Q/JYG/GL-XX -20-2013.a
4) 岗位安全责任、操作技能及相关技术; 5) 违反违背安全策略和安全规定的惩戒措施。 5.7 工作岗位风险分级 5.7.1
XXXX部门应根据不同岗位的性质,结合各个信息系统的安全需求,规定其信息安全风险
级别并针对不同的岗位风险级别赋予信息访问权限; 5.7.2
各部门应在日常工作中落实有关工作岗位的风险分级规定内容,所有工作人员应当明确
自己所在岗位的信息访问权限; 5.7.3
投资根据公司岗位信息安全级别和业务特点,确定公司岗位信息安全职责。信息安全职
责应包括以下内容:
1) 在公司信息安全管理组织架构中的职责; 2) 在执行公司信息安全方针和目标方面的职责;
3) 在遵守国家、地方各种信息安全相关法律法规方面的职责;
4) 在保护公司信息资产免受未授权访问、泄露、修改、销毁或干扰方面的职责; 5) 执行特定的安全过程或活动方面的职责; 6) 在报告信息安全事故和弱点方面的职责。 5.8 工作协议 5.8.1
对各部门涉及合同约定事项中有信息安全的要求时,各部门要与本部门工作人员(如果
尚未签订)及相关外部单位签署保密协议(保密协议中各项条款可根据具体项目具体编制); 5.8.2
XXXX部门应在重要信息系统的管理维护和使用人员在上岗前,应严格按照信息安全规章
制度中的有关规定前述工作协议; 5.8.3
根据岗位制定相应的保密协议或保密承诺书,保密协议可包括以下方面的内容:
1) —岗位所要保护的信息; 2) —协议有效期;
3) —协议终止时所应采取的措施; 4) —为避免泄密,签字人的职责和行为;
5) —保密协议与知识产权保护、商业秘密保护的关系; 6) —涉密信息的许可使用,及签字人使用信息的权力; 7) —对涉密信息的活动的审核和监视; 8) —涉密信息泄露或被破坏后的处理程序; 9) —协议终止时信息的归档或销毁的措施; 10) —违反协议后应采取的措施;
11) 应规定工作协议的内容(保密协议条款、操作流程和规范),管理和落实工作协议的部门,
以及前述工作协议的流程。
5.9 第三人人员管理
6
Q/JYG/GL-XX -20-2013.a
5.9.1 第三人员在访问受控区域前,应向XXXX部门提出书面申请,经批准后,由专人全程陪同或监
督,并登记备案。
5.9.2 第三人人员不得将与工作无关的物品带入机房,携带工作必需品进入机房须登记,并接受检
查。
5.9.3 第三方人员非因工作需要不得进入机房,不得对重要信息系统进行维护性逻辑访问。 5.9.4 第三方人员进入本单位开始工作前,应与其所在单位签订保密协议,并要求第三方人员所在
单位与公司签订保密协议或在在合同内容中明确。
5.9.5 XXXX部门应采取必要的管理和技术手段,对第三方人员是否遵守安全要求进行检查监督。 5.9.6 各部门应按照公司有关信息安全管理规定以及合同要求,对外协人员进行监督和检查,并就
安全违规情况按合同条款中的要求进行处理。
5.9.7 第三方人员的权限按《信息系统开发安全管控办法》进行分配与管理。
5.9.8 XXXX部门定期组织检查所有外部人员权限分配情况,并将抽查结果进行记录。如发现权限分
配不合理,立即通知相关人员进行权限修改。
5.10 信息安全违规的处理
5.9.9 违反本规定,发生信息安全事故的,按照事故造成的损失和后果,依据国家有关法律法规进
行处罚;
5.9.10 除进行处罚外,XXXX部门应在全公司内就类似违规事件进行宣传教育,避免同类问题再
次发生。
附:
7
Q/JYG/GL-XX -20-2013.a
XXXX单位或公司保密协议书
