银行科技开发部员工信息安全行为规范

2024年6月8日发(作者：)

银行科技开发部员工信息安全行动规范

第一章 总则

第一条 为提高总行科技开发部员工(包括行内员工、在我行工作的外部员

工)的信息安全意识，规范员工的行动，指导员工公道、安全地使用

信息资产，避免成心或无意的破坏信息安全行动的产生，保护我行

信息资产安全，制定本规范。

第二条 员工应主动了解本我行信息安全管理相干规定，积极参与我行组织

的信息安全培训，提升信息安全意识和技能，并严格遵照我行信息

安全要求。

第二章 资产管理声明

第三条 制止利用我行资产（包括我行配发的运算机、手机等个人终端设备）

处理个人事务，以免我行在信息安全管理中触及个人隐私。

第四条 员工利用我行的资产所产生、处理和储备的一切信息，其所有权归

我行具有。

第五条 我行出于对运营管理、安全管理和司法调查取证等需要，保存在任

何时候对我行任意资产进行监控、复制、表露、使用和删除的权益。

第三章 工作环境安全要求

第六条 进入我行工作区域时，应规范佩戴我行认可的身份辨认证件或依照

我行相干管理规定登记并获得许可后方可进入。

第七条 应遵照安全区域拜访规定，进出非授权区域时，需依照我行相干规

定经相干责任人批准。

第八条 员工应安全保管身份辨认证件，丢失后及时向发证部门报告，制止

将身份辨认证件借与他人使用；调离我行时，应主动交还我行配发

的身份辨认证件。

第九条 我行内调动或更换工作区域时应主动申请门禁权限变更。

第十条 若发觉任何可疑人员进入我行或进行非授权活动，要立刻制止，并

报告相干部门。

第十一条 启用门禁的区域进出时要避免人员尾随，进出后应及时关闭。

第四章 用户账号安全

第十二条 任何账号仅限申请账号时批准的所有者在授权范畴内使用，严禁

使用账号拜访未授权的资源，账号所有者承当使用该账号所产生的

一切责任和后果。

第十三条 账号正式启用前，必须为账号添加密码或修改缺省密码，密码应

具有足够的安全强度；对于重要核心系统的密码，应加强密码复杂

度和密码长度。

第十四条 具有足够强度密码设置要求以下：

(一) 口令最小长度：8位

(二) 口令字符组成复杂度：口令由数字、大小写字母及特别字符，

且至少包含其中两种字符（动态口令除外）；

(三) 口令历史：修改后的口令至少与前4次口令不同；

(四) 口令最大连续尝试次数：10次；口令错误次数超过最大连续尝

试次数后，应具有限制用户登录的机制。

(五) 口令最长有效期限： 180 天，可根据系统重要性和用户权限

采取不同的有效期；口令使用期限行将到达口令最长有效期限时，

应具有提示用户修改口令的机制。

(六) 主机系统、网络设备、安全设备等超级用户口令最长有效期应

为90天，其它用户口令最长有效期应符合本章口令基本要求。

第十五条 应安全保管或者随身携带实物密钥，如USBkey等，制止随便放

置在桌面上。如发觉实物密钥遗失或怀疑密码被窃取，应立刻通知

信息技术部门进行处理。

第十六条 应安全保管密码，如没有可靠的物理控制措施，不要将密码写在

纸上，或记录于电子文件中；制止将密码在终端软件（如IE浏览器）

上自动储存；制止公布本人或他人的密码信息，不得猜测窃取他人

账号密码。

第十七条 工作职责产生变动时，应主动申请帐号或者实物密钥权限的变更；

当不再需要某系统的拜访权限时，应主动申请注销账号或者权限；

对不能关闭的账号或者实物密钥，应及时移交给本部门指定责任人；

在离职时，应主动移交全部账号和实物密钥。

第五章 信息设备使用

第十八条 终端运算机在配发时依照我行规范统一进行命名，使用人不得擅

自修改运算机名。

第十九条 所有终端运算机应安装我行要求的桌面管理软件、防病毒软件等，

员工不得自行删除或修改。

第二十条 终端运算机应设定统一的屏幕保护程序，屏幕保护程序等待时间

设在10分钟之内。

第二十一条 自己使用的设备和系统应设置密码保护，如开秘密码、登录密

码、屏幕保护密码。

第二十二条 离开座位时，应锁定或关闭运算机；应安全保管终端信息设备，

周末或者节假日期间制止将便携信息设备放在桌面上。

第二十三条 原则上不要将我行配发的设备用于工作以外用处或接入办公

