(交银卡发(2009)12号《交通银行太平洋信用卡中心员工信息安全手册》

(交银卡发(2009)12号《交通银行太平洋信用卡中心员工信息安全手册》 交通银行太平洋信用卡中心 文件 交银卡发„2009?12号 关于印发《交通银行太平洋信用卡中心 员工信息安全手册》的通知 各部门: 交通银行太平洋信用卡中心,以下简称“卡中心”,信息安全是保证业务正常运作的基本前提。依据交通银行总行颁布的《交通银行信息安全总体方针》～针对全体员工的基本要求和～特制定此《员工信息安全手册》供全体员工遵照执行。 交通银行太平洋信用卡中心 二〇〇九年三月十八日 《交通银行太平洋信用卡中心员工信息安全手册》 第一条 适用读者 ,一,卡中心全体员工～包括临时员工。 ,二,来卡中心临时工作的人员～包括但不限于客户、合作伙伴、供应商、承包商等。 第二条 定义 ,一,授权区:包括主机房、配电线间、密函打印室、档案室、库房～且并不限于上述区域。 ,二,用户标识:指用户登录各类业务及管理系统的用户ID。 第三条 参考资料 ,一,《交通银行信息安全总体方针》, ,二,《交通银行信息安全管理手册》, ,三,《交通银行计算机信息系统安全管理暂行办法》, ,四,《交通银行信息系统生产问题管理办法》, ,五,《交通银行信息化建设项目合作开发单位管理办法》, ,六,《交通银行商业秘密信息管理规定》, ,七,《交通银行太平洋信用卡中心关于员工使用电子邮件、 互联网和手机的规定》 ,八,《交通银行员工信息安全手册》 ,九,《交通银行总行部门涉密事项目录》 第四条 业务使用通告 在卡中心工作的所有人员必须明确:卡中心的信息设备及其它资源仅可用于执行卡中心的业务。 第五条 物理安全 ,一,在卡中心工作的所有人员必须佩带工卡。工卡专卡专用～不得转借。忘带工卡者～应到总台登记。若员工发现工卡丢失～应立即向人事部门报备～以便相应电子门禁控制权限的及时删除。在卡中心区域内～来宾应由相关卡中心员工全程陪同。 ,二,进入所有受门禁系统控制的门后～应随手关门～并严防擅自尾随进入者。对于擅自尾随进入者～卡中心员工有权力和义务当即对其进行质讯。保存保密信息和贵重设备的办公室～无人时应锁门。 ,三,员工只可在被授权的办公区域内活动～严禁擅闯非授权区。 ,四,确有业务需要～来宾可进入工作区～但须由卡中心接待人员全程陪同。 ,五,除得到工作授权的员工～其他人员不得进入各类机房和所有楼层的配电间。确有需要～应获得信息科技部相关负责人授权～由信息科技部指定人员陪同下进入～并须登记进出时间和访问原由。 第六条 计算机设备安全 ,一,卡中心分配给员工个人使用的计算机设备及相关设 备～员工对设备的安全应负完全责任～不得私自调换或转借～不得用于卡中心业务以外的用途。 ,二,下班或离开工作位外出～应关闭电源。对于笔记本类电脑设备应加锁保管。 ,三,员工个人使用的计算机设备出现故障～或需要改变系统硬件配臵,内存、硬盘扩容等,～应在“桌面维护申请管理系统”中填写～提交信息科技部处理。不得擅自打开机箱～测试、安装或更换元器件～相关操作应由信息科技部维修人员或由信息科技部门指定的专人操作。 ,四,计算机上不得安装、测试或使用私人的元器件和设备。未经信息科技部门许可～不得在卡中心网络中接通任何非授权的设备。 ,五,未经信息科技部及本部门经理许可～不得私自安装软件。 ,六,如因业务需要须将计算机或其它设备携出卡中心～必须填写～得到信息科技部和办公室批准后～凭核发的设备出入凭证方可携出。 ,七,未经批准～严禁将私人电脑或其它相关设备,如U盘、移动硬盘、数码相机、数码摄像机等,携入卡中心办公场所。 第七条 用户标识的安全 ,一,应按本条例的规定申请用户标识及变更授权。 ,二,所有个人用户标识和临时用户标识都是为专人设臵的～用户仅可使用自己的用户标识。如因本人误操作造成用户标识被锁定～应向用户标识主管部门提交申请～并由专人对用户标识进行解锁处理。 ,三,严禁借用他人的用户标识～严禁将自己的用户标识转借给他人使用。违反者～按卡中心有关规定最高可予以解雇处理。 员工有责任保护自己的用户标识、密钥和密码不被他人盗用。 ,四,系统中凡需要密码保护的场所～都必须设臵密码～至少应包括操作系统用户密码、屏幕保护密码、各种应用系统用户密码等。 ,五,密码的设臵～必须符合本条例的规定～即: , 至少6个字符, , 字母与非字母字符混合, , 新密码不得与前一个密码有3个以上连续相同的 字符, , 不得包含多于2个的相同连续字符, , 不得包含用户标识作为密码的一部分, , 至少每90天改变一次密码, , 至少6个周期之后方可使用同一密码, , 密码不得共享。 第八条 防病毒及其他信息安全管控软件 ,一,每台使用中的计算机,包括服务器,都必须安装卡中心统一指定的防病毒程序～并按照信息科技部的通知及时更新病毒定义文件。安装申请和更新病毒库是使用者的责任。 ,二,必须启动卡中心指定的防病毒程序“自动防护”功能。 ,三,如果个人计算机出现病毒感染后～使用者应首先将该计算机的网线拔下～避免病毒的蔓延扩散～同时通知本部门信息安全员～由专业人员在第一时间进行杀毒处理。 ,四,临时人员自行携带的计算机～未经信息科技部检查确认已安装了防病毒软件且未感染病毒前～不得接入卡中心的网络内。接待临时人员的卡中心员工和部门经理应对此负责。 ,五,所有接入卡中心内部网络的计算机均必须安装卡中心统一指定的信息安全管控软件～包括但不限于McAfee、Sygate、 Altiris。对于未安装指定信息安全管控软件的～信息科技部保留随时阻断其计算机接入卡中心内部网络的权力 第九条 数据备份 ,一,卡中心所有员工应对个人使用的计算机系统内的资料、数据进行定期备份～以便出现系统灾难时～可及时恢复数据～减少损失。 ,二,卡中心业务处理系统、管理信息系统以及其它系统应由指定的、经授权的系统管理人员按相关系统规定进行系统和业务数据的备份～以便出现系统灾难时～可及时恢复数据～减少损失。 第十条 WWW浏览 ,一,默认情况下～Internet浏览权限仅在管理网段开放～不对生产网段的用户开放。确有业务需要的人员～应在“信息科技部信息系统-用户权限申请”中填写申请～经批准后～由信息科技部授权开通。得到授权得员工不得浏览与工作无关的网站及内容～不得将自己的账号借给他人使用。 ,二,未经理信息科技部许可～任何人不得通过电话线拨号或无线上网卡上Internet。 ,三,严禁在个人PC上设臵非授权代理服务器浏览Internet。 ,四,不得从互联网上下载、复制或传送任何与工作无关的或未经批准的资料。该等资料包括但不限于: , 非法的、诽谤的、色情的、淫秽的图片～种族主 义的图片或信息～或其他猥亵轻佻的资料, , 制作和发送可能诽谤、困窘、威胁、骚扰、冒犯 或伤害员工、供应商、客户或其他人的有害信息, , 损害他人的业务、名誉或互联网接入的信息或行 为～例如可能使中心困窘或损害卡中心客户和在 其他人心目中的名誉与声望的欺诈信息或垃圾 邮件等, , 不道德的、恶毒的或可能侵犯著作权或其他知识 产权的行为, , 发起或延续链式或金字塔式的通信, , 未经授权的电脑软件或视频、音频。 ,五,不得在未经信息科技部事先许可的情况下获得、购买或下载可执行的软件。 ,六,不得参加新闻组、用户小组或聊天室～除非对业务的执行有特别正当的理由并得到批准。 ,七,上班时间不准玩游戏。 ,八,不要试图规避任何对网站或服务提供商的监控。 第十一条 电子邮件使用 ,一,通过电子邮件传递的信息必须是工作性质的适当内容～并且应与员工的职责范围和职权级别相符。 ,二,在电子邮件中表达涉及客户、竞争对手或其他公司的陈述和观点时必须特别谨慎～以防止信息超出发件人的控制而被传送给其他收件人。 ,三,不要发送可能导致电子邮件系统阻塞的琐碎信息。 ,四,不得打开来源不明的附件,在每次打开附件前先进行病毒扫描。 ,五,不得向朋友/同事发送或转发不适当或有害的资料～并应阻止他们向你发送类似资料。 ,六,除非是在适合普通的业务过程且是可接受的通讯形式～卡中心提供的电子邮件系统不得用于传递: , 可能导致违反相关或者发出国或到达国法 律,例如数据保护或知识产权方面的法律,的文 件, , 包含公开后可能导致中心声誉损害或给中心带 来商业劣势的信息或数据, ,七,凡邮件内容达到密级“内部使用”及以上的～不得通过私人邮箱收发。 ,八,如邮箱中收到其他人员误发的邮件(特别是含有卡中心商业秘密的邮件～如“一般商密”以上文件或数据)～用户有义务告知发件人并主动删除该邮件。 第十二条 存储介质的安全 ,一,凡载有卡中心业务信息的介质,包括磁带、光盘、磁盘、盒式带、U盘、移动硬盘等,～只能在卡中心中使用。如确实有工作需要需携出卡中心工作场所以外的～分类为保密或机密的信息按照《交通银行商业秘密信息管理规定》中的规定处理～其它信息由部门经理批准。 ,二,使用卡中心的系统软件、系统备份用介质～应按规定手续办理～及时归还。未经信息科技部批准～不得携出公司。 ,三,凡载有卡中心内部信息～已损坏不能继续使用的介质,磁带、光盘、磁盘、盒式带、U盘、移动硬盘,一律交信息科技部统一登记、销毁。 ,四,凡载有卡中心内部所有的系统软件、系统备份及相关信息的介质～由信息科技部统一保管。 第十三条 打印机的使用及输出控制 ,一,卡中心的所有打印机仅可用来打印与卡中心业务有关的内容～严禁打印私人文件。 ,二,打印输出控制是最终用户的责任。最终用户,员工, 在打印完毕后～应立即将打印好的资料取走。对于卡中心“一般商密”及以上的信息,分类定义参见《交通银行商业秘密信息管理规定》,～最终用户应保证打印过程中～信息不会泄露给无关人员。 ,三,对于报废的打印件～最终用户应根据其所含信息的密级～分别处理。含保密信息的打印件须经碎纸机切碎处理～不可重复利用。 第十四条 共享设臵 如需将用户资源在卡中心网络中与其他同事共享～应将访问控制设臵为“用户级访问控制”～且仅授予共享人员满足业务需要的最低权限～通常为“只读”权限。当业务需要不再存在后～应及时撤消相关的授权。 第十五条 信息的安全控制 ,一,卡中心保密信息的分类原则 卡中心的保密信息包括任何形式的信息～如:硬拷贝文档、电子邮件、在线信息、软拷贝文档、源代码、目标代码等。按照保密程度的不同～细分为如下四类: , 核心商密 信息包含组织最重要的秘密～关系未来发展的前途命运～对 组织根本利益有着决定性的影响～如果泄露会造成灾难性的 损害。如:卡中心核心系统业务参数表及操作员密码、主机 系统数据库数据、包含客户ID及详细联系方式等信息的客户 数据。 , 重要商密 信息包含组织的重要秘密～其泄露会使组织的安全和利益受 到严重损害。如:管理层定期审阅的各种运营报告、月度报 告、年度报告、财务分析报告、内部审计报告等。 , 一般商密 信息包含组织的一般性秘密～其泄露会使组织的安全和利益 受到损害。如人事政策、人事信息、内部培训材料、法律调 查表及合规表等。 , 内部使用 仅能在组织内部或在组织内某一部门内公开的信息～向外扩 散有可能对组织的利益造成轻微损害。如卡中心内部办公管 理规定、条例等。 详细分类参见交银党委密20087号文件 ,二,对卡中心保密信息的控制 , 凡属上面定义的保密信息～其所有者必须定义好该 保密信息的发布范围～将保密信息仅提供给有业务需要必须知道的人～且须将保密信息放臵在除“须知者”外其他人无法访问到的地方, , 在所有卡中心保密信息的每一页上都必须明确标注 “保密”或“机密”字样。对于保密的电子邮件～可在“主题”栏中注明。对于无法注明的～应口头通知信息接收者, , 对于卡中心保密信息以外的所有卡中心信息～其使 用范围除非特别注明仍应局限在卡中心内部。未经上级经理许可～不得随意向外透露。 , 在非必要的情况下～员工办公桌面禁止摆放带有保 密信息的文件～员工日常的含有保密信息的文件应当妥善保存在各人的抽屉中～并加锁保护。 第十六条 卡中心安全职责 ,一,CEO/DCEO承担对卡中心的信息安全总体责任。 ,二,信息科技部是卡中心负责信息安全的职能部门～有责任、权利和义务保证卡中心的信息安全。 ,三,各部门的负责人有责任承担本部门的信息安全工作的职责。 ,四,员工应对自身行为的信息安全负责。 ,五,员工在发现系统异常、网络速度大幅下降、密码被篡改、影响业务、财产或声誉的事件或其它可疑情况时～应及时向本部门信息安全联络员以及上一级管理人员报告。部门信息安全联络员在接到安全事件报告后应及时以手头和书面向信息安全主管部门进行上报。