《员工信息安全管理办法.docx》由会员分享,可在线阅读,更多相关《员工信息安全管理办法.docx(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、员工信息安全管理办法员工信息安全管理办法第一章总则第一条为了切实保障的信息系统安全,根据(商业银行信息科技风险管理指引)和国家信息安全法规,制定本管理办法。第二条为有效控制信息科技相关岗位风险,保护信息资产安全,根据内部控制管理相关要求,做好岗位管理、控制工作,并指导、检查、催促所辖机构的岗位设置、职责划分及岗位管理状况。结合业务发展的需要,对数据、软件、文档等重要保密资料保密要求,将安全保密工作规范化、制度化,保障计算机工作的安全、可靠,更好地促进电子建设,同时提出员工在招聘、上岗、离任等经过中应采取的信息安全管理措施,建立员工信息安全教育、培训制度,明确安全管理要求,降低人员信息安全风险,
2、提高信息安全管理水平。第三条本办法适用于所有员工。第二章信息科技岗位控制要求第四条信息科技岗位设置应符合受权有限、互相制约的要求;不相容岗位的职责必须分离,包括但不限于:应用开发、测试与系统维护职责分离,系统管理与使用职责分离,用户管理与使用职责分离,安全管理与其他岗位职责分离等。第五条为了保证信息系统安全、稳定、持续的运行,知足岗位内控管理的要求,避免由于从业人员辞职、岗位变动、出差、休假或其它原因对系统运维造成的影响,对信息科技岗位必须建立岗位A/B角制度,在条件允许的情况下,关键岗位还应设置C角,各级信息科技职能部门应制定相应的制度、流程和考核办法确保A/B角制度落到实处。第六条关键岗位
3、是指在信息系统生产运行经过中可接触到等级为敏感级以上信息资产的信息科技岗位;选拔关键岗位人员时,应对被选拔者的相关背景和资历进行审查,考试合格后,方可上岗工作;关键岗位人员必须是正式员工,并签署专门的保密协议。第七条信息安全管理岗位属于关键岗位,必须保持独立性;各级专职信息安全管理人员应经专门的技术考试合格后,方可上岗工作;应逐步施行信息安全管理岗位人员持证上岗,不具有信息安全专业技术背景和资质的人员不得从事信息安全管理工作。第八条为做好关键岗位风险控制,有效防备和躲避关键岗位员工操作风险和道德风险,关键信息科技岗位原则上应每四年进行轮换;在关键岗位轮换时须对原岗位人员进行离任审计,以确保对离
4、任人员的风险控制。第九条所有信息科技岗位的员工必须签署保密协议;在员工上岗前应被再次告知相应的保密责任和义务;员工在工作经过中有义务接受信息安全和保密知识的教育和培训。第三章计算机安全保密工作第十条计算机软件、数据、技术文档口令等严格控制在一定范围内,未经批准不得被无关人员接触,更不能流出行外,以保证银行机密的安全。第十一条计算机安全保密工作的指导思想是以预防为主,各单位要加强对有关人员的思想教育,防患于未然。第十二条总行信息中心及各分支机构领导要经常性地检查计算机数据资料及各岗位人员的工作,及早发现问题,避免损失。第十三条发现问题要及时上报总行信息中心及总行保卫部,不得以任何方式隐瞒、掩盖。
5、第十四条对于违背制度的人员和单位,严格按有关规定处理,直至送交司法机关。第十五条权限分系统用户、网络用户、数据库用户三类。详细用户设置和口令权限见“计算机系统用户及口令权限配置表。第十六条为防意外情况发生,各系统的最高权限口令要密封后,存保险柜中,并以磁介质形式存放保卫部,保证及时更新。第十七条口令禁止分享。详细安全保密细则请参考(计算机岗位安全保密纪律细则)第四章对全体员工的信息安全基本要求对全体员工的信息安全要求,包括但不限于下面条款:第十八条禁止利用计算机资源制造、传播违背国家法律法规的信息;第十九条把握所在岗位需要的计算机信息安全知识;妥善保管计算机系统中的重要文件和数据;妥善保管身份
