人員安全管理制度

1、人員安全管理制度第一章 總 則第一條 為了切實保障的信息系統(tǒng)安全，根據(jù)國家信息安全法規(guī)，制定本管 理辦法。第二條 為有效控制信息科技相關(guān)崗位風(fēng)險，保護(hù)信息資產(chǎn)安全，按照內(nèi)部 控制管理相關(guān)要求，做好崗位管理、控制工作，并指導(dǎo)、檢查、督 促所轄機構(gòu)的崗位設(shè)置、職責(zé)劃分及崗位管理狀況。結(jié)合業(yè)務(wù)發(fā)展 的需要，對數(shù)據(jù)、軟件、文檔等重要保密資料保密要求，將安全保 密工作規(guī)范化、制度化，保障計算機工作的安全、可靠，更好地促 進(jìn)電子建設(shè)，同時提出員工在招聘、上崗、離職等過程中應(yīng)采取的 信息安全管理措施，建立員工信息安全教育、培訓(xùn)制度，明確安全 管理要求，降低人員信息安全風(fēng)險，提高信息安全管理水平。第三條 本辦

2、法適用于所有員工。第二章 信息科技崗位控制要求第四條 信息科技崗位設(shè)置應(yīng)符合授權(quán)有限、相互制約的要求，并相容崗位 的職責(zé)必須分離，包括但不限于：應(yīng)用開發(fā)、測試系統(tǒng)維護(hù)職責(zé)分 離，系統(tǒng)管理使用職責(zé)分離，用戶管理與使用職責(zé)分離，安全管理 與其他崗位職責(zé)分離等。第五條 為了保證信息系統(tǒng)安全、穩(wěn)定、持續(xù)的運行，滿足崗位內(nèi)控管理的 要求，避免由于從業(yè)人員辭職、崗位變動、出差、休假或其它原因 對系統(tǒng)運維造成的影響， 對信息科技崗位必須建立崗位 A/B 角制度， 在條件允許的情況下，關(guān)鍵崗位還應(yīng)設(shè)置 C角，各級信息科技職能 部門應(yīng)制定相應(yīng)的制度、 流程和考核辦法確保 A/B 角制度落到實處。第六條 關(guān)鍵崗位

3、是指在信息系統(tǒng)生產(chǎn)運行過程中可接觸到等級為敏感級以 上信息資產(chǎn)的信息科技崗位；選拔關(guān)鍵崗位人員時，應(yīng)對被選拔者 的相關(guān)背景和資歷進(jìn)行審查，考試合格后，方可上崗工作；關(guān)鍵崗 位人員必須是正式員工，并簽署與門的保密協(xié)議。第七條 信息安全管理崗位屬于關(guān)鍵崗位，必須保持獨立性；各級任職信息 安全管理人員應(yīng)經(jīng)與部門的技術(shù)考試合格后，方可上崗工作；應(yīng)逐 步實施信息安全管理崗位人員持證上崗，不具有信息安全與業(yè)技術(shù) 背景和資質(zhì)的人員不得從事信息安全管理工作。第八條 為做好關(guān)鍵崗位風(fēng)險控制，有效防范和規(guī)避關(guān)鍵崗位員工操作風(fēng)險 和道德風(fēng)險，關(guān)鍵信息科技崗位原則上應(yīng)每四年進(jìn)行輪換；在關(guān)鍵 崗位輪換時須對原崗位人員進(jìn)

