人員網(wǎng)絡(luò)及信息安全管理詳細(xì)規(guī)定

XXXX單位或企業(yè)企業(yè)標(biāo)準(zhǔn)人員網(wǎng)絡(luò)及信息安全管理要求-10-25公布-11-01實(shí)施XXXX單位或企業(yè)公布 前言本標(biāo)準(zhǔn)由XXXX單位或企業(yè)標(biāo)準(zhǔn)化管理委員會(huì)提出。本標(biāo)準(zhǔn)由XXXX單位或企業(yè)XXXX部門起草并歸口管理。本標(biāo)準(zhǔn)關(guān)鍵起草人：本標(biāo)準(zhǔn)由XXX同意。本標(biāo)準(zhǔn)首次公布于10月25日,自本標(biāo)準(zhǔn)公布之日起，《信息系統(tǒng)操作人員安全管理要求》同時(shí)廢除。人員網(wǎng)絡(luò)及信息安全管理要求范圍為規(guī)范企業(yè)信息系統(tǒng)安全人員管理，保障企業(yè)信息安全，依據(jù)《信息安全等級(jí)保護(hù)管理措施》、《信息系統(tǒng)安全管理要求》（GB/T19715.2--）和企業(yè)相關(guān)規(guī)章制度，制訂本要求。本標(biāo)準(zhǔn)要求了本企業(yè)內(nèi)部人員、第三方運(yùn)維人員等安全管理相關(guān)內(nèi)容，包含工作崗位風(fēng)險(xiǎn)分級(jí)、人員審核、人員錄用、保密協(xié)議、人力調(diào)動(dòng)、人員離職、人員考評(píng)、安全意識(shí)教育和培訓(xùn)、第三方人員安全等。本標(biāo)準(zhǔn)適適用于本企業(yè)內(nèi)部人員及第三方人員管理和考評(píng)。規(guī)范性引用文件無規(guī)范性引用文件，保留本條款目標(biāo)是保持本企業(yè)標(biāo)準(zhǔn)結(jié)構(gòu)一致，便于以后修訂。術(shù)語和定義人員安全是指經(jīng)過管理和控制，確保單位內(nèi)部人員（尤其是信息系統(tǒng)管理維護(hù)人員）和第三方人員在安全意識(shí)、能力和素質(zhì)等方面全部滿足工作崗位要求。第三方人員是指來自外單位專業(yè)服務(wù)機(jī)構(gòu)，為本單位提供給用系統(tǒng)開發(fā)、網(wǎng)絡(luò)管理和安全支持等信息技術(shù)外包服務(wù)工作人員。安全教育和培訓(xùn)是經(jīng)過宣傳和教育手段，確保相關(guān)工作人員和信息系統(tǒng)管理維護(hù)人員充足認(rèn)識(shí)信息安全關(guān)鍵性，含有符合要求安全意識(shí)、知識(shí)和技能，提升其進(jìn)行信息安全防護(hù)主動(dòng)性、自覺性和能力。機(jī)構(gòu)和職責(zé)信息化建設(shè)項(xiàng)目實(shí)施小組負(fù)責(zé)指導(dǎo)企業(yè)及兩廠信息系統(tǒng)操作人員安全管理工作；負(fù)責(zé)實(shí)施企業(yè)信息安全檢驗(yàn)及管理工作；研究國家和行業(yè)信息安全政策法規(guī)，組織相關(guān)部門討論來確保其符合性。人力資源部負(fù)責(zé)組織各部門編制部門所屬職員工作職能；負(fù)責(zé)職員專業(yè)資質(zhì)審查、招聘和崗位技能培訓(xùn)等；負(fù)責(zé)職員離職、調(diào)動(dòng)審查和同意等。XXXX部門負(fù)責(zé)檢驗(yàn)各部門信息安全工作落實(shí)情況；負(fù)責(zé)對(duì)人員在崗時(shí)信息安全相關(guān)工作統(tǒng)計(jì)進(jìn)行檢驗(yàn)；負(fù)責(zé)對(duì)信息系統(tǒng)關(guān)鍵人員進(jìn)行定時(shí)培訓(xùn)和考評(píng)工作；負(fù)責(zé)第三方人員信息安全管理工作；負(fù)責(zé)工作崗位風(fēng)險(xiǎn)狀態(tài)分級(jí)及劃分信息系統(tǒng)安全職責(zé)工作；負(fù)責(zé)普及信息安全防范意識(shí)，并針對(duì)信息安全違規(guī)事件向企業(yè)提出處理提議。