人员网络及信息安全管理规定...doc

1、Q/JYG/GL-XX -20-2014.aXXXX单位或公司企业标准人员网络及信息安全管理规定2014-1025发布 2014-11-01实施XXXX单位或公司 发布前 言本标准由XXXX单位或公司标准化管理委员会提出。本标准由XXXX单位或公司XXXX部门起草并归口管理。本标准主要起草人： 本标准由 XXX批准。本标准首次发布于2014年10月25日，自本标准发布之日起，信息系统操作人员安全管理规定同时废除。8 Q/JYG/GL-XX -20-2013.a人员网络及信息安全管理规定1 范围为规范公司信息系统安全人员管理，保障公司信息安全，根据信息安全等级保护管理办法、信息系统安全管理要求（

2、GB/T19715.2-2005）以及公司相关规章制度，制订本规定.本标准规定了本企业内部人员、第三方运维人员等安全管理的相关内容,包括工作岗位风险分级、人员审核、人员录用、保密协议、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等.本标准适用于本企业内部人员及第三方人员的管理与考核.2 规范性引用文件无规范性引用文件,保留本条款的目的是保持本公司标准结构的一致,便于今后的修订。3 术语和定义3.1 人员安全是指通过管理和控制,确保单位内部人员(特别是信息系统的管理维护人员）和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。3.2 第三方人员是指来自外单位的专业服

3、务机构，为本单位提供应用系统开发、网络管理和安全支持等信息技术外包服务的工作人员。3.3 安全教育和培训是通过宣传和教育的手段,确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性，具备符合要求的安全意识、知识和技能,提高其进行信息安全防护的主动性、自觉性和能力。4 机构和职责4.1 信息化建设项目实施小组4.1.1 负责指导公司及两厂信息系统操作人员安全管理工作；4.1.2 负责执行公司信息安全检查及管理工作；4.1.3 研究国家和行业的信息安全政策法规,组织有关部门讨论来保证其符合性。4.2 人力资源部4.2.1 负责组织各部门编制部门所属员工的工作职能；4.2.2 负责员工的专

4、业资质审查、招聘和岗位技能培训等；4.2.3 负责员工离职、调动的审查和批准等。4.3 XXXX部门4.3.1 负责检查各部门的信息安全工作落实情况;4.3.2 负责对人员在岗时的信息安全相关工作记录进行检查；4.3.3 负责对信息系统关键人员进行定期培训和考核工作；4.3.4 负责第三方人员信息安全管理工作；4.3.5 负责工作岗位风险状态分级及划分信息系统安全职责工作;4.3.6 负责普及信息安全防范意识,并针对信息安全违规事件向公司提出处理建议.4.4 其他部门4.4.1 负责接受信息安全教育和培训、以及配合定期的信息安全抽查工作；4.4.2 负责部门人员在岗时的信息安全管理;4.4.3

5、 负责定期组织针对本部门信息系统工作人员的技能考核工作；4.4.4 负责部门人员在岗、离岗或调动后的资产管理及记录存档工作。5 人员安全管理5.1 人员录用4.4.5 信息化建设项目实施小组负责指导人力资源部信息安全工作人员的录用工作;4.4.6 人力资源部对拟录用信息系统岗位人员身份、背景、专业资格和资质等方面进行审查，并进行技能考核；4.4.7 人员录用前的审查标准为：具有基本的专业技术水平，接受过安全意识教育和培训，能够掌握安全管理基本知识。信息系统关键岗位人员还应具备较好的思想品质以及基本的系统安全风险分析、评估能力;4.4.8 从事关键岗位或负责核心系统、机房等重要区域的人员，须从内

6、部人员选拨，应具备认真负责的工作态度、较高的职业道德水准；4.4.9 由人力资源部及XXXX部门对信息安全人员进行入职培训,包括信息安全规章制度的教育培训等，并将制度掌握等培训情况纳入到试用期考核。5.2 在职人员5.2.1 各部门领导负责本部门人员信息安全管理工作，确保岗位信息安全职责的落实；5.2.2 各部门应对人员领用资产的情况做相应记录，在人员归还信息资产时消除记录;5.2.3 XXXX部门定期组织抽查内部人员权限分配情况，如发现权限分配不合理,立即通知相关部门进行修改；5.2.4 XXXX部门信息系统管理员应严格执行相关操作手册，进行日常运维操作。5.3 人员调动5.3.1 工作人员

7、岗位调动后，须办理严格的调动手续，关键岗位人员离岗须承诺调离后的保密义务；5.3.2 工作人员内部调动至其他岗位时，在接到岗位调动通知后，应于一个月内依据调动程序办理工作资料、软硬件设备等移交手续;5.3.3 被调动人员持有原岗位钥匙、公司文件和设备等硬件资产由所在部门收回，并做好岗位交接记录；5.3.4 由被调动人员填写信息系统权限变更表，经原部门以及人力资源部审批后,上报至XXXX部门，由XXXX部门负责对其信息系统访问授权进行调整，并回收相关软件；5.3.5 工作人员信息系统权限变动后，XXXX部门须告知其信息安全责任的变化和新的注意事项；5.3.6 工作人员岗位调动后,还应承担原岗位的