以外的环境，如因工作需要需与外部环境对接，再次接入办公环境

时应先进行病毒的查杀。

第二十四条 未经授权不得使用移动介质，使用移动介质前，应进行病毒检

测，确认安全后方可使用。

第二十五条 使用公同终端后，应及时退出登录并关机或锁屏。

第二十六条 未经授权不得将终端设备、移动介质、实体信息和软件等带离

办公区。

第二十七条 未经授权任何人不得私自调换信息设备，制止私自拆卸、修理

或者更换运算机硬件。

第二十八条 设备及储备介质提交修理、回收、报废前，应对设备上的重要

数据进行备份和安全烧毁。

第二十九条 应保管好个人使用的信息设备，一旦丢失，应立刻向本部门报

告，特别对于绑定用户账号的个人终端设备，还应立刻报告信息技

术部门，以及时锁定相应账号，以避免被冒用。

第六章 软件使用

第三十条 终端设备初装或重装操作系统，必须使用我行提供的操作系统，

不得随便使用其它操作系统安装包进行安装。

第三十一条 应使用我行许可的软件，制止安装与工作无关的软件和盗版软

件，不要随便安装从互联网下载的软件，制止私自更换、禁用、卸载

我行要求使用的软件。

第三十二条 严禁使用黑客工具等影响或破坏我行信息安全的软件。

第三十三条 严禁擅自复制、传播和销售我行的运算机软件产品。

第三十四条 不得使用扫描软件、压力测试软件或自编软件对我行内网及系

统进行扫描、攻击测试和干扰。

第七章 运算机网络使用

第三十五条 制止将未经许可的运算机设备接入我行网络。

第三十六条 未经许可，不得擅自变更接入设备的网络设置。

第三十七条 不得启用任何未经批准的网络协议。

第三十八条 除我行提供的互联网出口外，未经批准，在我行办公室环境不

得采取任何方式（如无线网卡、调制解调器等）接入互联网或其它外

部网络。经批准可以使用的，应先断开与我行网络的连接，方可连接

外部网络。

第三十九条 要合法、文明拜访互联网，制止在互联网上进行以下活动：

(一) 反对宪法所肯定的基本原则，含有法律、行政法规制止的其他

内容的；

(二) 危害国家安全，泄漏国家秘密，颠覆国家政权，破坏国家统一

的，侵害国家荣誉和利益；

(三) 煽动民族痛恨、民族鄙视，破坏民族团结的，破坏国家宗教政

策，宣扬邪教和封建迷信；

(四) 散布流言，扰乱社会秩序，破坏社会稳固；

(五) 散布淫秽、色情、赌博、暴力、凶杀、恐惧或者教唆犯法；

(六) 侮辱或者诽谤他人，侵害他人合法权益。

第四十条 不得滥用我行网络资源进行与工作无关的活动，如拜访与工作无

关的网站和互联网服务、下载与工作无关的文件、玩网络游戏、使用

QQ和MSN谈天等等。

第四十一条 制止使用大量占用网络带宽的网络软件，如P2P下载、多线程

下载、网络视频、网络电视、网络游戏等。

第四十二条 除非受技术限制，制止有下列情形之一的运算机终端接入互联

网：

(一) 触及我行秘密或敏锐信息的；

(二) 未安装指定防病毒软件和桌面管理软件等安全管理软件、病毒

库未及时更新的；

(三) 经评估存在其它安全隐患，不适宜接入互联网的。

第八章 电子邮件使用

第四十三条 应以本人的真实身份使用电子邮箱，不得以他人名义或匿名滥

发邮件；电子邮件的回复地址应设为本人电子邮箱地址。

第四十四条 严格保密自己电子邮件系统的密码，如交与他人使用，由此造

成的一切后果由电子邮件账号所有人承当。

第四十五条 不要利用电子邮件服务发送与工作无关的邮件。

第四十六条 不得利用电子邮件服务散布电脑病毒、木马软件、特务软件等

恶意软件，干扰他人或破坏网络系统的正常运行。

第四十七条 不要打开来历不明邮件中的链接地址与附件，避免泄漏个人信

息或者终端被安装木马、病毒等恶意程序。

第四十八条 严禁将我行的电子邮件用于非工作目的，特别是以娱乐、购物、

交友等为目的的身份注册。

第四十九条 不得猜测他人电子邮件账号和密码，窃取、公布或篡改他人邮

件信息。

第九章 数据安全管理与保密

第五十条 使用数据时参照《XX银行资产安全管理办法》中的信息资产分级

说明对数据进行分级（从高到低顺次为“关键数据”、“敏锐数据”、

“内部数据”），对于“敏锐数据”及“关键数据”应进行标识，以指

