信息安全管理制度匯編36917

1、內部資料注意保存XXXXXXXXXX信息安全制度匯編XXXXXXXXXX二0一六年一月目錄一、總貝U 6二、安全管理制度 7第一章管理制度71 .安全組織結構71.1 信息安全領導小組職責 71.2 信息安全工作組職責 81.3 信息安全崗位92 .安全管理制度112.1 安全管理制度體系 112.2 安全方針和主策略 122.3 安全管理制度和規(guī)范 122.4 安全流程和操作規(guī)程 142.5 安全記錄單14第二章制定和發(fā)布 15第三章評審和修訂 16三、安全管理機構 17第一章崗位設置171 .組織機構172 .關鍵崗位19第二章人員配備21第三章授權和審批22第四章溝通和合作24第五章審核

2、和檢查 26四、人員安全管理28第一章人員錄用281 .組織編制282 .招聘原則283 .招聘時機284 .錄用人員基本要求 295 .招聘人員崗位要求296 .招聘種類296.1 外招296.2 內招307 .招聘程序307.1 人事需求申請307.2 甄選307.3 錄用32第二章保密協(xié)議33第三章人員離崗35第三章 人員考核371 .制定安全管理目標 372 .目標考核373 .獎懲措施38第四章安全意識教育和培訓 391.安全教育培訓制度39第一章總則39第二章安全教育的含義和方式 39第三章安全教育制度實施39第四章 三級安全教育及其他教育內容 41第五章附則43第五章外部人員訪問

3、管理制度 441 .總 貝U 442 .來訪登記控制443 .進出門禁系統(tǒng)控制 454 .攜帶物品控制46五、系統(tǒng)建設管理 47第一章安全方案設計471 .概述472 .設計要求和分析 482.1 安全計算環(huán)境設計 482.2 安全區(qū)域邊界設計492.3 安全通信網絡設計 502.4 安全管理中心設計 503 .針對本單位的具體實踐 513.1 安全計算環(huán)境建設 513.2 安全區(qū)域邊界建設523.3 安全通信網絡建設 523.4 安全管理中心建設 533.5 安全管理規(guī)范制定 543.6 系統(tǒng)整體分析54第二章產品采購和使用 55第三章自行軟件開發(fā)581 .申報582 .安全性論證和審批 5

4、83 .復議584 .項目安全立項585 .項目管理595.1 概要595.2 正文60第四章工程實施621 .信息化項目實施階段 622 .概要設計子階段的安全要求 623 .詳細設計子階段的安全要求 634 .項目實施子階段的安全要求 63第五章測試驗收651 .文檔準備652 .確認簽字653 .專人負責654 .測試方案65第六章系統(tǒng)交付681 .試運行682 .組織驗收68第七章系統(tǒng)備案701 .系統(tǒng)備案702 .設備管理703 .投產后的監(jiān)控與跟蹤 72第八章安全服務商選擇74六、系統(tǒng)運維管理 75第一章環(huán)境管理751 .機房環(huán)境、設備752 .辦公環(huán)境管理76第二章資產管理811

5、 .總則812 .資產管理制度 81第三章介質管理851 .介質安全管理制度851.1 計算機及軟件備案管理制度 851.2 計算機安全使用與保密管理制度 851.3 用戶密碼安全保密管理制度 861.4 涉密移動存儲設備白使用管理制度 861.5 數(shù)據復制操作管理制度 871.6 計算機、存儲介質、及相關設備維修、維護、報廢、銷毀管理制度 87第四章設備管理891 .主機、存儲系統(tǒng)運維管理 892 .應用服務系統(tǒng)運維管理 89IV3 .數(shù)據系統(tǒng)運維管理904 .信息保密管理915 .日常維護916 .附件:安全檢查表 92第五章監(jiān)控管理和安全管理中心 941 .監(jiān)控管理942 .安全管理中心

6、95第六章網絡安全管理96第七章系統(tǒng)安全管理981 .總則982 .系統(tǒng)安全策略 983 .系統(tǒng)日志管理994 .個人操作管理1005 .懲處100第八章惡意代碼防范管理1011 .惡意代碼三級防范機制 1011.1 惡意代碼初級安全設置與防范 1011.2 .惡意代碼中級安全設置與防范 1011.3 惡意代碼高級安全設置與防范 1022 .防御惡意代碼技術管理人員職責 1023 .防御惡意代碼員工日常行為規(guī)范 103第九章密碼管理104第十章變更管理1061 .變更1062 .變更程序1062.1 變更申請1062.2 變更審批1062.3 變更實施1062.4 變更驗收 106附件一變更申

7、請表 107附件二變更驗收表 108第十一章備份與恢復管理1091 .總則1092 .設備備份1103 .應用系統(tǒng)、程序和數(shù)據備份 1114 .備份介質和介質庫管理 1145 .系統(tǒng)恢復1156 .人員備份116第十二章 安全事件處置 117IV1 .工作原則1172 .組織指揮機構與職責 1173 .先期處置1184 .應急處置1194.1 應急指揮1194.2 應急支援1194.3 信息處理1194.4 應急Z束1205后期處置1205.1 善后處置1205.2 調查和評估121第十三章應急預案管理1221 .應急處理和災難恢復 1222 .應急計劃1233 .應急計劃的實施保障 1244

8、 .應急演練125V一、總則為規(guī)范xxxxxxxxxX息安全工作，確保全體員工理解信息安全 工作與職責，并落實到日常工作中，推動信息安全保障工作的順利進 行，結合xxxxxxxxxX實際情況，特制定本制度。本管理制度所稱信息系統(tǒng)安全，包括計算機網絡和應用系統(tǒng)（以 下簡稱信息系統(tǒng)）的硬件、軟件、數(shù)據及環(huán)境受到有效保護，信息系 統(tǒng)的連續(xù)、穩(wěn)定、安全運行得到可靠保障。信息系統(tǒng)安全管理堅持“誰主管誰負責”的原則，公司的所有部 門和員工都應各自履行相關的信息系統(tǒng)安全建設和管理的義務與責 任。信息系統(tǒng)安全工作的總體目標是：實施信息系統(tǒng)安全等級保護， 建立健全先進實用、完整可靠的信息系統(tǒng)安全體系，保證系統(tǒng)和