其它部門負(fù)責(zé)接收信息安全教育和培訓(xùn)、和配合定時(shí)信息安全抽查工作；負(fù)責(zé)部門人員在崗時(shí)信息安全管理；負(fù)責(zé)定時(shí)組織針對(duì)本部門信息系統(tǒng)工作人員技能考評(píng)工作；負(fù)責(zé)部門人員在崗、離崗或調(diào)動(dòng)后資產(chǎn)管理及統(tǒng)計(jì)存檔工作。人員安全管理人員錄用信息化建設(shè)項(xiàng)目實(shí)施小組負(fù)責(zé)指導(dǎo)人力資源部信息安全工作人員錄用工作；人力資源部對(duì)擬錄用信息系統(tǒng)崗位人員身份、背景、專業(yè)資格和資質(zhì)等方面進(jìn)行審查，并進(jìn)行技能考評(píng)；人員錄用前審查標(biāo)準(zhǔn)為：含有基礎(chǔ)專業(yè)技術(shù)水平，接收過安全意識(shí)教育和培訓(xùn)，能夠掌握安全管理基礎(chǔ)知識(shí)。信息系統(tǒng)關(guān)鍵崗位人員還應(yīng)含有很好思想品質(zhì)和基礎(chǔ)系統(tǒng)安全風(fēng)險(xiǎn)分析、評(píng)定能力；從事關(guān)鍵崗位或負(fù)責(zé)關(guān)鍵系統(tǒng)、機(jī)房等關(guān)鍵區(qū)域人員，須從內(nèi)部人員選撥，應(yīng)含有認(rèn)真負(fù)責(zé)工作態(tài)度、較高職業(yè)道德水準(zhǔn)；由人力資源部及XXXX部門對(duì)信息安全人員進(jìn)行入職培訓(xùn)，包含信息安全規(guī)章制度教育培訓(xùn)等，并將制度掌握等培訓(xùn)情況納入到試用期考評(píng)。在職人員各部門領(lǐng)導(dǎo)負(fù)責(zé)本部門人員信息安全管理工作，確保崗位信息安全職責(zé)落實(shí)；各部門應(yīng)對(duì)人員領(lǐng)用資產(chǎn)情況做對(duì)應(yīng)統(tǒng)計(jì)，在人員歸還信息資產(chǎn)時(shí)消除統(tǒng)計(jì)；XXXX部門定時(shí)組織抽查內(nèi)部人員權(quán)限分配情況，如發(fā)覺權(quán)限分配不合理，立即通知相關(guān)部門進(jìn)行修改；XXXX部門信息系統(tǒng)管理員應(yīng)嚴(yán)格實(shí)施相關(guān)操作手冊(cè)，進(jìn)行日常運(yùn)維操作。人員調(diào)動(dòng)工作人員崗位調(diào)動(dòng)后，須辦理嚴(yán)格調(diào)動(dòng)手續(xù)，關(guān)鍵崗位人員離崗須承諾調(diào)離后保密義務(wù)；工作人員內(nèi)部調(diào)動(dòng)至其它崗位時(shí)，在接到崗位調(diào)動(dòng)通知后，應(yīng)于30天內(nèi)依據(jù)調(diào)動(dòng)程序辦理工作資料、軟硬件設(shè)備等移交手續(xù)；被調(diào)感人員持有原崗位鑰匙、企業(yè)文件和設(shè)備等硬件資產(chǎn)由所在部門收回，并做好崗位交接統(tǒng)計(jì)；由被調(diào)感人員填寫《信息系統(tǒng)權(quán)限變更表》，經(jīng)原部門和人力資源部審批后，上報(bào)至XXXX部門，由XXXX部門負(fù)責(zé)對(duì)其信息系統(tǒng)訪問授權(quán)進(jìn)行調(diào)整，并回收相關(guān)軟件；工作人員信息系統(tǒng)權(quán)限變動(dòng)后，XXXX部門須通知其信息安全責(zé)任改變和新注意事項(xiàng)；工作人員崗位調(diào)動(dòng)后，還應(yīng)負(fù)擔(dān)原崗位保密責(zé)任，參見附件《保密協(xié)議》。