07信息安全人员管理办法.doc

信息安全人员管理办法编制部门信息技术处版本说明更新日期更新人员更新说明V1.02014.06编制V1.12014.08细化重要岗位人员安全职责1 总则为加强信息安全管理工作，保障xx系统正常运行，依据有关法律、法规及信息安全标准，特制定本办法。本办法适用范围包括：xx系统信息安全管理人员及各重要岗位人员。2 人员职责及管理2.1 信息安全管理人员职责1) 负责信息安全管理的日常工作；2) 开展信息安全检查工作，对重要岗位人员安全工作进行指导和监督；3) 负责维护和审查有关安全审计记录，及时发现存在问题，提出安全风险防范对策；4) 开展信息安全知识的培训和宣传工作；5) 监控信息安全总体状况，提出信息安全分析报告。及时向xx安全工作组报告信息安全事件。2.2 信息安全管理人员管理1) 信息安全人员在行使职责时，确因工作需要，经批准，可了解xx系统相关信息系统的机密信息。2) 信息安全人员发现本单位重大信息安全隐患，有权向信息安全主管部门报告。3) 信息安全人员发现信息系统重要岗位人员使用不当，应及时建议有关单位、部门进行调整。4) 信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度，严守xx系统相关秘密。5) 信息安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及xx系统核心技术的信息安全人员调离单位，必须进行离岗审计，并在规定的脱密期后，方可调离。2.3 重要岗位人员安全职责1) 信息系统重要岗位人员，是指与重要信息系统直接相关的安全主管、系统管理人员、网络管理人员、数据库管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。2) 重要信息系统，是指涉及xx业务办理、安全系统等核心业务且有保密要求的信息系统。2.3.1 系统安全主管1) 负责系统的总体安全及运行策略；2) 负责制定系统的总体安全管理策略和相关岗位的管理制度；3) 负责制定总体安全工作规划，开展安全评价，编制各岗位的安全技术操作规程；4) 负责制定系统的应急预案；5) 了解系统运行现状，定期组织安全检查，及时发现事故隐患，随时向信息安全领导小组提出事故隐患情况及整改建议；6) 根据系统运行的情况，定期对系统的安全现状进行评估并提出优化和建议方案；7) 制定各个业务岗位的绩效考核，保障系统的安全稳定运行；2.3.2 安全管理人员1) 负责执行系统的整体安全策略；2) 负责监督和检查安全策略和制度的执行情况；3) 针对系统运行中的违规行为进行监督，并提出整改意见和措施；4) 负责关键业务主机、网络设备、数据库系统超级管理员账号的管理；5) 负责系统重要资料的保管与管理；6) 定期进行系统的安全检查，并根据检查情况进行系统安全情况汇报；7) 监督执行运维操作规程，对违规操作进行记录和警告；2.3.3 网络管理人员1) 负责网络的运行管理，实施网络安全策略和安全运行细则；2) 安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；3) 监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；4) 定期对网络设备和网络环境进行巡检和检查；5) 对操作网络管理功能的其他人员进行安全监督。2.3.4 系统管理人员1) 负责系统的运行管理，实施系统安全运行细则；2) 严格用户权限管理，维护系统安全正常运行；3) 认真记录系统安全事项，及时向信息安全人员报告安全事件；4) 对进行系统操作的其他人员予以安全监督。5) 负责系统维护，及时解除系统故障，确保系统正常运行；6) 不得擅自改变系统功能；7) 不得安装与系统无关的其他计算机程序；8) 维护过程中，发现安全漏洞应及时报告信息安全人员。2.3.5 数据库管理员1) 负责数据库的正常运行，合理配置参数，严格控制用户访问权限，维护数据库正常运行；2) 负责管理数据库管理员的账号与密码，并按照安全策略定期进行更换；3) 负责执行总体安全策略的数据库备份策略，定期对数据库的信息进行备份和管理；4) 负责对数据库出现的问题或故障进行诊断，并进行故障排除、优化和调整；2.3.6 信息资产管理员1) 严格执行系统操作规程和运行安全管理制度；2) 详细记录现有信息系统以及相关服务器、数据库、操作系统的状态和情况；3) 及时向安全主主管汇报现有信息资产的最新情况；2.3.7 物理安全负责人1) 负责计算机机房的防火、防水、防静电、防雷击和防辐射等安全设施的管理；2) 负责对计算机机房的内部装修，落实电磁波防护等技术规范与技术要求；3) 负责计算机机房配电系统、空调系统的维护与管理；4) 负责计算机机房的进出口的控制机监控系统和门禁系统的维护与管理；5) 负责对本单位计算机机房及所属各部门计算机机房安全性的检查，发现问题或隐患及时提出整改意见和书面报告3 重要岗位人员管理各重要岗位人员必须严格遵守保密法规和有关信息安全管理规定。重要岗位人员上岗前必须经单位人事部门进行政治素质审查，技术部门进行业务技能考核，工作经历和工作经验考查等，合格者方可上岗。重要岗位人员有责任保护信息系统的秘密，并以签署保密协议的方式作出安全承诺。重要岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员；系统开发人员原则上不应兼任系统管理员。对重要岗位人员应实行定期考查制度，重要岗位人员应定期接受安全培训，加强自身安全意识和风险防范意识。重要岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务 。涉及公司业务保密信息的重要岗位人员调离单位，必须进行离岗审计，在规定的脱密期后，方可调离。重要岗位人员离岗后，必须即刻更换操作密码或注销用户。4 第三方人员管理1) 第三方人员包括相关软件开发商、硬件供应商、系统集成商、设备维护商和服务提供商，以及临时工作人员等。2) 应对第三方人员的物理访问和逻辑访问实施访问控制，根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。3) 第三方人员的现场工作或远程维护工作内容应在合同中明确规定，如工作涉及机密或秘密信息内容，应要求其签署保密协议。4) 一般情况下第三方人员的现场工作，如数据库、系统、漏洞扫描、入侵检测以及其他软件的安装等，不许接入自带的设备。5) 第三方人员的现场工作应在xx信息安全工作组有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权，其操作应受到审计。6) 第三方人员工作结束后，应及时清除有关账户、过程记录等信息。5 培训与教育1) 信息安全人员应定期参加下列信息安全知识和技能的培训：信息安全法律法规及行业规章制度的培训；信息安全基本知识的培训；信息安全专门技能的培训。2) 信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。3) 应对xx系统相关人员定期进行基本的信息安全知识和技能的培训，并应注意培养信息安全意识。6 人员考核1) 信息安全主管部门要定期对信息各岗位工作人员进行全面、严格的安全考核；2) 考核的内容包括：政治思想、业务水平、安全技能及安全认知等方面；3) 应对考核结果进行记录