人员网络及信息安全管理详细规定

XXXX单位或企业企业标准人员网络及信息安全管理要求-10-25公布-11-01实施XXXX单位或企业公布 前言本标准由XXXX单位或企业标准化管理委员会提出。本标准由XXXX单位或企业XXXX部门起草并归口管理。本标准关键起草人：本标准由XXX同意。本标准首次公布于10月25日,自本标准公布之日起，《信息系统操作人员安全管理要求》同时废除。人员网络及信息安全管理要求范围为规范企业信息系统安全人员管理，保障企业信息安全，依据《信息安全等级保护管理措施》、《信息系统安全管理要求》（GB/T19715.2--）和企业相关规章制度，制订本要求。本标准要求了本企业内部人员、第三方运维人员等安全管理相关内容，包含工作岗位风险分级、人员审核、人员录用、保密协议、人力调动、人员离职、人员考评、安全意识教育和培训、第三方人员安全等。本标准适适用于本企业内部人员及第三方人员管理和考评。规范性引用文件无规范性引用文件，保留本条款目标是保持本企业标准结构一致，便于以后修订。术语和定义人员安全是指经过管理和控制，确保单位内部人员（尤其是信息系统管理维护人员）和第三方人员在安全意识、能力和素质等方面全部满足工作岗位要求。第三方人员是指来自外单位专业服务机构，为本单位提供给用系统开发、网络管理和安全支持等信息技术外包服务工作人员。安全教育和培训是经过宣传和教育手段，确保相关工作人员和信息系统管理维护人员充足认识信息安全关键性，含有符合要求安全意识、知识和技能，提升其进行信息安全防护主动性、自觉性和能力。机构和职责信息化建设项目实施小组负责指导企业及两厂信息系统操作人员安全管理工作；负责实施企业信息安全检验及管理工作；研究国家和行业信息安全政策法规，组织相关部门讨论来确保其符合性。人力资源部负责组织各部门编制部门所属职员工作职能；负责职员专业资质审查、招聘和岗位技能培训等；负责职员离职、调动审查和同意等。XXXX部门负责检验各部门信息安全工作落实情况；负责对人员在岗时信息安全相关工作统计进行检验；负责对信息系统关键人员进行定时培训和考评工作；负责第三方人员信息安全管理工作；负责工作岗位风险状态分级及划分信息系统安全职责工作；负责普及信息安全防范意识，并针对信息安全违规事件向企业提出处理提议。其它部门负责接收信息安全教育和培训、和配合定时信息安全抽查工作；负责部门人员在岗时信息安全管理；负责定时组织针对本部门信息系统工作人员技能考评工作；负责部门人员在岗、离岗或调动后资产管理及统计存档工作。人员安全管理人员录用信息化建设项目实施小组负责指导人力资源部信息安全工作人员录用工作；人力资源部对拟录用信息系统岗位人员身份、背景、专业资格和资质等方面进行审查，并进行技能考评；人员录用前审查标准为：含有基础专业技术水平，接收过安全意识教育和培训，能够掌握安全管理基础知识。信息系统关键岗位人员还应含有很好思想品质和基础系统安全风险分析、评定能力；从事关键岗位或负责关键系统、机房等关键区域人员，须从内部人员选拨，应含有认真负责工作态度、较高职业道德水准；由人力资源部及XXXX部门对信息安全人员进行入职培训，包含信息安全规章制度教育培训等，并将制度掌握等培训情况纳入到试用期考评。在职人员各部门领导负责本部门人员信息安全管理工作，确保岗位信息安全职责落实；各部门应对人员领用资产情况做对应统计，在人员归还信息资产时消除统计；XXXX部门定时组织抽查内部人员权限分配情况，如发觉权限分配不合理，立即通知相关部门进行修改；XXXX部门信息系统管理员应严格实施相关操作手册，进行日常运维操作。