人员安全管理制度

1、人员安全管理制度第一章 总 则第一条 为了切实保障的信息系统安全，根据国家信息安全法规，制定本管理办法。第二条 为有效控制信息科技相关岗位风险，保护信息资产安全，按照内部控制管理相 关要求，做好岗位管理、控制工作，并指导、检查、督促所辖机构的岗位设置、 职责划分及岗位管理状况。结合业务发展的需要，对数据、软件、文档等重要 保密资料保密要求， 将安全保密工作规范化、 制度化，保障计算机工作的安全、 可靠，更好地促进电子建设，同时提出员工在招聘、上岗、离职等过程中应采 取的信息安全管理措施，建立员工信息安全教育、培训制度，明确安全管理要 求，降低人员信息安全风险，提高信息安全管理水平。第三条 本办

2、法适用于所有员工。第二章信息科技岗位控制要求第四条 信息科技岗位设置应符合授权有限、相互制约的要求，并相容岗位的职责必须 分离，包括但不限于：应用开发、测试系统维护职责分离，系统管理使用职责 分离，用户管理与使用职责分离，安全管理与其他岗位职责分离等。第五条 为了保证信息系统安全、稳定、持续的运行，满足岗位内控管理的要求，避免 由于从业人员辞职、 岗位变动、 出差、休假或其它原因对系统运维造成的影响， 对信息科技岗位必须建立岗位 A/B 角制度，在条件允许的情况下，关键岗位还 应设置 C 角，各级信息科技职能部门应制定相应的制度、流程和考核办法确保 A/B 角制度落到实处。第六条 关键岗位是指

3、在信息系统生产运行过程中可接触到等级为敏感级以上信息资产 的信息科技岗位；选拔关键岗位人员时，应对被选拔者的相关背景和资历进行 审查，考试合格后，方可上岗工作；关键岗位人员必须是正式员工，并签署与 门的保密协议。第七条 信息安全管理岗位属于关键岗位，必须保持独立性；各级任职信息安全管理人 员应经与部门的技术考试合格后，方可上岗工作；应逐步实施信息安全管理岗 位人员持证上岗，不具有信息安全与业技术背景和资质的人员不得从事信息安 全管理工作。第八条 为做好关键岗位风险控制，有效防范和规避关键岗位员工操作风险和道德风险, 关键信息科技岗位原则上应每四年进行轮换；在关键岗位轮换时须对原岗位人 员进行离

4、任审计，以确保对离任人员的风险控制。第九条 所有信息科技岗位的员工必须签署保密协议；在员工上岗前应被再次告知相应 的保密责任和义务；员工在工作过程中有义务接受信息安全和保密知识的教育 和培训。第三章计算机安全保密工作第十条 计算机软件、数据、技术文档口令等严格控制在一定范围内，未经批准不得被 无关人员接触，更不能流出行外，以保证安全性。第十一条 计算机安全保密工作的指导思想是以预防为主， 各单位要加强对有关人员的思 想教育，防患于未然。第十二条 信息技术部领导要经常性地检查计算机数据资料及各岗位人员的工作， 及早发 现问题，避免损失。第十三条 发现问题要及时上报 信息技术部，不得以任何方式隐瞒

5、、掩盖。第十四条 对于违反制度的人员和单位，严格按有关规定处理，直至送交司法机关。第十五条 权限分系统用户、网络用户、数据库用户三类。具体用户设置和口令权限见 “计 算机系统用户及口令权限配置表”。第十六条 为防意外情况发生，各系统的最高权限口令要密封后，存保险柜中，并以磁介质形式存放信息技术部，保证及时更新。第十七条口令禁止共享。具体安全保密细则请参考计算机岗位安全保密纪律细则。第四章对全体员工的信息安全基本要求对全体员工的信息安全要求，包括但不限于以下条款：第十八条 禁止利用计算机资源制造、传播违反国家法律法规的信息；第十九条掌握所在岗位需要的计算机信息安全知识；妥善保管计算机系统中的重要

