人員網(wǎng)絡(luò)及信息安全管理規(guī)定

人員網(wǎng)絡(luò)及信息安全管理規(guī)定XXXX單位或公司企業(yè)標(biāo)準(zhǔn)人員網(wǎng)絡(luò)及信息安全管理規(guī)定2014-10-25發(fā)布2014-11-01實(shí)施XXXX單位或公司發(fā)布人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第1頁(yè)。人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第1頁(yè)。 前言本標(biāo)準(zhǔn)由XXXX單位或公司標(biāo)準(zhǔn)化管理委員會(huì)提出。本標(biāo)準(zhǔn)由XXXX單位或公司XXXX部門(mén)起草并歸口管理。本標(biāo)準(zhǔn)主要起草人：本標(biāo)準(zhǔn)由XXX批準(zhǔn)。本標(biāo)準(zhǔn)首次發(fā)布于2014年10月25日,自本標(biāo)準(zhǔn)發(fā)布之日起，《信息系統(tǒng)操作人員安全管理規(guī)定》同時(shí)廢除。人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第2頁(yè)。人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第2頁(yè)。人員網(wǎng)絡(luò)及信息安全管理規(guī)定范圍為規(guī)范公司信息系統(tǒng)安全人員管理，保障公司信息安全，根據(jù)《信息安全等級(jí)保護(hù)管理辦法》、《信息系統(tǒng)安全管理要求》（GB/T19715.2--2005）以及公司相關(guān)規(guī)章制度，制訂本規(guī)定。本標(biāo)準(zhǔn)規(guī)定了本企業(yè)內(nèi)部人員、第三方運(yùn)維人員等安全管理的相關(guān)內(nèi)容，包括工作崗位風(fēng)險(xiǎn)分級(jí)、人員審核、人員錄用、保密協(xié)議、人力調(diào)動(dòng)、人員離職、人員考核、安全意識(shí)教育和培訓(xùn)、第三方人員安全等。本標(biāo)準(zhǔn)適用于本企業(yè)內(nèi)部人員及第三方人員的管理與考核。規(guī)范性引用文件無(wú)規(guī)范性引用文件，保留本條款的目的是保持本公司標(biāo)準(zhǔn)結(jié)構(gòu)的一致，便于今后的修訂。術(shù)語(yǔ)和定義人員安全是指通過(guò)管理和控制，確保單位內(nèi)部人員（特別是信息系統(tǒng)的管理維護(hù)人員）和第三方人員在安全意識(shí)、能力和素質(zhì)等方面都滿足工作崗位的要求。第三方人員是指來(lái)自外單位的專(zhuān)業(yè)服務(wù)機(jī)構(gòu)，為本單位提供應(yīng)用系統(tǒng)開(kāi)發(fā)、網(wǎng)絡(luò)管理和安全支持等信息技術(shù)外包服務(wù)的工作人員。安全教育和培訓(xùn)是通過(guò)宣傳和教育的手段，確保相關(guān)工作人員和信息系統(tǒng)管理維護(hù)人員充分認(rèn)識(shí)信息安全的重要性，具備符合要求的安全意識(shí)、知識(shí)和技能，提高其進(jìn)行信息安全防護(hù)的主動(dòng)性、自覺(jué)性和能力。機(jī)構(gòu)和職責(zé)信息化建設(shè)項(xiàng)目實(shí)施小組負(fù)責(zé)指導(dǎo)公司及兩廠信息系統(tǒng)操作人員安全管理工作；負(fù)責(zé)執(zhí)行公司信息安全檢查及管理工作；研究國(guó)家和行業(yè)的信息安全政策法規(guī)，組織有關(guān)部門(mén)討論來(lái)保證其符合性。