甲方:XXXX单位或公司 公司地址: 乙方: 身份证号码:
根据《中华人民共和国劳动法》、《中华人民共和国反不正当竞争法》、《中华人民共和国保密法》、《关于禁止侵犯商业秘密行为的若干规定》、《中华人民共和国电信条例》等相关法律、法规,甲、乙双方在平等、自愿的原则下订立以下协议,以资共同遵守。
一、保密义务
乙方为XXXX单位或公司正式员工,或为XXXX单位或公司提供相关系统开发、集成、运维等技术支持,XXXX单位或公司根据国家有关法律法规及公司的规章制度,按确定的工作职责,向乙方开放其职责范围内的技术及商业信息。
乙方同意为XXXX单位或公司利益尽最大的努力,不从事任何危害电信安全的行为,不从事任何不正当使用商业秘密或技术秘密的行为。
二、保密的范围
乙方因工作关系获得或交换所得XXXX单位或公司在经营管理过程中,未向社会公开或只在一定范围内公开的任何信息、经验、技术和资料,包括建设和经营计划、重要会议内容、重要公文内容、招投标方案、技术方案、财务数据、营销策略、用户信息、公司技术、工程、经营、文书、人事档案等一切有关XXXX单位或公司商业、技术及经营管理秘密的信息。国家法律、法规规定的涉及通信保密和网络安全的内容。
三、保密信息的使用
(一)乙方在XXXX单位或公司工作期间:
1、保证不擅自发表、不泄漏有关XXXX单位或公司及其客户的任何秘密,不使他人获得、使用或计划使用这些信息,并尽最大努力确保资料不遗失、不缺损;
2、在XXXX单位或公司指示和业务范围内,可以允许进行商业秘密和技术秘密的交流,但不得:直接或间接地向XXXX单位或公司内部、外部的无关人员泄漏;不得为私人利益使用或计划使用;不得复制或公开包含XXXX单位或公司商业秘密和技术秘密的文件或文件副本;对工作中所保管、接触的有关XXXX单位或公司或XXXX单位或公司公司客户的文件应妥善对待,未经许可不得超出工作范围使用;不得以第三方的身份直接或间接参与同公司竞争的行为。
(二) 乙方无论因何种原因结束在XXXX单位或公司的工作时,都应及时将所有与XXXX单位或公司经营活动有关的文件、记录或材料(包括个人笔记和复印的资料、电子文档等)归还给XXXX单位或公司。
8
Q/JYG/GL-XX -20-2013.a
四、时效及时效期间内应遵守的准则
鉴于XXXX单位或公司拥有的商业秘密和技术秘密在竞争中有重要价值,存在于劳动关系存续期间和终止、解除之后,因此乙方同意:上述义务在乙方受聘或受委托于XXXX单位或公司工作期间有效,对重要的商业秘密和技术秘密长期有效。
五、违约责任
乙方违反本协议项下的任何规定,XXXX单位或公司都有权: (一) 责令乙方停止违约或侵权行为;
(二) 视情节处以年总收入以下的罚款,扣发奖金或其他纪律处分、行政处分直至开除;
(三) 要求乙方赔偿其违约或侵权行为而导致的一切经济损失及其可能的寻求法律救助过程中发生的一切费用,其中包括律师费用、诉讼费用;
(四) 触犯法律的,提请有关部门追究其法律责任。 六、争议的解决办法
因执行本协议而发生纠纷,可以由双方协商解决。协商、调解不成或者一方不愿意协商、调解的,任何一方都有提起诉讼的权利。
七、如乙方与XXXX单位或公司原签订《保密协议书》,自本协议签订之日起原协议同时废止。原有XXXX单位或公司规章制度与本协议有冲突的,以本协议为准,无冲突的,仍继续有效。
八、协议效力
本协议一式两份,甲乙双方各执一份。自甲乙双方签章之日起生效,两份协议具有同等法律效力。
甲方法人代表或委托代理人 乙方(签字或盖章):
(签字或盖章):
签订日期:年 月 日 签订日期: 年 月 日
9