9、信息 的完整性、真實性、可用性、保密性和可控性，保障信息化建設和應 用，支撐公司業(yè)務持續(xù)、穩(wěn)定、健康發(fā)展。信息系統(tǒng)安全體系建設必須堅持“統(tǒng)一標準、保障應用、符合法 規(guī)、綜合防范、集成共享”的原則。本制度適用于公司所有部門和個人:、安全管理制度第一章管理制度1 .安全組織結構XXXXXXXXXX 安全管理組織應形成由主管領導牽頭的信息安全領導小組、具體信息安全職能部門負責日常工作的組織模式，組織結構圖如下所示：組 織 機 構 圖1.1 信息安全領導小組職責信息安全領導小組是由XXXXXXXXXX 主管領導牽頭，各部門的負責人為組成成員的組織機構，主要負責批準 XXXXXXXXXX 安 全策略、分

10、配安全責任并協(xié)調安全策略能夠實施，確保安全管理工作有一個明確的方向，從管理和決策層角度對信息安全管理提供支持。信息安全領導小組的主要責任如下：（一）確定網絡與信息安全工作的總體方向、目標、總體原則和安全工作方法；（二）審查并批準政府的信息安全策略和安全責任；（三）分配和指導安全管理總體職責與工作；（四）在網絡與信息面臨重大安全風險時，監(jiān)督控制可能發(fā)生的重大變化；（五）對安全管理的重大更改事項（例如：組織機構調整、關鍵人事變動、信 息系統(tǒng)更改等）進行決策；（六）指揮、協(xié)調、督促并審查重大安全事件的處理，并協(xié)調改進措施；（七）審核網絡安全建設和管理的重要活動，如重要安全項目建設、重要的安 全管理措

11、施出臺等；（八）定期組織相關部門和相關人員對安全管理制度體系的合理性和適用性進行審定。1.2 信息安全工作組職責信息安全工作組是信息安全工作的日常執(zhí)行機構， 內設專職的安 全管理組織和崗位，負責日常具體安全工作的落實、組織和協(xié)調。信息安全工作組的主要職責如下：（一）貫徹執(zhí)行和解釋信息安全領導小組的決議；（二）貫徹執(zhí)行和解釋國家主管機構下發(fā)的信息安全策略；（三）負責組織和協(xié)調各類信息安全規(guī)劃、方案、實施、測試和驗收評審會議；（四）負責落實和執(zhí)行各類信息安全具體工作，并對具體落實情況進行總結和匯報；（五）負責內外部組織和機構的溝通、協(xié)調和合作工作；（六）負責制定所有信息安全相關的管理制度和規(guī)范；（

12、七）負責針對信息安全相關的管理制度和規(guī)范具體落實工作進行 監(jiān)督、檢查、考核、指導及審批，例如現(xiàn)有安全技術措施的有效性、 安全配置與安全策略的一致性、安全管理制度的執(zhí)行情況等。以上組織結構和職責通過信息安全組織職責體系加以說明。1.3 信息安全崗位為了有效落實信息安全各項工作， XXXXXXXXXX 應設立以下 專職的安全崗位，負責安全工作的落實和執(zhí)行：1.3.1 信息安全工作組主管1）負責網絡與信息安全的日常整體協(xié)調、管理工作；2）負責組織人員制定信息安全管理制度，并對管理制度進行推廣、 培訓和指導；3）負責重大安全事件的具體協(xié)調和溝通工作。1.3.2 安全管理員崗位 1）負責執(zhí)行網絡與信息安

13、全工作的日常協(xié)調、管理工作；2）負責日常的安全監(jiān)控管理，并對上報和發(fā)現(xiàn)的各類安全事件進行 響應；3）負責系統(tǒng)、網絡和應用安全管理的協(xié)調和技術指導；4）負責安全管理平臺安全策略制定，訪問控制策略審核；5）負責組織安全管理制度的推廣和培訓工作；6）負責定期進行安全檢查，檢查內容包括系統(tǒng)日常運行、系統(tǒng)漏洞 和數(shù)據備份等情況。1.3.3 安全審計員崗位1）負責安全管理制度落實情況的檢查、監(jiān)督和指導；2）負責安全策略執(zhí)行情況的審核。1.3.4 系統(tǒng)管理員1）負責系統(tǒng)安全穩(wěn)定運行的日常管理工作；2）負責保持系統(tǒng)的防病毒系統(tǒng)、補丁等保持最新，定期對系統(tǒng)進行 安全加固，保持系統(tǒng)漏洞最小化。1.3.5 網絡管理

14、員 1）負責網絡設備安全穩(wěn)定運行的日常管理工作；2）負責保持網絡設備的漏洞最小化，定期對系統(tǒng)進行安全加固;3）負責保持網絡路由和交換策略與業(yè)務需求保護一致。4） XXXXXXXXXX 應根據日常的運行維護和管理工作， 設置物理環(huán) 境管理、數(shù)據庫管理、應用管理以及資產管理等崗位，這些崗位也 應當包括安全職責，這些安全職責的具體內容通過 信息安全管理崗位說明書落實c2.安全管理制度2.1 安全管理制度體系XXXXXXXXXX 安全管理制度應建立信息安全方針、安全策略、安全管理制度、安全技術規(guī)范以及流程的一套信息安全管理制度體系。信息安全詈理制度和規(guī)定II記錄單作規(guī)程）息安全方針信息安全主策略安全技

