信息安全管理制度汇编41903.pdf

《信息安全管理制度汇编41903.pdf》由会员分享，可在线阅读，更多相关《信息安全管理制度汇编41903.pdf（133页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 内部资料 注意保存 XXXXXXXXXX 信息安全制度汇编 XXXXXXXXXX 二一六年一月 目录 一、总则.错误!未定义书签。二、安全管理制度.错误!未定义书签。第一章 管理制度.错误!未定义书签。1.安全组织结构.错误!未定义书签。信息安全领导小组职责.错误!未定义书签。信息安全工作组职责.错误!未定义书签。信息安全岗位.错误!未定义书签。2.安全管理制度.错误!未定义书签。安全管理制度体系.错误!未定义书签。安全方针和主策略.错误!未定义书签。安全管理制度和规范.错误!未定义书签。安全流程和操作规程.错误!未定义书签。安全记录单.错误!未定义书签。第二章 制定和发布.错误!未定义书签

2、。第三章 评审和修订.错误!未定义书签。三、安全管理机构.错误!未定义书签。第一章 岗位设置.错误!未定义书签。1.组织机构.错误!未定义书签。2.关键岗位.错误!未定义书签。第二章 人员配备.错误!未定义书签。第三章 授权和审批.错误!未定义书签。第四章 沟通和合作.错误!未定义书签。第五章 审核和检查.错误!未定义书签。四、人员安全管理.错误!未定义书签。第一章 人员录用.错误!未定义书签。1.组织编制.错误!未定义书签。2.招聘原则.错误!未定义书签。3.招聘时机.错误!未定义书签。4.录用人员基本要求.错误!未定义书签。5.招聘人员岗位要求.错误!未定义书签。6.招聘种类.错误!未定义

3、书签。外招.错误!未定义书签。内招.错误!未定义书签。7.招聘程序.错误!未定义书签。人事需求申请.错误!未定义书签。甄选.错误!未定义书签。录用.错误!未定义书签。第二章 保密协议.错误!未定义书签。第三章 人员离岗.错误!未定义书签。第三章 人员考核.错误!未定义书签。1制定安全管理目标.错误!未定义书签。2.目标考核.错误!未定义书签。3.奖惩措施.错误!未定义书签。第四章 安全意识教育和培训.错误!未定义书签。1.安全教育培训制度.错误!未定义书签。第一章 总 则.错误!未定义书签。第二章 安全教育的含义和方式.错误!未定义书签。第三章 安全教育制度实施.错误!未定义书签。第四章 三级

4、安全教育及其他教育内容.错误!未定义书签。第五章 附则.错误!未定义书签。第五章 外部人员访问管理制度.错误!未定义书签。1.总 则.错误!未定义书签。2.来访登记控制.错误!未定义书签。3.进出门禁系统控制.错误!未定义书签。4.携带物品控制.错误!未定义书签。五、系统建设管理.错误!未定义书签。第一章 安全方案设计.错误!未定义书签。1.概述.错误!未定义书签。2设计要求和分析.错误!未定义书签。安全计算环境设计.错误!未定义书签。安全区域边界设计.错误!未定义书签。安全通信网络设计.错误!未定义书签。安全管理中心设计.错误!未定义书签。3针对本单位的具体实践.错误!未定义书签。安全计算环

5、境建设.错误!未定义书签。安全区域边界建设.错误!未定义书签。安全通信网络建设.错误!未定义书签。安全管理中心建设.错误!未定义书签。安全管理规范制定.错误!未定义书签。系统整体分析.错误!未定义书签。第二章 产品采购和使用.错误!未定义书签。第三章 自行软件开发.错误!未定义书签。1.申报.错误!未定义书签。2.安全性论证和审批.错误!未定义书签。3.复议.错误!未定义书签。4.项目安全立项.错误!未定义书签。5.项目管理.错误!未定义书签。概要.错误!未定义书签。正文.错误!未定义书签。第四章 工程实施.错误!未定义书签。1.信息化项目实施阶段.错误!未定义书签。2.概要设计子阶段的安全要

6、求.错误!未定义书签。3.详细设计子阶段的安全要求.错误!未定义书签。4.项目实施子阶段的安全要求.错误!未定义书签。第五章 测试验收.错误!未定义书签。1.文档准备.错误!未定义书签。2.确认签字.错误!未定义书签。3.专人负责.错误!未定义书签。4.测试方案.错误!未定义书签。第六章 系统交付.错误!未定义书签。1.试运行.错误!未定义书签。2.组织验收.错误!未定义书签。第七章 系统备案.错误!未定义书签。1.系统备案.错误!未定义书签。2.设备管理.错误!未定义书签。3.投产后的监控与跟踪.错误!未定义书签。第八章 安全服务商选择.错误!未定义书签。六、系统运维管理.错误!未定义书签。