人力資源部負(fù)責(zé)組織各部門(mén)編制部門(mén)所屬員工的工作職能；負(fù)責(zé)員工的專(zhuān)業(yè)資質(zhì)審查、招聘和崗位技能培訓(xùn)等；負(fù)責(zé)員工離職、調(diào)動(dòng)的審查和批準(zhǔn)等。XXXX部門(mén)人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第3頁(yè)。負(fù)責(zé)檢查各部門(mén)的信息安全工作落實(shí)情況；人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第3頁(yè)。負(fù)責(zé)對(duì)人員在崗時(shí)的信息安全相關(guān)工作記錄進(jìn)行檢查；負(fù)責(zé)對(duì)信息系統(tǒng)關(guān)鍵人員進(jìn)行定期培訓(xùn)和考核工作；負(fù)責(zé)第三方人員信息安全管理工作；負(fù)責(zé)工作崗位風(fēng)險(xiǎn)狀態(tài)分級(jí)及劃分信息系統(tǒng)安全職責(zé)工作；負(fù)責(zé)普及信息安全防范意識(shí)，并針對(duì)信息安全違規(guī)事件向公司提出處理建議。其他部門(mén)負(fù)責(zé)接受信息安全教育和培訓(xùn)、以及配合定期的信息安全抽查工作；負(fù)責(zé)部門(mén)人員在崗時(shí)的信息安全管理；負(fù)責(zé)定期組織針對(duì)本部門(mén)信息系統(tǒng)工作人員的技能考核工作；負(fù)責(zé)部門(mén)人員在崗、離崗或調(diào)動(dòng)后的資產(chǎn)管理及記錄存檔工作。人員安全管理人員錄用信息化建設(shè)項(xiàng)目實(shí)施小組負(fù)責(zé)指導(dǎo)人力資源部信息安全工作人員的錄用工作；人力資源部對(duì)擬錄用信息系統(tǒng)崗位人員身份、背景、專(zhuān)業(yè)資格和資質(zhì)等方面進(jìn)行審查，并進(jìn)行技能考核；人員錄用前的審查標(biāo)準(zhǔn)為：具有基本的專(zhuān)業(yè)技術(shù)水平，接受過(guò)安全意識(shí)教育和培訓(xùn)，能夠掌握安全管理基本知識(shí)。信息系統(tǒng)關(guān)鍵崗位人員還應(yīng)具備較好的思想品質(zhì)以及基本的系統(tǒng)安全風(fēng)險(xiǎn)分析、評(píng)估能力；從事關(guān)鍵崗位或負(fù)責(zé)核心系統(tǒng)、機(jī)房等重要區(qū)域的人員，須從內(nèi)部人員選撥，應(yīng)具備認(rèn)真負(fù)責(zé)的工作態(tài)度、較高的職業(yè)道德水準(zhǔn)；由人力資源部及XXXX部門(mén)對(duì)信息安全人員進(jìn)行入職培訓(xùn)，包括信息安全規(guī)章制度的教育培訓(xùn)等，并將制度掌握等培訓(xùn)情況納入到試用期考核。在職人員各部門(mén)領(lǐng)導(dǎo)負(fù)責(zé)本部門(mén)人員信息安全管理工作，確保崗位信息安全職責(zé)的落實(shí)；各部門(mén)應(yīng)對(duì)人員領(lǐng)用資產(chǎn)的情況做相應(yīng)記錄，在人員歸還信息資產(chǎn)時(shí)消除記錄；XXXX部門(mén)定期組織抽查內(nèi)部人員權(quán)限分配情況，如發(fā)現(xiàn)權(quán)限分配不合理，立即通知相關(guān)部門(mén)進(jìn)行修改；XXXX部門(mén)信息系統(tǒng)管理員應(yīng)嚴(yán)格執(zhí)行相關(guān)操作手冊(cè)，進(jìn)行日常運(yùn)維操作。