15、術規(guī)范和標準作規(guī)程安全技術 規(guī)范）2.2 安全方針和主策略最高方針，綱領性的安全策略主文檔，陳述本策略的目的、適用 范圍、信息安全的管理意圖、支持目標以及指導原則，信息安全各個 方面所應遵守的原則方法和指導性策略。2.3 安全管理制度和規(guī)范各類管理規(guī)定、管理辦法和暫行規(guī)定。從安全策略主文檔中規(guī)定 的安全各個方面所應遵守的原則方法和指導性策略引出的具體管理 規(guī)定、管理辦法和實施辦法，是必須具有可操作性，而且必須得到有 效推行和實施的。技術標準和規(guī)范，包括各個安全等級區(qū)域網絡設備、主機操作系 統(tǒng)和主要應用程序的應遵守的安全配置和管理的技術標準和規(guī)范。技術標準和規(guī)范將作為各個網絡設備、主機操作系統(tǒng)和

16、應用程序的安 裝、配置、采購、項目評審、日常安全管理和維護時必須遵照的標準， 不允許發(fā)生違背和沖突。本項目將為 XXXXXXXXXX 編制如下安全 管理制度和規(guī)范：安全方針安全策略安全管理組織體系職責內部人員安全管理規(guī)定外部人員安全管理規(guī)定 等級保護安全管理規(guī)范風險評估管理規(guī)范軟件開發(fā)管理規(guī)定IT外包管理規(guī)定工程安全管理規(guī)定產品采購安全管理規(guī)定服務商安全管理規(guī)定機房管理制度辦公環(huán)境安全管理規(guī)定資產安全管理制度設備安全管理規(guī)定介質安全管理規(guī)定運行維護安全管理規(guī)范網絡安全管理規(guī)定系統(tǒng)安全管理規(guī)定防病毒安全管理規(guī)定密碼使用管理制度變更管理制度備份與恢復管理規(guī)定安全事件管理制度應急預案安全流程和操作規(guī)

17、程，詳細規(guī)定主要業(yè)務應用和事件處理的流程、步驟和相關注意事項。作為具體工作時的具體依照，此部分必須具有 可操作性，而且必須得到有效推行和實施的。2.4 安全流程和操作規(guī)程安全流程和操作規(guī)程，詳細規(guī)定主要業(yè)務應用和事件處理的流程 和步驟，和相關注意事項。作為具體工作時的具體依照，此部分必須 具有可操作性，而且必須得到有效推行和實施的。2.5 安全記錄單安全記錄單，落實安全流程和操作規(guī)程的具體表單，根據不同等 級信息系統(tǒng)的要求可以通過不同方式的安全記錄單落實并在日常工 作中具體執(zhí)行。主要包括日常操作的記錄、工作記錄、流轉記錄以及 審批記錄等。14第二章制定和發(fā)布安全策略系列文檔制定后，必須有效發(fā)布

18、和執(zhí)行。發(fā)布和執(zhí)行過 程中除了要得到管理層的大力支持和推動外，還必須要有合適的、可行的發(fā)布和推動手段，同時在發(fā)布和執(zhí)行前對每個人員都要做與其相 關部分的充分培訓，保證每個人員都知道和了解與其相關部分的內 容。安全策略在制定和發(fā)布過程中，應當實施以下安全管理：（一）安全管理制度應具有統(tǒng)一的格式，并進行版本控制；（二）由信息安全工作小組負責安全管理制度的制定（三）安全管理職能部門應組織相關人員對制定的安全管理制度進行論證和審定；（四）安全管理制度應通過文件形式下發(fā)通知；（五）安全管理制度應注明發(fā)布范圍，并對收發(fā)文進行登記。必須要注意到這是一個長期、艱苦的工作，需要付出艱苦的努力，而且由于 牽扯到許

19、多部門和絕大多數(shù)員工， 可能需要改變工作方式和流程，所 以推行起來的阻力會相當大；同時安全策略本身存在的缺陷，包括不 切實可行，太過復雜和繁瑣，部分規(guī)定有缺欠等，都會導致整體策略 難以落實。第三章評審和修訂信息安全領導小組應組織相關人員對于信息安全策略體系文件進行評審，并確定其有效執(zhí)行期限。同時應指定信息安全職能部門每年審視安全策略系列文檔，具體檢查內容包括：（一）信息安全策略中的主要更新；（二）信息安全標準中的主要更新。信息安全標準不需要全部更新，可以僅對 因變更而受影響的部分進行更新；如果必要，可以使用年度審視/更新流程對信息安全標準做一次全面更新。（三）安全管理組織機構和人員的安全職責的

20、主要更新；（四）操作流程的主要更新；（五）各類管理規(guī)定、管理辦法和暫行規(guī)定的主要更新；（六）用戶協(xié)議的主要更新；等等。 通過信息安全策略管理規(guī)定 落實以上相關內容三、安全管理機構第一章崗位設置健全的崗位設置、職責分配及技能要求等是安全組織建設的重點 內容，對于以后安全管理工作的順利開展具有巨大的意義。缺乏健全的崗位設置、職責分配及技能要求將導致無人負責、 難 以落實責權利，難以勝任安全管理工作等嚴重問題。1 .組織機構1） XXXXXXXXXX 成立信息安全領導小組，是信息安全的最高決策 機構，下設辦公室，負責信息安全領導小組的日常事務。2）信息安全工作領導小組，其最高領導由單位主管領導委任或

21、授權。3）信息安全領導小組負責研究重大事件，落實方針政策和制定總體策略等。職責主要包括：a）根據國家和行業(yè)有關信息安全的政策、法律和法規(guī)，批準公司 信息安全總體策略規(guī)劃、管理規(guī)范和技術標準；b）確定公司信息安全各有關部門工作職責，指導、監(jiān)督信息安全 工作。c）信息安全領導小組下設兩個工作組：信息安全工作組、應急處 理工作組。組長均由公司負責人擔任。4）信息安全工作組的主要職責包括：a）貫徹執(zhí)行公司信息安全領導小組的決議，協(xié)調和規(guī)范公司信息安全工作；b）根據信息安全領導小組的工作部署，對信息安全工作進行具體 安排、落實；c）組織對重大的信息安全工作制度和技術操作策略進行審查，擬訂信息安全總體策略