7、第一章 环境管理.错误!未定义书签。1.机房环境、设备.错误!未定义书签。2.办公环境管理.错误!未定义书签。第二章 资产管理.错误!未定义书签。1.总则.错误!未定义书签。2.资产管理制度.错误!未定义书签。第三章 介质管理.错误!未定义书签。1.介质安全管理制度.错误!未定义书签。计算机及软件备案管理制度.错误!未定义书签。计算机安全使用与保密管理制度.错误!未定义书签。用户密码安全保密管理制度.错误!未定义书签。涉密移动存储设备的使用管理制度.错误!未定义书签。数据复制操作管理制度.错误!未定义书签。计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度错误!未定义书签。第四章 设备

8、管理.错误!未定义书签。1.主机、存储系统运维管理.错误!未定义书签。2.应用服务系统运维管理.错误!未定义书签。3.数据系统运维管理.错误!未定义书签。4.信息保密管理.错误!未定义书签。5.日常维护.错误!未定义书签。6.附件：安全检查表.错误!未定义书签。第五章 监控管理和安全管理中心.错误!未定义书签。1.监控管理.错误!未定义书签。2.安全管理中心.错误!未定义书签。第六章 网络安全管理.错误!未定义书签。第七章 系统安全管理.错误!未定义书签。1.总则.错误!未定义书签。2.系统安全策略.错误!未定义书签。3.系统日志管理.错误!未定义书签。4.个人操作管理.错误!未定义书签。5.

9、惩处.错误!未定义书签。第八章 恶意代码防范管理.错误!未定义书签。1.恶意代码三级防范机制.错误!未定义书签。恶意代码初级安全设置与防范.错误!未定义书签。.恶意代码中级安全设置与防范.错误!未定义书签。恶意代码高级安全设置与防范.错误!未定义书签。2.防御恶意代码技术管理人员职责.错误!未定义书签。3.防御恶意代码员工日常行为规范.错误!未定义书签。第九章 密码管理.错误!未定义书签。第十章 变更管理.错误!未定义书签。1.变更.错误!未定义书签。2.变更程序.错误!未定义书签。变更申请.错误!未定义书签。变更审批.错误!未定义书签。变更实施.错误!未定义书签。变更验收.错误!未定义书签。

10、附件一变更申请表.错误!未定义书签。附件二变更验收表.错误!未定义书签。第十一章 备份与恢复管理.错误!未定义书签。1.总则.错误!未定义书签。2.设备备份.错误!未定义书签。3.应用系统、程序和数据备份.错误!未定义书签。4.备份介质和介质库管理.错误!未定义书签。5.系统恢复.错误!未定义书签。6.人员备份.错误!未定义书签。第十二章 安全事件处置.错误!未定义书签。1.工作原则.错误!未定义书签。2.组织指挥机构与职责.错误!未定义书签。3.先期处置.错误!未定义书签。4.应急处置.错误!未定义书签。应急指挥.错误!未定义书签。应急支援.错误!未定义书签。信息处理.错误!未定义书签。应急

11、结束.错误!未定义书签。5 后期处置.错误!未定义书签。善后处置.错误!未定义书签。调查和评估.错误!未定义书签。第十三章 应急预案管理.错误!未定义书签。1.应急处理和灾难恢复.错误!未定义书签。2.应急计划.错误!未定义书签。3.应急计划的实施保障.错误!未定义书签。4.应急演练.错误!未定义书签。一、总则 为规范 XXXXXXXXXX 信息安全工作，确保全体员工理解信息安全工作与职责，并落实到日常工作中，推动信息安全保障工作的顺利进行，结合 XXXXXXXXXX 的实际情况，特制定本制度。本管理制度所称信息系统安全，包括计算机网络和应用系统（以下简称信息系统）的硬件、软件、数据及环境受到

