1、村镇银行员工信息安全管理规定 第一章 密码使用规范第一条 员工应对自己登陆系统或网络的用户密码安全负责。第二条 员工在设定密码时,应选择由大小写英文字母、数字和特殊字符组合而成的具有一定复杂度的密码,长度不得低于8位,并定期进行更换。第三条 员工应避免信息系统的密码与私人常用密码雷同,避免在多个系统中设置相同的密码,以防密码被非法获取后产生连锁影响。第四条 员工在使用新的或经过密码重置的系统或终端时,应在第 一时间对初始、默认或重置密码进行更改。第五条 员工在输入密码时,应保持必要的警惕性,防止他人通过 偷窥等手段非法获取自己所拥有的密码。第六条 员工不得将密码书写在纸上或存放于电子文档中,不
2、得在 他人面前泄漏自己所拥有的密码。第七条 员工一旦发现或怀疑自己的密码被他人获取,应立即进行 密码更新。第八条 禁止员工在使用终端系统时启用“自动保存密码”功能。第二章 PC设备软件使用规范第一条 员工应根据知识产权相关法律法规及行内相关制度规定,自觉保护本行自主知识产权和第三方知识产权。第二条 员工应安装使用正版软件,禁止使用行内PC设备下载或使用各类未授权软件。第三条 操作系统硬盘保证至少两个分区,即系统分区和工作分区。禁止员工将整个系统硬盘设定为共享模式。原则上,不得设置共享文件夹,确有特殊需要的,应采取密码保护、设置只读权限等安全措施, 并在共享完成后立刻取消共享。第四条 员工使用的
3、PC设备应安装指定的相关安全软件,包括但不限于防病毒软件、桌面安全管理软件等。第五条 未经授权,员工不得卸载或删除PC设备安全软件客户端,不得随意修改其配置信息。第六条 员工在日常工作中应保证安全软件的正常运转,不得强制关闭常驻内存的安全软件的进程。第七条 员工应确保使用PC设备防病毒软件的及时升级、病毒库的及时更新。第八条 员工应确保防病毒软件自动查毒功能的顺利执行,无特殊原因,不得中断或关闭自动查毒进程。若因工作确需中止病毒扫描的, 应在完成工作后及时手动开启防病毒软件进行查毒。第九条 遇到无法独立完成病毒清除等特殊情况时,员工应及时向本机构科技人员报告寻求技术支持,不得自行采取未经验证的
4、处理方式,或擅自在行内发出病毒警告,影响正常工作。第十条 员工应密切关注行内发布的安全风险提示,提高风险意识。第三章 PC设备使用规范第一条 员工应对自己所使用的PC设备的安全承担最终责任。第二条 员工应保持PC设备的整洁、干净,避免在潮湿、振动的环境下使用。第三条 员工应严格遵循PC设备关机步骤,严禁在关机步骤未完成的情况下,直接关闭电源。办公设备若长时间不使用,应将电源关闭。第四条 员工应设置屏幕保护程序的时间和密码并启用,当离开座位时,应及时锁屏,防止他人未经授权使用。第五条 员工不得将重要资料放在PC设备的“桌面”上,应谨慎保管,并定期做好备份。第六条 员工不得擅自将PC设备设置成服务
5、器,如确有工作需要,应经村镇银行管理分部批准、备案后方可设置。第七条 原则上PC设备不应借予他人使用,因工作需要必须借予他人使用时,应保证存储信息的安全。第八条 员工应尽量避免在公共场所使用工作 PC 设备。如确有需要,需妥善保管,不得使 PC 设备处于无人看管状态。第九条 员工使用PC设备时应防止信息泄密,避免电脑屏幕被偷看或偷拍。第十条 无人值守设备(如公用 PC)应指定设备责任人负责日常管理。公用 PC 的口令仅由授权使用人员掌握,避免未经授权使用和入侵。第十一条 当所使用的PC设备发生故障时,员工应及时通知本机构科技人员,不应擅自拆卸。第十二条 离场设备(如放置于托管机房的服务器等)应
6、采取合理的安全措施进行妥善保护。第十三条 若PC设备遗失或被盗,员工应立即向所在机构报告。第四章 协同办公系统、电子邮件使用规范第一条 全体员工应做好任何协同办公系统和邮件系统的相关信息保密工作,严禁擅自对外提供仅限内部使用或涉密的信息资料。第二条 员工调动到新的工作岗位或调离本行时,所在机构应及时提出用户变更申请至相关职能部门,由相关职能部门负责及时更新或注销系统中的用户身份。第三条 员工不得将任何可能带有病毒或对系统造成破坏的文件作为附件在协同办公系统和邮件系统中流转,包括各种从非正规渠道获得的信息、可疑邮件的附件及来历不明的存储介质中的文件等。第四条 员工不得利用本行系统制作、复制、发布
7、、传播含有下列内容的信息:(一)反对宪法所规定的基本原则的。(二)害国家安全,泄露国家秘密,颠覆国家政权,破坏国 家统一的。(三)损害国家或本行声誉和利益的。(四)煽动民族仇恨,民族歧视,破坏民族团结的。(五)破坏国家宗教政策,宣扬邪教和封建迷信的。(六)散布谣言,扰乱社会秩序,破坏社会稳定以及上海农商 银行正常业务的。(七)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯 罪的。(八)侮辱或者诽谤他人,侵害他人合法权益的。(九)含法律、行政法规禁止的其他内容的。(十)国家、监管部门及行内规定的其他不准上网的信息。第五条 员工若发现可疑邮件,不可盲目打开,应先对发件人的身份进行确认,视具体情况