22、規(guī)劃，并監(jiān)督執(zhí)行；d）負責協(xié)調、督促各職能部門和有關單位的信息安全工作，參與 信息系統(tǒng)工程建設中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；e）組織信息安全工作檢查，分析信息安全總體狀況，提出分析報 告和安全風險的防范對策；f）負責接受各單位的緊急信息安全事件報告，組織進行事件調 查，分析原因、涉及范圍，并評估安全事件的嚴重程度，提出 信息安全事件防范措施；g）及時向信息安全工作領導小組和上級有關部門、單位報告信息安全事件。h）跟蹤先進的信息安全技術，組織信息安全知識的培訓和宣傳工 作。5）應急處理工作組的主要職責包括：a）審定公司網絡與信息系統(tǒng)的安全應急策略及應急預案；b）決定相應應急預案的啟動，負責現(xiàn)

23、場指揮，并組織相關人員排 除故障，恢復系統(tǒng)；c）每年組織對信息安全應急策略和應急預案進行測試和演練。6）公司應指定分管信息的領導負責本單位信息安全管理，并配備信息安全技術人員，有條件的 應設置信息安全工作小組或辦公室,對公司信息安全領導小組和工作小組負責，落實本單位信息安全 工作和應急處理工作。2 .關鍵崗位設置信息系統(tǒng)的關鍵崗位并加強管理，配備系統(tǒng)管理員、網絡管 理員、應用開發(fā)管理員、安全審計員、安全保密管理員，要求五人各 自獨立。要害崗位人員必須嚴格遵守保密法規(guī)和有關信息安全管理規(guī) 定。1）系統(tǒng)管理員主要職責有：a）負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；b）嚴格用戶權限管理，維護系統(tǒng)安

24、全正常運行；c）認真記錄系統(tǒng)安全事項，及時向信息安全人員報告安全事件；d）對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。2）網絡管理員主要職責有：a）負責網絡的運行管理，實施網絡安全策略和安全運行細則；b）安全配置網絡參數(shù)，嚴格控制網絡用戶訪問權限，維護網絡安 全正常運行；c）監(jiān)控網絡關鍵設備、網絡端口、網絡物理線路，防范黑客入侵, 及時向信息安全人員報告安全事件；d）對操作網絡管理功能的其他人員進行安全監(jiān)督。3）應用開發(fā)管理員主要職責有：a）負責在系統(tǒng)開發(fā)建設中，嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)；b）系統(tǒng)投產運行前，完整移交系統(tǒng)相關的安全策略等資料；c）不得對系統(tǒng)設置“后門”；d）對

25、系統(tǒng)核心技術保密等。4）安全審計員負責對涉及系統(tǒng)安全的事件和各類操作人員的行為進行審計和監(jiān)督，主要職能包括：a）按操作員證書號進行審計；b）按操作時間審計；c）按操作類型審計；d）事件類型進行審計；e）日志管理等。5）安全保密管理員負責日常安全保密管理活動，主要職責有：a）監(jiān)視全網運行和安全告警信息b）網絡審計信息的常規(guī)分析c）安全設備的常規(guī)設置和維護d）執(zhí)行應急中心制定的具體安全策略e）向應急管理機構和領導機構報告重大的網絡安全事件等。20第二章人員配備配備足夠數(shù)量的系統(tǒng)管理員、網絡管理員、安全管理員對順利完 成安全管理工作是非常重要的，可以有效避免人力不足帶來的問題。 配備專職的安全管理員

26、可以讓管理工作落實到專人上，可以更高效的 開展安全管理工作。關鍵事務崗位配備多人進行共同管理可以防止出 現(xiàn)疏忽，并且有利于互相約束和監(jiān)督機制的建立。如果沒有配備足夠數(shù)量的系統(tǒng)管理員、 網絡管理員、安全管理員, 則可能由于工作過度繁忙而出現(xiàn)安全事件。如果安全管理人員都是兼 職，則很可能出現(xiàn)只顧其他業(yè)務而忽視安全的情況。 關鍵事務崗位人 員不足會導致疏忽大意。1 .按照實際工作需要配備足夠數(shù)量的系統(tǒng)管理員、網絡管理員、安全管理員；2 .在安全管理部配備專職的安全管理員；3 .識別出關鍵事務崗位，對這些關鍵崗位配備多人進行共同管理，以 防止疏忽，并且建立起約束和監(jiān)督機制。崗位名稱人員數(shù)量人員名稱系統(tǒng)

27、管理員網絡管理員應用開發(fā)管理員安全審計員安全保密管理員第三章授權和審批授權和審批可以保證安全有關工作得到認可和控制， 排除盲目性 和不一致性，使安全工作更加權威和科學，有利于增強責任感。如果授權和審批工作做得不夠完善，可能會帶來執(zhí)行難等問題，安全工作得不到控制，因安全帶來的問題長期得不到解決， 安全問題 日積月累，最終導致嚴重安全事件的發(fā)生。應按照以下規(guī)范進行授權和審批流程建設：1 .明確審批授權事項、審批授權部門；2 .建立系統(tǒng)變更、重要操作、物理訪問和系統(tǒng)接入等事項的審批程序，對重要活動實施逐級審批；3 .按照審批程序執(zhí)行審批過程，記入文檔并進行審計；4 .定期審查審批事項，及時更新需授權

