XX银行员工信息安全行为规范

XX银行科技开发部员工信息安全行为规范V1.0

第一章总则

第一条为提高总行科技开发部员工（包括行内员工、在我行工作的外部员工）的信息安全意识，规范员工的行为，指导员工合理、安全地使用信息资产，防止有意或无意的破坏信息安全行为的发生，保护我行信息资产安全，制定本规范。

第二条员工应主动了解本我行信息安全管理相关规定，积极参与我行组织的信息安全培训，提升信息安全意识和技能，并严格遵守我行信息安全要求。

第二章资产管理声明

第三条禁止利用我行资产（包括我行配发的计算机、手机等个人终端设备）处理个人事务，以避免我行在信息安全管理中触及个人隐私。

第四条员工利用我行的资产所产生、处理和存储的一切信息，其所有权归我行拥有。第五条我行出于对运营管理、安全管理和司法调查取证等需要，保留在任何时候对我行任意资产进行监控、复制、披露、使用和删除的权利。

第三章工作环境安全要求

第六条进入我行工作区域时，应规范佩戴我行认可的身份识别证件或按照我行相关管理规定登记并获得许可后方可进入。

第七条应遵守安全区域访问规定，进出非授权区域时，需按照我行相关规

定经相关责任人批准。

第八条员工应安全保管身份识别证件，丢失后及时向发证部门报告，禁止将身份识别证件借与他人使用；调离我行时，应主动交还我行配发的身份识别证件。

第九条我行内调动或更换工作区域时应主动申请门禁权限变更。

第十条若发现任何可疑人员进入我行或进行非授权活动，要立即制止，并报告相关部门。

第十一条启用门禁的区域进出时要防止人员尾随，进出后应及时关闭。

第四章用户账号安全

第十二条任何账号仅限申请账号时批准的所有者在授权范围内使用，严禁使用账号访问未授权的资源，账号所有者承担使用该账号所产生的一切责任和后果。

第十三条账号正式启用前，必须为账号添加密码或修改缺省密码，密码应具有足够的安全强度；对于重要核心系统的密码，应加强密码复杂度和密码长度。第十四条具有足够强度密码设置要求如下：

（一）口令最小长度：8位

（二）口令字符组成复杂度：口令由数字、大小写字母及特殊字符，且至少包含其中两种字符（动态口令除外）；

（三）口令历史：修改后的口令至少与前4次口令不同；

（四）口令最大连续尝试次数：10次；口令错误次数超过最大连续尝试次数后，应具有限制用户登录的机制。

（五）口令最长有效期限：180天，可根据系统重要性和用户权限采取不同的有效期；口令使用期限即将达到口令最长有效期限时，应具有提示用户修改

口令的机制。

（六）主机系统、网络设备、安全设备等超级用户口令最长有效期应为90天，其它用户口令最长有效期应符合本章口令基本要求。

第十五条应安全保管或者随身携带实物密钥，如USBkey等，禁止随意放置在桌面上。如发现实物密钥遗失或怀疑密码被窃取，应立即通知信息技术部门进行处理。

第十六条应安全保管密码，如没有可靠的物理控制措施，不要将密码写在纸上，或记录于电子文件中；禁止将密码在终端软件（如IE浏览器）上自动保存；禁止公开本人或他人的密码信息，不得猜测窃取他人账号密码。

第十七条工作职责发生变动时，应主动申请帐号或者实物密钥权限的变更；当不再需要某系统的访问权限时，应主动申请注销账号或者权限；对不能关闭的账号或者实物密钥，应及时移交给本部门指定责任人；

在离职时，应主动移交全部账号和实物密钥。

第五章信息设备使用

第十八条终端计算机在配发时按照我行规范统一进行命名，使用人不得擅自修改计算机名。

第十九条所有终端计算机应安装我行要求的桌面管理软件、防病毒软件等，员工不得自行删除或修改。

第二十条终端计算机应设定统一的屏幕保护程序，屏幕保护程序等待时间设在10分钟以内。