人員調(diào)動(dòng)工作人員崗位調(diào)動(dòng)后，須辦理嚴(yán)格的調(diào)動(dòng)手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后的保密義務(wù)；人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第4頁(yè)。工作人員內(nèi)部調(diào)動(dòng)至其他崗位時(shí)，在接到崗位調(diào)動(dòng)通知后，應(yīng)于一個(gè)月內(nèi)依據(jù)調(diào)動(dòng)程序辦理工作資料、軟硬件設(shè)備等移交手續(xù)；人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第4頁(yè)。被調(diào)動(dòng)人員持有原崗位鑰匙、公司文件和設(shè)備等硬件資產(chǎn)由所在部門(mén)收回，并做好崗位交接記錄；由被調(diào)動(dòng)人員填寫(xiě)《信息系統(tǒng)權(quán)限變更表》，經(jīng)原部門(mén)以及人力資源部審批后，上報(bào)至XXXX部門(mén)，由XXXX部門(mén)負(fù)責(zé)對(duì)其信息系統(tǒng)訪問(wèn)授權(quán)進(jìn)行調(diào)整，并回收相關(guān)軟件；工作人員信息系統(tǒng)權(quán)限變動(dòng)后，XXXX部門(mén)須告知其信息安全責(zé)任的變化和新的注意事項(xiàng)；工作人員崗位調(diào)動(dòng)后，還應(yīng)承擔(dān)原崗位的保密責(zé)任，參見(jiàn)附件《保密協(xié)議》。人員離職工作人員離職后，須辦理嚴(yán)格的離職手續(xù)，管理層和關(guān)鍵崗位人員離職須承諾調(diào)離后的保密義務(wù)；工作人員離職時(shí)，應(yīng)于一個(gè)月內(nèi)依據(jù)離職程序辦理工作資料、軟硬件設(shè)備等移交手續(xù)；由所在部門(mén)收回離職人員持有原崗位鑰匙、公司文件和設(shè)備等硬件資產(chǎn)，并做好交接記錄；由離職人員填寫(xiě)《信息系統(tǒng)權(quán)限變更表》，經(jīng)原部門(mén)及人力資源部審批后，上報(bào)至XXXX部門(mén)，由XXXX部門(mén)負(fù)責(zé)刪除其信息系統(tǒng)權(quán)限，并回收相關(guān)軟件；工作人員離職后，須由XXXX部門(mén)進(jìn)行安全審查，在規(guī)定的脫密期限后方可離職；涉密人員的脫密期限遵照有關(guān)保密規(guī)定簽署書(shū)面保密承諾書(shū)，承諾調(diào)離后對(duì)原來(lái)工作中涉及信息的保密要求，參見(jiàn)《保密協(xié)議》。人員考核各部門(mén)每年組織一次針對(duì)本部門(mén)信息系統(tǒng)工作人員的定期考核，對(duì)各個(gè)崗位的人員進(jìn)行不同側(cè)重的安全認(rèn)知和安全技能考核，作為人員是否適合當(dāng)前崗位的參考；XXXX部門(mén)每年組織一次針對(duì)關(guān)鍵崗位人員的定期審查和技能考核，審查依據(jù)記錄表格和操作日志，如發(fā)現(xiàn)其違反安全規(guī)定，應(yīng)查明原因，令其做出整改承諾，嚴(yán)重者不得繼續(xù)從事關(guān)鍵崗位工作。安全意識(shí)教育和培訓(xùn)XXXX部門(mén)應(yīng)根據(jù)各崗位的信息安全角色和職責(zé)，制定該崗位所需的信息安全培訓(xùn)計(jì)劃，并對(duì)安全教育和培訓(xùn)情況及結(jié)果進(jìn)行記錄。