XXXX单位或公司企业标准
人员网络及信息安全管理规定
2014-10-25发布 2014-11-01实施
XXXX单位或公司 发布
Q/JYG/GL-XX -20-2014.a
前 言
本标准由XXXX单位或公司标准化管理委员会提出。 本标准由XXXX单位或公司XXXX部门起草并归口管理。 本标准主要起草人: 本标准由 XXX批准。
本标准首次发布于2014年10月25日,自本标准发布之日起,《信息系统操作人员安全管理规定》同时废除。
II
Q/JYG/GL-XX -20-2013.a
人员网络及信息安全管理规定
1 范围
为规范公司信息系统安全人员管理,保障公司信息安全,根据《信息安全等级保护管理办法》、《信息系统安全管理要求》(GB/T19715.2--2005)以及公司相关规章制度,制订本规定。
本标准规定了本企业内部人员、第三方运维人员等安全管理的相关内容,包括工作岗位风险分级、人员审核、人员录用、保密协议、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。
本标准适用于本企业内部人员及第三方人员的管理与考核。 2 规范性引用文件
无规范性引用文件,保留本条款的目的是保持本公司标准结构的一致,便于今后的修订。 3 术语和定义 3.1 人员安全
是指通过管理和控制,确保单位内部人员(特别是信息系统的管理维护人员)和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。 3.2 第三方人员
是指来自外单位的专业服务机构,为本单位提供应用系统开发、网络管理和安全支持等信息技术外包服务的工作人员。 3.3 安全教育和培训
是通过宣传和教育的手段,确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。 4 机构和职责
4.1 信息化建设项目实施小组 4.1.1 4.1.2 4.1.3
负责指导公司及两厂信息系统操作人员安全管理工作; 负责执行公司信息安全检查及管理工作;
研究国家和行业的信息安全政策法规,组织有关部门讨论来保证其符合性。
4.2 人力资源部 4.2.1 4.2.2 4.2.3
负责组织各部门编制部门所属员工的工作职能; 负责员工的专业资质审查、招聘和岗位技能培训等; 负责员工离职、调动的审查和批准等。
4.3 XXXX部门 4.3.1
负责检查各部门的信息安全工作落实情况;
3
Q/JYG/GL-XX -20-2013.a
4.3.2 4.3.3 4.3.4 4.3.5 4.3.6
负责对人员在岗时的信息安全相关工作记录进行检查; 负责对信息系统关键人员进行定期培训和考核工作; 负责第三方人员信息安全管理工作;
负责工作岗位风险状态分级及划分信息系统安全职责工作;
负责普及信息安全防范意识,并针对信息安全违规事件向公司提出处理建议。
4.4 其他部门 4.4.1 4.4.2 4.4.3 4.4.4
负责接受信息安全教育和培训、以及配合定期的信息安全抽查工作; 负责部门人员在岗时的信息安全管理;
负责定期组织针对本部门信息系统工作人员的技能考核工作; 负责部门人员在岗、离岗或调动后的资产管理及记录存档工作。
5 人员安全管理 5.1 人员录用 4.4.5 4.4.6
信息化建设项目实施小组负责指导人力资源部信息安全工作人员的录用工作; 人力资源部对拟录用信息系统岗位人员身份、背景、专业资格和资质等方面进行审查,
并进行技能考核; 4.4.7
人员录用前的审查标准为:具有基本的专业技术水平,接受过安全意识教育和培训,能
够掌握安全管理基本知识。信息系统关键岗位人员还应具备较好的思想品质以及基本的系统安全风险分析、评估能力; 4.4.8
从事关键岗位或负责核心系统、机房等重要区域的人员,须从内部人员选拨,应具备认
真负责的工作态度、较高的职业道德水准; 4.4.9
由人力资源部及XXXX部门对信息安全人员进行入职培训,包括信息安全规章制度的教育
培训等,并将制度掌握等培训情况纳入到试用期考核。 5.2 在职人员 5.2.1 5.2.2 5.2.3
各部门领导负责本部门人员信息安全管理工作,确保岗位信息安全职责的落实; 各部门应对人员领用资产的情况做相应记录,在人员归还信息资产时消除记录; XXXX部门定期组织抽查内部人员权限分配情况,如发现权限分配不合理,立即通知相关
部门进行修改; 5.2.4
XXXX部门信息系统管理员应严格执行相关操作手册,进行日常运维操作。
5.3 人员调动 5.3.1 义务; 5.3.2
工作人员内部调动至其他岗位时,在接到岗位调动通知后,应于一个月内依据调动程序工作人员岗位调动后,须办理严格的调动手续,关键岗位人员离岗须承诺调离后的保密
办理工作资料、软硬件设备等移交手续;
4
Q/JYG/GL-XX -20-2013.a
5.3.3
被调动人员持有原岗位钥匙、公司文件和设备等硬件资产由所在部门收回,并做好岗位
交接记录; 5.3.4
由被调动人员填写《信息系统权限变更表》,经原部门以及人力资源部审批后,上报至
XXXX部门,由XXXX部门负责对其信息系统访问授权进行调整,并回收相关软件; 5.3.5 项; 5.3.6
工作人员岗位调动后,还应承担原岗位的保密责任,参见附件《保密协议》。 工作人员信息系统权限变动后,XXXX部门须告知其信息安全责任的变化和新的注意事
5.4 人员离职 5.4.1
工作人员离职后,须办理严格的离职手续,管理层和关键岗位人员离职须承诺调离后的
保密义务; 5.4.2 5.4.3 录; 5.4.4
由离职人员填写《信息系统权限变更表》,经原部门及人力资源部审批后,上报至XXXX工作人员离职时,应于一个月内依据离职程序办理工作资料、软硬件设备等移交手续; 由所在部门收回离职人员持有原岗位钥匙、公司文件和设备等硬件资产,并做好交接记
部门,由XXXX部门负责删除其信息系统权限,并回收相关软件; 5.4.5
工作人员离职后,须由XXXX部门进行安全审查,在规定的脱密期限后方可离职;涉密人
员的脱密期限遵照有关保密规定签署书面保密承诺书,承诺调离后对原来工作中涉及信息的保密要求,参见《保密协议》。 5.5 人员考核 5.5.1
各部门每年组织一次针对本部门信息系统工作人员的定期考核,对各个岗位的人员进行
不同侧重的安全认知和安全技能考核,作为人员是否适合当前岗位的参考; 5.5.2
XXXX部门每年组织一次针对关键岗位人员的定期审查和技能考核,审查依据记录表格和
操作日志,如发现其违反安全规定,应查明原因,令其做出整改承诺,严重者不得继续从事关键岗位工作。
5.6 安全意识教育和培训 5.6.1
XXXX部门应根据各岗位的信息安全角色和职责,制定该岗位所需的信息安全培训计划,
并对安全教育和培训情况及结果进行记录。培训内容包括安全意识教育、岗位技能培训和相关安全技术培训; 5.6.2
XXXX部门应在工作人员被授予访问权限之前,依据其安全角色和职责,进行针对性的安
全教育和安全培训; 5.6.3
信息安全培训内容包括但不仅限于以下几方面:
1) 信息安全基础知识、岗位操作规程、信息系统使用规范; 2) 公司信息安全方针、策略与信息安全目标的宣贯培训;
3) 信息安全专题培训(如病毒防范培训、访问控制培训、等级保护培训等);
5