人员安全管理制度
声明
本制度是思度安全进行汇总和编写,仅供学习、交流、讨论使用,支持付费批量下载
单次赞助 10元 可下载单篇原文联系我们
修订说明
- 烟台王较瘦 第一次编写 2022/5/1
- 思安 修订 2023/6/1
第一章 总则
第一条 目的
为加强北京思度安全股份有限公司(以下简称“公司”)对信息安全人员的规范化管理,完善信息安全人员的管理制度,促进公司信息安全事业的发展,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》特制定本制度。
第二条 适用范围
在公司、分公司、子公司内所有人员安全管理,适用本办法。本标准阐述了公司信息安全人员管理方面的基本要求和管理原则,明确定公司在信息安全人员管理方面的人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问控制管理中应遵守的原则与工作流程。
第二章 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准
《[信息安全技术 信息系统安全保障评估框架]](https://siduwenku.com/view/547)》(GB/T 20274.1-2006)
《信息安全技术 信息系统安全管理要求》(GB/T 20269-2006 )
《信息安全技术 信息系统安全等级保护基本要求》(GBT 22239-2008)
本标准未涉及的管理内容,参照国家、行业有关标准和规定执行。
第三章 术语定义
第三条 第三方人员
第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。
第四条 背景调查
用于确定拟雇用人员和正在使用的人员是否可信。该过程可以包括对雇员过去的、当前的或潜在的历史或方面的深入审核和验证。
第五条 安全审查
指定特定安全级别的雇员必须通过安全审查才能获得读取受限信息的权限。
第六条 保密协议
保证人员不会泄露机密信息或将其用于非法用途的合同。
第四章 岗位职责
第七条 安全主管
负责制定、实施和监督人员安全管理计划;
第八条 人事部门
审核入职申请人员的申请和背景,以标识那些可以接受与敏感信息相关的岗位;
第九条 安全部门
负责应对重大安全问题,与其他部门配合,进行安全审查背景调查,指导领导解决安全问题。人员安全管理制度建设的核心部门;
第十条 员工
必须遵守与他们的工作有关的安全标准,完成安全培训课程,签署保密协议,并测试其安全意识。
第五章 人员录用
人员的录用由公司人力资源部负责,所录人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守;信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历,具备专科以上学历;违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作,同时以下职位要求具备相关的能力。
第十一条 系统管理员
(一) 大学专科计算机专业毕业,具有两年以上工作经验。
(二) 熟悉计算机硬件技术与软件操作系统的原理与配置。
(三) 熟悉掌握操作系统的安装与卸载。
(四) 掌握数据库(SQL、ORACLE、Sybase等)原理以及安装、设计与管理。
(五) 能够熟悉网络的构架以及网络和操作系统的结合。
(六) 能够独立完成IIS、DNS、DHCP、ROUTE等系统的设计。
(七) 熟悉各类操作系统(windows、unix、EXCHANGE等)的管理。
第十二条 网络管理员
(一) 计算机专业本科以上学历。
(二) 三年以上的网络管理工作经验。
(三) 熟悉网络技术的原理。英文阅读流利。
(四) 能够独立设计网络,优化网络性能。
(五) 熟练使用交换机、路由器、网管软件等网络软硬件设备。
(六) 熟悉WINDOWS、UNIX等应用层操作系统。
(七) 有从事本岗位工作的高度责任感,遵纪守法,坚持原则,严格管理
第十三条 项目管理员
(一) 大学本科毕业,具有三年以上电力系统相关工作经验。
(二) 熟悉计算机软硬件及网络相关知识。
(三) 熟悉与项目相关的业务部门技术和管理知识。
(四) 政治素质高、思想品德好、有较强的组织协调能力和表达能力。
第十四条 数据库管理员
(一) 大学本科计算机专业毕业,具有五年以上工作经验。
(二) 熟悉计算机硬件技术与软件操作系统的原理。
(三) 熟悉掌握操作系统的安装与卸载。
(四) 掌握数据库(SQL、ORACLE、Sybase等)原理以及安装、设计与管理。
(五) 能够熟悉网络的构架以及网络和操作系统的结合。
(六) 熟悉各类操作系统(NT、WIN2K、EXCHANGE等)的管理。
第十五条 信息安全员
(一) 大学专科及以上计算机专业毕业,具有两年以上工作经验。
(二) 熟悉各类信息安全技术和设备的原理与配置。
(三) 熟悉各类操作系统(windows、unix)的管理。
(四) 掌握数据库(SQL、ORACLE、Sybase等)的安全配置技术。
(五) 熟悉网络的构架以及网络和操作系统。
第十六条 硬件维护人员
(一) 相关专业中专以上毕业。认真负责,遵纪守法。
(二) 熟悉掌握计算机软硬件的知识及网络知识,具有较高的软件硬件维护水平
第十七条 系统运维人员
(一) 相关专业中专以上毕业。认真负责,遵纪守法。
(二) 熟悉掌握计算机软硬件的知识及网络知识,具有较高的软件硬件维护水平
第六章 人员职责
第十八条 系统管理员