12、有效保护，信息系统的连续、稳定、安全运行得到可靠保障。信息系统安全管理坚持“谁主管谁负责”的原则，公司的所有部门和员工都应各自履行相关的信息系统安全建设和管理的义务与责任。信息系统安全工作的总体目标是：实施信息系统安全等级保护，建立健全先进实用、完整可靠的信息系统安全体系，保证系统和信息的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应用，支撑公司业务持续、稳定、健康发展。信息系统安全体系建设必须坚持“统一标准、保障应用、符合法规、综合防范、集成共享”的原则。本制度适用于公司所有部门和个人。二、安全管理制度 第一章 管理制度 1.安全组织结构 XXXXXXXXXX安全管理组织应形成由

13、主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式，组织结构图如下所示：组 织 机 构 图 信息安全领导小组职责 信息安全领导小组是由 XXXXXXXXXX 主管领导牵头，各部门的负责人为组成成员的组织机构，主要负责批准 XXXXXXXXXX 安全策略、分配安全责任并协调安全策略能够实施，确保安全管理工作有一个明确的方向，从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下：(一)确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法；(二)审查并批准政府的信息安全策略和安全责任；(三)分配和指导安全管理总体职责与工作；(四)在网络与信息面临

14、重大安全风险时，监督控制可能发生的重大变化；(五)对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信 息系统更改等）进行决策；(六)指挥、协调、督促并审查重大安全事件的处理，并协调改进措施；(七)审核网络安全建设和管理的重要活动，如重要安全项目建设、重要的安 全管理措施出台等；(八)定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进 行审定。信息安全工作组职责 信息安全工作组是信息安全工作的日常执行机构，内设专职的安全管理组织和岗位，负责日常具体安全工作的落实、组织和协调。信息安全工作组的主要职责如下：（一）贯彻执行和解释信息安全领导小组的决议；（二）贯彻执行和解释国家

15、主管机构下发的信息安全策略；（三）负责组织和协调各类信息安全规划、方案、实施、测试和验收评审会议；（四）负责落实和执行各类信息安全具体工作，并对具体落实情况进行总 结和汇报；（五）负责内外部组织和机构的沟通、协调和合作工作；（六）负责制定所有信息安全相关的管理制度和规范；（七）负责针对信息安全相关的管理制度和规范具体落实工作进行监督、检查、考核、指导及审批，例如现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。以上组织结构和职责通过信息安全组织职责体系加以说明。信息安全岗位 为了有效落实信息安全各项工作，XXXXXXXXXX 应设立以下专职的安全岗位，负责安全工作

16、的落实和执行：信息安全工作组主管 1)负责网络与信息安全的日常整体协调、管理工作；2)负责组织人员制定信息安全管理制度，并对管理制度进行推广、培训和 指导；3)负责重大安全事件的具体协调和沟通工作。安全管理员岗位 1)负责执行网络与信息安全工作的日常协调、管理工作；2)负责日常的安全监控管理，并对上报和发现的各类安全事件进行响应；3)负责系统、网络和应用安全管理的协调和技术指导；4)负责安全管理平台安全策略制定，访问控制策略审核；5)负责组织安全管理制度的推广和培训工作；6)负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据 备份等情况。安全审计员岗位 1)负责安全管理制度落实情况

17、的检查、监督和指导；2)负责安全策略执行情况的审核。系统管理员 1)负责系统安全稳定运行的日常管理工作；2)负责保持系统的防病毒系统、补丁等保持最新，定期对系统进行安全加 固，保持系统漏洞最小化。网络管理员 1)负责网络设备安全稳定运行的日常管理工作；2)负责保持网络设备的漏洞最小化，定期对系统进行安全加固；3)负责保持网络路由和交换策略与业务需求保护一致。4）XXXXXXXXXX 应根据日常的运行维护和管理工作，设置物理环境管理、数据库管理、应用管理以及资产管理等岗位，这些岗位也应当包括安全职 责，这些安全职责的具体内容通过 信息安全管理岗位说明书 落实。2.安全管理制度 安全管理制度体系

18、XXXXXXXXXX 安全管理制度应建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息安全管理制度体系。安全方针和主策略 最高方针，纲领性的安全策略主文档，陈述本策略的目的、适用范围、信息安全的管理意图、支持目标以及指导原则，信息安全各个方面所应遵守的原则方法和指导性策略。安全管理制度和规范 各类管理规定、管理办法和暂行规定。从安全策略主文档中规定的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有效推行和实施的。技术标准和规范，包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管

