第一篇:信息安全管理组织机构和人员安全管理办法
信息安全管理组织机构和人员安全管理办法
第一章 总则
第1条 为加强本公司信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。第2条 本办法适用于本公司的信息安全组织机构和人员职责的管理。第二章 信息安全领导小组
第1条 公司成立信息安全领导小组。领导小组是信息安全的最高决策机构,下设办公室挂靠在公司技术部,负责信息安全领导小组的日常事务。
第2条 信息安全领导小组下设两个工作组:
信息安全工作组 应急处理工作组
第3条 信息安全领导小组的职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
第三章 信息安全工作组
第1条 信息安全工作组组长由公司技术部的负责人担任。第2条 信息安全工作组的主要职责包括:
贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
第四章 应急处理工作组
第1条 应急处理工作组组长由公司技术部的主要负责人担任。第2条 应急处理工作组的主要职责包括:
审定公司网络与信息系统的安全应急策略及应急预案; 决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
每年组织对信息安全应急策略和应急预案进行测试和演练。第五章 信息安全人员基本要求 第1条 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
第2条 信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历,具备专科以上学历。
第3条 违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。第六章 信息安全人员管理
第1条 信息安全人员的配备和变更情况,应向总经理报告、备案。第2条 信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
第七章 信息安全人员职责范围
第1条 信息安全人员应履行以下职责:
负责信息安全管理的日常工作;
开展信息安全检查工作,对要害岗位人员安全工作进行指导和监督;
负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
开展信息安全知识的培训和宣传工作;
监控信息安全总体状况,提出信息安全分析报告;
及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。第2条 信息安全人员在行使职责时,确因工作需要,经批准,可了解涉及经营与管理有关的信息系统的机密信息。
第3条 信息安全人员发现本单位重大信息安全隐患,有权向公司总经理报告。
第4条 信息安全人员发现信息系统要害岗位人员使用不当,应及时建议公司进行调整。
第5条 信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度,严守公司商业秘密。第八章 要害岗位人员管理
第1条 信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。
第2条 重要信息系统,是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。
第3条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
第4条 要害岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺。
第5条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。第6条 对要害岗位人员应实行定期考查制度,要害岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。
第7条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第8条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。第九章 要害岗位安全责任
第1条 系统管理员安全责任
负责系统的运行管理,实施系统安全运行细则; 严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全人员报告安全事件; 对进行系统操作的其他人员予以安全监督。第2条 网络管理员安全责任
负责网络的运行管理,实施网络安全策略和安全运行细则; 安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督。第3条 系统开发员安全责任
系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现; 系统投产运行前,应完整移交系统源代码和相关涉密资料; 不得对系统设置“后门”; 对系统核心技术保密。第4条 系统维护员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行; 不得擅自改变系统功能;
不得安装与系统无关的其他计算机程序;
维护过程中,发现安全漏洞应及时报告信息安全人员。第5条 业务操作员安全责任
严格执行系统操作规程和运行安全管理制度; 不得向他人提供自己的操作密码; 及时向系统管理员报告系统各种异常事件。
第6条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第十章 第三方人员管理
第1条 第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。第2条 应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第3条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。第4条 一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等,不许接入自带的设备。
第5条 第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
第6条 第三方人员工作结束后,应及时清除有关账户、过程记录等信息。
第十一章 培训与教育
第1条 信息安全人员应定期参加下列信息安全知识和技能的培训:
信息安全法律法规及行业规章制度的培训; 信息安全基本知识的培训; 信息安全专门技能的培训。