4、行離任審計，以確保對離任人員的風(fēng) 險控制。第九條 所有信息科技崗位的員工必須簽署保密協(xié)議；在員工上崗前應(yīng)被再 次告知相應(yīng)的保密責(zé)任和義務(wù)；員工在工作過程中有義務(wù)接受信息 安全和保密知識的教育和培訓(xùn)。第三章計算機安全保密工作第十條 計算機軟件、數(shù)據(jù)、技術(shù)文檔口令等嚴(yán)格控制在一定范圍內(nèi)，未經(jīng) 批準(zhǔn)不得被無關(guān)人員接觸，更不能流出行外，以保證安全性。第十一條計算機安全保密工作的指導(dǎo)思想是以預(yù)防為主，各單位要加強對有 關(guān)人員的思想教育，防患于未然。第十二條信息技術(shù)部領(lǐng)導(dǎo)要經(jīng)常性地檢查計算機數(shù)據(jù)資料及各崗位人員的工 作，及早發(fā)現(xiàn)問題，避免損失。第十三條 發(fā)現(xiàn)問題要及時上報 信息技術(shù)部，不得以任何方式隱瞞、

5、掩蓋。第十四條 對于違反制度的人員和單位，嚴(yán)格按有關(guān)規(guī)定處理，直至送交司法 機關(guān)。第十五條 權(quán)限分系統(tǒng)用戶、網(wǎng)絡(luò)用戶、數(shù)據(jù)庫用戶三類。具體用戶設(shè)置和口 令權(quán)限見 “計算機系統(tǒng)用戶及口令權(quán)限配置表”。第十六條 為防意外情況發(fā)生，各系統(tǒng)的最高權(quán)限口令要密封后，存保險柜中， 并以磁介質(zhì)形式存放 信息技術(shù)部，保證及時更新。第十七條 口令禁止共享。 具體安全保密細(xì)則請參考計算機崗位安全保密紀(jì) 律細(xì)則。第四章 對全體員工的信息安全基本要求 對全體員工的信息安全要求，包括但不限于以下條款：第十八條 禁止利用計算機資源制造、傳播違反國家法律法規(guī)的信息；第十九條 掌握所在崗位需要的計算機信息安全知識；妥善保管計

6、算機系統(tǒng)中 的重要文件和數(shù)據(jù)；妥善保管身份認(rèn)證憑據(jù)（如用戶帳號、密碼、 數(shù)字證書等）；第二十條 嚴(yán)禁自行更改所使用計算機系統(tǒng)的軟硬件配置；嚴(yán)禁在計算機設(shè)備 上安裝、使用盜版軟件、工作無關(guān)的軟件或非授權(quán)數(shù)據(jù)介質(zhì)（如軟 盤、光盤、優(yōu)盤和移動硬盤等）；第二十一條計算機桌面設(shè)備是固定資產(chǎn)，所有員工有義務(wù)和責(zé)任愛護(hù)并正確使用；桌面計算機必須安裝防病毒軟件，及時更新補丁，并定期檢 查更新情況；未經(jīng)審批，桌面計算機不得與外單位網(wǎng)絡(luò)及互聯(lián)網(wǎng)連 接；禁止在非授權(quán)情況下將桌面計算機同時接入互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)； 第二十二條離開工位時，必須將辦公電腦啟動屏幕保護(hù)程序或保持注銷狀態(tài)，并采用口令進(jìn)行保護(hù)；非必要時，不能將計

7、算機設(shè)備提供他人 使用，（特別是非本單位人員）；未經(jīng)設(shè)備保管人同意，不能擅自 使用他人計算機設(shè)備；第二十三條發(fā)現(xiàn)可疑計算機安全相關(guān)的事件時，有責(zé)任和義務(wù)及時報告；有責(zé)任和義務(wù)自覺接受信息中心門在信息安全防范方面的管理、監(jiān)督 和檢查；第二十四條有義務(wù)參加信息安全教育和培訓(xùn)。以上要求應(yīng)包含在員工招聘、上崗、員工行為管理及教育培訓(xùn)過程中。第五章員工招聘與離職第二十五條員工招聘過程中，與新員工簽定的勞動合同或其它協(xié)議中應(yīng)明確員工的信息安全責(zé)任，并應(yīng)包括信息安全相關(guān)的保密條款，如有需 要，合同中應(yīng)明確該責(zé)任在結(jié)束合同關(guān)系一段特定的時間內(nèi)仍然有 效。第二十六條信息科技關(guān)鍵崗位人員的招聘，應(yīng)明確該崗位在信息