19、理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准，不允许发生违背和冲突。本项目将为 XXXXXXXXXX 编制如下安全管理制度和规范：安全方针 安全策略 安全管理组织体系职责 内部人员安全管理规定 外部人员安全管理规定 等级保护安全管理规范 风险评估管理规范 软件开发管理规定 IT 外包管理规定 工程安全管理规定 产品采购安全管理规定 服务商安全管理规定 机房管理制度 办公环境安全管理规定 资产安全管理制度 设备安全管理规定 介质安全管理规定 运行维护安全管理规范 网络安全管理规定 系统安全管理规定 防

20、病毒安全管理规定 密码使用管理制度 变更管理制度 备份与恢复管理规定 安全事件管理制度 应急预案 安全流程和操作规程，详细规定主要业务应用和事件处理的流程、步骤和相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。安全流程和操作规程 安全流程和操作规程，详细规定主要业务应用和事件处理的流程和步骤，和相关注意事项。作为具体工作时的具体依照，此部分必须具有可操作性，而且必须得到有效推行和实施的。安全记录单 安全记录单，落实安全流程和操作规程的具体表单，根据不同等级信息系统的要求可以通过不同方式的安全记录单落实并在日常工作中具体执行。主要包括日常操作的记录、

21、工作记录、流转记录以及审批记录等。第二章 制定和发布 安全策略系列文档制定后，必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外，还必须要有合适的、可行的发布和推动手段，同时在发布和执行前对每个人员都要做与其相关部分的充分培训，保证每个人员都知道和了解与其相关部分的内容。安全策略在制定和发布过程中，应当实施以下安全管理：(一)安全管理制度应具有统一的格式，并进行版本控制；(二)由信息安全工作小组负责安全管理制度的制定(三)安全管理职能部门应组织相关人员对制定的安全管理制度进行论证和审定；(四)安全管理制度应通过文件形式下发通知；(五)安全管理制度应注明发布范围，并对收发文进

22、行登记。必须要注意到这是一个长期、艰苦的工作，需要付出艰苦的努力，而且由于牵扯到许多部门和绝大多数员工，可能需要改变工作方式和流程，所以推行起来的阻力会相当大；同时安全策略本身存在的缺陷，包括不切实可行，太过复杂和繁琐，部分规定有缺欠等，都会导致整体策略难以落实。第三章 评审和修订 信息安全领导小组应组织相关人员对于信息安全策略体系文件进行评审，并确定其有效执行期限。同时应指定信息安全职能部门每年审视安全策略系列文档，具体检查内容包括：(一)信息安全策略中的主要更新；(二)信息安全标准中的主要更新。信息安全标准不需要全部更新，可以仅对 因变更而受影响的部分进行更新；如果必要，可以使用年度审视更

23、新流程对信息安全标准做一次全面更新。(三)安全管理组织机构和人员的安全职责的主要更新；(四)操作流程的主要更新；(五)各类管理规定、管理办法和暂行规定的主要更新；(六)用户协议的主要更新；等等。通过信息安全策略管理规定落实以上相关内容。三、安全管理机构 第一章 岗位设置 健全的岗位设置、职责分配及技能要求等是安全组织建设的重点内容，对于以后安全管理工作的顺利开展具有巨大的意义。缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、难以落实责权利，难以胜任安全管理工作等严重问题。1.组织机构 1)XXXXXXXXXX成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息安全领导小组

24、的日常事务。2)信息安全工作领导小组，其最高领导由单位主管领导委任或授权。3)信息安全领导小组负责研究重大事件，落实方针政策和制定总体策略等。职责主要包括：a)根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；b)确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。c)信息安全领导小组下设两个工作组：信息安全工作组、应急处理工作组。组长均由公司负责人担任。4)信息安全工作组的主要职责包括：a)贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作；b)根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；c)组织对重大的

25、信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；d)负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；e)组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；f)负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；g)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。h)跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。5)应急处理工作组的主要职责包括：a)审定公司网络与信息系统的安全应急

26、策略及应急预案；b)决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；c)每年组织对信息安全应急策略和应急预案进行测试和演练。6)公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的 应设置信息安全工作小组或办公室，对公司信息安全领导小组和工作小组负责，落实本单位信息安全工作和应急处理工作。2.关键岗位 设置信息系统的关键岗位并加强管理，配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员，要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。1)系统管理员主要职责有：a)负责系统的运行管理，实施系统安全运

