信息安全人員管理辦法

1、版本說(shuō)明更新日期更新人員更新說(shuō)明V1.02014.06編制V1.12014.08細(xì)化重要崗位人員安全職責(zé)編制部門(mén)信息技術(shù)處10 / 91 總則為加強(qiáng)信息安全管理工作，保障x(chóng)x 系統(tǒng)正常運(yùn)行，依據(jù)有關(guān)法律、法規(guī)及信息安全標(biāo)準(zhǔn)，特制定本辦法。本辦法適用范圍包括：xx 系統(tǒng)信息安全管理人員及各重要崗位人員。2.1 信息安全管理人員職責(zé)1) 負(fù)責(zé)信息安全管理的日常工作；2) 開(kāi)展信息安全檢查工作，對(duì)重要崗位人員安全工作進(jìn)行指導(dǎo)和監(jiān)督；3) 負(fù)責(zé)維護(hù)和審查有關(guān)安全審計(jì)記錄，及時(shí)發(fā)現(xiàn)存在問(wèn)題，提出安全風(fēng)險(xiǎn)防范對(duì)策；4) 開(kāi)展信息安全知識(shí)的培訓(xùn)和宣傳工作；5) 監(jiān)控信息安全總體狀況，提出信息安全分析報(bào)告。及

2、時(shí)向 xx 安全工作組報(bào)告信息安全事件。2.2 信息安全管理人員管理1) 信息安全人員在行使職責(zé)時(shí)，確因工作需要，經(jīng)批準(zhǔn)，可了解xx 系統(tǒng)相關(guān)信息系統(tǒng)的機(jī)密信息。2) 信息安全人員發(fā)現(xiàn)本單位重大信息安全隱患，有權(quán)向信息安全主管部門(mén) 報(bào)告。3) 信息安全人員發(fā)現(xiàn)信息系統(tǒng)重要崗位人員使用不當(dāng)，應(yīng)及時(shí)建議有關(guān)單 位、部門(mén)進(jìn)行調(diào)整。4) 信息安全人員必須嚴(yán)格遵守國(guó)家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制度，嚴(yán)守 xx 系統(tǒng)相關(guān)秘密。5) 信息安全人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。 涉及 xx 系統(tǒng)核心技術(shù)的信息安全人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。2.3

3、重要崗位人員安全職責(zé)1) 信息系統(tǒng)重要崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的安全主管、系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、數(shù)據(jù)庫(kù)管理人員、重要應(yīng)用開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員、重要業(yè)務(wù)操作人員等崗位人員。2) 重要信息系統(tǒng)，是指涉及xx 業(yè)務(wù)辦理、安全系統(tǒng)等核心業(yè)務(wù)且有保密要求的信息系統(tǒng)。2.3.1 系 統(tǒng)安全主管1) 負(fù)責(zé)系統(tǒng)的總體安全及運(yùn)行策略；2) 負(fù)責(zé)制定系統(tǒng)的總體安全管理策略和相關(guān)崗位的管理制度；3) 負(fù)責(zé)制定總體安全工作規(guī)劃，開(kāi)展安全評(píng)價(jià)，編制各崗位的安全技術(shù)操作規(guī)程；4) 負(fù)責(zé)制定系統(tǒng)的應(yīng)急預(yù)案；5) 了解系統(tǒng)運(yùn)行現(xiàn)狀，定期組織安全檢查，及時(shí)發(fā)現(xiàn)事故隱患，隨時(shí)向信息安全領(lǐng)導(dǎo)小組提出事故隱患情況

