信息安全培訓及教育管理辦法(含安全教育和培訓記錄表技能考核表)

1、信息安全培訓及教育管理辦法第一章總則第一條為了加強公司信息安全保障能力，建立健全公司的安全 管理體系，提高整體的信息安全水平，保證網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng) 的正常運營，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，在公司安全體系框架下，本策略主 要明確公司信息安全培訓及教育工作的內(nèi)容及相關(guān)人員的職責。對公司人員進行有關(guān)信息安全管理的理論培訓、安全管理制度教育、安全 防范意識宣傳和專門安全技術(shù)訓練；確保公司信息安全策略、規(guī)章制 度和技術(shù)規(guī)范的順利執(zhí)行，從而最大限度地降低和消除安全風險。第二條本策略適用于公司所有部門和人員。第二章信息安全培訓的要求第三條信息安全培訓工作需要分層次、分階段、循序漸進地進 行，而且必須是能夠覆蓋全

2、員的培訓。第四條 分層次培訓是指對不同層次的人員，如對管理層（包括 決策層）、信息安全管理人員，系統(tǒng)管理員和公司人員開展有針對性 和不同側(cè)重點的培訓。第五條分階段是指在信息安全管理體系的建立、實施和保持的 不同階段，培訓工作要有計劃地分步實施；信息安全培訓要采用內(nèi)部 和外部結(jié)合的方式進行。一、 管理層（決策層）第六條 管理層培訓目標是明確建立公司信息安全體系的迫切 性和重要性，獲得公司管理層（決策層）有形的支持和承諾。第七條管理層培訓方式可以采用聘請外部信息安全培訓、專業(yè) 公司的技術(shù)專家和咨詢顧問以專題講座、研討會等形式。二、信息安全管理人員第八條信息安全管理人員培訓目標是理解及掌握信息安全原

3、 理和相關(guān)技術(shù)、強化信息安全意識、支撐公司信息安全體系的建立、 實施和保持。第九條信息安全管理人員培訓方式可以采用聘請外部信息安 全專業(yè)資格授證培訓、參加信息安全專業(yè)培訓、自學信息安全管理理 論及技術(shù)和公司內(nèi)部學習研討的方式。三、公司系統(tǒng)管理員第十條公司系統(tǒng)管理員培訓目標是掌握各系統(tǒng)相關(guān)專業(yè)安全 技術(shù)，協(xié)助公司和各部門信息安全管理人員維護和保障系統(tǒng)正常、安全運行。第十一條公司系統(tǒng)管理員培訓方式可以采用外部和內(nèi)部相結(jié)合 的培訓以及自學的方式。四、公司人員第十二條公司人員培訓目標是了解公司相關(guān)信息安全制度和技 術(shù)規(guī)范，有安全意識，并安全、高效地使用公司信息系統(tǒng)。第十三條 公司人員培訓方式應(yīng)主要采取

4、內(nèi)部培訓的方式。第三章信息安全培訓的內(nèi)容一、 安全體系及安全職責分工第十四條 公司各級領(lǐng)導及人員明確了解公司信息安全體系，并 明確各自在的安全職責，明確自身對維護保障公司系統(tǒng)正常、 安全運 行所需承擔的相關(guān)責任和義務(wù)。第十五條 培訓應(yīng)采用長期，并覆蓋公司全員。二、新人員入職安全培訓第十六條 新人員在正式上崗前，應(yīng)進行信息安全方面的培訓， 明確崗位所要求遵守的公司信息安全制度和技術(shù)規(guī)范。三、 公司人員安全技術(shù)教育第十七條針對公司系統(tǒng)的維護人員和管理員應(yīng)定期開展安全技 術(shù)教育培訓（每年至少一次），明確如何安全使用有關(guān)系統(tǒng)，包括各 業(yè)務(wù)系統(tǒng)、主機操作系統(tǒng)、電子郵件系統(tǒng)、內(nèi)部網(wǎng)站以及普通計算機 周邊硬

5、件設(shè)備。四、各項安全專業(yè)技術(shù)教育第十八條針對公司安全管理員和系統(tǒng)管理員應(yīng)定期開展由供應(yīng) 商或廠家提供的專業(yè)安全技術(shù)培訓，幫助相關(guān)安全管理人員和系統(tǒng)管 理員了解掌握正確、安全地安裝、配置、維護系統(tǒng)。五、安全專業(yè)資格認證第十九條 針對公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)實際情況，挑選公司信息安全管理及安全技術(shù)人員進行相關(guān)的認證考試培訓，并參加認證考試，以提高公司安全管理人員對信息安全的管理理論和技 術(shù)的水平。六、信息安全內(nèi)部考核（含培訓）第二十條 針對公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)崗位不同， 對人員進行相關(guān)的信息安全培訓，并在培訓后實行書面（開卷或閉卷） 信息安全考核。第二十一條 每年至少一次對各個

6、崗位的人員進行安全技能及安 全認知的考核。第二十二條 公司人員的安全培訓及教育成績，作為對該人員作 考核的依據(jù)之一。七、 關(guān)于信息安全的獎懲措施第二十三條 公司人員安全管理由各部門專、兼職安全管理員具 體進行操作，把執(zhí)行情況向本部門安全管理組織， 及公司信息安全辦 公室匯報，并由公司信息安全辦公室直接呈報給公司信息安全領(lǐng)導小 組作為公司各部門年度目標責任制考核的內(nèi)容之一。第二十四條 對執(zhí)行制度好、信息安全工作成績顯著的部門和個人，將給與表彰和適當獎勵；對違反公司安全管理制度、信息安全工 作存在不足和隱患的部門，由公司信息安全領(lǐng)導小組發(fā)出書面整改通 知，限期整改；對刻意不執(zhí)行公司安全管理制度、漠

7、視信息安全工作和存在安全隱患而沒有及時整改的，以至造成重大安全事故和案件的，將追究其部門主要負責人和直接責任者的責任， 并按公司有關(guān)考核管理辦法予以處理，構(gòu)成犯罪的，將依法追究其刑事責任。第四章公司信息安全培訓的管理一、 安全培訓的發(fā)起第二十五條 公司及部門安全管理組織可根據(jù)自身安全管理的 需要，發(fā)起相應(yīng)的安全培訓計劃。第二十六條涉及納入公司人員考核的培訓，需要公司人事部的 確實，以及公司信息安全辦公室備案考核結(jié)果。第二十七條 新人員、公司全員的安全培訓教育，納入公司人事 部的整體培訓計劃中。第二十八條具體操作過程遵守公司人事部的相關(guān)培訓管理制 度。二、安全培訓的實施第二十九條 培訓的實施，主要由公司人事部負責。第三十條對專業(yè)性很強的培訓，培訓發(fā)起的各級安全培訓組織負 責。第三十一條具體操作過程遵守公司人事部的相關(guān)培訓管理制 度。安全教育和培訓記錄表培訓主題培訓對象培訓時間培訓地點主講人記錄整理人培訓內(nèi)容（包含但不 限于信息安 全基礎(chǔ)知識、 崗位技能、安 全技術(shù)培訓、 崗位操作