《信息安全惩戒管理规定》由会员分享,可在线阅读,更多相关《信息安全惩戒管理规定(8页珍藏版)》请在金锄头文库上搜索。
1、关键字】管理信息科技部信息安全惩戒管理规定A版发布 实施目录文件修订历史记录1 目的为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖 惩,并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑,强化全体员工的信息 安全意识,有效防止信息安全事故的发生,特制定本规定。2 范围本程序适用于阜新银行信息科技部对违反信息安全方针、体系文件要求、法律法规、合同要求的员工的奖惩及对信息安全做出贡献员工的奖励。3 相关文件4 职责4.1 各副总经理负责自己区域内的奖惩。4.2管理者代表负责对IT方面信息安全事故的奖惩管理。4.3 信息安全管理委员会负责决定重大信息安全和事故的处
2、罚。4.4 综合管理员负责阜新银行信息科技部内部泄密或信息泄漏的调查。5 程序5.1 计算机信息系统的安保,由市行、市行所辖各单位或公安机关给予表彰、奖励。存在计算机信息系统安全隐患的市行所辖单位,由市行或公安机关发出整改通知,限期整 改。因不及时整改而发生重大事故和案件的,由市行对该单位的主管负责人和直接负责人予 以行政处分;构成违反治安管理或者违反计算机管理监察行为的,由公安机关依法予以处罚; 构成犯罪的,由司法机关依法追究刑事责任。注:以上条款由阜新银行信息科技部计算机信息系统安全保护小组负责解释。5.2 计算机应用与管理违规行为处罚规定计算机应用、维护及操作人员违反规定对账务、信息进行
3、处理的,给予经济处罚或者警告 至降级处分;造成严重后果的,给予撤职至开除处分。违反规定,擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的,给予主管 人员和其他责任人员记过至撤职处分;造成严重后果的,给予主管人员和其他责任人员留用 察看至开除处分。利用计算机进行违法违规活动或者为违法违规活动提供条件的,给予主管人员和其他责任 人员记过撤职处分;造成严重后果的,给予留用至开除处分。违反规定,有下列危害阜新银行网络安全行为之一的,给予有关责任人员经济处罚或者警 告至记过处分;造成严重后果的,给予记大过至开除处分:(a) 在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和
4、 网络的(含从阜新银行的一个业务系统加入另一个业务系统,从阜新银行以外的系统和设备 侵入阜新银行业务网络系统,以及从阜新银行的业务网络系统加入阜新银行以外的网络系 统);(b) 未经审批,私自使用阜新银行内部网络上的计算机拨号上国际互联网的;(c) 将非阜新银行计算机设备接入阜新银行网络系统的;(d) 私自卸载或屏蔽计算机安全软件的;(e) 私自修改计算机操作系统、网络系统安全设置的;(f) 未经审批,私自在阜新银行网络系统内开设游戏网站、论坛、聊天室等与工作无 关的网络服务的;(g) 利用邮件系统传播损害阜新银行形象的邮件的。,给予主管人员和其他责任人员记过至记大过处分;造成严重后果的,给予
5、主管人员和其他 责任人员降级至开除处分。计算机房值班人员擅自离岗的,给予经济处罚或者警告处分;造成严重后果的,给予记过 至开除处分。系统管理和操作人员离开主机或者终端时没有按操作规程退出系统的,给予经济处罚或者 警告至记过处分;造成严重后果的,给予记大过至开除处分。违反规定将属于阜新银行的计算机软件、文档、资料、客户信息等据为己有、复制或者借 给外单位的,给予有关责任人员记过至撤职处分;造成严重后果的,给予留用察看至开除处 分。未按规定进行数据备份、没有妥善保管备份数据或备分数据无效的,给予主管人员和其他 责任人员经济处罚或者警告至记过处分;造成严重后果的,给予记大过至开除处分。在对面向客户的