培訓(xùn)內(nèi)容包括安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；XXXX部門(mén)應(yīng)在工作人員被授予訪問(wèn)權(quán)限之前，依據(jù)其安全角色和職責(zé)，進(jìn)行針對(duì)性的安全教育和安全培訓(xùn)；信息安全培訓(xùn)內(nèi)容包括但不僅限于以下幾方面：信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程、信息系統(tǒng)使用規(guī)范；公司信息安全方針、策略與信息安全目標(biāo)的宣貫培訓(xùn)；人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第5頁(yè)。信息安全專(zhuān)題培訓(xùn)（如病毒防范培訓(xùn)、訪問(wèn)控制培訓(xùn)、等級(jí)保護(hù)培訓(xùn)等）；人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第5頁(yè)。崗位安全責(zé)任、操作技能及相關(guān)技術(shù)；違反違背安全策略和安全規(guī)定的懲戒措施。工作崗位風(fēng)險(xiǎn)分級(jí)XXXX部門(mén)應(yīng)根據(jù)不同崗位的性質(zhì)，結(jié)合各個(gè)信息系統(tǒng)的安全需求，規(guī)定其信息安全風(fēng)險(xiǎn)級(jí)別并針對(duì)不同的崗位風(fēng)險(xiǎn)級(jí)別賦予信息訪問(wèn)權(quán)限；各部門(mén)應(yīng)在日常工作中落實(shí)有關(guān)工作崗位的風(fēng)險(xiǎn)分級(jí)規(guī)定內(nèi)容，所有工作人員應(yīng)當(dāng)明確自己所在崗位的信息訪問(wèn)權(quán)限；投資根據(jù)公司崗位信息安全級(jí)別和業(yè)務(wù)特點(diǎn)，確定公司崗位信息安全職責(zé)。信息安全職責(zé)應(yīng)包括以下內(nèi)容：在公司信息安全管理組織架構(gòu)中的職責(zé)；在執(zhí)行公司信息安全方針和目標(biāo)方面的職責(zé)；在遵守國(guó)家、地方各種信息安全相關(guān)法律法規(guī)方面的職責(zé)；在保護(hù)公司信息資產(chǎn)免受未授權(quán)訪問(wèn)、泄露、修改、銷(xiāo)毀或干擾方面的職責(zé)；執(zhí)行特定的安全過(guò)程或活動(dòng)方面的職責(zé)；在報(bào)告信息安全事故和弱點(diǎn)方面的職責(zé)。工作協(xié)議對(duì)各部門(mén)涉及合同約定事項(xiàng)中有信息安全的要求時(shí)，各部門(mén)要與本部門(mén)工作人員（如果尚未簽訂）及相關(guān)外部單位簽署保密協(xié)議（保密協(xié)議中各項(xiàng)條款可根據(jù)具體項(xiàng)目具體編制）；XXXX部門(mén)應(yīng)在重要信息系統(tǒng)的管理維護(hù)和使用人員在上崗前，應(yīng)嚴(yán)格按照信息安全規(guī)章制度中的有關(guān)規(guī)定前述工作協(xié)議；根據(jù)崗位制定相應(yīng)的保密協(xié)議或保密承諾書(shū)，保密協(xié)議可包括以下方面的內(nèi)容：—崗位所要保護(hù)的信息；—協(xié)議有效期；—協(xié)議終止時(shí)所應(yīng)采取的措施；—為避免泄密，簽字人的職責(zé)和行為；—保密協(xié)議與知識(shí)產(chǎn)權(quán)保護(hù)、商業(yè)秘密保護(hù)的關(guān)系；—涉密信息的許可使用，及簽字人使用信息的權(quán)力；—對(duì)涉密信息的活動(dòng)的審核和監(jiān)視；—涉密信息泄露或被破壞后的處理程序；—協(xié)議終止時(shí)信息的歸檔或銷(xiāo)毀的措施；—違反協(xié)議后應(yīng)采取的措施；應(yīng)規(guī)定工作協(xié)議的內(nèi)容（保密協(xié)議條款、操作流程和規(guī)范），管理和落實(shí)工作協(xié)議的部門(mén)，以及前述工作協(xié)議的流程。