8、保密责任，参见附件保密协议。5.4 人员离职5.4.1 工作人员离职后,须办理严格的离职手续，管理层和关键岗位人员离职须承诺调离后的保密义务；5.4.2 工作人员离职时，应于一个月内依据离职程序办理工作资料、软硬件设备等移交手续；5.4.3 由所在部门收回离职人员持有原岗位钥匙、公司文件和设备等硬件资产,并做好交接记录;5.4.4 由离职人员填写信息系统权限变更表，经原部门及人力资源部审批后，上报至XXXX部门，由XXXX部门负责删除其信息系统权限，并回收相关软件;5.4.5 工作人员离职后,须由XXXX部门进行安全审查，在规定的脱密期限后方可离职；涉密人员的脱密期限遵照有关保密规定签署书面保

9、密承诺书，承诺调离后对原来工作中涉及信息的保密要求，参见保密协议。5.5 人员考核5.5.1 各部门每年组织一次针对本部门信息系统工作人员的定期考核，对各个岗位的人员进行不同侧重的安全认知和安全技能考核,作为人员是否适合当前岗位的参考；5.5.2 XXXX部门每年组织一次针对关键岗位人员的定期审查和技能考核，审查依据记录表格和操作日志，如发现其违反安全规定，应查明原因,令其做出整改承诺，严重者不得继续从事关键岗位工作。5.6 安全意识教育和培训5.6.1 XXXX部门应根据各岗位的信息安全角色和职责,制定该岗位所需的信息安全培训计划，并对安全教育和培训情况及结果进行记录。培训内容包括安全意识教

10、育、岗位技能培训和相关安全技术培训;5.6.2 XXXX部门应在工作人员被授予访问权限之前，依据其安全角色和职责，进行针对性的安全教育和安全培训；5.6.3 信息安全培训内容包括但不仅限于以下几方面：1) 信息安全基础知识、岗位操作规程、信息系统使用规范;2) 公司信息安全方针、策略与信息安全目标的宣贯培训;3) 信息安全专题培训(如病毒防范培训、访问控制培训、等级保护培训等)；4) 岗位安全责任、操作技能及相关技术；5) 违反违背安全策略和安全规定的惩戒措施。5.7 工作岗位风险分级5.7.1 XXXX部门应根据不同岗位的性质，结合各个信息系统的安全需求，规定其信息安全风险级别并针对不同的岗

11、位风险级别赋予信息访问权限；5.7.2 各部门应在日常工作中落实有关工作岗位的风险分级规定内容，所有工作人员应当明确自己所在岗位的信息访问权限；5.7.3 投资根据公司岗位信息安全级别和业务特点，确定公司岗位信息安全职责.信息安全职责应包括以下内容：1) 在公司信息安全管理组织架构中的职责；2) 在执行公司信息安全方针和目标方面的职责；3) 在遵守国家、地方各种信息安全相关法律法规方面的职责；4) 在保护公司信息资产免受未授权访问、泄露、修改、销毁或干扰方面的职责；5) 执行特定的安全过程或活动方面的职责；6) 在报告信息安全事故和弱点方面的职责。5.8 工作协议5.8.1 对各部门涉及合同约

12、定事项中有信息安全的要求时，各部门要与本部门工作人员（如果尚未签订）及相关外部单位签署保密协议（保密协议中各项条款可根据具体项目具体编制）;5.8.2 XXXX部门应在重要信息系统的管理维护和使用人员在上岗前，应严格按照信息安全规章制度中的有关规定前述工作协议;5.8.3 根据岗位制定相应的保密协议或保密承诺书，保密协议可包括以下方面的内容：1) 岗位所要保护的信息;2) -协议有效期；3) 协议终止时所应采取的措施；4) 为避免泄密，签字人的职责和行为；5) 保密协议与知识产权保护、商业秘密保护的关系；6) 涉密信息的许可使用，及签字人使用信息的权力；7) 对涉密信息的活动的审核和监视;8)

13、 涉密信息泄露或被破坏后的处理程序；9) 协议终止时信息的归档或销毁的措施；10) 违反协议后应采取的措施；11) 应规定工作协议的内容(保密协议条款、操作流程和规范），管理和落实工作协议的部门，以及前述工作协议的流程.5.9 第三人人员管理5.9.1 第三人员在访问受控区域前，应向XXXX部门提出书面申请,经批准后，由专人全程陪同或监督，并登记备案。5.9.2 第三人人员不得将与工作无关的物品带入机房,携带工作必需品进入机房须登记，并接受检查。5.9.3 第三方人员非因工作需要不得进入机房，不得对重要信息系统进行维护性逻辑访问。5.9.4 第三方人员进入本单位开始工作前，应与其所在单位签订保

