人员安全管理规定.pdf

《人员安全管理规定.pdf》由会员分享，可在线阅读，更多相关《人员安全管理规定.pdf（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、人员安全管理规定 Jenny was compiled in January 2021人人员员安安全全管管理理制制度度第一章第一章 总总则则第一条第一条为了切实保障的信息系统安全，根据国家信息安全法规，制定第二条第二条第三条第三条第四条第四条第五条第五条本管理办法。为有效控制信息科技相关岗位风险，保护信息资产安全，按照内部控制管理相关要求，做好岗位管理、控制工作，并指导、检查、督促所辖机构的岗位设置、职责划分及岗位管理状况。结合业务发展的需要，对数据、软件、文档等重要保密资料保密要求，将安全保密工作规范化、制度化，保障计算机工作的安全、可靠，更好地促进电子建设，同时提出员工在招聘、上岗、离职等

2、过程中应采取的信息安全管理措施，建立员工信息安全教育、培训制度，明确安全管理要求，降低人员信息安全风险，提高信息安全管理水平。本办法适用于所有员工。第二章第二章信息科技岗位控制要求信息科技岗位控制要求信息科技岗位设置应符合授权有限、相互制约的要求，并相容岗位的职责必须分离，包括但不限于：应用开发、测试系统维护职责分离，系统管理使用职责分离，用户管理与使用职责分离，安全管理与其他岗位职责分离等。为了保证信息系统安全、稳定、持续的运行，满足岗位内控管理的要求，避免由于从业人员辞职、岗位变动、出差、休假或第六条第六条第七条第七条第八条第八条第九条第九条其它原因对系统运维造成的影响，对信息科技岗位必须

3、建立岗位 A/B 角制度，在条件允许的情况下，关键岗位还应设置 C角，各级信息科技职能部门应制定相应的制度、流程和考核办法确保 A/B 角制度落到实处。关键岗位是指在信息系统生产运行过程中可接触到等级为敏感级以上信息资产的信息科技岗位；选拔关键岗位人员时，应对被选拔者的相关背景和资历进行审查，考试合格后，方可上岗工作；关键岗位人员必须是正式员工，并签署与门的保密协议。信息安全管理岗位属于关键岗位，必须保持独立性；各级任职信息安全管理人员应经与部门的技术考试合格后，方可上岗工作；应逐步实施信息安全管理岗位人员持证上岗，不具有信息安全与业技术背景和资质的人员不得从事信息安全管理工作。为做好关键岗位

4、风险控制，有效防范和规避关键岗位员工操作风险和道德风险，关键信息科技岗位原则上应每四年进行轮换；在关键岗位轮换时须对原岗位人员进行离任审计，以确保对离任人员的风险控制。所有信息科技岗位的员工必须签署保密协议；在员工上岗前应被再次告知相应的保密责任和义务；员工在工作过程中有义务接受信息安全和保密知识的教育和培训。第三章第三章计算机安全保密工作计算机安全保密工作第十条第十条计算机软件、数据、技术文档口令等严格控制在一定范围内，未经批准不得被无关人员接触，更不能流出行外，以保证安全性。第十一条第十一条计算机安全保密工作的指导思想是以预防为主，各单位要加强对有关人员的思想教育，防患于未然。第十二条第十

5、二条信息技术部领导要经常性地检查计算机数据资料及各岗位人员的工作，及早发现问题，避免损失。第十三条第十三条发现问题要及时上报信息技术部，不得以任何方式隐瞒、掩盖。第十四条第十四条对于违反制度的人员和单位，严格按有关规定处理，直至送交司法机关。第十五条第十五条权限分系统用户、网络用户、数据库用户三类。具体用户设置和口令权限见“计算机系统用户及口令权限配置表”。第十六条第十六条为防意外情况发生，各系统的最高权限口令要密封后，存保险柜中，并以磁介质形式存放信息技术部，保证及时更新。第十七条第十七条口令禁止共享。具体安全保密细则请参考计算机岗位安全保密纪律细则。第四章第四章对全体员工的信息安全基本要求

6、对全体员工的信息安全基本要求对全体员工的信息安全要求，包括但不限于以下条款：第十八条第十八条禁止利用计算机资源制造、传播违反国家法律法规的信息；第十九条第十九条掌握所在岗位需要的计算机信息安全知识；妥善保管计算机系统中的重要文件和数据；妥善保管身份认证凭据（如用户帐号、密码、数字证书等）；第二十条第二十条严禁自行更改所使用计算机系统的软硬件配置；严禁在计算机设备上安装、使用盗版软件、工作无关的软件或非授权数据介质（如软盘、光盘、优盘和移动硬盘等）；第二十一条第二十一条计算机桌面设备是固定资产，所有员工有义务和责任爱护并正确使用；桌面计算机必须安装防病毒软件，及时更新补丁，并定期检查更新情况；未

