人員安全管理辦法0001

1、人員安全管理辦法第一章 總則第一條 目標(biāo)：對成都銀行（以下簡稱“我行”）員工、承包方和第三方在任用前、任用中、任用后的相關(guān)安全職責(zé)以及行為進(jìn)行管理和規(guī)范：（ 一 ） 對人力資源進(jìn)行有效的安全管理；（ 二） 減少因人為原因，造成的信息資產(chǎn)被盜竊、誤用和濫用的風(fēng)險；（ 三） 確保員工了解信息安全威脅， 并在日常工作中遵守我行信息安全管理政策和制度。第二條 本管理辦法根據(jù)成都銀行信息安全管理策略制訂。第三條 范圍：本管理辦法適用于我行全體部門與人員，及其他與我行 IT 風(fēng)險管 理工作相關(guān) 的第三方人員。第四條 本管理辦法所指的員工是指我行在編正式人員等；承包方是指與我行簽 訂合作協(xié)議 的協(xié)作方，包括

2、： IT 外包人員、文秘人員等；第三方是指員工、承包方 以外的其他人員。 包括：臨時實習(xí)人員、下屬公司借用人員及返聘人員等。第二章 人員任用前的管理第五條 在任用前，確保員工、承包方和第三方理解其職責(zé)，保證其承擔(dān)的角色 符合我行信 息安全要求，以降低設(shè)施被盜竊、濫用和誤用的風(fēng)險。信息安全職責(zé)應(yīng) 于人員任用前在適當(dāng) 的崗位描述、任用條款和條件中指出。第六條 要對任用的員工、承包方和第三方的候選人員進(jìn)行充分的審查，特別是 對接觸敏感 信息的人員。第七條 安全職責(zé)（一 ） 對于員工，必須通過書面的崗位職責(zé)對其安全角色和職責(zé)進(jìn)行描述和說明。（ 二） 對于承包方和第三方的安全角色和職責(zé)， 應(yīng)按照組織的信

3、息安全政策進(jìn)行定 義，清晰地傳達(dá)給相關(guān)人員，并要求其簽署書面承諾。（ 三） 安全角色和職責(zé)應(yīng)包括但不限于以下要求：1）按 照我行信息安全方針實施和運行；2）保護(hù)信息資產(chǎn)免受非授權(quán)訪問、泄露、修改和破壞；3）執(zhí)行特定的安全過程或活動；4）確保安全職責(zé)落實到個人；5）向組織報告安全事件或潛在事件或其他安全風(fēng)險。第八條 員工選拔（ 一） 人力資源部負(fù)責(zé)對我行內(nèi)各個職位的應(yīng)聘人員認(rèn)真篩選， 按照我行人力資源 部的程 序?qū)?yīng)聘人員面試并進(jìn)行背景調(diào)查。背景調(diào)查時應(yīng)考慮：個人和職業(yè)推薦信，身 份證明，學(xué)歷和 / 或職業(yè)資格原始文件等。（ 二 ） 對員工的背景調(diào)查應(yīng)在申請職位時進(jìn)行，調(diào)查包括以下內(nèi)容：1、要有

4、適當(dāng)?shù)耐扑]人，以對申請人的業(yè)務(wù)能力和個人品德進(jìn)行證明；2、檢查申請人的簡歷是否完整及準(zhǔn)確；3、確認(rèn)其聲明的學(xué)歷及職業(yè)資格是否真實；4、進(jìn)行獨立的身份檢查（身份證、護(hù)照或其它文件）；（ 三 ） 各部門負(fù)責(zé)人可根據(jù)本部門對上崗員工的特殊要求，提出必要的附加調(diào)查內(nèi) 容，并反饋給人力資源部，以便選出合適的人員。（ 四） 建立正式程序以確定對人員背景進(jìn)行驗證審查。第九條 對于承包方人員和第三方人員也要執(zhí)行審查過程。如果承包方人員是通 過代理機(jī)構(gòu) 提供，與代理的合同要清晰地規(guī)定代理進(jìn)行人員審查的職責(zé)，以及未完 成審查或?qū)彶榻Y(jié)果引 起懷疑時，代理機(jī)構(gòu)需要遵守的通知程序。同樣，與第三方的 協(xié)議應(yīng)清晰的指定審查

5、的所有 職責(zé)和通知程序。第十條 對我行考慮錄用的所有候選者的信息，應(yīng)按照相關(guān)法律法規(guī)來收集和處理。依據(jù)適用的法律，應(yīng)將審查活動提前通知候選者。第十一條 任用條款和條件（ 一 ） 員工應(yīng)同意并簽署任用合同中的條款和條件，這些條款和條件要聲明相關(guān)的 信息安全職責(zé)。二 ） 我行準(zhǔn)備聘用的承包方和第三方人員，除了要承諾遵守我行制訂的聘用條件 和崗位職責(zé)外，還應(yīng)當(dāng)認(rèn)真閱讀工作人員信息安全守則，并與人力資源部門簽署協(xié)議，承諾遵守其中的所有信息安全管理方面的規(guī)則，并以作為聘用的前提條件。（三）工作中涉及到我行敏感類信息的員工、承包方和第三方要與人力資源部門簽 訂一份保密協(xié)議后才能開始工作。員工、承包方和第三