28、和審批的項目、審批部門和審批人等信息；制度名稱信息系統(tǒng)管理授權審批制度受控狀態(tài)文件編號執(zhí)行部門監(jiān)督部門考證部門第1條 為了提高企業(yè)信息系統(tǒng)的可靠性、穩(wěn)定性、安全性，特制定本制度。第2條 本制度適用于信息部與各用戶部門使用企業(yè)信息系統(tǒng)的相關人員。第3條 企業(yè)中涉及到信息系統(tǒng)方面的工作統(tǒng)一由信息部負責。第4條信息系統(tǒng)管理授權的方式。企業(yè)信息系統(tǒng)的授權以職位說明書和授權書為基準，逐級授權，其他授權方式或越級授權視為無效。第5條 企業(yè)信息系統(tǒng)管理授權程序。1 .總裁授權運營總監(jiān)全面負責企業(yè)信息系統(tǒng)的開發(fā)、管理、修改等工作。2 .運營總裁授權信息部經理負責信息系統(tǒng)的開發(fā)、管理、修改等具體工作。3 .信息

29、部經理授權給下屬員工，完成相應工作。第6條 企業(yè)信息系統(tǒng)管理中的文件審批程序，如下圖所示。最高領導信息系統(tǒng)管理的文件審批程序示意圖第7條 企業(yè)中的各用戶部門對信息系統(tǒng)只有根據其職級的使用權與建議權，而無修改權，否則造成的全部后果由當事人承擔。第8條 本制度由信息部制定，解釋權、修改權歸屬信息部第9條 本制度自總裁審批之日起實施，修訂時亦同。編制日期審核日期批準日期修改標記修改處數(shù)修改日期第四章溝通和合作安全管理問題涉及到各個層次的人員及技術，需要大家密切配合 才能做好，任何一方出現(xiàn)問題都會影響整個安全管理工作的順利開 展，因此對各種安全問題進行定期溝通和合作是非常必要的。如果與安全管理有關的溝

30、通和合作推進不順利， 出現(xiàn)的安全問題 得不到反饋和支持，則安全問題會變得越來越嚴重， 直到出現(xiàn)嚴重安 全事件。應按照以下規(guī)范進行溝通與合作：1 .由安全管理部提出，每半年召開一次安全協(xié)調專題會議，為期一天, 各有關部門包括外部顧問機構及人員都要參加，及時提出問題和解決 問題；會議記錄時間地點主持人t己錄員時間調度參加人員：會議議題發(fā)言人會議內容執(zhí)行人監(jiān)督人完成時間2 .每年與與兄弟單位、公安機關、電信公司等召開一次安全總結會， 平時則通過郵件等及時合作與溝通；3 .通過郵件、電話等與供應商、業(yè)界專家、專業(yè)的安全公司、安全組 織進行及時合作與溝通；4 .建立外聯(lián)單位聯(lián)系列表，包括外聯(lián)單位名稱、合

31、作內容、聯(lián)系人和 聯(lián)系方式等信息；5 .聘請信息安全專家作為常年的安全顧問，指導信息安全建設，參與 安全規(guī)劃和安全評審等。第五章審核和檢查對安全工作的開展情況進行定級審核和檢查可以及時、有效的督 促安全制度和安全技術的執(zhí)行、運作情況，減少安全疏忽，及時發(fā)現(xiàn) 并解決問題，使安全工作日常化、制度化。安全工作如果不能保證及時的審核和檢查，則容易導致各項工作 大打折扣，并且由此帶來的問題會積累起來最終導致嚴重安全事件發(fā) 生，如補丁長期得不到更新使系統(tǒng)長期暴露于黑客攻擊威脅之下。1 .由安全管理員每周進行安全檢查，檢查內容包括系統(tǒng)日常運行、系 統(tǒng)漏洞和數(shù)據備份等情況；2 .由內部人員或上級單位每季度進行

32、全面安全檢查，檢查內容包括現(xiàn)有安全技術措施的有效性、安全配置與安全策略的一致性、 安全管理 制度的執(zhí)行情況等；3 .每次檢查都要制定安全檢查表格實施安全檢查，匯總安全檢查數(shù) 據，形成安全檢查報告，并對安全檢查結果進行通報；4 .將上述工作要求寫入安全審核和檢查管理制度，用以規(guī)范安全 審核和安全檢查工作的頻率等重要內容。安全檢查記錄表檢查類型：定期安全檢查單位名稱XXXXXXXXXX工程名稱檢查時間檢查單位檢查項目或 部位參見檢察人 員檢查記錄檢查結論及 意見填表人:四、人員安全管理第一章人員錄用1 .組織編制各部門根據實際工作之需，進行工作分析，設定工作崗位，明確 各崗位職責，任職條件、需要人

33、數(shù)等。根據權責分工及不同職位的相互關系， 建立組織架構，并根據各 職位人員配備數(shù)，確定組織編制，各部門負責制訂本部門組織編制， 人事行政部匯總制訂全公司組織編制。每年 11月份制訂下年編制， 如因公司經營決策有重大調整或重大形勢變化，經總經理同意可在需 要時修訂。2 .招聘原則人員招聘根據人事編制安排，一般不得超出批準的編制（確須超出原編制招員的，應先按規(guī)定修訂編制）人員招聘應遵循公開、公平、公正原則，平等競爭，擇優(yōu)錄取。3 .招聘時機原有人員異動或離職，需補缺。工作業(yè)務量擴大，現(xiàn)有人力不能滿足工作需求，需擴招。4 .錄用人員基本要求4.1 具備應聘崗位所需的文化和技能要求，并通過考試或考核合

34、格。4.2 具備應聘崗位所要求的年齡和身體條件。4.3 身份正當，具有有效身份證及國家規(guī)定的其它證明。4.4 思想品德好，認同公司的文化，能夠自覺遵守公司的規(guī)章制度、自覺維護公司的權益和形象并愿意 為公司服務。4.5 服從公司的工作安排，努力做好本職工作。4.6 患有精神性、傳染性及其它有可能影響正常工作、危害公眾健康 的疾病的人員不得錄用。4.7 隱瞞、偽造、冒用個人證件、履歷的人員不得錄用。4.8 受過刑罰或正被追究刑事責任的人員不得錄用。4.9 被公司辭退、開除或自動離職的原公司員工不得再行錄用。5 .招聘人員崗位要求各部門應根據不同職位要求，對性別、年齡、教育程度、相關工作 年限、專業(yè)