27、行细则；b)严格用户权限管理，维护系统安全正常运行；c)认真记录系统安全事项，及时向信息安全人员报告安全事件；d)对进行系统操作的其他人员予以安全监督。2)网络管理员主要职责有：a)负责网络的运行管理，实施网络安全策略和安全运行细则；b)安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；c)监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；d)对操作网络管理功能的其他人员进行安全监督。3)应用开发管理员主要职责有：a)负责在系统开发建设中，严格执行系统安全策略，保证系统安全功能的准确实现；b)系统投产运行前，完整移交系统相关的安全策略等资料

28、；c)不得对系统设置“后门”；d)对系统核心技术保密等。4)安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督，主要职能包括：a)按操作员证书号进行审计；b)按操作时间审计；c)按操作类型审计；d)事件类型进行审计；e)日志管理等。5)安全保密管理员负责日常安全保密管理活动，主要职责有：a)监视全网运行和安全告警信息 b)网络审计信息的常规分析 c)安全设备的常规设置和维护 d)执行应急中心制定的具体安全策略 e)向应急管理机构和领导机构报告重大的网络安全事件等。第二章 人员配备 配备足够数量的系统管理员、网络管理员、安全管理员对顺利完成安全管理工作是非常重要的，可以有效避免

29、人力不足带来的问题。配备专职的安全管理员可以让管理工作落实到专人上，可以更高效的开展安全管理工作。关键事务岗位配备多人进行共同管理可以防止出现疏忽，并且有利于互相约束和监督机制的建立。如果没有配备足够数量的系统管理员、网络管理员、安全管理员，则可能由于工作过度繁忙而出现安全事件。如果安全管理人员都是兼职，则很可能出现只顾其他业务而忽视安全的情况。关键事务岗位人员不足会导致疏忽大意。1.按照实际工作需要配备足够数量的系统管理员、网络管理员、安全管理员；2.在安全管理部配备专职的安全管理员；3.识别出关键事务岗位，对这些关键岗位配备多人进行共同管理，以防止疏忽，并且建立起约束和监督机制。岗位名称

30、人员数量 人员名称 系统管理员 网络管理员 应用开发管理员 安全审计员 安全保密管理员 第三章 授权和审批 授权和审批可以保证安全有关工作得到认可和控制，排除盲目性和不一致性，使安全工作更加权威和科学，有利于增强责任感。如果授权和审批工作做得不够完善，可能会带来执行难等问题，安全工作得不到控制，因安全带来的问题长期得不到解决，安全问题日积月累，最终导致严重安全事件的发生。应按照以下规范进行授权和审批流程建设：1.明确审批授权事项、审批授权部门；2.建立系统变更、重要操作、物理访问和系统接入等事项的审批程序，对重要活动实施逐级审批；3.按照审批程序执行审批过程，记入文档并进行审计；4.定期审查审

31、批事项，及时更新需授权和审批的项目、审批部门和审批人等信息；制度名称 信息系统管理授权审批制度 受控状态 文件编号 执行部门 监督部门 考证部门 第 1 条 为了提高企业信息系统的可靠性、稳定性、安全性，特制定本制度。第 2 条 本制度适用于信息部与各用户部门使用企业信息系统的相关人员。第 3 条 企业中涉及到信息系统方面的工作统一由信息部负责。第 4 条 信息系统管理授权的方式。企业信息系统的授权以职位说明书和授权书为基准，逐级授权，其他授权方式或越级授权视为无效。第 5 条 企业信息系统管理授权程序。1总裁授权运营总监全面负责企业信息系统的开发、管理、修改等工作。2运营总裁授权信息部经理负

32、责信息系统的开发、管理、修改等具体工作。3信息部经理授权给下属员工，完成相应工作。第 6 条 企业信息系统管理中的文件审批程序，如下图所示。信息系统管理的文件审批程序示意图 第 7 条 企业中的各用户部门对信息系统只有根据其职级的使用权与建议权，而无修改权，否则造成的全部后果由当事人承担。第 8 条 本制度由信息部制定，解释权、修改权归属信息部。第 9 条 本制度自总裁审批之日起实施，修订时亦同。编制日期 审核日期 批准日期 修改标记 修改处数 修改日期 最高领导 信息部经理 运营总监 信息部员工 第四章 沟通和合作 安全管理问题涉及到各个层次的人员及技术，需要大家密切配合才能做好，任何一方出