导数据的规范使用。

第五十一条 应及时备份工作中的重要数据，以防数据丢失；

第五十二条 不得向未授权机构或人员提供我行保密性数据（包括“内部数

据”、“敏锐数据”和“关键数据”），或者未经批准将我行信息带离我

行网络环境，包括拷贝至个人信息设备、发送至个人公网邮箱、上传

至互联网等。

第五十三条 经授权向外部机构或人员提供保密性数据时，必须通过数据主

管理部门批准的途径和方式进行传递。

第五十四条 在内部部门或者员工间进行“敏锐数据”及以上级别数据传输

时，应挑选我行内部的邮件系统、个人网盘、即时消息系统或者我行

提供的移动介质等传输方式，并进行加密。不得使用非我行提供的

技术手段，如个人公网邮箱、MSN、QQ等传输数据。

第五十五条 处理“敏锐数据”及以上级别数据时，要注意周围环境，避免

被窥视；避免在公共场合谈论我行保密性信息，以防被窃听。

第五十六条 对于“关键数据”，应采取加密措施并妥善存放；接入互联网

的终端不得存放“关键数据”。

第五十七条 载有“敏锐数据”及以上级别数据的文件资料等不再使用时应

及时锁放在文件柜中，不要放在桌面或夹在日常的文件中。

第五十八条 在公用的打印机、复印机设备上处理“敏锐数据”及以上级别

数据时，要及时将打印或复印的文档取走。如设备显现故障，未能打

印或复印，应清空设备的处理列表，以免“敏锐数据”及以上级别数

据留在设备缓存区中，被他人获得。

第五十九条 使用传真机接收“敏锐数据”及以上级别数据时，要提早守候，

发送此类数据时，要与对方提早约定，并在发送后及时确认。

第六十条 不得使用公用运算机设备处理“敏锐数据”及以上级别数据，废

弃纸质文件如含有“敏锐数据”及以上级别数据内容，要及时烧毁，

不可留做二次用纸。

第六十一条 使用移动介质传输和储备保密性数据时，应对数据或介质进行

加密，使用结束后应及时清除介质上的保密性数据。

第六十二条 泄漏客户与员工等个人隐私属于违法行动，严禁违背我行流程

复制、外传和使用我行客户与员工的个人信息数据。

第六十三条 不得未经批准翻印、复制、摘录和外传我行购买具有第三方版

权的外部信息，信息中含有版权或者保密要求的，应严格遵照实行。

第十章 防病毒要求

第六十四条 除非遭到技术限制，任何设备接入我行网络前，均需先安装我

行规定的安全接入控制软件和防病毒软件，并进行病毒扫描，在确

认该电脑安全无毒后，方可接入。

第六十五条 使用个人运算机时，要运行防病毒软件，及时更新病毒库、升

级系统补丁，并定期实行病毒检测和清除。未经许可，不得下载和安

装规定以外的防病毒软件或病毒监控程序。

第六十六条 在使用新购、借入或修理返回的运算机前，应对硬盘进行病毒

检查，确保无病毒之后才能投入正式使用。

第六十七条 使用Ｕ盘、光盘等移动介质前，要进行病毒检测，不要使用任

何未经防病毒软件检测过的移动介质。

第六十八条 向外发布文件或软件时，要使用规定的防病毒软件进行检查，

确保无病毒或病毒已清除，才能向外发布。

第六十九条 提高对电子邮件病毒的防范意识，不要阅读和传播来历不明的

电子邮件及其附件。

第七十条 收到我行内部员工发来的含有病毒的邮件，应及时报告信息安全

管理人员。

第七十一条 如发觉运算机感染了病毒，或者数据被删除破坏等非常情形，

要立刻断开网络连接，并及时向信息安全管理人员汇报病毒情形。

第七十二条 如发觉感染的病毒不能被我行规定的防病毒软件有效清除，应

立刻断网，并报告信息安全管理人员；在得到妥善处理前不要使用

被感染的文件，并保持断网状态。

第七十三条 不得以任何名义制造、传播、复制、收集运算机病毒。

第十一章 罚则

第七十四条 对于违背以上要求及我行信息安全方针政策的行动，将依照我

行的有关规定进行处罚。

第七十五条 对于违背本规范的人员，将依照情节轻重对其采取以下惩罚措

施：

(一) 警告提示；

(二) 暂停账号或运算机终端入网，并进行通报批评。

第七十六条 对于情节严重，对公司造成重大缺失，乃至构成犯法的，交由

司法机构追究其法律责任。

第十二章 附则

第七十七条 本办法由总行科技开发部负责说明、修订。

第七十八条 本办法自发布之日起实行。