信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第3条 应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训,并应注意培养信息安全意识。第十二章 附则
第1条 本办法由公司人力行政部负责解释。第2条 本办法自发布之日起施行。
陕西溢诚金融服务股份有限公司
2017年7月1日
第二篇:安全管理组织机构及人员管理制度
上海携福电器有限公司
安全管理组织机构及人员管理制度
一、目的根据《安全生产法》规定,从业人员超过三百人的,应当设置安全生产管理机构或者配备专职安全生产管理人员;从业人员在三百人以下的,应当配备专职或者兼职的安全生产管理人员,或者委托具有国家规定的相关专业技术资格的工程技术人员提供安全生产管理服务。为加强公司的安全管理,实现“安全第一、预防为主、综合治理”的方针,特制定本制度。
二、适用范围
本制度适用于公司对安全管理组织机构及安全管理人员的管理工作。
三、设置要求
1、各级安全组织机构
(1)公司级安全领导机构为安全生产领导小组。
(2)公司级安全管理机构为人事行政部。
(3)部门/车间负责人为本部门/车间的安全第一责任人。
(4)各班组负责人为本班组的安全第一责任人。
2、安全生产领导小组人员构成安全生产领导小组组长由公司主管安全的负责人担任,副组长至少应由部门经理级人员担任,安全生产领导小组成员亦应至少包含各部门主要负责人。
四、职责(详见各岗位安全职责汇编)
1、安全生产领导小组职责
(1)贯彻落实国家、地方安全生产法律法规、方针政策、标准规范和其他要求,全面领导公司安全生产工作,对公司安全管理和其他安全生产重大事项作出决策;
(2)统筹规划、协调解决生产中的重大安全问题;
(3)负责建立健全公司、部门、班组三级安全管理网络,加强安全生产基础建设和班组安全建设;
(4)组织制定公司安全生产责任制,并定期组织对安全生产责任制的考核和奖惩工作;
(5)总结上安全生产工作,提出下安全生产工作安排;
(6)组织制定公司安全生产目标,及规划、构筑公司安全文化;
(7)负责公司安全生产费用提取和使用计划的审核;
(8)组织召开安全生产领导小组会议,检查、部署公司安全生产工作;
(9)组织开展安全大检查,对查出的重大安全隐患督促整改;
(10)听取对工伤事故、职业病危害事故及重大事故隐患的汇报,并做出处理决定。
2、人事行政部(安办)职责
(1)认真贯彻执行国家及上级安全生产方针、政策、法令、法规、指示,在总经理和安全生产管理小组的领导下负责企业的安全生产工作。
(2)负责对职工进行安全思想和安全技术知识教育,对新入厂职工进行厂级安全教育,组织对特种专业人员的安全技术培训和考核,有计划地组织开展各种安全活动及培训。
(3)组织制订、修订本企业安全生产管理制度和安全技术规程,编制安全技术措施计划,提出安全技术措施方案,并检查执行情况。
(4)协调组织开展安全检查工作,发现问题及时督促并协助解决。发现重大隐患的,应立即上报安全生产领导小组研究,并制定整改方案。
(5)参与公司新建、改建、扩建和技术改造工程项目安全设施、职业危害防护设施的“三同时”工作;
(6)深入现场检查,解决有关安全问题,纠正违章指挥、违章作业,遇有危及安全生产的紧急情况,有权令其停止作业,并立即报告有关领导处理。
(7)监督检查安全用火管理制度的执行情况。编制公司安全生产事故应急预案,制定并组织培训应急预案演练方案,并做出评估总结;
(8)负责备类事故的汇总统计上报工作,并建立、健全事故档案。按规定参加事故的调查、处理工作。
(9)监督、监测、考核各部门的安全生产目标实施情况;认真开展安全生产竞赛活动,总结交流安全生产先进经验,积极推广生产安全科研成果、先进技术及现代安全管理方法。
(10)检查督促有关部门和单位搞好安全装备的维护保养和管理工作。
(11)建立健全安全生产管理网,指导基层安全生产工作,加强安全生产基础建设,定期召开安全专业人员会议,不断提高基层安全员的技术素质。
3、部门/车间负责人共同职责
(1)贯彻执行公司安全管理制度,全面领导本部门安全生产工作。
(2)落实部门安全生产目标,开展具体的实施工作。
(3)参与公司召开的各类安全会议,向本部门员工传达公司安全指示精神。组织召开部门安全会议。
(4)协助、配合公司相关部门进行安全工作检查,落实安全整改措施。
(5)组织部门开展、参与安全培训。
(6)组织开展部门的隐患排查工作,并落实整改情况。
(6)完成上级部门临时布置的安全工作任务。
4、班组负责人共同职责
(1)贯彻执行公司安全管理制度。
(2)负责班组日常安全生产的监督检查工作。
(3)负责日常安全检查,实施对安全隐患的整改。
(4)负责落实本班组所属设备(含安全设施)的维护、保养工作。
(5)组织参与公司各类安全培训与安全学习。
(6)组织开展班组安全文明生产,保持作业现场整洁、安全。
(7)及时报告安全情况。
(8)完成领导布置的其他安全工作任务。
第三篇:安全管理组织机构及人员管理制度
安全管理组织机构及人员管理制度
一、目的根据《安全生产法》规定,从业人员超过三百人的,应当设置安全生产管理机构或者配备专职安全生产管理人员;从业人员在三百人以下的,应当配备专职或者兼职的安全生产管理人员,或者委托具有国家规定的相关专业技术资格的工程技术人员提供安全生产管理服务。为加强公司的安全管理,实现“安全第一、预防为主、综合治理”的方针,特制定本制度。
二、适用范围
本制度适用于公司对安全管理组织机构及安全管理人员的管理工作。
三、设置要求
1、各级安全组织机构
(1)公司级安全领导机构为安全生产领导小组。
(2)公司级安全管理机构为办公室。
(3)车间负责人为本车间的安全第一责任人。
(4)各班组负责人为本班组的安全第一责任人。
2、安全生产领导小组人员构成安全生产领导小组组长应由公司的主要负责人担任,副组长应由公司主管安全负责人担任,安全生产领导小组成员应至少包含各车间主要负责人。
四、职责
1、安全生产领导小组职责
(1)贯彻落实国家、地方安全生产法律法规、方针政策、标准规范和其他要求,全面领导公司安全生产工作,对公司安全管理和其 1
他安全生产重大事项作出决策;
(2)统筹规划、协调解决生产中的重大安全问题;
(3)负责建立健全公司、车间、班组三级安全管理网络,加强安全生产基础建设和班组安全建设;
(4)组织制定公司安全生产责任制,并定期组织对安全生产责任制的考核和奖惩工作;
(5)总结上安全生产工作,提出下安全生产工作安排;
(6)组织制定公司安全生产目标;
(7)负责公司安全生产费用提取和使用计划的审核;
(8)组织召开安全生产领导小组会议,检查、部署公司安全生产工作;
(9)组织开展安全大检查,对查出的重大安全隐患督促整改;
(10)听取对工伤事故、职业病危害事故及重大事故隐患的汇报,并做出处理决定。
2、办公室职责