人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第6頁(yè)。第三人人員管理人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第6頁(yè)。第三人員在訪問(wèn)受控區(qū)域前，應(yīng)向XXXX部門(mén)提出書(shū)面申請(qǐng)，經(jīng)批準(zhǔn)后，由專(zhuān)人全程陪同或監(jiān)督，并登記備案。第三人人員不得將與工作無(wú)關(guān)的物品帶入機(jī)房，攜帶工作必需品進(jìn)入機(jī)房須登記，并接受檢查。第三方人員非因工作需要不得進(jìn)入機(jī)房，不得對(duì)重要信息系統(tǒng)進(jìn)行維護(hù)性邏輯訪問(wèn)。第三方人員進(jìn)入本單位開(kāi)始工作前，應(yīng)與其所在單位簽訂保密協(xié)議，并要求第三方人員所在單位與公司簽訂保密協(xié)議或在在合同內(nèi)容中明確。XXXX部門(mén)應(yīng)采取必要的管理和技術(shù)手段，對(duì)第三方人員是否遵守安全要求進(jìn)行檢查監(jiān)督。各部門(mén)應(yīng)按照公司有關(guān)信息安全管理規(guī)定以及合同要求，對(duì)外協(xié)人員進(jìn)行監(jiān)督和檢查，并就安全違規(guī)情況按合同條款中的要求進(jìn)行處理。第三方人員的權(quán)限按《信息系統(tǒng)開(kāi)發(fā)安全管控辦法》進(jìn)行分配與管理。XXXX部門(mén)定期組織檢查所有外部人員權(quán)限分配情況，并將抽查結(jié)果進(jìn)行記錄。如發(fā)現(xiàn)權(quán)限分配不合理，立即通知相關(guān)人員進(jìn)行權(quán)限修改。信息安全違規(guī)的處理違反本規(guī)定，發(fā)生信息安全事故的，按照事故造成的損失和后果，依據(jù)國(guó)家有關(guān)法律法規(guī)進(jìn)行處罰；除進(jìn)行處罰外，XXXX部門(mén)應(yīng)在全公司內(nèi)就類(lèi)似違規(guī)事件進(jìn)行宣傳教育，避免同類(lèi)問(wèn)題再次發(fā)生。人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第7頁(yè)。附：人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第7頁(yè)。XXXX單位或公司保密協(xié)議書(shū)甲方：XXXX單位或公司公司地址：乙方：身份證號(hào)碼：根據(jù)《中華人民共和國(guó)勞動(dòng)法》、《中華人民共和國(guó)反不正當(dāng)競(jìng)爭(zhēng)法》、《中華人民共和國(guó)保密法》、《關(guān)于禁止侵犯商業(yè)秘密行為的若干規(guī)定》、《中華人民共和國(guó)電信條例》等相關(guān)法律、法規(guī)，甲、乙雙方在平等、自愿的原則下訂立以下協(xié)議，以資共同遵守。一、保密義務(wù)乙方為XXXX單位或公司正式員工，或?yàn)閄XXX單位或公司提供相關(guān)系統(tǒng)開(kāi)發(fā)、集成、運(yùn)維等技術(shù)支持，XXXX單位或公司根據(jù)國(guó)家有關(guān)法律法規(guī)及公司的規(guī)章制度，按確定的工作職責(zé)，向乙方開(kāi)放其職責(zé)范圍內(nèi)的技術(shù)及商業(yè)信息。乙方同意為XXXX單位或公司利益盡最大的努力，不從事任何危害電信安全的行為，不從事任何不正當(dāng)使用商業(yè)秘密或技術(shù)秘密的行為。