7、经审批，桌面计算机不得与外单位网络及互联网连接；禁止在非授权情况下将桌面计算机同时接入互联网和内部网络；第二十二条第二十二条离开工位时，必须将办公电脑启动屏幕保护程序或保持注销状态，并采用口令进行保护；非必要时，不能将计算机设备提供他人使用，（特别是非本单位人员）；未经设备保管人同意，不能擅自使用他人计算机设备；第二十三条第二十三条发现可疑计算机安全相关的事件时，有责任和义务及时报告；有责任和义务自觉接受信息中心门在信息安全防范方面的管理、监督和检查；第二十四条第二十四条有义务参加信息安全教育和培训。以上要求应包含在员工招聘、上岗、员工行为管理及教育培训过程中。第五章第五章员工招聘与离职员工招

8、聘与离职第二十五条第二十五条员工招聘过程中，与新员工签定的劳动合同或其它协议中应明确员工的信息安全责任，并应包括信息安全相关的保密条款，如有需要，合同中应明确该责任在结束合同关系一段特定的时间内仍然有效。第二十六条第二十六条信息科技关键岗位人员的招聘，应明确该岗位在信息安全方面的要求，并对应聘人员的相关背景进行严格审查；相关岗位人员应签署与门的保密协议，如有需要，保密协议中应明确在结束合同关系一段特定的时间内仍然有效。第二十七条第二十七条员工离职（包括岗位变动、解除劳动关系等）相关规定中应包括信息安全审查的相关内容，审查应包括以下方面：（一）（一）当员工发生岗位变动时，应按有关规定办理离职手续

9、。（二）（二）离职员工原岗位使用的各类信息系统用户是否已完成交接或被关闭；（三）（三）离职员工是否签署保密协议，若已签署保密协议应检查保密协议中的相关内容，向其重申权益及其应承担的保密义务；（四）（四）离职员工保管的工作资料、信息资产是否已经交回；（五）（五）离职员工使用的各类计算机设备是否已全部交回；（六）（六）信息科技员工及关键岗位员工，应立即取消其在原岗位的系统权限，及时更改相应系统的相关用户密码，确保密码、设备、资料及相关敏感信息等的移交。（七）（七）第六章第六章员工信息安全教育与培训员工信息安全教育与培训第二十八条第二十八条为保证信息安全保障体系的完整、有效，应建立信息安全教育和培训

10、制度，信息安全教育和培训应贯穿员工在工作的全过程，包括：新员工入行教育培训、岗前教育与培训和在岗教育与培训。对员工的信息安全教育培训应保存相关记录。第二十九条第二十九条信息安全教育和培训应作为新员工入行教育和培训的重要内容，培训内容应包括但不限于：（一）（一）信息安全及保密管理的基本知识；（二）（二）员工信息安全管理的相关规定和要求；（三）（三）办公自动化系统、Internet 邮件系统、内部网络和桌面办公设备等计算机资源的正确使用和信息安全保护基本要求；（四）（四）最新的信息安全总体策略；（五）（五）信息安全事件的报告流程。第三十条第三十条员工上岗前所在机构或部门的管理人员应向其申明本机构或

11、部门的信息安全管理要求和责任。（一）（一）员工的岗前教育培训应包括本岗位密切相关的计算机信息安全管理要求培训，对本岗位中信息安全的关键控制点应着重向员工申明。（二）（二）信息科技员工的岗前教育培训中，还应包括职业道德、行为规范、奖惩措施、信息安全管理制度和规范等方面的教育和培训内容。第三十一条第三十一条在岗员工应定期接受信息安全教育，主动学习、掌握最新的信息安全管理制度和规范。（一）（一）在信息安全总体策略、相关管理制度和规范发生变化后，应及时向在岗员工发布；（二）（二）对在岗员工的信息安全基本要求、奖惩措施、信息安全事件报告流程等应纳入员工守则或另行编制成册，及时向在岗员工发布。第三十二条第三十二条信息科技各相关部门应定期组织对部门内所有员工的信息安全教育和培训，教育和培训内容包括但不限于：及时向员工发布最新的信息安全管理策略、制度和规范，每年至少组织一次部门内的信息安全与题培训，及时向员工通报典型的信息安全事件及处理情况等。第七章第七章附附则则第三十三条第三十三条本标准由信息技术部负责解释。第三十四条第三十四条本标准自颁布之日起实行。