6、方的保密協(xié)議由我行人力資源部保存；員工、承包方和第三方所在的部門根據(jù)業(yè)務(wù)的需要，也可以與員工簽訂專門的保密協(xié)議。第三章 人員任用中的管理第十二條 員工、承包方和第三方如需申請我行系統(tǒng)帳號，必須通過我行相關(guān)部門審批通過后，才能設(shè)立工作所需的最小權(quán)限帳號。第十三條 員工、承包方和第三方的工作崗位發(fā)生變化時，需要對其訪問權(quán)限進(jìn)行相應(yīng)調(diào)整。第十四條 管理職責(zé) 管理層應(yīng)采取必要措施，保證員工、承包方和第三方嚴(yán)格遵守我行已建立 的信息 安全方針、策略和程序，管理職責(zé)應(yīng)包括：（一）確保員工、承包方和第三方在被授權(quán)訪問敏感信息或信息系統(tǒng)前了解其信息安全的角色和職責(zé)；（二）制定并頒布明確的安全期望的實施指南；（

7、三）建立恰當(dāng)?shù)募顧C(jī)制；（四）監(jiān)督員工、承包方和第三方遵守任用條款和條件和相應(yīng)的信息安全政策（五）員工、承包方和第三方提供恰當(dāng)?shù)男畔踩逃c培訓(xùn)。第十五條 應(yīng)當(dāng)對我行的所有員工（適當(dāng)時也可以包括承包方人員和第三方人員）進(jìn)行與其工作職能相關(guān)的信息安全意識培訓(xùn)及教育。第十六條紀(jì)律處理過程（一） 對于安全違規(guī)的員工， 應(yīng)有一個正式的紀(jì)律處理過程，紀(jì)律處理過程之前應(yīng) 有一個安全違規(guī)的驗證過程。（二）正式的紀(jì)律處理過程應(yīng)確保正確、公平、公正對待被懷疑安全違規(guī)的員工。要，直（三）對于嚴(yán)重的明知故犯的情況，應(yīng)立即免職、刪除訪問權(quán)和特殊權(quán)限，如果需接護(hù)送出現(xiàn)場。第四章 人員任用變更或終止第十七條 變更與終止

8、職責(zé)（一）員工、承包方和第三方的任用變更或任用終止的職責(zé)應(yīng)清晰的定義和分配。（二） 終止職責(zé)的傳達(dá)應(yīng)包括安全要求和法律職責(zé)，必要時還應(yīng)包括任何保密協(xié)議 規(guī)定的職責(zé)，并且在員工、承包方或第三方用戶的任用結(jié)束后持續(xù)一段時間仍然有效的任用條款和條件。（三） 必要時， 在員工、 承包方人員或第三方人員的合同中應(yīng)包含相關(guān)職責(zé)和義務(wù)在任 用終止后仍然有效的內(nèi)容。（四） 職責(zé)或任用的變更管理應(yīng)與職責(zé)或任用的終止管理相似。人力資源的職能通 常是與系統(tǒng)管理部門或系統(tǒng)運行部門一起負(fù)責(zé)總體的任用終止處理。對于承包方，終止職責(zé)的處理可以由代表承包方人員的負(fù)責(zé)人完成，其他情況下的用戶可能由相關(guān)部門來處理。（五） 當(dāng)有我

9、行人員和運營上安排的發(fā)生的變更時，有必要通知員工、承包方人員或第 三方人員。第十八條資產(chǎn)歸還（一） 所有的員工、 承包方和第三方在終止任用合同或協(xié)議時， 應(yīng)歸還其使用的所 有我 行資產(chǎn)。建立的正式任用終止過程要包括資產(chǎn)歸還的內(nèi)容，包括但不限于所有先前發(fā)放的計算機(jī)設(shè)備、軟件、公司文件、信用卡、身份識別卡、文檔和存儲于電子介質(zhì)中的信息都需要歸還。（二） 當(dāng)員工、承包方人員或第三方人員應(yīng)確保其所使用的或擁有的設(shè)備中的相關(guān)信息已 轉(zhuǎn)移給我行，并且已從設(shè)備中安全地進(jìn)行了刪除。（三）當(dāng)員工、 承包方人員或第三方人員在我行工作期間，利用我行信息資產(chǎn)產(chǎn)生 的所有相關(guān)知識產(chǎn)權(quán)物品，應(yīng)移交或歸還給我行。第十九條撤銷訪問權(quán)一 ） 所有員工、 承包方和第三方人員對信息和信息處理設(shè)施的訪問權(quán)應(yīng)在在崗位變更時進(jìn)行調(diào)整或在任用終止時刪除。（ 二） 任用變更或終止時， 個人對與