二、保密的范圍乙方因工作關(guān)系獲得或交換所得XXXX單位或公司在經(jīng)營(yíng)管理過(guò)程中，未向社會(huì)公開(kāi)或只在一定范圍內(nèi)公開(kāi)的任何信息、經(jīng)驗(yàn)、技術(shù)和資料，包括建設(shè)和經(jīng)營(yíng)計(jì)劃、重要會(huì)議內(nèi)容、重要公文內(nèi)容、招投標(biāo)方案、技術(shù)方案、財(cái)務(wù)數(shù)據(jù)、營(yíng)銷(xiāo)策略、用戶信息、公司技術(shù)、工程、經(jīng)營(yíng)、文書(shū)、人事檔案等一切有關(guān)XXXX單位或公司商業(yè)、技術(shù)及經(jīng)營(yíng)管理秘密的信息。國(guó)家法律、法規(guī)規(guī)定的涉及通信保密和網(wǎng)絡(luò)安全的內(nèi)容。三、保密信息的使用（一）乙方在XXXX單位或公司工作期間：1、保證不擅自發(fā)表、不泄漏有關(guān)XXXX單位或公司及其客戶的任何秘密，不使他人獲得、使用或計(jì)劃使用這些信息，并盡最大努力確保資料不遺失、不缺損；2、在XXXX單位或公司指示和業(yè)務(wù)范圍內(nèi)，可以允許進(jìn)行商業(yè)秘密和技術(shù)秘密的交流，但不得：直接或間接地向XXXX單位或公司內(nèi)部、外部的無(wú)關(guān)人員泄漏；不得為私人利益使用或計(jì)劃使用；不得復(fù)制或公開(kāi)包含XXXX單位或公司商業(yè)秘密和技術(shù)秘密的文件或文件副本；對(duì)工作中所保管、接觸的有關(guān)XXXX單位或公司或XXXX單位或公司公司客戶的文件應(yīng)妥善對(duì)待，未經(jīng)許可不得超出工作范圍使用；不得以第三方的身份直接或間接參與同公司競(jìng)爭(zhēng)的行為。人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第8頁(yè)。（二）乙方無(wú)論因何種原因結(jié)束在XXXX單位或公司的工作時(shí)，都應(yīng)及時(shí)將所有與XXXX單位或公司經(jīng)營(yíng)活動(dòng)有關(guān)的文件、記錄或材料（包括個(gè)人筆記和復(fù)印的資料、電子文檔等）歸還給XXXX單位或公司。人員網(wǎng)絡(luò)及信息安全管理規(guī)定全文共9頁(yè)，當(dāng)前為第8頁(yè)。四、時(shí)效及時(shí)效期間內(nèi)應(yīng)遵守的準(zhǔn)則鑒于XXXX單位或公司擁有的商業(yè)秘密和技術(shù)秘密在競(jìng)爭(zhēng)中有重要價(jià)值，存在于勞動(dòng)關(guān)系存續(xù)期間和終止、解除之后，因此乙方同意：上述義務(wù)在乙方受聘或受委托于XXXX單位或公司工作期間有效，對(duì)重要的商業(yè)秘密和技術(shù)秘密長(zhǎng)期有效。五、違約責(zé)任乙方違反本協(xié)議項(xiàng)下的任何規(guī)定，XXXX單位或公司都有權(quán)：（一）責(zé)令乙方停止違約或侵權(quán)行為；（二）視情節(jié)處以年總收入以下的罰款，扣發(fā)獎(jiǎng)金或其他紀(jì)律處分、行政處分直至開(kāi)除；（三）要求乙方賠償其違約或侵權(quán)行為而導(dǎo)致的一切經(jīng)濟(jì)損失及其可能的尋求法律救助過(guò)程中發(fā)生的一切費(fèi)用,其中包括律師費(fèi)用、訴訟費(fèi)用;（四）觸犯法律的，提請(qǐng)有關(guān)部門(mén)追究其法律責(zé)任。六、爭(zhēng)議的解決辦法因執(zhí)行本協(xié)議而發(fā)生糾紛，可以由雙方協(xié)商解決。協(xié)商、調(diào)解不成或者一方不愿意協(xié)商、調(diào)