人員離職工作人員離職后，須辦理嚴(yán)格離職手續(xù)，管理層和關(guān)鍵崗位人員離職須承諾調(diào)離后保密義務(wù)；工作人員離職時(shí)，應(yīng)于30天內(nèi)依據(jù)離職程序辦理工作資料、軟硬件設(shè)備等移交手續(xù)；由所在部門收回離職人員持有原崗位鑰匙、企業(yè)文件和設(shè)備等硬件資產(chǎn)，并做好交接統(tǒng)計(jì)；由離職人員填寫《信息系統(tǒng)權(quán)限變更表》，經(jīng)原部門及人力資源部審批后，上報(bào)至XXXX部門，由XXXX部門負(fù)責(zé)刪除其信息系統(tǒng)權(quán)限，并回收相關(guān)軟件；工作人員離職后，須由XXXX部門進(jìn)行安全審查，在要求脫密期限后方可離職；涉密人員脫密期限遵照相關(guān)保密要求簽署書面保密承諾書，承諾調(diào)離后對(duì)原來工作中包含信息保密要求，參見《保密協(xié)議》。人員考評(píng)各部門每十二個(gè)月組織一次針對(duì)本部門信息系統(tǒng)工作人員定時(shí)考評(píng)，對(duì)各個(gè)崗位人員進(jìn)行不一樣側(cè)重安全認(rèn)知和安全技能考評(píng)，作為人員是否適合目前崗位參考；XXXX部門每十二個(gè)月組織一次針對(duì)關(guān)鍵崗位人員定時(shí)審查和技能考評(píng)，審查依據(jù)統(tǒng)計(jì)表格和操作日志，如發(fā)覺其違反安全要求，應(yīng)查明原因，令其做出整改承諾，嚴(yán)重者不得繼續(xù)從事關(guān)鍵崗位工作。安全意識(shí)教育和培訓(xùn)XXXX部門應(yīng)依據(jù)各崗位信息安全角色和職責(zé)，制訂該崗位所需信息安全培訓(xùn)計(jì)劃，并對(duì)安全教育和培訓(xùn)情況及結(jié)果進(jìn)行統(tǒng)計(jì)。培訓(xùn)內(nèi)容包含安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；XXXX部門應(yīng)在工作人員被授予訪問權(quán)限之前，依據(jù)其安全角色和職責(zé)，進(jìn)行針對(duì)性安全教育和安全培訓(xùn)；信息安全培訓(xùn)內(nèi)容包含但不僅限于以下幾方面：信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程、信息系統(tǒng)使用規(guī)范；企業(yè)信息安全方針、策略和信息安全目標(biāo)宣貫培訓(xùn)；信息安全專題培訓(xùn)（如病毒防范培訓(xùn)、訪問控制培訓(xùn)、等級(jí)保護(hù)培訓(xùn)等）；崗位安全責(zé)任、操作技能及相關(guān)技術(shù)；違反違反安全策略和安全要求懲戒方法。工作崗位風(fēng)險(xiǎn)分級(jí)XXXX部門應(yīng)依據(jù)不一樣崗位性質(zhì)，結(jié)合各個(gè)信息系統(tǒng)安全需求，要求其信息安全風(fēng)險(xiǎn)等級(jí)并針對(duì)不一樣崗位風(fēng)險(xiǎn)等級(jí)給予信息訪問權(quán)限；各部門應(yīng)在日常工作中落實(shí)相關(guān)工作崗位風(fēng)險(xiǎn)分級(jí)要求內(nèi)容，全部工作人員應(yīng)該明確自己所在崗位信息訪問權(quán)限；投資依據(jù)企業(yè)崗位信息安全等級(jí)和業(yè)務(wù)特點(diǎn)，確定企業(yè)崗位信息安全職責(zé)。信息安全職責(zé)應(yīng)包含以下內(nèi)容：在企業(yè)信息安全管理組織架構(gòu)中職責(zé)；在實(shí)施企業(yè)信息安全方針和目標(biāo)方面職責(zé)；在遵守國家、地方多種信息安全相關(guān)法律法規(guī)方面職責(zé)；在保護(hù)企業(yè)信息資產(chǎn)免受未授權(quán)訪問、泄露、修改、銷毀或干擾方面職責(zé)；實(shí)施特定安全過程或活動(dòng)方面職責(zé)；在匯報(bào)信息安全事故和弱點(diǎn)方面職責(zé)。