人员网络及信息安全管理规定..

XXXX 单位或公司企业标准 人员网络及信息安全管理规定 2014 10 25 发布 2014 11 01 实施 X XX XX XX X 单单位位或或公公司司 发 发布布 Q JYG GL XX 20 2014 a II 前 言 本标准由XXXX单位或公司标准化管理委员会提出 本标准由XXXX单位或公司XXXX部门起草并归口管理 本标准主要起草人 本标准由 XXX批准 本标准首次发布于2014年10月25日 自本标准发布之日起 信息系统操作人员安全管理规定 同时 废除 Q JYG GL XX 20 2013 a 3 人员网络及信息安全管理规定 1 范围 为规范公司信息系统安全人员管理 保障公司信息安全 根据 信息安全等级保护管理办法 信息系统安全管理要求 GB T19715 2 2005 以及公司相关规章制度 制订本规定 本标准规定了本企业内部人员 第三方运维人员等安全管理的相关内容 包括工作岗位风险分级 人员审核 人员录用 保密协议 人力调动 人员离职 人员考核 安全意识教育和培训 第三方人 员安全等 本标准适用于本企业内部人员及第三方人员的管理与考核 2 规范性引用文件 无规范性引用文件 保留本条款的目的是保持本公司标准结构的一致 便于今后的修订 3 术语和定义 3 1 人员安全 是指通过管理和控制 确保单位内部人员 特别是信息系统的管理维护人员 和第三方人员在 安全意识 能力和素质等方面都满足工作岗位的要求 3 2 第三方人员 是指来自外单位的专业服务机构 为本单位提供应用系统开发 网络管理和安全支持等信息技 术外包服务的工作人员 3 3 安全教育和培训 是通过宣传和教育的手段 确保相关工作人员和信息系统管理维护人员充分认识信息安全的重 要性 具备符合要求的安全意识 知识和技能 提高其进行信息安全防护的主动性 自觉性和 能力 4 机构和职责 4 1 信息化建设项目实施小组 4 1 1负责指导公司及两厂信息系统操作人员安全管理工作 4 1 2负责执行公司信息安全检查及管理工作 4 1 3研究国家和行业的信息安全政策法规 组织有关部门讨论来保证其符合性 4 2 人力资源部 4 2 1负责组织各部门编制部门所属员工的工作职能 4 2 2负责员工的专业资质审查 招聘和岗位技能培训等 4 2 3负责员工离职 调动的审查和批准等 4 3 XXXX部门 Q JYG GL XX 20 2013 a 4 4 3 1负责检查各部门的信息安全工作落实情况 4 3 2负责对人员在岗时的信息安全相关工作记录进行检查 4 3 3负责对信息系统关键人员进行定期培训和考核工作 4 3 4负责第三方人员信息安全管理工作 4 3 5负责工作岗位风险状态分级及划分信息系统安全职责工作 4 3 6负责普及信息安全防范意识 并针对信息安全违规事件向公司提出处理建议 4 4 其他部门 4 4 1负责接受信息安全教育和培训 以及配合定期的信息安全抽查工作 4 4 2负责部门人员在岗时的信息安全管理 4 4 3负责定期组织针对本部门信息系统工作人员的技能考核工作 4 4 4负责部门人员在岗 离岗或调动后的资产管理及记录存档工作 5 人员安全管理 5 1 人员录用 4 4 5信息化建设项目实施小组负责指导人力资源部信息安全工作人员的录用工作 4 4 6人力资源部对拟录用信息系统岗位人员身份 背景 专业资格和资质等方面进行审查 并进行技能考核 4 4 7人员录用前的审查标准为 具有基本的专业技术水平 接受过安全意识教育和培训 能 够掌握安全管理基本知识 信息系统关键岗位人员还应具备较好的思想品质以及基本的系统安全 风险分析 评估能力 4 4 8从事关键岗位或负责核心系统 机房等重要区域的人员 须从内部人员选拨 应具备认 真负责的工作态度 较高的职业道德水准 4 4 9由人力资源部及 XXXX 部门对信息安全人员进行入职培训 包括信息安全规章制度的教 育培训等 并将制度掌握等培训情况纳入到试用期考核 5 2 在职人员 5 2 1各部门领导负责本部门人员信息安全管理工作 确保岗位信息安全职责的落实 5 2 2各部门应对人员领用资产的情况做相应记录 在人员归还信息资产时消除记录 5 2 3XXXX 部门定期组织抽查内部人员权限分配情况 如发现权限分配不合理 立即通知相关 部门进行修改 5 2 4XXXX 部门信息系统管理员应严格执行相关操作手册 进行日常运维操作 5 3 人员调动 5 3 1工作人员岗位调动后 须办理严格的调动手续 