6、业务应用系统管理中,从事后台维护的技术人员,违反规定同时进行前台 技术维护的,给予主管人员和其他责任人员记过至记大过处分;造成严重后果的,给予降级 至开除处分。,技术人员代替业务人员操作,或业务员允许技术人员代替从事业务操作,给予主管人员和 其他责任人员记过至开除处分。在电子银行业务中,有下列行为之一的,给予主管人员和其他责任人员警告至 降级处分;造成严重后果的,给予撤职至开除处分:(a) 违反规定,套取客户用户名、口令等机密信息的;(b) 违反规定,复制、截留客户电子证书的;(c) 冒用客户名义,伪造相关资料,骗取电子证书的。,给予主管人员和其他责任人员警告至降级处分;造成严重后果的,给予撤
7、职至 开除处分。5.3 计算机信息类违规处罚,给系统造成一定的影响,但没有影响业务正常运行或对业务造成轻微危害者, 给当事人警告或严重警告、情节较重或严重者,视情节轻重给予当事人和主管领 导 200 元以上 1000 元以下罚款。,影响业务长时间正常运行,立即调离信息科技部,情节严重者,按照市行的有 关规定处罚。,出现公网和内网混网现象,或其它安全问题,一经发现,除全行通报批评外, 处以200 元罚款,情节严重者,调离系统员岗位。,违规私自修改网络地址进入不该进入的业务网段、或使用内网主机进入in ter net 网络者,若对系统和业务未造成影响,除全行通报批评外,处以当事人和相关责 任人20
8、0元罚款,若对系统或业务造成影响着,视情节轻重,处以500以上10000 元以下罚款。,未做网点平账交易,除全行通报批评外,处以该网点200 元罚款,该单位第二 天必须向信息科技部出具事件说明报告。,进入我行业务系统,盗取客户资料,向外界提供客户资料并造成客户损失或进 入系统作案者,一经发现,立即开除行籍,情节严重者,送交司法机关处置。5.4 奖惩记录5.4.1 综合管理员根据阜新银行信息科技部奖惩管理规定,对奖惩的实施进行记 录并形成奖惩记录单记录完毕后由综合管理员进行留存。5.5 证据的收集5.5.1 当信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织 进行起诉时,应收集、
9、保留和呈递证据,以使证据符合相关诉讼管辖权。5.5.2 证据在收集时不得侵犯个人权益,应在不侵犯个人权益时对证据进行收拾 并且证实证据是否可在法庭上使用。5.5.3 应保证证据的质量和完备性,防止未被授权的篡改和泄漏。5.5.4 证据获得的保证:阜新银行信息科技部应确保收集证据其信息系统符合任 何公布的标准或实用规则来产生被容许的证据。5.6 证据的保存及提供5.6.1 提供证据的份量应符合任何适用的要求。对该证据的存储和处理的整个时 期内,应进行过程控制保证证据的质量和完备性。5.6.2 纸面文档证据的提供:原物应被安全保存且带有下列信息的记录:谁发现 了这个文档,文档是在哪儿被发现的,文档
10、是什么时候被发现的,谁来证明这个 发现;任何调查应确保原物没有被篡改;5.6.3 对计算机介质上的信息:任何可移动介质的镜像或拷贝(依赖于适用的要 求)、硬盘或内存中的信息都应确保其可用性;拷贝过程中所有的行为日志都应 保存下来,且应有证据证明该过程;原始的介质和日志(如果这一点不可能的话, 那么至少有一个镜像或拷贝)应安全保存且不能改变5.6.4 任何法律取证工作应仅在证据材料的拷贝上进行。所有证据材料的完整性 应得到保护。证据材料的拷贝必须在可信耐人员的监督下进行,什么时候在什么 地方执行的拷贝过程,谁执行的拷贝活动,以及使用了哪种工具和程序,这些信 息都应记录作为日志。6 记录奖惩记录单奖惩记录单此文档是由网络收集并进行重新排版整理.word可编辑版本!
