信息安全责任追究管理办法.pdfVIP

附件

信息安全责任追究管理办法

第一章总则

第一条为完善制度约束机制，加强内部管理，有效防范风险，强

化我行员工信息安全责任意识，明确信息安全违规行为及信息安全事件

责任追究与处罚规定，特制定本管理办法。

第二条本办法所称违规行为，是指违反国家法律法规、监管规定，

以及我行各项规章制度的行为。

第三条本办法所称信息安全事件，是指由于人为原因、软硬件缺

陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害，

对我行或社会造成负面影响的网络安全事件。

第四条本管理办法适用于全体员工(含正式员工与外包员工)。

第二章职责分工

第五条信息科技部-安全中心负责定期检查全行员工的信息安全

违规行为和信息安全事件。

第六条信息科技管理委员会负责对信息科技部提交的违规行为和

信息安全事件结果进行审核。

第三章违规行为界定

第七条违反信息安全规定行为分为一般违规行为、较重违规行为

和严重违规行为三级。

第1页共8页

第一节一般违规行为

第八条违反桌面安全管理规定，有下列危害本行桌面安全行为之

一的属一般违规行为：

（一）在计算机上安装或使用盗版系统软件从而引发病毒感染或侵

权事件；

（二）私自违规变更计算机的操作系统及其安全配置的（含操作系

统版本、系统服务、用户权限、密码强度等）；

（三）私自在计算机上使用漏洞扫描、网络侦听等软件或安装各类

与本职工作无关软件；

（四）私自卸载或屏蔽全行统一防病毒软件和桌面办公安全管理系

统软件或变更其中配置；

（五）未经审批，将非本行计算机设备接入本行网络系统的；

（六）私自修改网络系统安全设置的；

（七）在计算机上安装或使用没有正当版权的或未经许可的安装介

质或软件包的。

第九条违反网络安全管理规定，有下列情形之一的，属于一般违

规行为：

（一）制作、复制、发布、传播损害本行声誉的电子邮件的；

（二）使用处理涉密信息的计算机访问互联网；

（三）访问非法互联网网站;

第十条违反我行信息安全管理规定被认定为一般违规的其他行为。

第二节较重违规行为

第十一条违反数据安全管理规定，有下列情形之一的，属于较重

违规行为：

第2页共8页

（一）将属于本行的计算机软件、文档、资料、客户信息等重要数

据违规外发给外单位；

（二）对取得的生产数据使用完成后未及时删除，擅自囤积客户个

人信息；

（三）未按规定收集、使用、保管客户信息，或过失造成客户信息

泄露、遗失，造成不良影响。

第十二条违反办公安全管理规定，有下列情形之一的，属于较重

违规行为：

（一）通过私自设置代理服务形式为非批准用户提供互联网访问服

务的；

（二）未经审批，私自在本行网络系统内开设游戏网站、论坛、聊天

室等与工作无关的网络服务的；

（三）私自搭建无线热点接入我行内网的；

（四）同一台计算机上安装两个操作系统（双系统或虚拟机）、双网

卡分别接入内外网；

（五）在外网计算机中处理涉及行内重要敏感信息的文件。

第十三条违反运维安全管理规定，有下列情形之一的，属于较重

违规行为：

（一）未经批准和审批，信息系统开发、维护及操作人员擅自对生

产数据进行处理，或擅自编写、使用、修改应用程序或调整系统参数；

（二）未经批准和审批，运维人员擅自修改生产操作系统、数据库、

中间件、生产区网络设备、虚拟化平台等生产配置的非法变更行为；

（三）未按信息安全密码策略要求设置密码导致存在弱口令；