员工信息安全管理办法

员工信息安全管理办法

第一章 总则

第一条 为了切实保障的信息系统安全,根据《商业银行信息科技风险管理指引》和国家信息安全法规,制定本管理办法。

第二条 为有效控制信息科技相关岗位风险,保护信息资产安全,按照内部控制管理相关要求,做好岗位管理、控制工作,并指导、检查、督促所辖机构的岗位设置、职责划分及岗位管理状况。结合业务发展的需要,对数据、软件、文档等重要保密资料保密要求,将安全保密工作规范化、制度化,保障计算机工作的安全、可靠,更好地促进电子建设,同时提出员工在招聘、上岗、离职等过程中应采取的信息安全管理措施,建立员工信息安全教育、培训制度,明确安全管理要求,降低人员信息安全风险,提高信息安全管理水平。

第三条 本办法适用于所有员工。

第二章 信息科技岗位控制要求

第四条 信息科技岗位设置应符合授权有限、相互制约的要求;不相容岗位的职责必须分离,包括但不限于:应用开发、测试与系统维护职责分离,系统管理与使用职责分离,用户管理与使用职责分离,安全管理与其他岗位职责分离等。

第五条 为了保证信息系统安全、稳定、持续的运行,满足岗位内控管理的要求,避免由于从业人员辞职、岗位变动、出差、休假或其它原因对系统运维造成的影响,对信息科技岗位必须建立岗位 A/B角制度,在条件允许的情况下,

关键岗位还应设置 C角,各级信息科技职能部门应制定相应的制度、流程和考核办法确保 A/B角制度落到实处。

第六条 关键岗位是指在信息系统生产运行过程中可接触到等级为敏感级以上信息资产的信息科技岗位;选拔关键岗位人员时,应对被选拔者的相关背景和资历进行审查,考试合格后,方可上岗工作;关键岗位人员必须是正式员工,并签署专门的保密协议。

第七条 信息安全管理岗位属于关键岗位,必须保持独立性;各级专职信息安全管理人员应经专门的技术考试合格后,方可上岗工作;应逐步实施信息安全管理岗位人员持证上岗,不具有信息安全专业技术背景和资质的人员不得从事信息安全管理工作。

第八条 为做好关键岗位风险控制,有效防范和规避关键岗位员工操作风险和道德风险,关键信息科技岗位原则上应每四年进行轮换;在关键岗位轮换时须对原岗位人员进行离任审计,以确保对离任人员的风险控制。

第九条 所有信息科技岗位的员工必须签署保密协议;在员工上岗前应被再次告知相应的保密责任和义务;员工在工作过程中有义务接受信息安全和保密知识的教育和培训。

第三章 计算机安全保密工作

第十条 计算机软件、数据、技术文档口令等严格控制在一定范围内,未经批准不得被无关人员接触,更不能流出行外,以保证银行机密的安全。

第十一条 计算机安全保密工作的指导思想是以预防为主,各单位要加强对有关人员的思想教育,防患于未然。

第十二条 总行信息中心及各分支机构领导要经常性地检查计算机数据资料及各岗位人员的工作,及早发现问题,避免损失。

第十三条 发现问题要及时上报总行信息中心及总行保卫部,不得以任何方式隐瞒、掩盖。

第十四条 对于违反制度的人员和单位,严格按有关规定处理,直至送交司法机关。

第十五条 权限分系统用户、网络用户、数据库用户三类。具体用户设置和口令权限见 “计算机系统用户及口令权限配置表”。

第十六条 为防意外情况发生,各系统的最高权限口令要密封后,存保险柜中,并以磁介质形式存放保卫部,保证及时更新。

第十七条 口令禁止共享。

具体安全保密细则请参考《计算机岗位安全保密纪律细则》

第四章 对全体员工的信息安全基本要求

对全体员工的信息安全要求,包括但不限于以下条款:

第十八条 禁止利用计算机资源制造、传播违反国家法律法规的信息; 第十九条 掌握所在岗位需要的计算机信息安全知识;妥善保管计算机系统中的重要文件和数据;妥善保管身份认证凭据(如用户帐号、密码、数字证书等);

第二十条 严禁自行更改所使用计算机系统的软硬件配置;严禁在计算机设备上安装、使用盗版软件、与工作无关的软件或非授权数据介质(如软盘、光盘、优盘和移动硬盘等);

第二十一条

计算机桌面设备是固定资产,所有员工有义务和责任爱护

并正确使用;桌面计算机必须安装防病毒软件,及时更新补丁,并定期检查更新情况; 未经审批,桌面计算机不得与外单位网络及互联网连接;禁止在非授权情况下将桌面计算机同时接入互联网和内部网络;

第二十二条 离开工位时,必须将办公电脑启动屏幕保护程序或保持注销状态,并采用口令进行保护;非必要时,不能将计算机设备提供他人使用(特别是非本单位人员);未经设备保管人同意,不能擅自使用他人计算机设备;

第二十三条 发现可疑与计算机安全相关的事件时,有责任和义务及时报告;有责任和义务自觉接受信息中心门在信息安全防范方面的管理、监督和检查;

第二十四条 有义务参加信息安全教育和培训。以上要求应包含在员工招聘、上岗、员工行为管理及教育培训过程中。

第五章 员工招聘与离职

第二十五条 员工招聘过程中,与新员工签定的劳动合同或其它协议中应明确员工的信息安全责任,并应包括与信息安全相关的保密条款,如有需要,合同中应明确该责任在结束合同关系一段特定的时间内仍然有效。

第二十六条 信息科技关键岗位人员的招聘,应明确该岗位在信息安全方面的要求,并对应聘人员的相关背景进行严格审查;相关岗位人员应签署专门的保密协议,如有需要,保密协议中应明确在结束合同关系一段特定的时间内仍然有效。