(一) 所辖工作对本部门主观领导负责。
(二) 负责所管辖的应用系统及设备的运行维护。
(三) 负责系统各项业务参数的设置、修改、检查。
(四) 负责设置和修改系统用户帐号和口令(密码)。
(五) 负责授权或限制操作员、网络管理员的普通用户使用系统的口令(密码)。
(六) 负责给系统增、删各类用户。
第十九条 网络管理员
(一) 所辖工作对本部门主观领导负责。
(二) 负责计算机网络的管理工作。
(三) 认真贯彻执行网络管理方面的有关规程和上级制定的有关网络管理工作的各项规章制度
(四) 参与网络规划,包括网络拓朴结构的制定,ip地址的规划,网络设备的选型等。
(五) 负责网络日常维护和故障排除。
(六) 负责网络安全,制定安全策略。
(七) 负责网络固定资产的管理及装置的报废、淘汰工作。
第二十条 项目管理员
(一) 对本项目领导小组和本人所在部门的直接领导负责。
(二) 负责所辖项目的全过程的组织、沟通、总结整理工作,直至工程结束后的总结验收、鉴定或评审结束,保证项目的按时按质完成
第二十一条 数据库管理员
(一) 所辖工作对本部门主管领导负责。
(二) 负责所辖所有业务数据安全管理。
(三) 负责存储备份系统的运行、维护及升级等工作。
(四) 参与各系统数据库的设计、数据编码编制和数据结构规划等工作。
第二十二条 信息安全员
(一) 负责数据接口管理以及数据仓库的建设。
(二) 所辖工作对本部门主管领导负责。
(三) 负责所管辖的信息系统及网络的安全管理,确保不发生重大信息安全事故。
(四) 组织或参与公司或上级单位的信息安全检查。
(五) 负责信息安全的信息发布、宣传和培训。
(六) 协助其他信息技术管理工作。
第二十三条 硬件维护人员
(一) 负责公司本部及本所部门电脑安装、调试和日常维护。
(二) 负责公司本部及本所各部门打印机的日常维护。
(三) 负责公司本部及本所各部门工作人员使用电脑技术指导。
(四) 负责协助公司本部及本所各部门工作人员做好数据安全与备份。
第二十四条 分公司系统运维人员
(一) 遵守所在单位的各项规章制度、服从所在单位领导关于信息化工作的安排并作好信息化建设的参谋。
(二) 接受省公司信息中心的工作安排,配合省公司信息中心作好全省网络和应用系统的建设和运行维护工作,及时反映所在单位信息化工作方面的情况。
(三) 负责分公司及各部门电脑、打印机的安装、调试和日常维护。
(四) 负责分公司局域网的运行与维护,保证网络安全运行。
(五) 负责分公司及各部门工作人员使用电脑及应用系统的技术指导。
(六) 负责分公司应用系统日常运行及数据备份
第七章 人员考核
第二十五条 年度全员考核
公司每年对全体员工进行一次信息安全意识考核,采用在线答题的方式,满分100分,90分为及格。
第二十六条 安全技能考核
对涉及信息安全管理、检查和执行的岗位人员,应每年进行一次安全技能的考核,包括安全管理知识的掌握程度、所管理业务系统中安全产品的操作技能、所管理业务系统中使用的操作系统和应用软件的安全使用等;
第二十七条 考核管理
安全考核结果应进行存档,以便查询,每次考核后,都应与上次考核进行对比。对于考核中发现有违反相关规定行为的人员或发现不适于承担相关岗位工作的人员要及时调离岗位。
第八章 人员离岗
第二十八条 离职面谈
对调离人员,特别是因不适合安全管理要求被调离的人员,必须严格办理调离手续,进行调离谈话、承诺其调离后的保密义务,交回所有钥匙及证件,退还全部技术手册、软件及有关资料,更换系统口令和机要锁。
第二十九条 离职审计
涉及业务核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第三十条 权限回收
立即终止由于各种原因即将离岗的员工的所有访问权限;取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;经机构人事部门办理严格的调离手续,并承诺调离后的保密义务后方可离开。
第九章 安全意识教育和培训
第三十一条 培训要求
信息安全人员应负责对公司所有使用计算机的人员进行安全意识教育、岗位技能培训和相关安全技术培训工作。
第三十二条 违规处罚
信息安全人员应书面形式告知相关人员相应的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒。
第三十三条 保密和技能培训
信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
信息安全人员应定期参加下列信息安全知识和技能的培训:
(一) 信息安全法律法规及行业规章制度的培训;
(二) 信息安全基本知识的培训;
(三) 信息安全专门技能的培训。
第十章 第三方人员管理
第三十四条 权限管理
应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第三十五条 保密协议
第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
第三十六条 操作安全
一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等,不许接入自带的设备。
第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
第三方人员工作结束后,应及时清除有关账户、过程记录等信息。
第十一章 附则
本标准由XX公司信息通信分公司负责解释。
本标准自颁布之日起实行。