ISMS-02-13-V1.0 人员信息安全管理规定
人员信息安全管理规定
第一章 总则
第一条 为规范思度安全运营中心员工入职、在职、离职和培训等方面的信息安全管理工作,特制定本规定。 第二条 本规定适用于思度安全运营中心全体员工、系统内借调、交流人员,以及与上述人员相关的信息安全工作。 第三条 本规定所称在职员工是指与思度安全签订正式劳动合同书并且行政关系和工资关系隶属于思度安全运营中心的员工;新入职员工是指已与思度安全签订劳动合同书但尚未正式上岗的思度安全运营中心员工;转岗员工是指在思度安全运营中心内部进行岗位变动的在职员工;离职员工是指由于辞职、辞退等原因与思度安全解除劳动用工关系的员工或由于工作需要正式调离思度安全运营中心的思度安全员工;长期脱岗员工是指发生长病假、产假、思度安全系统内借调及交流等情况的思度安全运营中心员工。
第二章 组织与职责
第四条 思度安全运营中心风险管理组负责制订信息安全培训计划,组织开展信息安全培训;监督检查各部门执行本规定的情况。 第五条 各部门安全组负责监督和检查本部门执行本规定的情况。 第六条 人力资源部门负责新员工背景调查,员工转岗、离职材料的保管,员工信息安全培训材料归档等工作。 第七条 各部门应依据本部门各岗位的任职要求,确定各岗位的信息安全职责,对本部门员工组织开展信息安全培训;根据自身职责负责转岗、离职员工的设备回收、权限调整等工作。 第八条 思度安全运营中心全体员工应参与信息安全培训,提高信息安全意识,规范操作,贯彻落实信息安全管理的各项制度要求。 第九条 借调、交流至思度安全运营中心工作的思度安全员工,信息安全管理参照思度安全运营中心在职人员标准执行。
第三章 员工入职安全管理
第十条 思度安全运营中心负责新入职员工信息安全意识培训。应协助总行人力资源部,对拟录用人员开展背景调查,与新员工签订《思度安全运营中心员工安全保密责任书》。 第十一条 各部门应在新员工上岗之前,对其进行必要的信息安全、合规操作和相关技能培训。
第四章 员工在职、转岗安全管理
第十二条 员工在职期间,必须: (一) 贯彻执行思度安全运营中心信息安全方针策略; (二) 保护思度安全运营中心各类信息资产; (三) 按照既定流程进行规范操作; (四) 及时报告并配合处理信息安全事件和隐患; (五) 签订《思度安全运营中心员工安全保密责任书》,并履行相关的保密义务; (六) 遵守各类制度所规定的信息安全要求。 第十三条 在职员工发生转岗时,必须按要求填写《员工岗位调整通知单》,相关部门应按要求完成岗位相应物理和逻辑权限变更等手续,相关责任人必须在表上签字确认,全部手续办妥后应将上述材料交思度安全运营中心保管。 第十四条 要害岗位的责任,并对其进行职责分离、人员备份、尽职检查、离岗离职等方面的特殊管理。
第五章 员工离职安全管理
第十五条 在职员工办理离职手续时,应依据《员工岗位调整通知单》中的要求,向相关部门归还其使用的思度安全运营中心设备、软件、密钥、ID卡等物品或资产,相关部门需及时收回其物理和逻辑访问权限,并签字确认,全部手续办妥后应将上述表单交思度安全运营中心保管。 第十六条 离职人员必须遵守与思度安全运营中心签署的《思度安全总行劳动合同书》、《员工安全保密责任书》及相关制度中脱密要求等条款的规定,继续保守思度安全运营中心秘密。 第十七条 长期脱岗、借调、交流期满员工的信息安全管理参照以上条款执行。
第六章 信息安全培训管理
第十八条 思度安全运营中心风险管理组应按照思度安全运营中心培训管理流程的要求制订年度信息安全培训计划,开展信息安全培训。 第十九条 各部门应根据本部门岗位的特点开展信息安全意识、制度、职责、技能等方面的教育和培训。 第二十条 思度安全运营中心风险管理组应按照思度安全运营中心培训管理流程对信息安全培训情况进行考核。
第七章 附则
第二十一条 本规定由思度安全运营中心制订、修订和解释。 第二十二条 本规定自发布之日起生效。 第二十三条 记录 (一) 《员工安全保密责任书》 (二) 《员工岗位调整通知单》