第二十七条 员工离职(包括岗位变动、解除劳动关系等)相关规定中应包括信息安全审查的相关内容,审查应包括以下方面:

当员工发生岗位变动时,应按有关规定办理离职手续。

● 离职员工原岗位使用的各类信息系统用户是否已完成交接或被关闭; ● 离职员工是否签署保密协议,若已签署保密协议应检查保密协议中的相

关内容,向其重申权益及其应承担的保密义务;

● 离职员工保管的工作资料、信息资产是否已经交回;

● 离职员工使用的各类计算机设备是否已全部交回。

● 信息科技员工及关键岗位员工,应立即取消其在原岗位的系统权限,及

时更改相应系统的相关用户密码,确保密码、设备、资料及相关敏感信息等的移交。

第六章 员工信息安全教育与培训

第二十八条 为保证信息安全保障体系的完整、有效,应建立信息安全教育和培训制度,信息安全教育和培训应贯穿员工在工作的全过程,包括:新员工入行教育与培训、岗前教育与培训和在岗教育与培训。对员工的信息安全教育与培训应保存相关记录。

第二十九条 信息安全教育和培训应作为新员工入行教育和培训的重要内容,培训内容应包括但不限于:

● 信息安全及保密管理的基本知识;

● 员工信息安全管理的相关规定和要求;

● 办公自动化系统、Internet邮件系统、内部网络和桌面办公设备等计算

机资源的正确使用和信息安全保护基本要求;

● 最新的信息安全总体策略;

● 信息安全事件的报告流程。

第三十条 员工上岗前所在机构或部门的管理人员应向其申明本机构或

部门的信息安全管理要求和责任。

● 员工的岗前教育与培训应包括与本岗位密切相关的计算机信息安全管

理要求培训,对本岗位中信息安全的关键控制点应着重向员工申明。 ● 信息科技员工的岗前教育与培训中,还应包括职业道德、行为规范、奖

惩措施、信息安全管理制度和规范等方面的教育和培训内容。

第三十一条 在岗员工应定期接受信息安全教育,主动学习、掌握最新的信息安全管理制度和规范。

● 在信息安全总体策略、相关管理制度和规范发生变化后,应及时向在岗

员工发布;

● 对在岗员工的信息安全基本要求、奖惩措施、信息安全事件报告流程等

应纳入员工守则或另行编制成册,及时向在岗员工发布;

第三十二条 信息科技各相关部门应定期组织对部门内所有员工的信息安全教育和培训,教育和培训内容包括但不限于:及时向员工发布最新的信息安全管理策略、制度和规范,每年至少组织一次部门内的信息安全专题培训,及时向员工通报典型的信息安全事件及处理情况等。

第七章 附则

第三十三条

第三十四条

本办法由信息安全管理领导小组负责解释。 本办法自公布之日起执行。

2012年 11月 20 日


相关内容

  • 信息安全海报

    信息安全视频点播中心 | Information Security Video Ondemand Center 信息安全海报授权 00. 落实科学发展观,构建和谐组织.各类型的组织机构每天面临着大量的信息安全威胁,而且新的威胁也会不断出现, ...


  • 华为内部信息安全管理

    1. 新员工入职信息安全须知 新员工入职后,在信息安全方面有哪些注意事项? 接受"信息安全与保密意识"培训: 每年应至少参加一次信息安全网上考试: 办理员工卡: 签署劳动合同(含保密职责): 根据部门和岗位的需要签署保密 ...


  • 新员工入职时信息安全保密手册

    新员工入职时信息安全保密手册 一.新员工入职信息安全须知 新员工入职后,在信息安全方面有哪些注意事项? 接受"信息安全与保密意识"培训:每年应至少参加一次信息安全网上考试:办理员工卡:签署劳动合同(含保密职责):根据部门 ...


  • [企业安全文化建设导则]

    企业安全文化建设导则 (报 批 稿) 1 范围 本标准适用于开展安全文化建设工作的各类企业,作为其促进自身安全文化发展的工作指南.本标准对具有下列愿望的企业尤为重要: a)以严格的安全生产规章或程序为基础,实现在法律和政府监管符合性要求之上 ...


  • IT运维中的人员管理

    IT 运维中的人员管理 1. 引言 当前,随着IT 技术的快速发展,为了满足企业本身的业务发展需要,实现与合作伙伴以及客户的信息往来,并保持其自身竞争力,各个企业迅速上马各种硬件系统与软件应用以满足业务所需.但是很多企业管理者都忽视了一个重 ...


  • 信息安全策略(模板)

    信息安全策略 *变化状态:C--创建,A--增加,M--修改,D--删除 目 录 1. 目的和范围 ...................................................................... ...


  • 信息安全策略

    信息安全策略 是一个有效的信息安全项目的基础.从信息安全领域中发生的事件来看,信息安全策略的核心地位变得越来越明显.例如,没有安全策略,系统管理员将不能安全的安装防火墙.策略规定了所允许的访问控制.协议以及怎样记录与安全有关的事件.尽管信息 ...


  • 华为公司人力资源管理体系4

    4.华为公司的纪律处分分为几个级别? 华为公司纪律处分按违纪程度相应地分为四个级别: 三级处分:是最轻的一种纪律处分,包含通报批评.警告和300元以下(含300元)罚款: 二级处分:包括300元以上罚款.严重警告: 一级处分:较重的一种处分 ...


  • 企业安全文化发展阶段模型研究

    摘 要:在对安全文化特点的分析的基础上,结合HSE体系提出了分阶段的企业安全文化模型,介绍了各阶段安全文化表现的基本特征,该模型可用于判别企业安全文化内容所处阶段,并通过改善安全文化的薄弱环节提升公司整体水平. 关键词:安全文化:阶段模型: ...