6、文件和数据；妥善保管身份认证凭据（如用户帐号、密码、数字证书等）；第二十条 严禁自行更改所使用计算机系统的软硬件配置；严禁在计算机设备上安装、使 用盗版软件、工作无关的软件或非授权数据介质（如软盘、光盘、优盘和移动 硬盘等）；第二十一条 计算机桌面设备是固定资产，所有员工有义务和责任爱护并正确使用；桌 面计算机必须安装防病毒软件，及时更新补丁，并定期检查更新情况；未经审 批，桌面计算机不得与外单位网络及互联网连接；禁止在非授权情况下将桌面 计算机同时接入互联网和内部网络；第二十二条 离开工位时，必须将办公电脑启动屏幕保护程序或保持注销状态，并采用口令进行保护； 非必要时， 不能将计算机设备提供

7、他人使用， （特别是非本单 位人员） ；未经设备保管人同意，不能擅自使用他人计算机设备；第二十三条 发现可疑计算机安全相关的事件时，有责任和义务及时报告；有责任和义 务自觉接受信息中心门在信息安全防范方面的管理、监督和检查；第二十四条 有义务参加信息安全教育和培训。以上要求应包含在员工招聘、上岗、员 工行为管理及教育培训过程中。第五章员工招聘与离职第二十五条员工招聘过程中，与新员工签定的劳动合同或其它协议中应明确员工的信息安全责任，并应包括信息安全相关的保密条款，如有需要，合同中应明确该 责任在结束合同关系一段特定的时间内仍然有效。第二十六条 信息科技关键岗位人员的招聘，应明确该岗位在信息安全

8、方面的要求，并 对应聘人员的相关背景进行严格审查；相关岗位人员应签署与门的保密协议， 如有需要，保密协议中应明确在结束合同关系一段特定的时间内仍然有效。第二十七条员工离职（包括岗位变动、解除劳动关系等）相关规定中应包括信息安全审查的相关内容，审查应包括以下方面：（一）当员工发生岗位变动时，应按有关规定办理离职手续。（二）离职员工原岗位使用的各类信息系统用户是否已完成交接或被关闭；（三）离职员工是否签署保密协议， 若已签署保密协议应检查保密协议中的相关内容, 向其重申权益及其应承担的保密义务；四） 离职员工保管的工作资料、信息资产是否已经交回；（五） 离职员工使用的各类计算机设备是否已全部交回；

9、（六） 信息科技员工及关键岗位员工，应立即取消其在原岗位的系统权限，及时更改 相应系统的相关用户密码， 确保密码、 设备、资料及相关敏感信息等的移交。第六章员工信息安全教育与培训第二十八条 为保证信息安全保障体系的完整、 有效，应建立信息安全教育和培训制度， 信息安全教育和培训应贯穿员工在工作的全过程，包括：新员工入行教育培训、岗前教育与培训和在岗教育与培训。对员工的信息安全教育培训应保存相关记 录。第二十九条 信息安全教育和培训应作为新员工入行教育和培训的重要内容，培训内容 应包括但不限于：（一）信息安全及保密管理的基本知识；（二）员工信息安全管理的相关规定和要求；（三）办公自动化系统、In

10、ternet 邮件系统、内部网络和桌面办公设备等计算机资源 的正确使用和信息安全保护基本要求；（四）最新的信息安全总体策略；（五）信息安全事件的报告流程。第三十条 员工上岗前所在机构或部门的管理人员应向其申明本机构或部门的信息安全管 理要求和责任。（一）员工的岗前教育培训应包括本岗位密切相关的计算机信息安全管理要求培训， 对本岗位中信息安全的关键控制点应着重向员工申明。（二）信息科技员工的岗前教育培训中，还应包括职业道德、行为规范、奖惩措施、 信息安全管理制度和规范等方面的教育和培训内容。第三 条在岗员工应定期接受信息安全教育，主动学习、掌握最新的信息安全管理制度和规范。（一）在信息安全总体策略、相关管理制度和规范发生变化后，应及时向在岗员工发 布；（二）对在岗员工的信息安全基本要求、奖惩措施、信息安全事件报告流程等应纳入 员工守则或另行编制成册，及时向在岗员工发布。第三