工作協(xié)議對(duì)各部門包含協(xié)議約定事項(xiàng)中有信息安全要求時(shí)，各部門要和本部門工作人員（假如還未簽署）及相關(guān)外部單位簽署保密協(xié)議（保密協(xié)議中各項(xiàng)條款可依據(jù)具體項(xiàng)目具體編制）；XXXX部門應(yīng)在關(guān)鍵信息系統(tǒng)管理維護(hù)和使用人員在上崗前，應(yīng)嚴(yán)格根據(jù)信息安全規(guī)章制度中相關(guān)要求前述工作協(xié)議；依據(jù)崗位制訂對(duì)應(yīng)保密協(xié)議或保密承諾書，保密協(xié)議可包含以下方面內(nèi)容：—崗位所要保護(hù)信息；—協(xié)議使用期；—協(xié)議終止時(shí)所應(yīng)采取方法；—為避免泄密，簽字人職責(zé)和行為；—保密協(xié)議和知識(shí)產(chǎn)權(quán)保護(hù)、商業(yè)秘密保護(hù)關(guān)系；—涉密信息許可使用，及簽字人使用信息權(quán)力；—對(duì)涉密信息活動(dòng)審核和監(jiān)視；—涉密信息泄露或被破壞后處理程序；—協(xié)議終止時(shí)信息歸檔或銷毀方法；—違反協(xié)議后應(yīng)采取方法；應(yīng)要求工作協(xié)議內(nèi)容（保密協(xié)議條款、操作步驟和規(guī)范），管理和落實(shí)工作協(xié)議部門，和前述工作協(xié)議步驟。第三人人員管理第三人員在訪問受控區(qū)域前，應(yīng)向XXXX部門提出書面申請(qǐng)，經(jīng)同意后，由專員全程陪同或監(jiān)督，并登記立案。第三人人員不得將和工作無關(guān)物品帶入機(jī)房，攜帶工作必需品進(jìn)入機(jī)房須登記，并接收檢驗(yàn)。第三方人員非因工作需要不得進(jìn)入機(jī)房，不得對(duì)關(guān)鍵信息系統(tǒng)進(jìn)行維護(hù)性邏輯訪問。第三方人員進(jìn)入本單位開始工作前，應(yīng)和其所在單位簽署保密協(xié)議，并要求第三方人員所在單位和企業(yè)簽署保密協(xié)議或在在協(xié)議內(nèi)容中明確。XXXX部門應(yīng)采取必需管理和技術(shù)手段，對(duì)第三方人員是否遵守安全要求進(jìn)行檢驗(yàn)監(jiān)督。各部門應(yīng)根據(jù)企業(yè)相關(guān)信息安全管理要求和協(xié)議要求，對(duì)外協(xié)人員進(jìn)行監(jiān)督和檢驗(yàn)，并就安全違規(guī)情況按協(xié)議條款中要求進(jìn)行處理。第三方人員權(quán)限按《信息系統(tǒng)開發(fā)安全管控措施》進(jìn)行分配和管理。XXXX部門定時(shí)組織檢驗(yàn)全部外部人員權(quán)限分配情況，并將抽查結(jié)果進(jìn)行統(tǒng)計(jì)。如發(fā)覺權(quán)限分配不合理，立即通知相關(guān)人員進(jìn)行權(quán)限修改。信息安全違規(guī)處理違反本要求，發(fā)生信息安全事故，根據(jù)事故造成損失和后果，依據(jù)國家相關(guān)法律法規(guī)進(jìn)行處罰；除進(jìn)行處罰外，XXXX部門應(yīng)在全企業(yè)內(nèi)就類似違規(guī)事件進(jìn)行宣傳教育，避免同類問題再次發(fā)生。附：XXXX單位或企業(yè)保密協(xié)議書甲方：XXXX單位或企業(yè)企業(yè)地址：乙方：身份證號(hào)碼：依據(jù)《中國勞動(dòng)法》、《中國反不正當(dāng)競爭法》、《中國保密法》、《相關(guān)嚴(yán)禁侵犯商業(yè)秘密行為若干要求》、《中國電信條例》等相關(guān)法律、法規(guī)，甲、乙雙方在平等、自愿標(biāo)準(zhǔn)下簽訂以下協(xié)議，以資共同遵守。