信息系统用户管理制度

信息系统顾客管理制度

第一章范围及职责

第一条本制度合用于信息系统顾客的管理，包括：岗

位配置原则、人员录取及调（离）岗、授权管理、安全培训

教育、第三方人员管理。

第二条某某单位办公室（如下简称：办公室）负责信

息系统顾客管理制度的制定和修订。

第二章岗位配置原则

第三条根据信息系统职能规定，结合信息部门实际状

况进行人员配置，权限、职能不一样日勺角色必须分离，防止

权责不清、责任不明确日勺现象发生。其中，系统管理员不能

兼任安全审计员。

第四条重要岗位实行角色备份制度，在合理设置工作

岗位、完善工作职责的）基础上，在相近岗位之间，实行顶岗

或互为备岗制，以便能及时处理紧急任务。

第五条各岗位工作人员安排

为保证信息安全工作日勺顺利开展，保障信息系统的正

常运行，须设置安全管理员、系统管理员、网络管理员、机

房管理员、安全审计员和信息审查员并明确其工作职责。

第三章人员录取及调离

第六条有关信息安全职责在岗位阐明书中予以明确，

各部门负责人根据已同意日勺岗位阐明书和部门人员配置规

定，填写有关申请，统一招调。

第七条所有信息系统有关岗位均要签订保密协议，关

键岗位人员必须从内部人员中选拔。

第八条对被录取人的身份、背景、专业资格和资质等

进行审查，当人员处理涉密信息或波及高敏感性的）信息或

肩负重要岗位时，应进行更严格日勺政审。

第九条人员调离时必须更换或偿还之前发放日勺身份证

件、钥匙、单位提供的软硬件设备及文档资料等资产，并办

理详尽日勺交接手续。

第十条人员调离时必须终止其所有的访问权限，波及

有关信息系统账号、口令时，先采用更换密码或冻结账号日勺

措施，防止直接删除账号。

第十一条人员调（离）岗时必须签订保密承诺书，承

诺在调（离）岗后根据保密承诺书日勺内容履行有关日勺保密责

任和义务，涉密人员实行脱密期管理制度。

第十二条对未办理正常交接手续离岗日勺人员，及时进

行信息安全风险评估并由专人跟进处理，保证信息系统日勺

安全和业务持续性。

第十三条建立完善旺）奖惩机制，对违反信息安全方略

或规定日勺人员，予以正式纪律处理，对信息安全工作体现

突优秀的人员，予以合适鼓励。

第十四条与上级信息安全管理部门、信息系统服务商

和宽带提供商（如电信、网通等）保持合适联络，保证在发

生信息安全事故和查处危害内部信息安全的违法犯罪行为

时可以得到及时响应和必要协助。

第四章授权管理

第十五条权限的分级应遵照如下原则。

1.符合业务安全需求；

2.遵照最小灰限原则；

3.系统管理员分派超级权限，一般顾客则分派一般权

限；

第十六条所有账号注册都必须通过申请才能开放。申

请人提出权限申请，提交《顾客权限审批和修改表》给办公

室审批，审批同意后才能开通对应日勺权限。每个顾客必须被

分派唯一的）账号，账号名不能透露顾客日勺权限信息，不容

许共享账号。

第十七条所有系统都应当建立应急账号，应急账号数

据必须放在密封的信封内妥善收藏，并控制好信封日勺存取。

在使用后必须立即修改，然后把新日勺密码装到信封里。

第十八条人员调职、离职时，亦需提交《顾客权限审

批和修改表》办公室审批，该员工的所有账号必须在最终上

班日之前注销或修改。当注销账号时，必须保证已取消其有

关日勺系统权限。

第五章安全培训教育

第十九条各岗位人员必须清晰自己的安全职责，理

解各自日勺工作职能范围和责任义务。

第二十条制定安全教育和培训计划、记录培训详细内

容和培训成果以及参与培训人员，在培训结束后把培训有

关记录材料整顿归档。

第二十一条根据各个岗位日勺业务应用、安全意识和保

密意识需求制定培训计划，定期组织安全教育和培训。

第二十二条各岗位人员要积极参与单位组织日勺内、外

部信息安全交流和培训，提高信息安全意识和专业水平。

第二十三条定期对各岗位人员进行安全理论知识和安

全技能水平的考察。

第六章第三方人员管理

第二十四条为加强与信息安全企业、产品供应商、业

界专家、安全组织的沟通与合作或应急响应，应建立详细日勺

外联单位联络表（内容至少包括外联单位的名称、联络人、

地址、联络方式等）。

第二十五条第三方人员对敏感信息资产进行访问前,

必须签订正式的协议及保密协议；在协议和保密协议中明确

第三方人员的安全责任、必须遵守日勺安全规定以及违反规定

日勺惩罚等条款，对其容许访问日勺区域、系统、设备、信息等

内容应有明确的规定。

第二十六条需要访问信息系统的第三方人员必须得到

有关部门和领导的许可、授权，其访问权限必须得到严格日勺

限制。第三方人员使用日勺工具需通过有关部门日勺安全检查。

第二十七条与第三方人员共同协定现场工作规范并按

照既定规范实行管理、贯彻运维人员或终端负责人全程陪伴

日勺方略以减少风险。

第三十八在第三方人员进行远程访问之前，要严格鉴

定访问者的）身份，保证访问者为已授权人员。

第二十九条负责第三方人员接待和管理日勺部门在第三

方人员访问结束之后，要及时收回有关物品、资料并且终止

其访问权限。

第三十条负责接待第三方人员日勺工作人员须有对应信

息安全教育培训经验，并且具有良好