bm39员工违规行为积分管理条例Word文件下载.docx
《bm39员工违规行为积分管理条例Word文件下载.docx》由会员分享,可在线阅读,更多相关《bm39员工违规行为积分管理条例Word文件下载.docx(26页珍藏版)》请在冰点文库上搜索。
(八)客户投诉;
(九)其他渠道。
第十五条对违规行为进行积分,应当对事实和情节进行验证核实,并通知当事人,当事人有权申辩。
第十六条按照《违规行为积分处罚标准》需要积分,且当事人对违规事实没有异议的,由积分管理领导小组授权其执行小组当场积分,将积分情况填入《违规行为积分记录单》。
第十七条对违规人员积分后,违规人员如无异议,执行人员应在两日内向执行小组提交当事人签字确认的《信息技术部员工违规行为积分记录单》,由执行小组组长审核后备案,并据以填写《信息技术部员工违规行为积分卡》。
第十八条工作人员对积分处罚不服的,应在积分之日起2日内,执《违规行为积分记录单》向执行小组申诉,执行小组应在2日内予以答复;
员工对答复仍不满意的,可通过执行小组向积分管理领导小组申请复审,积分管理领导小组应在2日内作出复审决定。
申诉期间,不影响积分处罚的执行。
第十九条对及时有效制止、举报违规行为,堵截案件,化解风险,避免信息安全事件发生的或有其他立功表现的工作人员,经积分管理领导小组审议,如果当年有积分的,可以适当免除部分或全部积分。
第四章积分结果运用
第二十条建立信息技术部员工违规积分管理档案。
第二十一条积分管理档案包括《信息技术部员工违规行为积分记录单》、《信息技术部员工违规行为积分卡》、业务检查和调查资料、工作人员违规行为积分管理领导小组会议纪要以及其他需要列入档案管理的文件、资料。
工作人员个人违规行为积分卡一式两份,分别由执行部门和本人保管。
第二十二条对违规人员行为积分实行黄、橙、红牌制;
季度累积积5分—10分(含),给与黄牌警告,不作为绩效收入、评优、评先、参考依据;
季度累积积10分—15分(含),给与橙牌严重警告,作为绩效收入、评优、评先、参考依据;
季度累积积15分以上,给与红牌记过,作为绩效收入、评优、评先、重要参考依据。
对在风险防范工作中成绩显著、有突出贡献且全年积分为零的工作人员可给予柔性激励,或在绩效考核时予以考虑。
第二十三条每季度末公布本季度积分情况,本季度积分不再累计到下季度处罚。
第二十四条积分结果仅在信息技术部内运用,员工在建设银行河南省分行信息技术部内交流、轮岗、调动时,已有积分继续有效,本人保管的违规行为积分卡继续有效。
第五章附则
第二十五条本办法由建设银行河南省分行信息技术部负责解释。
第二十六条本办法自发布之日起施行。
附件:
1.信息技术部员工违规行为积分记录单
2.信息技术部员工违规行为积分卡
3.信息技术部违规行为积分标准
附件一:
信息技术部员工违规行为积分记录单
中心(组)
员工姓名
时间
执行人员
违规事项及积分意见:
执行人员:
年月日
当事人意见:
员工:
年月日
是否申诉:
员工:
申诉回复:
执行小组:
是否复审
员工:
复审意见
积分管理小组:
附件二:
信息技术部员工违规行为积分卡
中心(组):
员工姓名:
年季度
序号
违规事项摘要
积分
时间
附件三:
信息技术部违规行为积分标准
违规行为
积分分值
涉及岗位
1
基础设施类项目
基础设施类项目开发有关的文档资料项目不齐全。
包括:
项目的可行性研究报告、立项申请报告、项目评审报告、项目设计书、测试报告(涉及产品时)、验收报告、项目总结报告等。
(正在进行的项目由项目提出部门负责)
每缺一项扣2分;
缺五项以上,加重处罚1.5倍
机房管理中心;
安全组;
综合组:
设备组
2
信息项目开发类
项目统计表基本要素不齐全。
基本要素包括:
