人员的工作，及早发现问题，避免损失。 第十三条 发现问题要及时上报总行信息中心及总行保卫部，不得以任何方式隐瞒、掩盖。 第十四条 对于违反制度的人员和单位，严格按有关规定处理，直至送交司法机关。 第十五条 权限分系统用户、网络用户、数据库用户三类。具体用户设置和口令权限见 “计算机系统用户及口令权限配置表”。 第十六条 为防意外情况发生，各系统的最高权限口令要密封后，存保险柜中，并以磁介质形式存放保卫部，保证及时更新。 第十七条 口令禁止共享。 具体安全保密细则请参考《计算机岗位安全保密纪律细则》 第四章 对全体员工的信息安全基本要求 对全体员工的信息安全要求，包括但不限于以下条款： 第十八条 禁止利用计算机资源制造、传播违反国家法律法规的信息； 第十九条 掌握所在岗位需要的计算机信息安全知识；妥善保管计算机系统中的重要文件和数据；妥善保管身份认证凭据（如用户帐号、密码、数字证书等）； 第二十条 严禁自行更改所使用计算机系统的软硬件配置；严禁在计算机设备上安装、使用盗版软件、与工作无关的软件或非授权数据介质（如软盘、光盘、优盘和移动硬盘等）； 计算机桌面设备是固定资产，所有员工有义务和责任爱护 并正确使用；桌面计算机必须安装防病毒软件，及时更新补丁，并定期检查更新情况； 未经审批，桌面计算机不得与外单位网络及互联网连接；禁止在非授权情况下将桌面计算机同时接入互联网和内部网络； 第二十二条 离开工位时，必须将办公电脑启动屏幕保护程序或保持注销状态，并采用口令进行保护；非必要时，不能将计算机设备提供他人使用（特别是非本单位人员）；未经设备保管人同意，不能擅自使用他人计算机设备；