一、保密義務(wù)乙方為XXXX單位或企業(yè)正式職員，或?yàn)閄XXX單位或企業(yè)提供相關(guān)系統(tǒng)開發(fā)、集成、運(yùn)維等技術(shù)支持，XXXX單位或企業(yè)依據(jù)國家相關(guān)法律法規(guī)及企業(yè)規(guī)章制度，按確定工作職責(zé)，向乙方開放其職責(zé)范圍內(nèi)技術(shù)及商業(yè)信息。乙方同意為XXXX單位或企業(yè)利益盡最大努力，不從事任何危害電信安全行為，不從事任何不正當(dāng)使用商業(yè)秘密或技術(shù)秘密行為。二、保密范圍乙方因工作關(guān)系取得或交換所得XXXX單位或企業(yè)在經(jīng)營管理過程中，未向社會(huì)公開或只在一定范圍內(nèi)公開任何信息、經(jīng)驗(yàn)、技術(shù)和資料，包含建設(shè)和經(jīng)營計(jì)劃、關(guān)鍵會(huì)議內(nèi)容、關(guān)鍵公文內(nèi)容、招投標(biāo)方案、技術(shù)方案、財(cái)務(wù)數(shù)據(jù)、營銷策略、用戶信息、企業(yè)技術(shù)、工程、經(jīng)營、文書、人事檔案等一切相關(guān)XXXX單位或企業(yè)商業(yè)、技術(shù)及經(jīng)營管理秘密信息。國家法律、法規(guī)要求包含通信保密和網(wǎng)絡(luò)安全內(nèi)容。三、保密信息使用（一）乙方在XXXX單位或企業(yè)工作期間：1、確保不私自發(fā)表、不泄漏相關(guān)XXXX單位或企業(yè)及其用戶任何秘密，不使她人取得、使用或計(jì)劃使用這些信息，并盡最大努力確保資料不遺失、不缺損；2、在XXXX單位或企業(yè)指示和業(yè)務(wù)范圍內(nèi)，能夠許可進(jìn)行商業(yè)秘密和技術(shù)秘密交流，但不得：直接或間接地向XXXX單位或企業(yè)內(nèi)部、外部無關(guān)人員泄漏；不得為私人利益使用或計(jì)劃使用；不得復(fù)制或公開包含XXXX單位或企業(yè)商業(yè)秘密和技術(shù)秘密文件或文件副本；對(duì)工作中所保管、接觸相關(guān)XXXX單位或企業(yè)或XXXX單位或企業(yè)企業(yè)用戶文件應(yīng)妥善對(duì)待，未經(jīng)許可不得超出工作范圍使用；不得以第三方身份直接或間接參與同企業(yè)競爭行為。（二）乙方不管因何種原因結(jié)束在XXXX單位或企業(yè)工作時(shí)，全部應(yīng)立即將全部和XXXX單位或企業(yè)經(jīng)營活動(dòng)相關(guān)文件、統(tǒng)計(jì)或材料（包含個(gè)人筆記和復(fù)印資料、電子文檔等）歸還給XXXX單位或企業(yè)。四、時(shí)效立即效期間內(nèi)應(yīng)遵守準(zhǔn)則鑒于XXXX單位或企業(yè)擁有商業(yè)秘密和技術(shù)秘密在競爭中相關(guān)鍵價(jià)值，存在于勞動(dòng)關(guān)系存續(xù)期間和終止、解除以后，所以乙方同意：上述義務(wù)在乙方受聘或受委托于XXXX單位或企業(yè)工作期間有效，對(duì)關(guān)鍵商業(yè)秘密和技術(shù)秘密長久有效。五、違約責(zé)任乙方違反本協(xié)議項(xiàng)下任何要求，XXXX單位或企業(yè)全部有權(quán)：（一）責(zé)令乙方停止違約或侵權(quán)行為；（二）視情節(jié)處以年總收入以下罰款，扣發(fā)獎(jiǎng)金或其它紀(jì)律處分、行政處分直至開除；（三）要求乙方賠償其違約或侵權(quán)行為而造成一切經(jīng)濟(jì)損失及其可能尋求法律救助過程中發(fā)生一切費(fèi)用,其中包含律師費(fèi)用、訴訟費(fèi)用;（四）觸犯法律，提請(qǐng)相關(guān)部門追究其法律責(zé)任。六、爭議處理措施因?qū)嵤┍緟f(xié)議而發(fā)生糾紛，能夠由雙