35、知識、技能及其它適職條件做出明確說明；便于人事行政部遴選初試。6 .招聘種類6.1 外招外招適用于公司現(xiàn)有人力不能滿足實際工作需要時（數(shù)量不足、任職 資格不足）。6.2 內招6.2.1 內招適用于選拔同一職級但不同職位或更高職級之職位人員，在公司現(xiàn)有人力資源可以滿足的情況下，應優(yōu)先采用內招形式。6.2.2 內招報名人員需填寫好內招人員報名表，經部門主管人員 批準后，送交人事行政部。7 .招聘程序7.1 人事需求申請7.1.1 需求部門根據生產經營和發(fā)展需要至人事行政部處領取人員 需求申請表提出人事需求申請，注明是內招還是外招，由部門主管 人員審核，人事行政部根據各部門的定編定崗情況確認后，呈總

36、經理核準。7.1.2 需求部門應于實際需求日前提出人事需求申請， 生產作業(yè)人員 提前7天申請，辦公室普通職員 提前15天申請，部門主管（含）及以 上中層管理人員提前30天申請，以便于人事行政部統(tǒng)籌安排招聘。7.1.3 人事行政部應按部門需求及時組織招聘，如到需求時間未招到 合適人員，人事行政部應向需求 部門說明原因，并與需求部門協(xié)調， 再行確認預計時間，并視需要重新確認需求條件。7.2 甄選7.2.1 人事行政部根據經批準的需求申請制訂招聘計劃，組織招聘, 選擇招聘渠道，主要形式有：a）、廠區(qū)門口就地招聘、職介機構、勞務所推介（主要用于招聘生產作 業(yè)人員）。b）、參加人才招聘會、網絡招聘（主要

37、用于招聘辦公室普通職員和中 層管理人員）。c）、與院校合作，由校方推介（主要用于招聘實習生）。d）、獵頭公司推薦。（主要用于招聘高層管理人員）。7.2.2 人事行政部對應聘資料進行收集、分類、歸檔，按照所需崗位 的職位描述做初步篩選。7.2.3 擬選人員一般需經過兩次面談和測試，面試層次及步驟如下： a）應聘人員填寫求職人員登記表，人事行政部應向應試者了解個 人背景，進行資格審查（初試），不符合公司基本要求或需求部門基本 條件者，予以謝絕。b）人事行政部將初選合格的人員推薦到需求部門，由需求部門組織對 應聘人員進行專業(yè)能力及其它方面的復試。1）、需求部門經復試認為合格，提請批準錄用 （生產作業(yè)

38、人員由部門 部長批準，辦公室職員由總經 理批準），如認為不合格，予以謝絕。2）、部門經過復試以后，無論是否預備錄用應聘人員，均轉由人事 行政部通知應聘者。7.2.4 背景調查 人事行政部負責對通過面試的部門主管（含）級別 以上的人員進行工作經歷、學歷狀況、身份證明等進行背景調查，填 寫應聘者背景資料查詢表（見附件 5）并將調查結果進行匯總報 相關領導。7.2.5 薪資核定、審批手續(xù)辦理 人力資源主管根據面試評價及背景調查情況， 對生產作業(yè)人員的薪資 進行核定、審批；辦公室普通職員、部門主管（含）以上人員的薪資 核定由人事行政部審核后，交由總經理進行核準。7.3 錄用人事行政部根據經批準的錄用意

39、見，發(fā)放錄用通知書，通知 錄用人員報到有關事宜。32第二章保密協(xié)議信息安全人員應簽訂保密協(xié)議，履行約定紀律及其他方面條款。從內部人員中選拔從事關鍵崗位的人員，并簽署崗位安全協(xié)議信息安全人員在調離崗位時要簽訂離崗人員保密協(xié)議保密協(xié)議附件：甲方：XXXXXXXXXX乙方：甲、乙雙方根據中華人民共和國勞動法 以及國家、地方政府有關規(guī)定，在遵循平等自愿、 協(xié)商一致、誠實信用的原則下，就甲方商業(yè)秘密保密事項達成如下協(xié)議。一、保密內容甲、乙雙方確認，乙方應承擔保密義務的甲方商業(yè)秘密范圍包括但不限于以下內容。1 .技術信息：技術方案、工程設計、技術報告、檢測報告、實驗數(shù)據、試驗結果、圖紙、 樣品等。2 .經

40、營信息：包括經營方針、投資決策意向、產品服務定價、市場分析、廣告策略等。3 .公司依照法律規(guī)定或者有關協(xié)議的約定對外承擔保密義務的事項。二、雙方的權利和義務1 .甲方提供正常的工作條件，為乙方的發(fā)明、科研成果提供良好的應用和生產條件，并根 據創(chuàng)造的經濟效益給予獎勵。2 .乙方必須按甲方的要求從事經營、生產項目和科研項目的設計與開發(fā)，并將生產、經營、設計與開發(fā)的成果、資料交甲方，甲方擁有所有權和處置權。3 .乙方不得刺探非本職工作所需要的商業(yè)秘密。4 .未經甲方書面同意，乙方不得利用甲方的商業(yè)秘密進行新產品的設計與開發(fā)和撰寫論文 向第三方公布。5 .雙方解除或終止勞動合同后，乙方不得向第三方公開