6、认证凭据如用户帐号、密码、数字证书等;第二十条严禁自行更改所使用计算机系统的软硬件配置;严禁在计算机设备上安装、使用盗版软件、与工作无关的软件或非受权数据介质如软盘、光盘、优盘和移动硬盘等;第二十一条计算机桌面设备是固定资产,所有员工有义务和责任爱护并正确使用;桌面计算机必须安装防病毒软件,及时更新补丁,并定期检查更新情况;未经审批,桌面计算机不得与外单位网络及互联网连接;禁止在非受权情况下将桌面计算机同时接入互联网和内部网络;第二十二条离开工位时,必须将办公电脑启动屏幕保护程序或保持注销状态,并采用口令进行保护;非必要时,不能将计算机设备提供别人使用十分是非本单位人员;未经设备保管人同意,不
7、能擅自使用别人计算机设备;第二十三条发现可疑与计算机安全相关的事件时,有责任和义务及时报告;有责任和义务自觉接受信息中心门在信息安全防备方面的管理、监督和检查;第二十四条有义务参加信息安全教育和培训。以上要求应包含在员工招聘、上岗、员工行为管理及教育培训经过中。第五章员工招聘与离任第二十五条员工招聘经过中,与新员工签定的劳动合同或其它协议中应明确员工的信息安全责任,并应包括与信息安全相关的保密条款,如有需要,合同中应明确该责任在结束合同关系一段特定的时间内仍然有效。第二十六条信息科技关键岗位人员的招聘,应明确该岗位在信息安全方面的要求,并对应聘人员的相关背景进行严格审查;相关岗位人员应签署专门
8、的保密协议,如有需要,保密协议中应明确在结束合同关系一段特定的时间内仍然有效。第二十七条员工离任包括岗位变动、解除劳动关系等相关规定中应包括信息安全审查的相关内容,审查应包括下面方面:当员工发生岗位变动时,应按有关规定办理离任手续。离任员工原岗位使用的各类信息系统用户能否已完成交接或被关闭;离任员工能否签署保密协议,若已签署保密协议应检查保密协议中的相关内容,向其重申权益及其应承当的保密义务;离任员工保管的工作资料、信息资产能否已经交回;离任员工使用的各类计算机设备能否已全部交回。信息科技员工及关键岗位员工,应立即取消其在原岗位的系统权限,及时更改相应系统的相关用户密码,确保密码、设备、资料及
9、相关敏感信息等的移交。第六章员工信息安全教育与培训第二十八条为保证信息安全保障体系的完好、有效,应建立信息安全教育和培训制度,信息安全教育和培训应贯穿员工在工作的全经过,包括:新员工入行教育与培训、岗前教育与培训和在岗教育与培训。对员工的信息安全教育与培训应保存相关记录。第二十九条信息安全教育和培训应作为新员工入行教育和培训的重要内容,培训内容应包括但不限于:信息安全及保密管理的基本知识;员工信息安全管理的相关规定和要求;办公自动化系统、Internet邮件系统、内部网络和桌面办公设备等计算机资源的正确使用和信息安全保护基本要求;最新的信息安全总体策略;信息安全事件的报告流程。第三十条员工上岗
10、前所在机构或部门的管理人员应向其申明本机构或部门的信息安全管理要求和责任。员工的岗前教育与培训应包括与本岗位密切相关的计算机信息安全管理要求培训,对本岗位中信息安全的关键控制点应着重向员工申明。信息科技员工的岗前教育与培训中,还应包括职业道德、行为规范、奖惩措施、信息安全管理制度和规范等方面的教育和培训内容。第三十一条在岗员工应定期接受信息安全教育,主动学习、把握最新的信息安全管理制度和规范。在信息安全总体策略、相关管理制度和规范发生变化后,应及时向在岗员工发布;对在岗员工的信息安全基本要求、赏罚措施、信息安全事件报告流程等应纳入员工守则或另行编制成册,及时向在岗员工发布;第三十二条信息科技各相关部门应定期组织对部门内所有员工的信息安全教育和培训,教育和培训内容包括但不限于:及时向员工发布最新的信息安全管理策略、制度和规范,每年至少组织一次部门内的信息安全专题培训,及时向员工通报典型的信息安全事件及处理情况等。第七章附则第三十三条本办法由信息安全管理领导小组负责解释。第三十四条本办法自公布之日起执行。2021年11月20日