人员调动工作人员岗位调动后，须办理严格调动手续，关键岗位人员离岗须承诺调离后保密义务；工作人员内部调动至其它岗位时，在接到岗位调动通知后，应于30天内依据调动程序办理工作资料、软硬件设备等移交手续；被调感人员持有原岗位钥匙、企业文件和设备等硬件资产由所在部门收回，并做好岗位交接统计；由被调感人员填写《信息系统权限变更表》，经原部门和人力资源部审批后，上报至XXXX部门，由XXXX部门负责对其信息系统访问授权进行调整，并回收相关软件；工作人员信息系统权限变动后，XXXX部门须通知其信息安全责任改变和新注意事项；工作人员岗位调动后，还应负担原岗位保密责任，参见附件《保密协议》。人员离职工作人员离职后，须办理严格离职手续，管理层和关键岗位人员离职须承诺调离后保密义务；工作人员离职时，应于30天内依据离职程序办理工作资料、软硬件设备等移交手续；由所在部门收回离职人员持有原岗位钥匙、企业文件和设备等硬件资产，并做好交接统计；由离职人员填写《信息系统权限变更表》，经原部门及人力资源部审批后，上报至XXXX部门，由XXXX部门负责删除其信息系统权限，并回收相关软件；工作人员离职后，须由XXXX部门进行安全审查，在要求脱密期限后方可离职；涉密人员脱密期限遵照相关保密要求签署书面保密承诺书，承诺调离后对原来工作中包含信息保密要求，参见《保密协议》。人员考评各部门每十二个月组织一次针对本部门信息系统工作人员定时考评，对各个岗位人员进行不一样侧重安全认知和安全技能考评，作为人员是否适合目前岗位参考；XXXX部门每十二个月组织一次针对关键岗位人员定时审查和技能考评，审查依据统计表格和操作日志，如发觉其违反安全要求，应查明原因，令其做出整改承诺，严重者不得继续从事关键岗位工作。安全意识教育和培训XXXX部门应依据各岗位信息安全角色和职责，制订该岗位所需信息安全培训计划，并对安全教育和培训情况及结果进行统计。培训内容包含安全意识教育、岗位技能培训和相关安全技术培训；XXXX部门应在工作人员被授予访问权限之前，依据其安全角色和职责，进行针对性安全教育和安全培训；信息安全培训内容包含但不仅限于以下几方面：信息安全基础知识、岗位操作规程、信息系统使用规范；企业信息安全方针、策略和信息安全目标宣贯培训；信息安全专题培训（如病毒防范培训、访问控制培训、等级保护培训等）；岗位安全责任、操作技能及相关技术；违反违反安全策略和安全要求惩戒方法。工作岗位风险分级XXXX部门应依据不一样岗位性质，结合各个信息系统安全需求，要求其信息安全风险等级并针对不一样岗位风险等级给予信息访问权限；各部门应在日常工作中落实相关工作岗位风险分级要求内容，全部工作人员应该明确自己所在岗位信息访问权限；投资依据企业岗位信息安全等级和业务特点，确定企业岗位信息安全职责。信息安全职责应包含以下内容：在企业信息安全管理组织架构中职责；在实施企业信息安全方针和目标方面职责；在遵守国家、地方多种信息安全相关法律法规方面职责；在保护企业信息资产免受未授权访问、泄露、修改、销毁或干扰方面职责；实施特定安全过程或活动方面职责；在汇报信息安全事故和弱点方面职责。工作协议对各部门包含协议约定事项中有信息安全要求时，各部门要和本部门工作人员（假如还未签署）及相关外部单位签署保密协议（保密协议中各项条款可依据具体项目具体编制）；XXXX部门应在关键信息系统管理维护和使用人员在上岗前，应严格根据信息安全规章制度中相关要求前述工作协议；依据岗位制订对应保密协议或保密承诺书，保密协议可包含以下方面内容：—岗位所要保护信息；—协议使用期；—协议终止时所应采取方法；—为避免泄密，签字人职责和行为；—保密协议和知识产权保护、商业秘密保护关系；—涉密信息许可使用，及签字人使用信息权力；—对涉密信息活动审核和监视；—涉密信息泄露或被破坏后处理程序；—协议终止时信息归档或销毁方法；—违反协议后应采取方法；应要求工作协议内容（保密协议条款、操作步骤和规范），管理和落实工作协议部门，和前述工作协议步骤。第三人人员管理第三人员在访问受控区域前，应向XXXX部门提出书面申请，经同意后，由专员全程陪同或监督，并登记立案。