41、甲方所擁有的未被公眾知悉的商業(yè) 秘密。6 .雙方協(xié)定競業(yè)限制的，解除或終止勞動合同后，在競業(yè)限制期內乙方不得到生產同類或 經營同類業(yè)務且有競爭關系的其他用人單位任職，也不得自己生產與甲方有競爭關系的同類產品或經營同類業(yè)務。7 .乙方必須嚴格遵守甲方的保密制度，防止泄露甲方的商業(yè)秘密。8 .甲方安排乙方任職涉密崗位，并給予乙方保密津貼。三、保密期限乙方承擔保密義務的期限為下列第 種。1 .無限期保密，直至甲方宣布解密或者秘密信息實際上已經公開。2 .有限期保密，保密期限自離職之日起 年。四、保密津貼甲方同意就乙方離職后承擔的保密義務向其支付保密津貼，保密津貼的支付方式為:五、違約責任1 .乙方如

42、違反本合同任何條款，應一次性向甲方支付違約金XX萬元，同時，甲方有權一次性收回已向乙方發(fā)放的所有保密費。2 .如果因為乙方的違約行為造成了甲方損失，乙方除支付違約金外，還應承擔相應的責任。六、勞動爭議處理當事人因本合同產生的一切糾紛由雙方友好、平等地協(xié)商解決，協(xié)商不成，任何一方均有權向本合同簽訂地的人民法院提起訴訟。七、其他1 .乙方確認，在簽署本合同前已仔細審閱過合同內容，完全了解合同各條款的法律含義， 并知悉和認可公司保密管理制度。2 .本協(xié)議如與雙方以前的口頭或書面協(xié)議有抵觸，以本協(xié)議為準。本協(xié)議的修改必須采用 雙方同意的書面形式。3 .本協(xié)議未盡事宜，按照國家法律或政府主管部門的有關規(guī)

43、章、制度執(zhí)行。八、本合同一式兩份，雙方各執(zhí)一份，具有同等法律效力。自雙方授權代表簽字并蓋公章之 日起生效。甲方（蓋章）乙方（簽名或蓋章）法定代表人簽名：年 月日年 月日編制日期審核日期批準日期34第三章人員離崗1 .工作人員離崗離職時，有關部門應即時取消其計算機涉密信息 系統(tǒng)訪問授權。工作人員離崗離職之后，仍對其在任職期間接觸、知 悉的屬于我局或者雖屬于第三方但本單位承諾或負有保密義務的秘 密信息，承擔如同任職期間一樣的保密義務和不擅自使用的義務，直至該秘密信息成為公開信息，而無論離職人員因何種原因離職。2 .離職人員因職務上的需要所持有或保管的一切記錄著本單位 秘密信息的文件、資料、圖表、筆

44、記、報告、信件、傳真、磁帶、磁 盤、儀器以及其他任何形式的載體，均歸我公司所有，而無論這些秘 密信息有無商業(yè)上的價值。3 .離職人員應當于離職時，或者于我公司提出請求時，返還全部 屬于我公司的財物，包括記載著我公司秘密信息的一切載體。 若記錄 著秘密信息的載體是由離職人員自備的，則視為離職人員已同意將這 些載體物的所有權轉讓給本單位，我公司應當在離職人員返還這些載 體時，給予離職人員相當于載體本身價值的經濟補償；但秘密信息可以從載體上消除或復制出來時，可以由我公司將秘密信息復制到本單 位享有所有權的其他載體上，并把原載體上的秘密信息消除，此種情 況下離職人員無須將載體返還，我公司也無須給予離職

45、人員經濟補 償。4 .離職人員離職時，應將工作時使用的電腦、 u盤及其他一切存 儲設備中關于工作相關或與我局會有利益關系的信息、文件等內容交接給本部門領導，不得在離職后以任何形式帶走相關信息員工辭/離職交接單姓名部門職務工作起止 日期交 接 內容所在 部門工作交接（口個人業(yè)務文檔口相關文件）部門經理簽字：（注：在辦、已辦、未辦工作另附表一）日 期：人事行政部1 .普通用品（口 辦公用品 口胸卡口鑰匙 其他：）經辦人簽字：2 .特殊物品（口 U盤 口電腦 口其他：）日期：口計算機設備使用交回口密碼清除經辦人簽字：口帳號清除口網絡管理情況日期：口保險保險上到：年月經辦人簽字：日 期：財務 部1 .

46、借 款（口 經辦支票 口匯票 口現(xiàn)金 口無相關借款 ）2 .其 他（口應清算款項口無）3 .工資截止日期：年 月日經辦人簽字：4 .違約金元日期：注：1、嚴格遵守本人與公司簽訂的保密合同，保守公司的商業(yè)秘密;2、該原件交公司總辦存檔。如有未交物品，各部門負責人應將物品名稱及價 錢注明，以便財務部在核發(fā)本人工資時扣除。上列事項未交接完畢或主管領導未 批準離職申請的，財務部不予辦理財務交接手續(xù)，未領薪資不予發(fā)放，并依公司 損失情況要求賠償；離職員工有違法行為的，公司保留追究其法律責任的權利； 當事人簽字： 日期：年 月 日36第三章人員考核為了加強安全生產監(jiān)督管理，防止和減少生產安全事故，保障 企

47、 業(yè)員工生命和財產安全，切實貫徹落實安全第一、預防為主、綜合 治理”的方針，促進企業(yè)經濟發(fā)展，根據中華人民共和國安全生產 法等法律法規(guī)，特指定本制度。1 .制定安全管理目標a）本單位每年一號文件必須針對企業(yè)上年度生產工作狀況及本年度企業(yè)發(fā)展規(guī)模、整體安全生產具體情況及新形勢下的規(guī)定要求，制定全年安全生產管理目標及管理措施。b）各項目部每年年初在本單位統(tǒng)一制定的安全生產目標管理的前提 下，根據本工程施工特點在年度安全生產計劃中制定安全生產管 理目標及實現(xiàn)目標的管理措施。c）各工程開工前，項目部必須制定工程從開工到竣工的生產施工過程中整體安全生產管理目標，并應詳細制定各施工階段且有針對性的安全生產