项目名称、项目开发起止日期、项目开发部门(所有参与项目的部门和单位)、项目负责人(项目经理、技术经理)、项目成员(按部门和单位列明成员)、项目费用决算、项目类型(按以下类别划分:
应用开发类项目、基础设施类项目、信息研究类项目;
新建项目、续建项目、优化改造项目;
全行统一规划项目、总行本级项目、分行项目;
行内自行开发、与公司合作开发、外包)。
(正在开发移交前的项目由软件开发中心负责,开发完毕移交后的项目由综合组负责)
缺五项以上,加重处罚1.5倍。
软件开发中心;
综合组
3
新产品开发类项目开发有关的文档资料项目不齐全。
项目任务书、业务需求报告、项目设计书、测试报告、上线试运行申请、安全需求分析说明书、验收报告、项目总结报告、软件包等。
(正在开发的项目由软件开发中心负责,开发完毕的项目由综合组负责;
对于一些在产品部的资料,不全免于积分)
每缺一项扣1分;
4
各应用系统缺少相关的运行情况通报
视情节轻重扣1-5分
应用支持中心
5
未对基础设施类项目的必要性、可行性进行了分析论证,并形成《可行性研究报告》。
6
基础设施类重大项目未组织专家进行论证。
重大项目指资本性支出在1000万元以上(含)的分行项目。
7
基础设施类项目立项上线审批手续和文档资料不完整、不规范。
8
基础设施类资本性支出在1000万元以上(含)的分行项目未报总行审批;
资本性支出在1000万元以下的分行项目未报总行备案。
视情节轻重扣5-10分
9
未制定符合规范的《需求分析说明书》、《概要设计说明书》和《详细设计说明书》;
各文档未经过评审。
软件开发中心
10
没有项目开发计划方案;
各要素不齐全。
软件开发中心(基础设施类项目由机房管理中心;
设备组负责)
11
对于合作开发项目或外包项目,未制定验收标准,未对其安全性和与安全相关的文档进行审查。
12
对于合作开发项目或外包项目,未对公司提出了明确的安全要求并反映在合同中。
13
项目进度延期(属项目控制不利的)和质量达不到标准。
软件开发中心(基础设施类项目由牵头部门;
14
编程人员未严格按照规范编写代码。
15
软件版本的管理不严格,未向系统开发各环节提供正确、完整、一致的源代码和执行码版本。
16
测试文档不完整,系统在测试过程中未得到充分测试
17
系统上线试运行前,未制定上线方案并编制相应的操作手册和业务手册;
未制定应急预案或应急预案内容不全面、可操作性差。
18
应用系统的修改和优化未进行测试和记录。
19
项目的版本升级未按照项目版本升级管理办法进行严格控制。
20
项目组未设立安全员;
安全员未有效按照计算机系统开发安全管理实施细则履行相应职责。
21
安全产品不在选型范围内,未报请总行审批。
22
软件开发完成后,未按照保密管理办法明确与安全有关文档的密级以及借阅使用人员的范围。
23
移动存储设备带离开发环境,审批手续不规范,登记不及时。
24
软件在开发及应用过程中未及时跟踪和补救系统软件厂商发布的系统安全漏洞,未及时增打安全补丁程序。
25
来自生产主机的数据未进行保密处理,在开发环境中使用了生产主机系统的密钥和用户密码等数据。
机房管理中心
26
软件系统上线前未进行针对后门、木马、隐蔽信道等可疑程序和其他安全漏洞的检测(目前,由于我部没有在unix环境下的安全工具,因此暂不作为扣分依据)
27
与公司合作开发和外包的项目,未签定安全保密协议。
视情节轻重扣10-15分
28
对于外包开发的项目,未委派专人参加项目设计和开发的全过程,未根据合同条款实施。
29
信息技术档案管理不规范。
如资料未及时、统一归档,资料不齐全,各类文档、源码、执行程序等资料的借阅缺少严格的审批手续。
30
违反总行计算机安全审计管理办法,出现开发人员、运行人员、测试/维护人员、业务人员存在工作交叉的现象。
