人員網絡及信息安全管理詳細規(guī)定

XXXX單位或企業(yè)企業(yè)標準人員網絡及信息安全管理要求-10-25公布-11-01實施XXXX單位或企業(yè)公布 前言本標準由XXXX單位或企業(yè)標準化管理委員會提出。本標準由XXXX單位或企業(yè)XXXX部門起草并歸口管理。本標準關鍵起草人：本標準由XXX同意。本標準首次公布于10月25日,自本標準公布之日起，《信息系統(tǒng)操作人員安全管理要求》同時廢除。人員網絡及信息安全管理要求范圍為規(guī)范企業(yè)信息系統(tǒng)安全人員管理，保障企業(yè)信息安全，依據《信息安全等級保護管理措施》、《信息系統(tǒng)安全管理要求》（GB/T19715.2--）和企業(yè)相關規(guī)章制度，制訂本要求。本標準要求了本企業(yè)內部人員、第三方運維人員等安全管理相關內容，包含工作崗位風險分級、人員審核、人員錄用、保密協(xié)議、人力調動、人員離職、人員考評、安全意識教育和培訓、第三方人員安全等。本標準適適用于本企業(yè)內部人員及第三方人員管理和考評。規(guī)范性引用文件無規(guī)范性引用文件，保留本條款目標是保持本企業(yè)標準結構一致，便于以后修訂。術語和定義人員安全是指經過管理和控制，確保單位內部人員（尤其是信息系統(tǒng)管理維護人員）和第三方人員在安全意識、能力和素質等方面全部滿足工作崗位要求。第三方人員是指來自外單位專業(yè)服務機構，為本單位提供給用系統(tǒng)開發(fā)、網絡管理和安全支持等信息技術外包服務工作人員。安全教育和培訓是經過宣傳和教育手段，確保相關工作人員和信息系統(tǒng)管理維護人員充足認識信息安全關鍵性，含有符合要求安全意識、知識和技能，提升其進行信息安全防護主動性、自覺性和能力。機構和職責信息化建設項目實施小組負責指導企業(yè)及兩廠信息系統(tǒng)操作人員安全管理工作；負責實施企業(yè)信息安全檢驗及管理工作；研究國家和行業(yè)信息安全政策法規(guī)，組織相關部門討論來確保其符合性。人力資源部負責組織各部門編制部門所屬職員工作職能；負責職員專業(yè)資質審查、招聘和崗位技能培訓等；負責職員離職、調動審查和同意等。XXXX部門負責檢驗各部門信息安全工作落實情況；負責對人員在崗時信息安全相關工作統(tǒng)計進行檢驗；負責對信息系統(tǒng)關鍵人員進行定時培訓和考評工作；負責第三方人員信息安全管理工作；負責工作崗位風險狀態(tài)分級及劃分信息系統(tǒng)安全職責工作；負責普及信息安全防范意識，并針對信息安全違規(guī)事件向企業(yè)提出處理提議。其它部門負責接收信息安全教育和培訓、和配合定時信息安全抽查工作；負責部門人員在崗時信息安全管理；負責定時組織針對本部門信息系統(tǒng)工作人員技能考評工作；負責部門人員在崗、離崗或調動后資產管理及統(tǒng)計存檔工作。人員安全管理人員錄用信息化建設項目實施小組負責指導人力資源部信息安全工作人員錄用工作；人力資源部對擬錄用信息系統(tǒng)崗位人員身份、背景、專業(yè)資格和資質等方面進行審查，并進行技能考評；人員錄用前審查標準為：含有基礎專業(yè)技術水平，接收過安全意識教育和培訓，能夠掌握安全管理基礎知識。信息系統(tǒng)關鍵崗位人員還應含有很好思想品質和基礎系統(tǒng)安全風險分析、評定能力；從事關鍵崗位或負責關鍵系統(tǒng)、機房等關鍵區(qū)域人員，須從內部人員選撥，應含有認真負責工作態(tài)度、較高職業(yè)道德水準；由人力資源部及XXXX部門對信息安全人員進行入職培訓，包含信息安全規(guī)章制度教育培訓等，并將制度掌握等培訓情況納入到試用期考評。在職人員各部門領導負責本部門人員信息安全管理工作，確保崗位信息安全職責落實；各部門應對人員領用資產情況做對應統(tǒng)計，在人員歸還信息資產時消除統(tǒng)計；XXXX部門定時組織抽查內部人員權限分配情況，如發(fā)覺權限分配不合理，立即通知相關部門進行修改；XXXX部門信息系統(tǒng)管理員應嚴格實施相關操作手冊，進行日常運維操作。