DSMM-003人员安全管理规范V1.0
第一章 总则
第一条 为规范和加强人力资源安全管理工作,明确内部员工和第三方人员相关安全职责,提高工作人员的安全意识、业务水平、操作技能和协同能力,降低由人员因素带来的数据安全风险,确保人员任用的安全,特制定本规范。
第二条 本办法适用于北京思度咨询科技有限公司数据安全组织内部全体员工和第三方人员数据安全管理相关活动,包括但不限于人员筛选管理、人员任用条款管理、人员安全职责管理、安全意识教育和培训管理、违规处理、责任和义务变更管理等。
第二章 术语定义
第三条 员工:是指北京思度咨询科技有限公司中各种用工形式的人员。
第四条 第三方组织:指与北京思度咨询科技有限公司合作或提供服务的相关组织,包括软件开发商、设备供应商、系统集成商和运维服务商等。
第五条 第三方人员:指第三方组织长期派驻我公司的员工或临时到我公司现场工作的人员。
第六条 脱密期:用人单位与接触敏感级及以上数据的员工所约定的在向单位提出离职申请后,需为单位继续工作的期限,该期限期满,员工才可以正式离职,脱密期也可以称为提前通知期。
第七条 关键岗位:本规范中指数据安全领域的关键岗位,主要包括组织内部数据安全管理岗、数据资产管理岗等。
第三章 职责权限
第八条 数据安全领导小组办公室
(一)制订、完善人员安全管理规定,包括内部人员、外部人员、第三方组织及人员管理,并将相关管理要求同步提交到公司的人才服务中心及总裁办;
(二)指导和协助人员数据安全管理相关规定的执行;
(三)组织审计人员安全管理制度的落实执行;
(四)开展并组织人员安全风险检查,并形成检查报告。
第九条 数据安全培训岗
(一)负责制定年度数据安全培训计划;
(二)按照培训计划组织开展数据安全培训,并记录培训工作;
(三)宣贯、推广人员数据安全管理相关规定。
第四章 人员招聘管理
第十条 人员招聘管理主要用于公司内部员工以及与公司有契约合作关系的**第三方组织和人员的招聘进行规范化管理。
第十一条 普通员工招聘过程中,与新员工签订的劳动合同或其它协议中应明确员工的数据安全责任,应包括敏感数据处理、使用、共享的保密条**款,如有需要,合同中应明确该责任在结束合同关系一段特定的时间内仍然有效。
第十二条 管理层与关键岗位人员的招聘,应明确该岗位在数据安全方面的要求,并对应聘人员的相关背景进行严格审查,背景调查的内容包含符合法律、法规、合同要求的情况,安全专业能力的调查,以往工作经历的调查及以往工作中是否发生过数据安全事件的调查等;关键岗位人员应签署专门的保密协议,如有需要,保密协议中应明确在结束合同关系一段特定的时间内仍然有效。关键人员的招聘应从内部人员中选拔并签署岗位安全协议和保密协议。
第十三条 凡是因违反国家法律法规有关规定受到过处罚或处分的人员,在招聘的过程中不得使其从事数据安全管理工作。
第五章 员工离职管理
第十四条 员工离职管理主要用于对内部员工的离职过程进行规范化管理。
第十五条 员工离职(包括岗位变动、解除劳动关系等)相关规定中应包括数据安全审查的相关内容,审查应包括以下方面:
(一)当员工离职时,提出离职申请书,并按有关规定办理相应手续,同时取消其系统权限和数据权限,接触敏感级别数据的员工需要根据保密协议书签订期限进行约束,期满后方可正式离职。
(二)管理层与关键岗位人员离职时,应立即取消其在原岗位的系统权限,及时更改相应系统的相关用户密码,确保密码、设备、资料及相关敏感信息等的移交。检查是否签署保密协议,若已签署保密协议应检查保密协议中的相关内容,向其重申单位权益及其应承担的保密义务。
(三)关键岗位人员离职时,应保证使用的各类信息系统用户是否已完成交接或被关闭;保管的工作资料、信息资产及数据资产是否已经交回;离职员工使用的各类计算机设备是否已全部交回。
第六章 员工安全教育与培训
第十六条 为保证公司数据安全保障体系的完整、有效,应建立安全意识教育和培训制度,安全教育和培训应贯穿员工在单位工作的全过程,培养全体工作人员的安全意识。包括:新员工入职教育与培训(包括对现有的数据安全规章制度等的培训)、岗前教育与培训和在岗教育与培训。对员工的安全教育与培训应填写员工培训及考核记录并保存。
第十七条 数据安全的教育和培训应作为新员工入职教育和培训的重要内容。员工的岗前教育与培训应包括与本岗位密切相关的安全管理要求培训,对本岗位中数据安全的关键控制点及违规行为应着重向员工申明。
第十八条 非数据服务员工的岗前教育与培训应包括防范恶意代码的相关内容,包括安全防范意识,日常安全注意事项,防恶意代码软件使用方法等;数据安全管理关键岗位的岗前教育与培训中,还应包括职业道德、行为规范、奖惩措施、数据安全管理制度和规范等方面的教育和培训内容;重要岗位员工在转岗、岗位升级前的岗前教育与培训中,应包括相关岗位的安全职责、管理制度和规范及工作流程的培训等。
第十九条 在岗员工应定期接受安全教育培训,主动学习、掌握单位最新的数据安全管理制度和规范。当组织数据安全总体策略、相关管理制度和规范发生变化后,应及时向在岗员工发布和宣贯。