8、安全方面的要求，并對應(yīng)聘人員的相關(guān)背景進(jìn)行嚴(yán)格審查；相關(guān)崗位人員應(yīng)簽 署與門的保密協(xié)議，如有需要，保密協(xié)議中應(yīng)明確在結(jié)束合同關(guān)系 一段特定的時間內(nèi)仍然有效。第二十七條 員工離職 （包括崗位變動、 解除勞動關(guān)系等） 相關(guān)規(guī)定中應(yīng)包括 信息安全審查的相關(guān)內(nèi)容，審查應(yīng)包括以下方面：（一）當(dāng)員工發(fā)生崗位變動時，應(yīng)按有關(guān)規(guī)定辦理離職手續(xù)。（二）離職員工原崗位使用的各類信息系統(tǒng)用戶是否已完成交接或被關(guān)閉；（三）離職員工是否簽署保密協(xié)議，若已簽署保密協(xié)議應(yīng)檢查保密協(xié)議中 的相關(guān)內(nèi)容，向其重申權(quán)益及其應(yīng)承擔(dān)的保密義務(wù)；（四）離職員工保管的工作資料、信息資產(chǎn)是否已經(jīng)交回；（五）離職員工使用的各類計算機設(shè)備是否已

9、全部交回；（六）信息科技員工及關(guān)鍵崗位員工，應(yīng)立即取消其在原崗位的系統(tǒng)權(quán)限， 及時更改相應(yīng)系統(tǒng)的相關(guān)用戶密碼，確保密碼、設(shè)備、資料及相關(guān) 敏感信息等的移交。 ?第六章 員工信息安全教育與培訓(xùn)第二十八條 為保證信息安全保障體系的完整、 有效，應(yīng)建立信息安全教育和 培訓(xùn)制度，信息安全教育和培訓(xùn)應(yīng)貫穿員工在工作的全過程，包括： 新員工入行教育培訓(xùn)、崗前教育與培訓(xùn)和在崗教育與培訓(xùn)。對員工 的信息安全教育培訓(xùn)應(yīng)保存相關(guān)記錄。第二十九條 信息安全教育和培訓(xùn)應(yīng)作為新員工入行教育和培訓(xùn)的重要內(nèi)容， 培訓(xùn)內(nèi)容應(yīng)包括但不限于：（一）信息安全及保密管理的基本知識；（二）員工信息安全管理的相關(guān)規(guī)定和要求；（三）辦公自

10、動化系統(tǒng)、 Internet 郵件系統(tǒng)、內(nèi)部網(wǎng)絡(luò)和桌面辦公設(shè)備等 計算機資源的正確使用和信息安全保護(hù)基本要求；（四）最新的信息安全總體策略；（五）信息安全事件的報告流程。第三十條員工上崗前所在機構(gòu)或部門的管理人員應(yīng)向其申明本機構(gòu)或部門的信息安全管理要求和責(zé)任。（一）員工的崗前教育培訓(xùn)應(yīng)包括本崗位密切相關(guān)的計算機信息安全管理 要求培訓(xùn)，對本崗位中信息安全的關(guān)鍵控制點應(yīng)著重向員工申明。（二）信息科技員工的崗前教育培訓(xùn)中，還應(yīng)包括職業(yè)道德、行為規(guī)范、 獎懲措施、信息安全管理制度和規(guī)范等方面的教育和培訓(xùn)內(nèi)容。第三一條在崗員工應(yīng)定期接受信息安全教育，主動學(xué)習(xí)、掌握最新的信息安全管理制度和規(guī)范。（一）在信息安全總體策略、相關(guān)管理制度和規(guī)范發(fā)生變化后，應(yīng)及時向 在崗員工發(fā)布；（二）對在崗員工的信息安全基本要求、獎懲措施、信息安全事件報告流 程等應(yīng)納入員工守則或另行編制成冊，及時向在崗員工發(fā)布。第三十