人員調動工作人員崗位調動后，須辦理嚴格調動手續(xù)，關鍵崗位人員離崗須承諾調離后保密義務；工作人員內部調動至其它崗位時，在接到崗位調動通知后，應于30天內依據調動程序辦理工作資料、軟硬件設備等移交手續(xù)；被調感人員持有原崗位鑰匙、企業(yè)文件和設備等硬件資產由所在部門收回，并做好崗位交接統(tǒng)計；由被調感人員填寫《信息系統(tǒng)權限變更表》，經原部門和人力資源部審批后，上報至XXXX部門，由XXXX部門負責對其信息系統(tǒng)訪問授權進行調整，并回收相關軟件；工作人員信息系統(tǒng)權限變動后，XXXX部門須通知其信息安全責任改變和新注意事項；工作人員崗位調動后，還應負擔原崗位保密責任，參見附件《保密協(xié)議》。人員離職工作人員離職后，須辦理嚴格離職手續(xù)，管理層和關鍵崗位人員離職須承諾調離后保密義務；工作人員離職時，應于30天內依據離職程序辦理工作資料、軟硬件設備等移交手續(xù)；由所在部門收回離職人員持有原崗位鑰匙、企業(yè)文件和設備等硬件資產，并做好交接統(tǒng)計；由離職人員填寫《信息系統(tǒng)權限變更表》，經原部門及人力資源部審批后，上報至XXXX部門，由XXXX部門負責刪除其信息系統(tǒng)權限，并回收相關軟件；工作人員離職后，須由XXXX部門進行安全審查，在要求脫密期限后方可離職；涉密人員脫密期限遵照相關保密要求簽署書面保密承諾書，承諾調離后對原來工作中包含信息保密要求，參見《保密協(xié)議》。人員考評各部門每十二個月組織一次針對本部門信息系統(tǒng)工作人員定時考評，對各個崗位人員進行不一樣側重安全認知和安全技能考評，作為人員是否適合目前崗位參考；XXXX部門每十二個月組織一次針對關鍵崗位人員定時審查和技能考評，審查依據統(tǒng)計表格和操作日志，如發(fā)覺其違反安全要求，應查明原因，令其做出整改承諾，嚴重者不得繼續(xù)從事關鍵崗位工作。安全意識教育和培訓XXXX部門應依據各崗位信息安全角色和職責，制訂該崗位所需信息安全培訓計劃，并對安全教育和培訓情況及結果進行統(tǒng)計。培訓內容包含安全意識教育、崗位技能培訓和相關安全技術培訓；XXXX部門應在工作人員被授予訪問權限之前，依據其安全角色和職責，進行針對性安全教育和安全培訓；信息安全培訓內容包含但不僅限于以下幾方面：信息安全基礎知識、崗位操作規(guī)程、信息系統(tǒng)使用規(guī)范；企業(yè)信息安全方針、策略和信息安全目標宣貫培訓；信息安全專題培訓（如病毒防范培訓、訪問控制培訓、等級保護培訓等）；崗位安全責任、操作技能及相關技術；違反違反安全策略和安全要求懲戒方法。工作崗位風險分級XXXX部門應依據不一樣崗位性質，結合各個信息系統(tǒng)安全需求，要求其信息安全風險等級并針對不一樣崗位風險等級給予信息訪問權限；各部門應在日常工作中落實相關工作崗位風險分級要求內容，全部工作人員應該明確自己所在崗位信息訪問權限；投資依據企業(yè)崗位信息安全等級和業(yè)務特點，確定企業(yè)崗位信息安全職責。信息安全職責應包含以下內容：在企業(yè)信息安全管理組織架構中職責；在實施企業(yè)信息安全方針和目標方面職責；在遵守國家、地方多種信息安全相關法律法規(guī)方面職責；在保護企業(yè)信息資產免受未授權訪問、泄露、修改、銷毀或干擾方面職責；實施特定安全過程或活動方面職責；在匯報信息安全事故和弱點方面職責。工作協(xié)議對各部門包含協(xié)議約定事項中有信息安全要求時，各部門要和本部門工作人員（假如還未簽署）及相關外部單位簽署保密協(xié)議（保密協(xié)議中各項條款可依據具體項目具體編制）；XXXX部門應在關鍵信息系統(tǒng)管理維護和使用人員在上崗前，應嚴格根據信息安全規(guī)章制度中相關要求前述工作協(xié)議；依據崗位制訂對應保密協(xié)議或保密承諾書，保密協(xié)議可包含以下方面內容：—崗位所要保護信息；—協(xié)議使用期；—協(xié)議終止時所應采取方法；—為避免泄密，簽字人職責和行為；—保密協(xié)議和知識產權保護、商業(yè)秘密保護關系；—涉密信息許可使用，及簽字人使用信息權力；—對涉密信息活動審核和監(jiān)視；—涉密信息泄露或被破壞后處理程序；—協(xié)議終止時信息歸檔或銷毀方法；—違反協(xié)議后應采取方法；應要求工作協(xié)議內容（保密協(xié)議條款、操作步驟和規(guī)范），管理和落實工作協(xié)議部門，和前述工作協(xié)議步驟。第三人人員管理第三人員在訪問受控區(qū)域前，應向XXXX部門提出書面申請，經同意后，由專員全程陪同或監(jiān)督，并登記立案。第三人人員不得將和工作無關物品帶入機房，攜帶工作必需品進入機房須登記，并接收檢驗。