33、现问题都会影响整个安全管理工作的顺利开展，因此对各种安全问题进行定期沟通和合作是非常必要的。如果与安全管理有关的沟通和合作推进不顺利，出现的安全问题得不到反馈和支持，则安全问题会变得越来越严重，直到出现严重安全事件。应按照以下规范进行沟通与合作：1.由安全管理部提出，每半年召开一次安全协调专题会议，为期一天，各有关部门包括外部顾问机构及人员都要参加，及时提出问题和解决问题；会议记录 时间 地点 主持人 记录员 时间调度 参加人员：会议议题 发言人 会议内容 执行人 监督人 完成时间 2.每年与与兄弟单位、公安机关、电信公司等召开一次安全总结会，平时则通过邮件等及时合作与沟通；3.通过邮件、电话

34、等与供应商、业界专家、专业的安全公司、安全组织进行及时合作与沟通；4.建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息；5.聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。第五章 审核和检查 对安全工作的开展情况进行定级审核和检查可以及时、有效的督促安全制度和安全技术的执行、运作情况，减少安全疏忽，及时发现并解决问题，使安全工作日常化、制度化。安全工作如果不能保证及时的审核和检查，则容易导致各项工作大打折扣，并且由此带来的问题会积累起来最终导致严重安全事件发生，如补丁长期得不到更新使系统长期暴露于黑客攻击威胁之下。1.由安全管理员每周进行

35、安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况；2.由内部人员或上级单位每季度进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等；3.每次检查都要制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；4.将上述工作要求写入安全审核和检查管理制度，用以规范安全审核和安全检查工作的频率等重要内容。安全检查记录表 检查类型：定期安全检查 单位名称 XXXXXXXXXX 工程名称 检查时间 检查单位 检查项目或部位 参见检察人员 检查记录 检查结论及意见 填表人：四、人员安全管理 第一章 人员

36、录用 1.组织编制 各部门根据实际工作之需，进行工作分析，设定工作岗位，明确各岗位职责，任职条件、需要人数等。根据权责分工及不同职位的相互关系，建立组织架构，并根据各职位人员配备数，确定组织编制，各部门负责制订本部门组织编制，人事行政部汇总制订全公司组织编制。每年 11 月份制订下年编制，如因公司经营决策有重大调整或重大形势变化，经总经理同意可在需要时修订。2.招聘原则 人员招聘根据人事编制安排，一般不得超出批准的编制(确须超出原编制招员的，应先按规定修订编制)人员招聘应遵循公开、公平、公正原则，平等竞争，择优录取。3.招聘时机 原有人员异动或离职，需补缺。工作业务量扩大，现有人力不能满足工作

37、需求，需扩招。4.录用人员基本要求 具备应聘岗位所需的文化和技能要求，并通过考试或考核合格。具备应聘岗位所要求的年龄和身体条件。身份正当，具有有效身份证及国家规定的其它证明。思想品德好，认同公司的文化，能够自觉遵守公司的规章制度、自觉维护公司的权益和形象并愿意 为公司服务。服从公司的工作安排，努力做好本职工作。患有精神性、传染性及其它有可能影响正常工作、危害公众健康的疾病的人员不得录用。隐瞒、伪造、冒用个人证件、履历的人员不得录用。受过刑罚或正被追究刑事责任的人员不得录用。被公司辞退、开除或自动离职的原公司员工不得再行录用。5.招聘人员岗位要求 各部门应根据不同职位要求，对性别、年龄、教育程度

38、、相关工作年限、专业知识、技能及其它适职 条件做出明确说明；便于人事行政部遴选初试。6.招聘种类 外招 外招适用于公司现有人力不能满足实际工作需要时(数量不足、任职资格不足)。内招 6.2.1 内招适用于选拔同一职级但不同职位或更高职级之职位人员，在公司现有人力资源可以满足 的情况下，应优先采用内招形式。内招报名人员需填写好 内招人员报名表，经部门主管人员批准后，送交人事行政部。7.招聘程序 人事需求申请 7.1.1 需求部门根据生产经营和发展需要至人事行政部处领取 人员需求申请表提出人事需求申请，注明是内招还是外招，由部门主管人员审核，人事行政部根据各部门的定编定岗情况确认后，呈总经理核准。

39、7.1.2 需求部门应于实际需求日前提出人事需求申请，生产作业人员提前 7 天申请，办公室普通职员 提前 15 天申请，部门主管(含)及以上中层管理人员提前 30 天申请，以便于人事行政部统筹安排招聘。人事行政部应按部门需求及时组织招聘，如到需求时间未招到合适人员，人事行政部应向需求 部门说明原因，并与需求部门协调，再行确认预计时间，并视需要重新确认需求条件。甄选 7.2.1 人事行政部根据经批准的需求申请制订招聘计划，组织招聘，选择招聘渠道，主要形式有：a)、厂区门口就地招聘、职介机构、劳务所推介(主要用于招聘生产作业人员)。b)、参加人才招聘会、网络招聘(主要用于招聘办公室普通职员和中层管