第二十条 数据安全培训岗应定期组织对组织内所有员工的安全教育和培训,教育和培训内容包括但不限于:及时向员工发布最新的数据安全管理策略、制度和规范,每年至少组织一次部门内的数据安全专题培训并进行考核,及时向员工通报典型的安全事件及处理情况等。
第二十一条 数据安全领导小组办公室定期对数据安全培训计划进行审核更新,保证数据安全培训与时俱进。
第二十二条 对于关键岗位人员以及高权限人员进行每年一次的安全技能及安全认知的考核,并且定期或不定期对其保密制度的执行情况进行检查。
第七章 第三方组织管理
第二十三条 第三方组织包括软件开发商、设备供应商、系统集成商与运维服务商(业务运维及安全运维)等。
第二十四条 第三方组织必须在其技术合作领域具有符合公司要求的相关资质。
第二十五条 第三方组织与我公司签订合同的,必须同时签订指定的保密协议。第三方组织应严格按照合同及附属保密协议的条款履行承担的责任。
第二十六条 数据安全领导小组办公室每季度应对第三方组织进行考评并召开第三方组织例会;如特殊情况需要,单位可召集临时第三方组织会议。第三方组织应指派专人参加会议,不得缺席。
第二十七条 未经单位书面授权,第三方组织及其人员不得将在与本单位合作过程中涉及或新产生的一切敏感信息和数据在任何时间以任何方式泄露给任何第三方。
第二十八条 软件开发合同必须明确开发软件的知识产权归属。
第八章 第三方人员管理
第二十九条 第三方人员是指第三方组织长期派驻我公司的员工或临时到我公司现场工作的人员。
第三十条 第三方组织若要指派代维人员为我公司服务,则需要按照本管理办法与员工签订《保密协议书》,加盖单位公章,由数据安全领导小组办公室审核之后,签署审核意见并存档,方可允许代维人员为我公司服务。
第三十一条 第三方组织派遣至我公司现场工作的人员必须具有所工作领域的相关资格或丰富经验,其工作能力能胜任在我公司现场工作的要求。
第三十二条 第三方组织应对来我公司现场工作的人员进行岗前数据安全教育培训,并填写相关第三方人员培训及考核及记录。未经过岗前数据安全教育的新增人员,不得在我公司现场工作。
第三十三条 第三方组织应为长期派驻我公司工作的人员制定考勤制度,并且严格执行。
第三十四条 第三方人员在我公司工作时,应遵守我公司相关规章制度。软件开发商人员在软件开发过程中还应遵循我公司技术开发规范并接受审计。
第三十五条 因工作需要为第三方人员在系统中创建账号时,应参照我公司开发人员标准执行。软件开发商账号由我公司的项目负责人发起申请,并按照单位现有账号申请审批流程执行。
第三十六条 第三方人员用户的密码应按我公司相关规定进行设置。用户必须保管好自己的密码,禁止借给其他人员使用。
第三十七条 第三方人员终端设备需要接入我公司网络时时,应由项目负责人按照公司有关规定发起申请。
第三十八条 第三方人员用户账号使用完毕时,应及时告知我公司项目负责人。由项目负责人按照公司现有的账号管理办法进行账号的删除申请流程,由权限管控岗负责及时删除用户。
第三十九条 第三方人员要严格遵守公司已经颁布的各种规章、制度及流程。
第四十条 第三方人员应在我公司指定的工作场所工作,并保持工作场所的清洁、安全。
第四十一条 第三方人员未经我公司相关负责人的同意,不得进入有特别权限规定的区域。
第四十二条 若代维人员要转岗或离岗,提交《人员转岗/离岗申请书》,并由代维公司主管签署审核意见,公司主管部门根据相关管理制度完成转岗或离岗代维人员的账号回收和安全审计等工作,并签署转岗或离岗申请意见。
第九章 数据安全追责机制
第四十三条 各部门一把手为数据安全第一责任人,负责本部门的数据安全管理工作。
第四十四条 坚持"归属管理"原则,实行24小时数据监控制度,切实做到"看好自己的门,管好自己的人,做好自己的事"。负责督促本部门人员按照公司的数据安全管理制度严格执行数据安全工作。
第四十五条 坚持"谁主管,谁负责;谁主办,谁负责"的原则,加强对本部门数据访问和使用的审查,确保员工的数据访问和使用权限合规,数据不泄漏。
第四十六条 严格实行数据安全责任追究制。如因管理不善致使本部门内发生重、特大数据安全事故或严重违纪违法事件的,按有关规定对部门和有关责任人进行处理,情节特别严重的依法追究相关责任人的法律责任。
第四十七条 对于因违反相关规定造成以下安全事件的,公司将给予相关责任人处罚:
(一)重要数据泄露事故;
(二)大面积病毒爆发事故;
(三)服务器密码泄露事故;
(四)数据库密码泄露事故;
(五)数据窃取事故;
(六)数据越权访问事故;
(七)数据滥用事故;
(八)其他重大数据安全事故。
第四十八条 各部门没有根据《数据安全事件应急管理规范》的规定,在发生数据安全事件时及时进行响应并处置,而给公司造成损害的,公司将给予相关责任人处罚。
第四十九条 各部门没有依据本规范严格控制和约束第三方的行为,而给公司造成安全损害的,公司在追究第三方责任的同时,将给予部门相关责任人处罚。
第十章 附则
第五十条 本规范由数据安全领导小组办公室负责制定、解释和修改。
第五十一条 对违反本规定的人员,将按照北京思度咨询科技有限公司有关规定进行处罚。
第五十二条 本规范自发布之日起执行。