4、及整改建議；6) 根據(jù)系統(tǒng)運(yùn)行的情況，定期對(duì)系統(tǒng)的安全現(xiàn)狀進(jìn)行評(píng)估并提出優(yōu)化和建、i、r .>_議方案；7) 制定各個(gè)業(yè)務(wù)崗位的績(jī)效考核，保障系統(tǒng)的安全穩(wěn)定運(yùn)行；2.3.2 安 全管理人員1) 負(fù)責(zé)執(zhí)行系統(tǒng)的整體安全策略；2) 負(fù)責(zé)監(jiān)督和檢查安全策略和制度的執(zhí)行情況；3) 針對(duì)系統(tǒng)運(yùn)行中的違規(guī)行為進(jìn)行監(jiān)督，并提出整改意見(jiàn)和措施；4) 負(fù)責(zé)關(guān)鍵業(yè)務(wù)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)超級(jí)管理員賬號(hào)的管理；5) 負(fù)責(zé)系統(tǒng)重要資料的保管與管理；6) 定期進(jìn)行系統(tǒng)的安全檢查，并根據(jù)檢查情況進(jìn)行系統(tǒng)安全情況匯報(bào)；7) 監(jiān)督執(zhí)行運(yùn)維操作規(guī)程，對(duì)違規(guī)操作進(jìn)行記錄和警告；2.3.3 網(wǎng) 絡(luò)管理人員1) 負(fù)責(zé)網(wǎng)絡(luò)的

5、運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則；2) 安全配置網(wǎng)絡(luò)參數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶(hù)訪問(wèn)權(quán)限，維護(hù)網(wǎng)絡(luò)安全正常運(yùn) 行；3) 監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線(xiàn)路，防范黑客入侵，及時(shí)向 信息安全人員報(bào)告安全事件；4) 定期對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)環(huán)境進(jìn)行巡檢和檢查；5) 對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。2.3.4 系 統(tǒng)管理人員1) 負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則；2) 嚴(yán)格用戶(hù)權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行；3) 認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向信息安全人員報(bào)告安全事件；4) 對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。5) 負(fù)責(zé)系統(tǒng)維護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行；6) 不得擅自

6、改變系統(tǒng)功能；7) 不得安裝與系統(tǒng)無(wú)關(guān)的其他計(jì)算機(jī)程序；8) 維護(hù)過(guò)程中，發(fā)現(xiàn)安全漏洞應(yīng)及時(shí)報(bào)告信息安全人員。2.3.5 數(shù) 據(jù)庫(kù)管理員1) 負(fù)責(zé)數(shù)據(jù)庫(kù)的正常運(yùn)行，合理配置參數(shù)，嚴(yán)格控制用戶(hù)訪問(wèn)權(quán)限，維護(hù) 數(shù)據(jù)庫(kù)正常運(yùn)行；2) 負(fù)責(zé)管理數(shù)據(jù)庫(kù)管理員的賬號(hào)與密碼，并按照安全策略定期進(jìn)行更換；3) 負(fù)責(zé)執(zhí)行總體安全策略的數(shù)據(jù)庫(kù)備份策略，定期對(duì)數(shù)據(jù)庫(kù)的信息進(jìn)行備 份和管理；4) 負(fù)責(zé)對(duì)數(shù)據(jù)庫(kù)出現(xiàn)的問(wèn)題或故障進(jìn)行診斷，并進(jìn)行故障排除、優(yōu)化和調(diào) 整；2.3.6 信 息資產(chǎn)管理員1) 嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運(yùn)行安全管理制度；2) 詳細(xì)記錄現(xiàn)有信息系統(tǒng)以及相關(guān)服務(wù)器、數(shù)據(jù)庫(kù)、操作系統(tǒng)的狀態(tài)和情 況；3) 及

7、時(shí)向安全主主管匯報(bào)現(xiàn)有信息資產(chǎn)的最新情況；2.3.7 物 理安全負(fù)責(zé)人1) 負(fù)責(zé)計(jì)算機(jī)機(jī)房的防火、防水、防靜電、防雷擊和防輻射等安全設(shè)施的 管理；2) 負(fù)責(zé)對(duì)計(jì)算機(jī)機(jī)房的內(nèi)部裝修，落實(shí)電磁波防護(hù)等技術(shù)規(guī)范與技術(shù)要求；3) 負(fù)責(zé)計(jì)算機(jī)機(jī)房配電系統(tǒng)、空調(diào)系統(tǒng)的維護(hù)與管理；4) 負(fù)責(zé)計(jì)算機(jī)機(jī)房的進(jìn)出口的控制機(jī)監(jiān)控系統(tǒng)和門(mén)禁系統(tǒng)的維護(hù)與管理；5) 負(fù)責(zé)對(duì)本單位計(jì)算機(jī)機(jī)房及所屬各部門(mén)計(jì)算機(jī)機(jī)房安全性的檢查，發(fā)現(xiàn) 問(wèn)題或隱患及時(shí)提出整改意見(jiàn)和書(shū)面報(bào)告3 重要崗位人員管理各重要崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。重要崗位人員上崗前必須經(jīng)單位人事部門(mén)進(jìn)行政治素質(zhì)審查，技術(shù)部門(mén)進(jìn)行 業(yè)務(wù)技能考核