40、理人员)。c)、与院校合作，由校方推介(主要用于招聘实习生)。d)、猎头公司推荐。（主要用于招聘高层管理人员）。7.2.2 人事行政部对应聘资料进行收集、分类、归档，按照所需岗位的职位描述做初步筛选。7.2.3 拟选人员一般需经过两次面谈和测试,面试层次及步骤如下：a)应聘人员填写求职人员登记表，人事行政部应向应试者了解个人背景，进行资格审查(初试)，不符合公司基本要求或需求部门基本条件者，予以谢绝。b)人事行政部将初选合格的人员推荐到需求部门，由需求部门组织对应聘人员进行专业能力及其它方面的复试。1)、需求部门经复试认为合格，提请批准录用(生产作业人员由部门部长批准，办公室职员由总经 理批准

41、)，如认为不合格，予以谢绝。2)、部门经过复试以后，无论是否预备录用应聘人员，均转由人事行政部通知应聘者。7.2.4 背景调查 人事行政部负责对通过面试的部门主管（含）级别以上的人员进行工作经历、学历状况、身份证明等进行背景调查，填写应聘者背景资料查询表（见附件 5）并将调查结果进行汇总报相关领导。7.2.5 薪资核定、审批手续办理 人力资源主管根据面试评价及背景调查情况，对生产作业人员的薪资进行核定、审批；办公室普通职员、部门主管（含）以上人员的薪资核定由人事行政部审核后，交由总经理进行核准。录用 人事行政部根据经批准的录用意见，发放录用通知书，通知录用人员报到有关事宜。第二章 保密协议 信

42、息安全人员应签订保密协议，履行约定纪律及其他方面条款。从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议.信息安全人员在调离岗位时要签订离岗人员保密协议 保密协议附件：甲方：XXXXXXXXXX 乙方：甲、乙双方根据中华人民共和国劳动法 以及国家、地方政府有关规定，在遵循平等自愿、协商一致、诚实信用的原则下，就甲方商业秘密保密事项达成如下协议。一、保密内容 甲、乙双方确认，乙方应承担保密义务的甲方商业秘密范围包括但不限于以下内容。1技术信息：技术方案、工程设计、技术报告、检测报告、实验数据、试验结果、图纸、样品等。2经营信息：包括经营方针、投资决策意向、产品服务定价、市场分析、广告策略等。

43、3公司依照法律规定或者有关协议的约定对外承担保密义务的事项。二、双方的权利和义务 1甲方提供正常的工作条件，为乙方的发明、科研成果提供良好的应用和生产条件，并根据创造的经济效益给予奖励。2乙方必须按甲方的要求从事经营、生产项目和科研项目的设计与开发，并将生产、经营、设计与开发的成果、资料交甲方，甲方拥有所有权和处置权。3乙方不得刺探非本职工作所需要的商业秘密。4未经甲方书面同意，乙方不得利用甲方的商业秘密进行新产品的设计与开发和撰写论文向第三方公布。5双方解除或终止劳动合同后，乙方不得向第三方公开甲方所拥有的未被公众知悉的商业秘密。6双方协定竞业限制的，解除或终止劳动合同后，在竞业限制期内乙方

44、不得到生产同类或经营同类业务且有竞争关系的其他用人单位任职，也不得自己生产与甲方有竞争关系的同类产品或经营同类业务。7乙方必须严格遵守甲方的保密制度，防止泄露甲方的商业秘密。8甲方安排乙方任职涉密岗位，并给予乙方保密津贴。三、保密期限 乙方承担保密义务的期限为下列第_种。1无限期保密，直至甲方宣布解密或者秘密信息实际上已经公开。2有限期保密，保密期限自离职之日起_年。四、保密津贴 甲方同意就乙方离职后承担的保密义务向其支付保密津贴，保密津贴的支付方式为：_。五、违约责任 1乙方如违反本合同任何条款，应一次性向甲方支付违约金万元，同时，甲方有权一次性收回已向乙方发放的所有保密费。2如果因为乙方的

