《人员网络及信息安全管理规定.doc》由会员分享,可在线阅读,更多相关《人员网络及信息安全管理规定.doc(12页珍藏版)》请在金锄头文库上搜索。
1、人员网络及信息安全管理规定.XXXX单位或公司公司标准人员网络及信息安全管理规定2014-10-25公布2014-11-01实行/XXXX单位或公司公布Q/JYG/GL-XX-20-2014.a前言本标准由XXXX单位或公司标准化管理委员会提出。本标准由XXXX单位或公司XXXX部门草拟并归口管理。本标准主要草拟人:本标准由XXX赞同。本标准初次公布于2014年10月25日,自本标准公布之日起,信息系统操作人员安全管理规定同时取销。IIQ/JYG/GL-XX-20-2013.a人员网络及信息安全管理规定1 范围为规范公司信息系统安全人员管理,保障公司信息安全,依据信息安全等级保护管理方法、信息
2、系统安全管理要求(GB/T19715.2-2005)以及公司有关规章制度,制定本规定。本标准规定了本公司内部人员、第三方运维人员等安全管理的有关内容,包含工作岗位风险分级、人员审察、人员录取、保密协议、人力调换、人员辞职、人员查核、安全意识教育和培训、第三方人员安全等。本标准合用于本公司内部人员及第三方人员的管理与查核。2 规范性引用文件无规范性引用文件,保存本条款的目的是保持本公司标准构造的一致,便于此后的订正。3 术语和定义3.1人员安全是指经过管理和控制,保证单位内部人员(特别是信息系统的管理保护人员)和第三方人员在安全意识、能力和素质等方面都知足工作岗位的要求。3.2第三方人员是指来自
3、外单位的专业服务机构,为本单位供给给用系统开发、网络管理和安全支持等信息技术外包服务的工作人员。3.3安全教育和培训是经过宣传和教育的手段,保证有关工作人员和信息系统管理保护人员充足认识信息安全的重要性,具备切合要求的安全意识、知识和技术,提升其进行信息安全防备的主动性、自觉性和能力。4 机构和职责4.1信息化建设项目实行小组负责指导公司及两厂信息系统操作人员安全管理工作;负责履行公司信息安全检查及管理工作;研究国家和行业的信息安全政策法例,组织有关部门议论来保证其切合性。4.2人力资源部负责组织各部门编制部门所属职工的工作职能;负责职工的专业资质审察、招聘和岗位技术培训等;负责职工辞职、调换
4、的审察和赞同等。4.3XXXX部门负责检查各部门的信息安全工作落真相况;3Q/JYG/GL-XX-20-2013.a负责对人员在岗时的信息安全有关工作记录进行检查;负责对信息系统重点人员进行按期培训和查核工作;负责第三方人员信息安全管理工作;负责工作岗位风险状态分级及区分信息系统安全职责工作;负责普及信息安全防备意识,并针对信息安全违规事件向公司提出办理建议。4.4其余部门负责接受信息安全教育和培训、以及配合按期的信息安全抽查工作;负责部门人员在岗时的信息安全管理;负责按期组织针对本部门信息系统工作人员的技术查核工作;负责部门人员在岗、离岗或调换后的财产管理及记录存档工作。5 人员安全管理5.
5、1人员录取信息化建设项目实行小组负责指导人力资源部信息安全工作人员的录取工作;人力资源部对拟录取信息系统岗位人员身份、背景、专业资格和资质等方面进行审察,并进行技术查核;人员录取前的审察标准为:拥有基本的专业技术水平,接受过安全意识教育和培训,能够掌握安全管理基本知识。信息系统重点岗位人员还应具备较好的思想质量以及基本的系统安全风险剖析、评估能力;从事重点岗位或负责核心系统、机房等重要地区的人员,须从内部人员选拨,应具备认真负责的工作态度、较高的职业道德水平;4.4.9由人力资源部及XXXX部门对信息安全人员进行入职培训,包含信息安全规章制度的教育培训等,并将制度掌握等培训状况归入到试用期查核
6、。5.2任职人员各部门领导负责本部门人员信息安全管理工作,保证岗位信息安全职责的落实;各部门应付人员领用财产的状况做相应记录,在人员送还信息财产时除去记录;XXXX部门按期组织抽查内部人员权限分派状况,如发现权限分派不合理,立刻通知有关部门进行改正;XXXX部门信息系统管理员应严格履行有关操作手册,进行平时运维操作。5.3人员调换工作人员岗位调换后,须办理严格的调换手续,重点岗位人员离岗须承诺调离后的保密义务;工作人员内部调换至其余岗位时,在接到岗位调换通知后,应于一个月内依照调换程序办理工作资料、软硬件设施等移交锋续;4Q/JYG/GL-XX-20-2013.a被调换人员拥有原岗位钥匙、公司