8、，工作經(jīng)歷和工作經(jīng)驗(yàn)考查等，合格者方可上崗。重要崗位人員有責(zé)任保護(hù)信息系統(tǒng)的秘密，并以簽署保密協(xié)議的方式作出安全承諾。重要崗位人員上崗必須實(shí)行“權(quán)限分散、不得交叉覆蓋”的原則。系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開(kāi)發(fā)人員、系統(tǒng)維護(hù)人員不得兼任業(yè)務(wù)操作員；系統(tǒng) 開(kāi)發(fā)人員原則上不應(yīng)兼任系統(tǒng)管理員。對(duì)重要崗位人員應(yīng)實(shí)行定期考查制度，重要崗位人員應(yīng)定期接受安全培訓(xùn)，加強(qiáng)自身安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)。重要崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù) 。涉及公司業(yè)務(wù)保密信息的重要崗位人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，在 規(guī)定的脫密期后，方可調(diào)離。重要崗位人員離崗后，必須即刻更換操作密碼或注銷(xiāo)用戶(hù)

9、。4 第三方人員管理1) 第三方人員包括相關(guān)軟件開(kāi)發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè)備維護(hù) 商和服務(wù)提供商，以及臨時(shí)工作人員等。2) 應(yīng)對(duì)第三方人員的物理訪問(wèn)和邏輯訪問(wèn)實(shí)施訪問(wèn)控制，根據(jù)其在系統(tǒng)中 完成工作的時(shí)間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。3) 第三方人員的現(xiàn)場(chǎng)工作或遠(yuǎn)程維護(hù)工作內(nèi)容應(yīng)在合同中明確規(guī)定，如工 作涉及機(jī)密或秘密信息內(nèi)容，應(yīng)要求其簽署保密協(xié)議。4) 一般情況下第三方人員的現(xiàn)場(chǎng)工作，如數(shù)據(jù)庫(kù)、系統(tǒng)、漏洞掃描、入侵 檢測(cè)以及其他軟件的安裝等，不許接入自帶的設(shè)備。5) 第三方人員的現(xiàn)場(chǎng)工作應(yīng)在xx 信息安全工作組有關(guān)人員的陪同和監(jiān)督下完成。第三方人員自帶設(shè)備接入信息系統(tǒng)應(yīng)得到特別授權(quán)，其操作應(yīng)受到審計(jì)。6) 第三方人員工作結(jié)束后，應(yīng)及時(shí)清除有關(guān)賬戶(hù)、過(guò)程記錄等信息。5 培訓(xùn)與教育1) 信息安全人員應(yīng)定期參加下列信息安全知識(shí)和技能的培訓(xùn)：信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)；信息安全基本知識(shí)的培訓(xùn)；信息安全專(zhuān)門(mén)技能的培訓(xùn)。2) 信息安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。3) 應(yīng)對(duì) xx 系統(tǒng)相關(guān)人員定期進(jìn)行基本的信息安全知識(shí)和技能的培訓(xùn)，并應(yīng)注意培養(yǎng)信息安全意識(shí)。6 人員考核1) 信息安全主管部門(mén)要定期對(duì)信息各崗位工作人員進(jìn)行全面、嚴(yán)格的安全 考核；2) 考核的內(nèi)容包括：政治思想、業(yè)務(wù)水平、安全技能及安全認(rèn)知等方面；3) 應(yīng)對(duì)考核結(jié)