45、违约行为造成了甲方损失，乙方除支付违约金外，还应承担相应的责任。六、劳动争议处理 当事人因本合同产生的一切纠纷由双方友好、平等地协商解决，协商不成，任何一方均有权向本合同签订地的人民法院提起诉讼。七、其他 1乙方确认，在签署本合同前已仔细审阅过合同内容，完全了解合同各条款的法律含义，并知悉和认可公司保密管理制度。2本协议如与双方以前的口头或书面协议有抵触，以本协议为准。本协议的修改必须采用双方同意的书面形式。3本协议未尽事宜，按照国家法律或政府主管部门的有关规章、制度执行。八、本合同一式两份，双方各执一份，具有同等法律效力。自双方授权代表签字并盖公章之日起生效。甲方（盖章）乙方（签名或盖章）法

46、定代表人签名：年 月 日 年 月 日 编制日期 审核日期 批准日期 第三章 人员离岗 1.工作人员离岗离职时，有关部门应即时取消其计算机涉密信息系统访问授权。工作人员离岗离职之后，仍对其在任职期间接触、知悉的属于我局或者虽属于第三方但本单位承诺或负有保密义务的秘密信息，承担如同任职期间一样的保密义务和不擅自使用的义务，直至该秘密信息成为公开信息，而无论离职人员因何种原因离职。2.离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体，均归我公司所有，而无论这些秘密信息有无商业上的价值。3.离职人员应当于离职

47、时，或者于我公司提出请求时，返还全部属于我公司的财物，包括记载着我公司秘密信息的一切载体。若记录着秘密信息的载体是由离职人员自备的，则视为离职人员已同意将这些载体物的所有权转让给本单位，我公司应当在离职人员返还这些载体时，给予离职人员相当于载体本身价值的经济补偿；但秘密信息可以从载体上消除或复制出来时，可以由我公司将秘密信息复制到本单位享有所有权的其他载体上，并把原载体上的秘密信息消除，此种情况下离职人员无须将载体返还，我公司也无须给予离职人员经济补偿。4.离职人员离职时，应将工作时使用的电脑、u 盘及其他一切存储设备中关于工作相关或与我局会有利益关系的信息、文件等内容交接给本部门领导，不得在

48、离职后以任何形式带走相关信息。员工辞/离职交接单 年 月 日 姓名 部门 职 务 工作起止日期 交 接 内 容 所在部门 工作交接(个人业务文档 相关文件)部门经理签字：（注：在办、已办、未办工作另附表二）日 期：人 事 行 政 部 1.普通用品（办公用品 胸 卡 钥匙 其他：）经办人签字:2.特殊物品（U 盘 电脑 其他：）日 期：计算机设备使用交回 密码清除 经办人签字：帐号清除 网络管理情况 日 期：保险 保险上到：年 月 经办人签字：日 期：财务部 1.借 款（经办支票 汇票 现金 无相关借款 ）2.其 他（应清算款项 无）3.工资截止日期：年 月 日 经办人签字:4.违约金 元 日

49、期：注：1、严格遵守本人与公司签订的保密合同，保守公司的商业秘密；2、该原件交公司总办存档。如有未交物品，各部门负责人应将物品名称及价钱注明，以便财务部在核发本人工资时扣除。上列事项未交接完毕或主管领导未批准离职申请的，财务部不予办理财务交接手续，未领薪资不予发放，并依公司损失情况要求赔偿；离职员工有违法行为的，公司保留追究其法律责任的权利；当事人签字：日 期：年 月 日第三章 人员考核 为了加强安全生产监督管理，防止和减少生产安全事故，保障 企业员工生命和财产安全，切实贯彻落实”安全第一、预防为主、综合治理”的方针，促进企业经济发展，根据中华人民共和国安全生产法等法律法规，特指定本制度。1制

50、定安全管理目标 a)本单位每年一号文件必须针对企业上年度生产工作状况及本年度企业发展规模、整体安全生产具体情况及新形势下的规定要求，制定全年安全生产管理目标及管理措施。b)各项目部每年年初在本单位统一制定的安全生产目标管理的前提下，根据本工程施工特点在年度安全生产计划中制定安全生产管理目标及实现目标的管理措施。c)各工程开工前，项目部必须制定工程从开工到竣工的生产施工过程中整体安全生产管理目标，并应详细制定各施工阶段且有针对性的安全生产管理目标和措施，同时要把安全生产管理目标层层分解到各管理人员和各班组。d)各级在制定安全生产管理目标时，应紧密结合企业管理手册中环境管理目标和职业健康安全管理目