14、密协议,并要求第三方人员所在单位与公司签订保密协议或在在合同内容中明确。5.9.5 XXXX部门应采取必要的管理和技术手段，对第三方人员是否遵守安全要求进行检查监督。5.9.6 各部门应按照公司有关信息安全管理规定以及合同要求，对外协人员进行监督和检查，并就安全违规情况按合同条款中的要求进行处理。5.9.7 第三方人员的权限按信息系统开发安全管控办法进行分配与管理。5.9.8 XXXX部门定期组织检查所有外部人员权限分配情况,并将抽查结果进行记录。如发现权限分配不合理，立即通知相关人员进行权限修改。5.10 信息安全违规的处理5.9.9 违反本规定，发生信息安全事故的，按照事故造成的损失和后果

15、,依据国家有关法律法规进行处罚；5.9.10 除进行处罚外，XXXX部门应在全公司内就类似违规事件进行宣传教育,避免同类问题再次发生。附：XXXX单位或公司保密协议书甲方:XXXX单位或公司公司地址： 乙方:身份证号码：根据中华人民共和国劳动法、中华人民共和国反不正当竞争法、中华人民共和国保密法、关于禁止侵犯商业秘密行为的若干规定、中华人民共和国电信条例等相关法律、法规,甲、乙双方在平等、自愿的原则下订立以下协议，以资共同遵守。一、保密义务乙方为XXXX单位或公司正式员工,或为XXXX单位或公司提供相关系统开发、集成、运维等技术支持,XXXX单位或公司根据国家有关法律法规及公司的规章制度，按确

16、定的工作职责，向乙方开放其职责范围内的技术及商业信息。乙方同意为XXXX单位或公司利益尽最大的努力，不从事任何危害电信安全的行为，不从事任何不正当使用商业秘密或技术秘密的行为。二、保密的范围乙方因工作关系获得或交换所得XXXX单位或公司在经营管理过程中，未向社会公开或只在一定范围内公开的任何信息、经验、技术和资料,包括建设和经营计划、重要会议内容、重要公文内容、招投标方案、技术方案、财务数据、营销策略、用户信息、公司技术、工程、经营、文书、人事档案等一切有关XXXX单位或公司商业、技术及经营管理秘密的信息。国家法律、法规规定的涉及通信保密和网络安全的内容。三、保密信息的使用(一)乙方在XXXX

17、单位或公司工作期间：1、保证不擅自发表、不泄漏有关XXXX单位或公司及其客户的任何秘密，不使他人获得、使用或计划使用这些信息，并尽最大努力确保资料不遗失、不缺损；2、在XXXX单位或公司指示和业务范围内,可以允许进行商业秘密和技术秘密的交流，但不得:直接或间接地向XXXX单位或公司内部、外部的无关人员泄漏；不得为私人利益使用或计划使用;不得复制或公开包含XXXX单位或公司商业秘密和技术秘密的文件或文件副本；对工作中所保管、接触的有关XXXX单位或公司或XXXX单位或公司公司客户的文件应妥善对待，未经许可不得超出工作范围使用；不得以第三方的身份直接或间接参与同公司竞争的行为.（二） 乙方无论因何

18、种原因结束在XXXX单位或公司的工作时，都应及时将所有与XXXX单位或公司经营活动有关的文件、记录或材料（包括个人笔记和复印的资料、电子文档等）归还给XXXX单位或公司.四、时效及时效期间内应遵守的准则鉴于XXXX单位或公司拥有的商业秘密和技术秘密在竞争中有重要价值，存在于劳动关系存续期间和终止、解除之后，因此乙方同意:上述义务在乙方受聘或受委托于XXXX单位或公司工作期间有效，对重要的商业秘密和技术秘密长期有效。五、违约责任乙方违反本协议项下的任何规定,XXXX单位或公司都有权：（一） 责令乙方停止违约或侵权行为;（二） 视情节处以年总收入以下的罚款,扣发奖金或其他纪律处分、行政处分直至开除

19、；（三） 要求乙方赔偿其违约或侵权行为而导致的一切经济损失及其可能的寻求法律救助过程中发生的一切费用,其中包括律师费用、诉讼费用；（四） 触犯法律的，提请有关部门追究其法律责任。六、争议的解决办法因执行本协议而发生纠纷，可以由双方协商解决。协商、调解不成或者一方不愿意协商、调解的，任何一方都有提起诉讼的权利。七、如乙方与XXXX单位或公司原签订保密协议书，自本协议签订之日起原协议同时废止。原有XXXX单位或公司规章制度与本协议有冲突的，以本协议为准，无冲突的,仍继续有效。八、协议效力本协议一式两份，甲乙双方各执一份.自甲乙双方签章之日起生效，两份协议具有同等法律效力。甲方法人代表或委托代理人 乙方（签字或盖章):（签字或盖章）:签订日期：年 月 日 签订日期： 年 月 日