8、予以直接删除或待本机构科技人员确认后再进行操作。第六条 员工使用协同办公系统和邮件系统应以工作为目的,非工作事项不得通过系统传递。第七条 员工应珍惜行内系统和网络资源,定期接收邮件,及时删除过时的以及无保留价值的邮件。对于重要的电子邮件信息,可在本地终端上创建备份文件夹进行保存。第八条 员工不得以任何非法手段打开或偷看他人的办公邮箱。第九条 员工应正确做好IE设置,保证正常访问协同办公系统和电子邮件系统。第五章 网络安全规范第一条 员工应严格遵守本行对于内部网络的统一配置和管理,不得擅自变更 IP 地址、PC 设备网络硬件的配置,不得擅自向外部机构或人员提供内部网络架构等重要信息。第二条 员工
9、应严格遵守保密管理的要求,坚持“涉密不上网,上网不涉密”的原则,严禁有涉密信息的主机访问互联网。第三条 员工应切实树立网络安全意识,珍惜网络资源,不做与工作无关的事情,做到安全、文明上网。第四条 严禁员工利用互联网从事可能影响网络安全的活动,禁止一切违反国家法律、法规,损害国家利益和他人合法权益的活动。第五条 未经授权,严禁员工利用本行内部网络,对行内信息系统及内部资源进行各类形式的非授权访问、网络攻击(测试)、密码嗅探、安全漏洞扫描、端口扫描、病毒制作和传播等严重威胁本行信息系统安全的行为。第六条 员工在非办公场所远程访问本行内部网络时,应事先得到主管部门的审批授权。使用VPN 等经过身份认
10、证和数据加密的方式连接到本行内部网络时,应严格遵守本行内部网络相关规定和信息安全规范。使用完毕后应及时断开网络连接,避免连接通道被他人盗用。第七条 员工在登录外部网站时,应检查站点是否安全,对类似“网络钓鱼”的欺诈技术应提高警惕,避免因操作不当对本行信息安全造成危害。第八条 工作场所不得私自安装、使用无线路由设备,确因工作需要使用的,应提前向所在机构申请,经批准、备案并做好相关安全设置后方可使用,使用完毕应立即停用。第九条 严禁在连接本行内部网络的情况下,通过未经授权的无线设备访问互联网。第十条 配线间网络设备由专人负责管理,严禁无关人员进入配线间。第六章 工作环境安全规范第一条 员工在日常工
11、作时,应佩带身份识别标志,禁止伪造或冒用他人的身份识别标志。第二条 员工应妥善保管身份识别标志、以及所持有的特定办公区域的门卡和钥匙,禁止转借给他人使用,一旦遗失应立即向所在机构的相关部门汇报。第三条 员工不得擅自带领外部人员参观本行内部工作区域。第四条 员工在办公区域内发现陌生且未佩带身份识别标志的人时,应主动上前询问,或将此情况及时告知安全保卫人员。第五条 员工应明确自己所拥有的权限,不得随意出入自己无权进入的区域。如确有工作上的需要,应严格遵循相关审批和登记流程,办理各项手续。第七章 移动存储介质使用规范第一条 移动存储介质主要包括软盘、U 盘、光盘、磁带、移动硬盘等。员工应对自己工作中
12、所使用移动存储介质的安全承担最终责任。第二条 员工应妥善存放和保管工作移动存储介质,避免高温、潮湿、磁场、静电、强光、辐射等影响。第三条 员工不得在 PC 设备上使用来历不明的移动存储介质,且不得随意在不同计算机上使用。员工应关闭计算机的自动播放功能,防止病毒蔓延传播。第四条 员工在读取移动存储介质上的数据前,应进行病毒查杀操作。第五条 员工有义务保护存放有国家秘密和本行商业秘密的移动存储介质,不得转借,不得随意放置,防止其丢失、误用及未经授权被访问和修改。第六条 当需要在本行以外的计算机上使用存有本行涉密信息的移动存储介质时,员工应采取必要的保护措施(如全程陪同并亲自操作等),保证信息不被非
13、法访问、篡改、复制或删除。第八章 打印设备使用安全第一条 打印(包括复印、扫描、传真等)设备应指定设备责任人负责日常监控,避免未授权使用导致内部信息泄露的风险。第二条 打印完成后应及时将有关资料或信息从设备上取走,严禁将涉密信息保留在复印机、打印机和传真机等设备上,针对不同密级信息的使用要求参照有关规定执行。第九章 信息安全事件报告规范第一条 员工在发现系统运行异常、网络速度大幅变慢、密码被篡改、计算机感染病毒、文件丢失或被篡改及其他可疑情况时,应及时告知本机构科技人员。第二条 对于突发性信息安全事件,员工应按照相关应急预案要求采取有效措施,防止事态进一步扩大。第三条 员工应了解信息安全事件响应流程,明确自身职责,并自觉履行应尽的义务。第四条 员工应积极提高信息安全意识,对于已发生的信息安全事件,应从中吸取经验教训。