48、管理目標和措施，同時要把安全生產管理目標層層分解到各管理人員和各班組。d）各級在制定安全生產管理目標時，應緊密結合企業(yè)管理手冊中環(huán) 境管理目標和職業(yè)健康安全管理目標。2 .目標考核a）本單位對各直屬單位的目標管理考核各季度抽檢考核和年度考核 結合，季度考核的情況將納入年度考核。b）各項目部對所屬工程項目的考核應做到每月一次，并有記錄和相 關的安全檢查、整改情況記錄。3 .獎懲措施a）本單位按照當年安全生產一號文件中所規(guī)定的執(zhí)行。b）各項目部應根據項目工程具體實際情況制定獎罰制度。38第四章安全意識教育和培訓1.安全教育培訓制度第一章總則第一條為規(guī)范公司廣大員工安全意識，降低和避免因安全事故給公

49、司運營管理帶來的風險制定本制度。第二條 本制度適用于公司總部、個分公司辦事處，由行政中心負責制定和解釋，總裁審批后頒布實施。第三條 公司內所有員工違反本制度規(guī)定而引起的安全事故責任均依 據本制度追究相關當事人責任。第二章安全教育的含義和方式第四條 本制度所指安全教育培訓內容包括公司的網絡信息安全、客戶資料安全、公司財產安全、人員生命安全、消防安全、交通安全、設備安全、保密安全等事項。第五條 公司員工安全教育采取集體培訓、各專業(yè)對口部門針對各自業(yè)務特點制定相關規(guī)定并組織學習教育、 行政中心定期檢查督導并考核的方式進行。第三章安全教育制度實施第六條 一級教育，全體員工由公司教育中心制作課件和計劃，

50、由行 政中心召集人員教育中心具體負責組織授課， 重點崗位和人員由所在部門會同幾哦按語中心共同組織教育培訓工作。第七條 二、三級安全教育，新入公司員工由所在部門主管負責組織 進行教育。第八條日常安全會議一、公司安全例會每季一次由行政中心主持，公司安全主管、有關部 門負責人、各分公司安全責任人參加?？偨Y一季度的安全生產及內部 運營中安全方面綜合情況，分析存在的問題，對下季度的安全工作重 點作出布置。二、公司每年末召開一次安全工作會議，總結一年來安全生產上取得 的成績和不足，對本年度的安全生產先進集體和個人進行表彰，并布置下一年度的安全工作任務。三、各部門每月召開安全例會，由其安全責任人主持，安全分

51、管領導、 有關部門（崗位）負責人參加。內容：傳達上級安全管理文件、信息; 對上月安全工作進行總結，提出存在問題；對當月安全工作重點進行 布置，提出相應的預防措施。推廣安全管理的典型經驗和先進事跡， 在社會中已發(fā)生的重大安全事故中吸取教育。 由行政中心做好會議記 錄并存檔。四、各部門在日常會上要對安全工作進行分析總結， 預想當前不安全 因素，研究落實可行的安全控制措施。五、安全會議和培訓工作要做到有領導、有計劃、有內容、有記錄， 防止走過場。第四章 三級安全教育及其他教育內容第九條 新進公司職工（包括新調入人員、實習生、代培人員等）必 須進行三級安全教育，并經考試合格后方可上崗。第十條一級（公司

52、級）安全教育時間不少于 15小時，其教育內容： 一、國家有關安全生產法令、法規(guī)和規(guī)定。二、本公司的性質、經營特點及安全管理（特種信息處理及設施設備安全方面）規(guī)章制度。三、安全生產基本知識、消防知識及氣體防護常識。四、職業(yè)安全衛(wèi)生有關知識。五、本公司同類型企業(yè)的典型事故及教訓及有可能產生安全隱患的基礎知識。第十一條 二級安全教育時間不少于15小時，其教育內容：一、本單位概況，施工生產或工作特點，主要設施、設備的危險源和相應的安全措施和注意事項二、本單位安全生產實施細則及安全技術操作規(guī)程。三、安全設施、工具、個人防護用品、急救器材、消防器材的性能和使用方法等。四、以往的事故教訓。第十二條 三級（部

53、門級）安全教育由部門負責人負責教育，可采取講解和實際操作相結合的方式進行，時間不少于8小時（技術、財務、結算、客服部門不少于15小時），經安全教育考核合格后，方可參 與重要工作或具體任務。一、本崗位作業(yè)程序及工作特點和安全注意事項。二、本崗位安全操作規(guī)程。三、本崗位設備、工具的性能和安全裝置、安全設施、安全監(jiān)測、設備的使用和保管方法。四、發(fā)現(xiàn)緊急情況時的急救措施及報告方法。第十四條 三級安全教育、考試、考核情況，要逐級填寫在三級安全 教育卡片上，建立安全教育檔案。三級安全教育完畢，經公司行政中 心審核后，正常開展其他方面工作。第十五條 未經三級安全教育或考試不合格者，不得分配工作，否則 由此而發(fā)生的事故由分配及接受其工作單位的領導負責。第十六條 經常性安全生產教育形式可采用：安全活動日、班前班后 會、各種安全會議、廣播、標語、簡報、電視、播放錄象等，結合公 司任務需要開展安全生產經常性教育，由項目部具體實施。第十七條 季節(jié)性教育由各部門結合季節(jié)特征、節(jié)假日前后，職工容易疏忽而放松安全生產的規(guī)律 ，抓住主要環(huán)節(jié)，進行安全教育。凡 是自然條件變化，大風、大雪、暴雨、冰凍或雷雨季節(jié)，應抓住氣候 變化的特點，進行安全教育。 第十八條 其他安全教育一、新工藝、新技術、新設備、新產品投產使用前，各主管部門要寫 出新的安全操作規(guī)程和注意熟悉，對崗位和有關人員進行安全教育，