关键岗位人员离岗须承诺调离后的保密 义务 5 3 2工作人员内部调动至其他岗位时 在接到岗位调动通知后 应于一个月内依据调动程序 办理工作资料 软硬件设备等移交手续 Q JYG GL XX 20 2013 a 5 5 3 3被调动人员持有原岗位钥匙 公司文件和设备等硬件资产由所在部门收回 并做好岗位 交接记录 5 3 4由被调动人员填写 信息系统权限变更表 经原部门以及人力资源部审批后 上报至 XXXX 部门 由 XXXX 部门负责对其信息系统访问授权进行调整 并回收相关软件 5 3 5工作人员信息系统权限变动后 XXXX 部门须告知其信息安全责任的变化和新的注意事项 5 3 6工作人员岗位调动后 还应承担原岗位的保密责任 参见附件 保密协议 5 4人员离职 5 4 1工作人员离职后 须办理严格的离职手续 管理层和关键岗位人员离职须承诺调离后的 保密义务 5 4 2工作人员离职时 应于一个月内依据离职程序办理工作资料 软硬件设备等移交手续 5 4 3由所在部门收回离职人员持有原岗位钥匙 公司文件和设备等硬件资产 并做好交接记 录 5 4 4由离职人员填写 信息系统权限变更表 经原部门及人力资源部审批后 上报至 XXXX 部门 由 XXXX 部门负责删除其信息系统权限 并回收相关软件 5 4 5工作人员离职后 须由 XXXX 部门进行安全审查 在规定的脱密期限后方可离职 涉密 人员的脱密期限遵照有关保密规定签署书面保密承诺书 承诺调离后对原来工作中涉及信息的保 密要求 参见 保密协议 5 5人员考核 5 5 1各部门每年组织一次针对本部门信息系统工作人员的定期考核 对各个岗位的人员进行 不同侧重的安全认知和安全技能考核 作为人员是否适合当前岗位的参考 5 5 2XXXX 部门每年组织一次针对关键岗位人员的定期审查和技能考核 审查依据记录表格和 操作日志 如发现其违反安全规定 应查明原因 令其做出整改承诺 严重者不得继续从事关键 岗位工作 5 6安全意识教育和培训 5 6 1XXXX 部门应根据各岗位的信息安全角色和职责 制定该岗位所需的信息安全培训计划 并对安全教育和培训情况及结果进行记录 培训内容包括安全意识教育 岗位技能培训和相关安 全技术培训 5 6 2XXXX 部门应在工作人员被授予访问权限之前 依据其安全角色和职责 进行针对性的安 全教育和安全培训 5 6 3信息安全培训内容包括但不仅限于以下几方面 1 信息安全基础知识 岗位操作规程 信息系统使用规范 2 公司信息安全方针 策略与信息安全目标的宣贯培训 3 信息安全专题培训 如病毒防范培训 访问控制培训 等级保护培训等 Q JYG GL XX 20 2013 a 6 4 岗位安全责任 操作技能及相关技术 5 违反违背安全策略和安全规定的惩戒措施 5 7工作岗位风险分级 5 7 1XXXX 部门应根据不同岗位的性质 结合各个信息系统的安全需求 规定其信息安全风险 级别并针对不同的岗位风险级别赋予信息访问权限 5 7 2各部门应在日常工作中落实有关工作岗位的风险分级规定内容 所有工作人员应当明确 自己所在岗位的信息访问权限 5 7 3投资根据公司岗位信息安全级别和业务特点 确定公司岗位信息安全职责 信息安全职 责应包括以下内容 1 在公司信息安全管理组织架构中的职责 2 在执行公司信息安全方针和目标方面的职责 3 在遵守国家 地方各种信息安全相关法律法规方面的职责 4 在保护公司信息资产免受未授权访问 泄露 修改 销毁或干扰方面的职责 5 执行特定的安全过程或活动方面的职责 6 在报告信息安全事故和弱点方面的职责 5 8工作协议 5 8 1对各部门涉及合同约定事项中有信息安全的要求时 各部门要与本部门工作人员 如果 尚未签订 及相关外部单位签署保密协议 保密协议中各项条款可根据具体项目具体编制 5 8 2XXXX 部门应在重要信息系统的管理维护和使用人员在上岗前 应严格按照信息安全规章 制度中的有关规定前述工作协议 5 8 3根据岗位制定相应的保密协议或保密承诺书 保密协议可包括以下方面的内容 1 岗位所要保护的信息 2 协议有效期 3 协议终止时所应采取的措施 4 为避免泄密 签字人的职责和行为 5 保密协议与知识产权保护 商业秘密保护的关系 6 涉密信息的许可使用 及签字人使用信息的权力 7 对涉密信息的活动的审核和监视 8 涉密信息泄露或被破坏后的处理程序 9 协议终止时信息的归档或销毁的措施 10 违反协议后应采取的措施 11 应规定工作协议的内容 保密协议条款 