第三人人员不得将和工作无关物品带入机房，携带工作必需品进入机房须登记，并接收检验。第三方人员非因工作需要不得进入机房，不得对关键信息系统进行维护性逻辑访问。第三方人员进入本单位开始工作前，应和其所在单位签署保密协议，并要求第三方人员所在单位和企业签署保密协议或在在协议内容中明确。XXXX部门应采取必需管理和技术手段，对第三方人员是否遵守安全要求进行检验监督。各部门应根据企业相关信息安全管理要求和协议要求，对外协人员进行监督和检验，并就安全违规情况按协议条款中要求进行处理。第三方人员权限按《信息系统开发安全管控措施》进行分配和管理。XXXX部门定时组织检验全部外部人员权限分配情况，并将抽查结果进行统计。如发觉权限分配不合理，立即通知相关人员进行权限修改。信息安全违规处理违反本要求，发生信息安全事故，根据事故造成损失和后果，依据国家相关法律法规进行处罚；除进行处罚外，XXXX部门应在全企业内就类似违规事件进行宣传教育，避免同类问题再次发生。附：XXXX单位或企业保密协议书甲方：XXXX单位或企业企业地址：乙方：身份证号码：依据《中国劳动法》、《中国反不正当竞争法》、《中国保密法》、《相关严禁侵犯商业秘密行为若干要求》、《中国电信条例》等相关法律、法规，甲、乙双方在平等、自愿标准下签订以下协议，以资共同遵守。一、保密义务乙方为XXXX单位或企业正式职员，或为XXXX单位或企业提供相关系统开发、集成、运维等技术支持，XXXX单位或企业依据国家相关法律法规及企业规章制度，按确定工作职责，向乙方开放其职责范围内技术及商业信息。乙方同意为XXXX单位或企业利益尽最大努力，不从事任何危害电信安全行为，不从事任何不正当使用商业秘密或技术秘密行为。二、保密范围乙方因工作关系取得或交换所得XXXX单位或企业在经营管理过程中，未向社会公开或只在一定范围内公开任何信息、经验、技术和资料，包含建设和经营计划、关键会议内容、关键公文内容、招投标方案、技术方案、财务数据、营销策略、用户信息、企业技术、工程、经营、文书、人事档案等一切相关XXXX单位或企业商业、技术及经营管理秘密信息。国家法律、法规要求包含通信保密和网络安全内容。三、保密信息使用（一）乙方在XXXX单位或企业工作期间：1、确保不私自发表、不泄漏相关XXXX单位或企业及其用户任何秘密，不使她人取得、使用或计划使用这些信息，并尽最大努力确保资料不遗失、不缺损；2、在XXXX单位或企业指示和业务范围内，能够许可进行商业秘密和技术秘密交流，但不得：直接或间接地向XXXX单位或企业内部、外部无关人员泄漏；不得为私人利益使用或计划使用；不得复制或公开包含XXXX单位或企业商业秘密和技术秘密文件或文件副本；对工作中所保管、接触相关XXXX单位或企业或XXXX单位或企业企业用户文件应妥善对待，未经许可不得超出工作范围使用；不得以第三方身份直接或间接参与同企业竞争行为。（二）乙方不管因何种原因结束在XXXX单位或企业工作时，全部应立即将全部和XXXX单位或企业经营活动相关文件、统计或材料（包含个人笔记和复印资料、电子文档等）归还给XXXX单位或企业。四、时效立即效期间内应遵守准则鉴于XXXX单位或企业拥有商业秘密和技术秘密在竞争中相关键价值，存在于劳动关系存续期间和终止、解除以后，所以乙方同意：上述义务在乙方受聘或受委托于XXXX单位或企业工作期间有效，对关键商业秘密和技术秘密长久有效。五、违约责任乙方违反本协议项下任何要求，XXXX单位或企业全部有权：（一）责令乙方停止违约或侵权行为；（二）视情节处以年总收入以下罚款，扣发奖金或其它纪律处分、行政处分直至开除；（三）要求乙方赔偿其违约或侵权行为而造成一切经济损失及其可能寻求法律救助过程中发生一切费用,其中包含律师费用、诉讼费用;（四）触犯法律，提请相关部门追究其法律责任。六、争议处理措施因实施本协议而发生纠纷，能够由双