7、文件和设施等硬件财产由所在部门回收,并做好岗位交接记录;5.3.4由被调换人员填写信息系统权限更改表,经原部门以及人力资源部审批后,上报至XXXX部门,由XXXX部门负责对其信息系统接见受权进行调整,并回收有关软件;工作人员信息系统权限改动后,XXXX部门须见告其信息安全责任的变化和新的注意事项;工作人员岗位调换后,还应肩负原岗位的保密责任,拜见附件保密协议。5.4人员辞职工作人员辞职后,须办理严格的辞职手续,管理层和重点岗位人员辞职须承诺调离后的保密义务;工作人员辞职时,应于一个月内依照辞职程序办理工作资料、软硬件设施等移交锋续;由所在部门回收辞职人员拥有原岗位钥匙、公司文件和设施等硬件财产
8、,并做好交接记录;由辞职人员填写信息系统权限更改表,经原部门及人力资源部审批后,上报至XXXX部门,由XXXX部门负责删除其信息系统权限,并回收有关软件;工作人员辞职后,须由XXXX部门进行安全审察,在规定的脱密限期后方可辞职;涉密人员的脱密限期依照有关保密规定签订书面保密承诺书,承诺调离后对本来工作中波及信息的保密要求,拜见保密协议。5.5人员查核各部门每年组织一次针对本部门信息系统工作人员的按期查核,对各个岗位的人员进行不一样重视的安全认知和安全技术查核,作为人员能否合适目前岗位的参照;XXXX部门每年组织一次针对重点岗位人员的按期审察和技术查核,审察依照记录表格和操作日记,如发现其违犯安
9、全规定,应查明原由,令其做出整顿承诺,严重者不得持续从事重点岗位工作。5.6安全意识教育和培训XXXX部门应依据各岗位的信息安全角色和职责,拟订该岗位所需的信息安全培训计划,并对安全教育和培训状况及结果进行记录。培训内容包含安全意识教育、岗位技术培训和有关安全技术培训;XXXX部门应在工作人员被授与接见权限以前,依照其安全角色和职责,进行针对性的安全教育和安全培训;信息安全培训内容包含但不单限于以下几方面:1) 信息安全基础知识、岗位操作规程、信息系统使用规范;2) 公司信息安全目标、策略与信息安全目标的宣贯培训;3) 信息安全专题培训(如病毒防备培训、接见控制培训、等级保护培训等);5Q/J
10、YG/GL-XX-20-2013.a4) 岗位安全责任、操作技术及有关技术;5) 违犯违反安全策略和安全规定的惩戒举措。5.7工作岗位风险分级XXXX部门应依据不一样岗位的性质,联合各个信息系统的安全需求,规定其信息安全风险级别并针对不一样的岗位风险级别给予信息接见权限;各部门应在平时工作中落实有关工作岗位的风险分级规定内容,全部工作人员应该明确自己所在岗位的信息接见权限;投资依据公司岗位信息安全级别和业务特色,确立公司岗位信息安全职责。信息安全职责应包含以下内容:1) 在公司信息安全管理组织架构中的职责;2) 在履行公司信息安全目标和目标方面的职责;3) 在恪守国家、地方各样信息安全有关法律
11、法例方面的职责;4) 在保护公司信息财产免受未受权接见、泄漏、改正、销毁或扰乱方面的职责;5) 履行特定的安全过程或活动方面的职责;6) 在报告信息安全事故和短处方面的职责。5.8工作协议对各部门波及合同商定事项中有信息安全的要求时,各部门要与本部门工作人员(假如还没有签订)及有关外面单位签订保密协议(保密协议中各项条款可依据详细项目详细编制);XXXX部门应在重要信息系统的管理保护和使用人员在上岗前,应严格依照信息安全规章制度中的有关规定前述工作协议;依据岗位拟订相应的保密协议或保密承诺书,保密协议可包含以下方面的内容:1) 岗位所要保护的信息;2) 协议有效期;3) 协议停止时所应采纳的举
12、措;4) 为防止泄密,署名人的职责和行为;5) 保密协议与知识产权保护、商业奥密保护的关系;6) 涉密信息的赞同使用,及署名人使用信息的权益;7) 对涉密信息的活动的审察和监督;8) 涉密信息泄漏或被损坏后的办理程序;9) 协议停止时信息的归档或销毁的举措;10) 违犯协议后应采纳的举措;11) 应规定工作协议的内容(保密协议条款、操作流程和规范),管理和落实工作协议的部门,以及前述工作协议的流程。5.9第三人人员管理6Q/JYG/GL-XX-20-2013.a第三人员在接见受控地区前,应向XXXX部门提出版面申请,经赞同后,由专人全程陪伴或监督,并登记存案。第三人人员不得将与工作没关的物件带入机房,携带工作必需品进入机房须登记,并接受检查。第三方人员非因工作需要不得进入机房,不得对重要信息系统进行保护性逻辑接见。第三方人员进入本单位开始工作前,应与其所在单位签订保密协议,并要求第三方人员所在单位与公司签订保密协议或在在合同内容中明确。XXXX部门应采纳必需的管理和技术手段,对第三方人员能否恪守安全要求进行检查监察。各部门应依照公司有关