第三方人員非因工作需要不得進入機房，不得對關鍵信息系統(tǒng)進行維護性邏輯訪問。第三方人員進入本單位開始工作前，應和其所在單位簽署保密協(xié)議，并要求第三方人員所在單位和企業(yè)簽署保密協(xié)議或在在協(xié)議內容中明確。XXXX部門應采取必需管理和技術手段，對第三方人員是否遵守安全要求進行檢驗監(jiān)督。各部門應根據企業(yè)相關信息安全管理要求和協(xié)議要求，對外協(xié)人員進行監(jiān)督和檢驗，并就安全違規(guī)情況按協(xié)議條款中要求進行處理。第三方人員權限按《信息系統(tǒng)開發(fā)安全管控措施》進行分配和管理。XXXX部門定時組織檢驗全部外部人員權限分配情況，并將抽查結果進行統(tǒng)計。如發(fā)覺權限分配不合理，立即通知相關人員進行權限修改。信息安全違規(guī)處理違反本要求，發(fā)生信息安全事故，根據事故造成損失和后果，依據國家相關法律法規(guī)進行處罰；除進行處罰外，XXXX部門應在全企業(yè)內就類似違規(guī)事件進行宣傳教育，避免同類問題再次發(fā)生。附：XXXX單位或企業(yè)保密協(xié)議書甲方：XXXX單位或企業(yè)企業(yè)地址：乙方：身份證號碼：依據《中國勞動法》、《中國反不正當競爭法》、《中國保密法》、《相關嚴禁侵犯商業(yè)秘密行為若干要求》、《中國電信條例》等相關法律、法規(guī)，甲、乙雙方在平等、自愿標準下簽訂以下協(xié)議，以資共同遵守。一、保密義務乙方為XXXX單位或企業(yè)正式職員，或為XXXX單位或企業(yè)提供相關系統(tǒng)開發(fā)、集成、運維等技術支持，XXXX單位或企業(yè)依據國家相關法律法規(guī)及企業(yè)規(guī)章制度，按確定工作職責，向乙方開放其職責范圍內技術及商業(yè)信息。乙方同意為XXXX單位或企業(yè)利益盡最大努力，不從事任何危害電信安全行為，不從事任何不正當使用商業(yè)秘密或技術秘密行為。二、保密范圍乙方因工作關系取得或交換所得XXXX單位或企業(yè)在經營管理過程中，未向社會公開或只在一定范圍內公開任何信息、經驗、技術和資料，包含建設和經營計劃、關鍵會議內容、關鍵公文內容、招投標方案、技術方案、財務數據、營銷策略、用戶信息、企業(yè)技術、工程、經營、文書、人事檔案等一切相關XXXX單位或企業(yè)商業(yè)、技術及經營管理秘密信息。國家法律、法規(guī)要求包含通信保密和網絡安全內容。三、保密信息使用（一）乙方在XXXX單位或企業(yè)工作期間：1、確保不私自發(fā)表、不泄漏相關XXXX單位或企業(yè)及其用戶任何秘密，不使她人取得、使用或計劃使用這些信息，并盡最大努力確保資料不遺失、不缺損；2、在XXXX單位或企業(yè)指示和業(yè)務范圍內，能夠許可進行商業(yè)秘密和技術秘密交流，但不得：直接或間接地向XXXX單位或企業(yè)內部、外部無關人員泄漏；不得為私人利益使用或計劃使用；不得復制或公開包含XXXX單位或企業(yè)商業(yè)秘密和技術秘密文件或文件副本；對工作中所保管、接觸相關XXXX單位或企業(yè)或XXXX單位或企業(yè)企業(yè)用戶文件應妥善對待，未經許可不得超出工作范圍使用；不得以第三方身份直接或間接參與同企業(yè)競爭行為。（二）乙方不管因何種原因結束在XXXX單位或企業(yè)工作時，全部應立即將全部和XXXX單位或企業(yè)經營活動相關文件、統(tǒng)計或材料（包含個人筆記和復印資料、電子文檔等）歸還給XXXX單位或企業(yè)。四、時效立即效期間內應遵守準則鑒于XXXX單位或企業(yè)擁有商業(yè)秘密和技術秘密在競爭中相關鍵價值，存在于勞動關系存續(xù)期間和終止、解除以后，所以乙方同意：上述義務在乙方受聘或受委托于XXXX單位或企業(yè)工作期間有效，對關鍵商業(yè)秘密和技術秘密長久有效。五、違約責任乙方違反本協(xié)議項下任何要求，XXXX單位或企業(yè)全部有權：（一）責令乙方停止違約或侵權行為；（二）視情節(jié)處以年總收入以下罰款，扣發(fā)獎金或其它紀律處分、行政處分直至開除；（三）要求乙方賠償其違約或侵權行為而造成一切經濟損失及其可能尋求法律救助過程中發(fā)生一切費用,其中包含律師費用、訴訟費用;（四）觸犯法律，提請相關部門追究其法律責任。六、爭議處理措施因實施本協(xié)議而發(fā)生糾紛，能夠由雙