(1)协助分管安全负责人组织推动本公司的安全生产工作,及时掌握并切实贯彻执行党和国家的安全生产法律、法规和制度;
(2)制定安全生产责任制、安全规章制度和安全操作规程,并对执行情况进行监督检查;
(3)监督、监测、考核各车间的安全生产目标实施情况;
(4)负责编制公司安全生产费用使用计划;
(5)参与公司新建、改建、扩建和技术改造工程项目安全设施、职业危害防护设施的“三同时”工作;
(6)按计划对从业人员进行安全生产培训;
(7)协调组织开展安全检查工作,发现问题及时督促并协助解
决。发现重大隐患的,应立即上报安全生产领导小组研究,并制定整改方案;
(8)参加公司事故的调查处理,进行伤亡事故的登记、统计、分析和报告,协助有关车间提出预防事故的措施,并督促按期实现;
(9)编制公司安全生产事故应急预案,制定应急预案演练方案,并做出评估总结;
(10)协助有关车间做好生产现场职业危害情况的调查、分析、报告工作,针对职业危害制定防治措施;
(11)督促有关车间,按照规定及时发放个人防护用品(具),并指导从业人员正确使用。
3、车间负责人职责
(1)贯彻执行公司安全管理制度,全面领导本车间安全生产工作。
(2)落实车间安全生产目标,开展具体的实施工作。
(3)参与公司召开的各类安全会议,向本车间员工传达公司安全指示精神。组织召开车间安全会议。
(4)协助、配合公司相关车间进行安全工作检查,落实安全整改措施。
(5)组织车间开展、参与安全培训。
(6)组织开展车间的隐患排查工作,并落实整改情况。
(6)完成上级车间临时布置的安全工作任务。
4、班组负责人职责
(1)贯彻执行公司安全管理制度。
(2)负责班组日常安全生产的监督检查工作。
(3)负责日常安全检查,实施对安全隐患的整改。
(4)负责落实本班组所属设备(含安全设施)的维护、保养工作。
(5)组织参与公司各类安全培训与安全学习。
(6)组织开展班组安全文明生产,保持作业现场整洁、安全。
(7)及时报告安全情况。
第四篇:信息安全管理组织机构及岗位职责
一.组织机构
1.公司成立信息安全领导小组,是信息安全的最高决策机构,下设办公室,负责信息安全领导小组的日常事务。
2.信息安全领导小组负责研究重大事件,落实方针政策和制定总体策略等。职责主要包括:根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
3.信息安全领导小组下设两个工作组:信息安全工作组、应急处理工作组。组长均由公司负责人担任。4.信息安全工作组的主要职责包括:
1)贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 2)根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
3)组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
4)负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
5)组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
6)负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
7)及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。8)跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。5.应急处理工作组的主要职责包括:
1)审定公司网络与信息系统的安全应急策略及应急预案;
2)决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 3)每年组织对信息安全应急策略和应急预案进行测试和演练。
6.公司应指定分管信息的领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。二.关键岗位
1.设置信息系统的关键岗位并加强管理,配备系统管理员、网络管理员、应用开发管理员、安全审计员、安全保密管理员,要求五人各自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。2.系统管理员主要职责有:
1)负责系统的运行管理,实施系统安全运行细则; 2)严格用户权限管理,维护系统安全正常运行;
3)认真记录系统安全事项,及时向信息安全人员报告安全事件; 4)对进行系统操作的其他人员予以安全监督。3.网络管理员主要职责有:
1)负责网络的运行管理,实施网络安全策略和安全运行细则;
2)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
3)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
4)对操作网络管理功能的其他人员进行安全监督。4.应用开发管理员主要职责有:
1)负责在系统开发建设中,严格执行系统安全策略,保证系统安全功能的准确实现;
2)系统投产运行前,完整移交系统相关的安全策略等资料; 3)不得对系统设置“后门”; 4)对系统核心技术保密等。
5.安全审计员负责对涉及系统安全的事件和各类操作人员的行为进行审计和监督,主要职能包括: 1)按操作员证书号进行审计; 2)按操作时间审计; 3)按操作类型审计; 4)事件类型进行审计; 5)日志管理等。
6.安全保密管理员负责日常安全保密管理活动,主要职责有: 1)监视全网运行和安全告警信息 2)网络审计信息的常规分析 3)安全设备的常规设置和维护 4)执行应急中心制定的具体安全策略
5)向应急管理机构和领导机构报告重大的网络安全事件等。
第五篇:信息系统安全等级测评之组织机构和人员安全管理办法
××公司
信息安全管理组织机构和人员安全管理办法
第一章 总则
第1条 为加强本公司信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。
第2条 本办法适用于本公司的信息安全组织机构和人员职责的管理。
第二章 信息安全领导小组
第1条 公司成立信息安全领导小组。领导小组是信息安全的最高决策机构,下设办公室挂靠在公司技术部,负责信息安全领导小组的日常事务。
第2条 信息安全领导小组下设两个工作组:
信息安全工作组
应急处理工作组
第3条 信息安全领导小组的职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
第三章 信息安全工作组
第1条 信息安全工作组组长由公司技术部的负责人担任。
第2条 信息安全工作组的主要职责包括:
贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作;
根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实;
组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。
跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
第四章 应急处理工作组
第1条 应急处理工作组组长由公司技术部的主要负责人担任。
第2条 应急处理工作组的主要职责包括:
审定公司网络与信息系统的安全应急策略及应急预案;
决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统; 每年组织对信息安全应急策略和应急预案进行测试和演练。
第五章 信息安全人员基本要求
第1条 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
第2条 信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历,具备专科以上学历。
第3条 违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。
第六章 信息安全人员管理
第1条 信息安全人员的配备和变更情况,应向总经理报告、备案。
第2条 信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。
第七章 信息安全人员职责范围
第1条 信息安全人员应履行以下职责:
负责信息安全管理的日常工作;
开展信息安全检查工作,对要害岗位人员安全工作进行指导和监督;
负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策; 开展信息安全知识的培训和宣传工作;
监控信息安全总体状况,提出信息安全分析报告;
及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。
第2条 信息安全人员在行使职责时,确因工作需要,经批准,可了解涉及经营与管理有关的信息系统的机密信息。
第3条 信息安全人员发现本单位重大信息安全隐患,有权向公司总经理报告。
第4条 信息安全人员发现信息系统要害岗位人员使用不当,应及时建议公司进行调整。
第5条 信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度,严守公司商业秘密。
第八章 要害岗位人员管理
第1条 信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。
第2条 重要信息系统,是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。
第3条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
第4条 要害岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺。
第5条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。
第6条 对要害岗位人员应实行定期考查制度,要害岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。
第7条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及公司业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第8条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第九章 要害岗位安全责任
第1条 系统管理员安全责任
负责系统的运行管理,实施系统安全运行细则;
严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全人员报告安全事件;
对进行系统操作的其他人员予以安全监督。
第2条 网络管理员安全责任
负责网络的运行管理,实施网络安全策略和安全运行细则;
安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督。
第3条 系统开发员安全责任
系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现; 系统投产运行前,应完整移交系统源代码和相关涉密资料;
不得对系统设置“后门”;
对系统核心技术保密。
第4条 系统维护员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行;
不得擅自改变系统功能;
不得安装与系统无关的其他计算机程序;
维护过程中,发现安全漏洞应及时报告信息安全人员。
第5条 业务操作员安全责任
严格执行系统操作规程和运行安全管理制度;
不得向他人提供自己的操作密码;
及时向系统管理员报告系统各种异常事件。
第6条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第十章 第三方人员管理
第1条 第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。
第2条 应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第3条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
第4条 一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等,不许接入自带的设备。
第5条 第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
第6条 第三方人员工作结束后,应及时清除有关账户、过程记录等信息。
第十一章 培训与教育
第1条 信息安全人员应定期参加下列信息安全知识和技能的培训:
信息安全法律法规及行业规章制度的培训;
信息安全基本知识的培训;
信息安全专门技能的培训。
第2条 信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第3条 应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训,并应注意培养信息安全意识。
第十二章 附则
第1条 本办法由公司人力行政部负责解释。
第2条 本办法自发布之日起施行。
××公司
××年××月××日