应用支持中心
31
未检查系统业务处理正确性。
主要包括系统控制业务风险的完备性、业务处理流程的合规性、系统账务处理的正确性、及时性以及系统输出结果的完整准确性等内容。
每缺一项扣2分,缺五项以上,加重处罚1.5倍
应用支持中心;
32
未定期对机房的环境、出入、秩序、消防等安全管理规定的执行情况进行检查。
每缺一项扣2分,缺三项以上,加重处罚1.5倍
安全组
33
文档类
未对出入运行机房的非运行人员、外单位人员及设备进行严格审批并登记。
34
部内运行机构未设立兼职安全员
35
应用支持中心未制定供电、空调、消防等系统的维护计划及紧急情况应急方案,并严格执行。
36
运行机房未与业务操作场所分离
37
运行机房的设备(摆放)、线路的变更未按规定进行审批,未在2人以上进行,未及时更新机房档案。
38
机房未实行二十四小时双人值班制
49
机房值班人员未按照要求进行监控并登记监控内容
40
主机房值班人员未按要求备份数据,并严格履行登记、保管和交接手续。
41
主机系统出现系统宕机、停电、网络瘫痪等重大问题时,未及时处理;
主机房值班人员未及时报告重大问题,未详细记录问题的现象、处理过程、处理人员及处理结果。
每发生一次扣5分,二次以上,加重处罚1.5倍
42
机房值班人员未办理交接手续,存在脱岗现象
脱岗、未办理了交接手续一次扣5分,二次以上,加重处罚1.5倍
43
本部运行机构未制定系统定期维护计划,未严格执行维护计划。
机房管理中心
44
修改系统参数,未经本部运行机构负责人批准,操作前未进行系统备份,非双人临岗,操作后详细记录并归档。
未经运行机构负责人批准一次扣5分,二次以上,加重处罚1.5倍
45
业务数据库的访问没有严格的审批授权制度
46
未经过有关领导审批修改主要业务系统运行网络参数、改变网络连接方式、增减节点等,未及时更新网络运行档案。
未经过申请审批一次扣5分,二次以上,加重处罚1.5倍
47
未经过信息技术部门负责人的批准,远程登录主机系统进行维护;
未对登录者的合法性进行审查;
登录结束后未及时更改相关口令,未详细记录远程登录的情况。
未经批准一次扣5分,二次以上,加重处罚1.5倍
48
重要计算机信息(业务)系统未限制使用ftp、telnet等安全性较低的服务
未制定主机房网络系统维护计划;
未定期备份网络配置参数;
未及时更新网络运行档案。
50
主机系统密钥管理不严格
51
计算机用户口令设置未按信息系统口令管理办法设置(由字母数字组合),口令过于简单或未设置。
52
未未按信息系统口令管理办法对计算机用户口令进行定期的修改(每月修改一次),口令不保密。
53
主机、路由器等重要设备的超级用户口令、业务数据库工作用户口令未指定专人管理;
未将密码封存并登记口令管理登记簿。
缺一项扣5分,二项以上,加重处罚1.5倍
54
主机系统建立计算机用户未要求填制申请审批报告(表),未经运行机构负责人审批同意。
55
重要的计算机系统未及时地删除多余的计算机用户,并做好记录。
56
对于重要的计算机系统,未制定应急计划,未成立应急计划实施领导小组;
关键的核心业务系统未建立了比较完整的灾备机制。
57
未针对应急计划,对相关技术、业务人员进行培训,并进行演练。
58
应急计划未根据情况的变化及时变更、完善。
59
应急计划未通过信息技术、法律等部门的共同论证和评审。
60
未对重要的数据、系统及应用软件、日志等进行备份
61
备份介质未严格履行登记、保管和交接手续。
62
数据备份介质未异地存放,存储场所物理上不安全(防盗、防潮、防火、防水、防鼠、防虫、防磁、防震)。
每有一项不安全扣2分,五项以上加重处罚1.5倍
63