操作流程和规范 管理和落实工作协议的部 门 以及前述工作协议的流程 5 9第三人人员管理 Q JYG GL XX 20 2013 a 7 5 9 1第三人员在访问受控区域前 应向XXXX部门提出书面申请 经批准后 由专人全程陪同或 监督 并登记备案 5 9 2第三人人员不得将与工作无关的物品带入机房 携带工作必需品进入机房须登记 并接受 检查 5 9 3第三方人员非因工作需要不得进入机房 不得对重要信息系统进行维护性逻辑访问 5 9 4第三方人员进入本单位开始工作前 应与其所在单位签订保密协议 并要求第三方人员所 在单位与公司签订保密协议或在在合同内容中明确 5 9 5XXXX部门应采取必要的管理和技术手段 对第三方人员是否遵守安全要求进行检查监督 5 9 6各部门应按照公司有关信息安全管理规定以及合同要求 对外协人员进行监督和检查 并 就安全违规情况按合同条款中的要求进行处理 5 9 7第三方人员的权限按 信息系统开发安全管控办法 进行分配与管理 5 9 8XXXX部门定期组织检查所有外部人员权限分配情况 并将抽查结果进行记录 如发现权限 分配不合理 立即通知相关人员进行权限修改 5 10 信息安全违规的处理 5 9 9违反本规定 发生信息安全事故的 按照事故造成的损失和后果 依据国家有关法律法规 进行处罚 5 9 10除进行处罚外 XXXX部门应在全公司内就类似违规事件进行宣传教育 避免同类问题再 次发生 附 Q JYG GL XX 20 2013 a 8 XXXX 单位或公司保密协议书 甲方 XXXX 单位或公司 公司地址 乙方 身份证号码 根据 中华人民共和国劳动法 中华人民共和国反不正当竞争法 中华人民共 和国保密法 关于禁止侵犯商业秘密行为的若干规定 中华人民共和国电信条例 等相关法律 法规 甲 乙双方在平等 自愿的原则下订立以下协议 以资共同遵守 一 保密义务 乙方为 XXXX 单位或公司正式员工 或为 XXXX 单位或公司提供相关系统开发 集成 运维等技术支持 XXXX 单位或公司根据国家有关法律法规及公司的规章制度 按确定的 工作职责 向乙方开放其职责范围内的技术及商业信息 乙方同意为 XXXX 单位或公司利益尽最大的努力 不从事任何危害电信安全的行为 不从事任何不正当使用商业秘密或技术秘密的行为 二 保密的范围 乙方因工作关系获得或交换所得 XXXX 单位或公司在经营管理过程中 未向社会公开 或只在一定范围内公开的任何信息 经验 技术和资料 包括建设和经营计划 重要会 议内容 重要公文内容 招投标方案 技术方案 财务数据 营销策略 用户信息 公 司技术 工程 经营 文书 人事档案等一切有关 XXXX 单位或公司商业 技术及经营管 理秘密的信息 国家法律 法规规定的涉及通信保密和网络安全的内容 三 保密信息的使用 一 乙方在 XXXX 单位或公司工作期间 1 保证不擅自发表 不泄漏有关 XXXX 单位或公司及其客户的任何秘密 不使他人 获得 使用或计划使用这些信息 并尽最大努力确保资料不遗失 不缺损 2 在 XXXX 单位或公司指示和业务范围内 可以允许进行商业秘密和技术秘密的交 流 但不得 直接或间接地向 XXXX 单位或公司内部 外部的无关人员泄漏 不得为私人 利益使用或计划使用 不得复制或公开包含 XXXX 单位或公司商业秘密和技术秘密的文件 或文件副本 对工作中所保管 接触的有关 XXXX 单位或公司或 XXXX 单位或公司公司客 户的文件应妥善对待 未经许可不得超出工作范围使用 不得以第三方的身份直接或间 接参与同公司竞争的行为 二 乙方无论因何种原因结束在 XXXX 单位或公司的工作时 都应及时将所有与 XXXX 单位或公司经营活动有关的文件 记录或材料 包括个人笔记和复印的资料 电子 文档等 归还给 XXXX 单位或公司 Q JYG GL XX 20 2013 a 9 四 时效及时效期间内应遵守的准则 鉴于 XXXX 单位或公司拥有的商业秘密和技术秘密在竞争中有重要价值 存在于劳动 关系存续期间和终止 解除之后 因此乙方同意 上述义务在乙方受聘或受委托于 XXXX 单位或公司工作期间有效 对重要的商业秘密和技术秘密长期有效 五 违约责任 乙方违反本协议项下的任何规定 XXXX 单位或公司都有权 一 责令乙方停止违约或侵权行为 二 视情节处以年总收入以下的罚款 扣发奖金或其他纪律处分 行政处分直至 开除 三 要求乙方赔偿其违约或侵权行为而导致的一切经济损失及其可能的寻求法律 救助过程中发生的