备份介质管理不完备,未登记入册,借用时未经过审批,保存期限不符合要求,备份介质未标明内容、日期、密级、保存期限等信息,备份数据销毁未履行手续
64
未定期(磁盘半年、磁带三年、光盘八年)采取重绕、重写、复制等维护措施,并进行测试,以保证备份介质的可用性。
65
未设专(兼)职档案管理员
66
本部公文收发未按公文管理办法规定收发、传递及处理文件(含电子文件),并及时登记。
67
安全类
未及时变更计算机安全领导小组(变更频率:
1个月)
68
不了解本岗位相关信息安全管理制度、规定和防范措施。
本部门各个岗位
69
令牌申请未经过严格审批
70
防病毒系统未及时更新和升级了防病毒软件的引擎和病毒定义码
71
重要的信息、业务系统未做到每天通过ftp远程登录防病毒服务器升级防病毒系统病毒引擎和病毒代码库
72
辖区内发生大规模病毒感染。
大规模病毒的确定标准为:
30%以上办公/管理用机或10%以上营业用机感染
每感染一次扣五分,感染二次以上,加重处罚1.5倍
73
PTM单
未及时处理PTM单
74
中心机房基础实施方面
主机房未按照维护计划对UPS、空调、电源设备进行定期维护、保养。
75
各种维护记录文档保管不齐全
76
主机房运行日志记录不规范(过于简单)缺少机房温度、UPS状态巡检记录
77
中心机房电源空气开关、插座未满足负载功率并留有余量,每个空气开关、插座未明确标明其控制范围,缺少过载或人员误操作造成的停电记录。
视情节轻重扣1-10分
78
主机房新设备上线,缺少有关的供电审批手续。
79
主机房监控日志记录不详细完整;
介质保留不规范(环境、期限)。
80
主机房门禁日志记录不完整;
人员调离后未及时从门禁系统中删除。
81
非运行人员及外单位人员进入机房未履行相应手续或登记信息不全
82
网络方面项目文档不齐全。
立项申请、论证报告、可行性研究报告、审批文件(总行或一级分行)、验收报告、测试报告、合同或协议、技术文档(包括IP地址的规划方案、Internet的接入方案、网络设备端口分配、参数配置、线路备份等)、项目总结、以及项目实施过程中发生方案变更的有关文档。
83
场所文件中的《主机系统、网络巡检表》、《主机系统、网络分析报告》、《主机系统、网络维护登记薄》、《数据维护登记》、《计算机网络运行检查报告及事故处理报告》等信息记录不齐全、不详细。
84
重大操作(如:
修改网络系统配置参数、分配IP地址等)缺少审批手续。
未经负责人批准一次扣5分,二次以上,加重处罚1。
5倍
85
主机系统未定期检查防火墙等安全设备的配置和分析审计日志
86
未及时关闭网络系统暂时不用的网络设备端口,形成安全隐患
87
设备管理
报废计算机设备未经有关领导审批;
报废计算机设备中存有的程序、数据及其它资料数据未及时清除。
设备组;
本部服务组
88
未认真履行计算机设备消耗品与备品备件领用手续
89
设备外出维护,未经部领导审批;
未及时对其进行病毒检查、清除重要信息。
90
由省行信息技术部牵头购买的计算机设备未经过信息技术部门、设备使用部门组成的设备验收小组的验收,设备验收报告(单)未由验收人员签字确认并送同级集中采购办公室。
91
计算机设备、耗材领用审批手续不齐全;
计算机设备、耗材出入库登记簿记录信息不详实。
设备组,本部服务组
92
本部固定资产账、登记簿与实物不相符。
93
计算机设备、耗材发放经办人员未在设备领用单上签字确认。
94
本部计算机设备出入库登记簿、设备出库单,办理日期不一致。
95
未按照相关规定对信息技术供应商进行管理或管理存在欠缺(如信息不全等)
96
计算机设备、耗材采购合同的履行不及时,存在未按照合同付款现象。
97
由省行信息技术部牵头进行的采购,合同保管不善,存在丢失现象。
98
本部设备维修登记簿登记不详细,存在漏登记现象。