信息网络与数据中心人员安全管理制度
发布者: 发布时间:2021-10-08 来源:
信息网络与数据中心人员安全管理制度
第一章 总则
第一条 目的
为规范信息网络与数据中心内部工作人员在网络和系统中的行为,防范因内部工作人员的安全意识缺乏而导致信息系统的信息安全事件,特制定本制度。
第二条 适用范围
本制度适用于使用信息网络与数据中心设备、网络和应用系统等资源的人员安全管理工作。
第二章 人员录用
第三条 按照人事处人力资源管理流程(相关部门)对人员录用实施管理,依据被录用人填写《人员录用申请表》的身份、学历等信息的真实性进行审查;
第四条 对于可接触较多机密或从事关键岗位或更高级别信息资产或特殊工种的人员,应与被录用人签订《保密协议》。
第三章 人员离岗
第五条 严格规范人员离岗过程,及时进行资产回收、终止离岗员工的所有访问权限;
第六条 离岗人员需主动将信息网络与数据中心提供的信息处理设备以及身份类证件、钥匙、徽章等有关身份标识、权限依据的资产交还;
第七条 及时收回离岗人员的信息处理设备,对信息处理设备上保留的数据应进行安全处理,包括备份需要保留的数据和删除不必要的数据;
第八条 离岗人员应办理严格的离岗手续,关键岗位人员离岗还须承诺离岗后的保密义务,审核通过后方可离开。
第四章 人员岗位调动
第九条 严格规范人员岗位调动过程,及时进行资产回收,终止与重分配岗位调动员工的访问权限;
第十条 离岗人员应办理严格的岗位调动手续;
第十一条 注意转岗人员的岗位变化,根据岗位需要,重新签署保密协议。
第五章 人员考核
第十二条 定期组织对各个岗位的人员进行安全技能及安全认知的考核;
第十三条 对涉及信息安全管理、检查和执行等关键岗位的人员进行全面、严格的安全技能考核,包含安全管理和掌握程度、所管理业务系统中安全产品的操作技能、操作系统和应用软件的安全使用等;
第十四条 将发生的安全事故、安全检查结果和安全审计结果纳入考核内容;
第十五条 对考核结果进行记录并保存,以便查询,每次考核后,应与上次的考核结果进行对比。
第六章 人员惩戒
第十六条 当人员违反相关的安全管理制度,应依照其违规程度及影响,适度进行处罚;
第十七条 如其部门领导未尽监管职责,则负连带责任;
第十八条 如该安全违规涉及法律层面,则追究该人员的民事、刑事责任。
第七章 人员安全意识教育和技能培训
第十九条 为规范组织的培训工作,提高组织全体员工的意识水平和技能水平,定期组织对各类员工的分层次、分阶段安全意识教育和技能培训,并填写《安全意识教育和技能培训表》,安全意识教育和技能培训包含但不限于以下内容:
1. 国家相关政策的学习;
2. 信息安全相关标准的学习;
3. 机房安全意识与设备使用的学习,如:消防系统、报警系统、用电安全、防雷意识等;
4. 各项安全专业技术教育;
5. 安全专业资格认证。
第八章 第三方人员管理制度
第二十条 本办法所述的第三方人员包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等外来人员,第三方人员分为临时第三方人员和非临时第三方人员。
1.临时第三方人员指因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的第三方人员;
2.非临时第三方人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务,必须在相关单位办公的第三方人员。
第二十一条 第三方人员进入我单位时,必须在出示有效证件,填写《外来人员登记表》登记相关信息,包括来访人姓名、工作单位、姓名、进入时间、携带物品等,由我单位接待人领进。
第二十二条 必须指定非临时第三方人员的办公区域,且只允许第三方人员在指定区域范围内进行业务活动。
第二十三条 第三方人员离开单位时应由接待人陪送,接待人应在登记表上签名,并签署离开时间。接待人在无法陪送的情况下应委托本部门其他人陪送。
第二十四条 非临时第三方人员工作完成后,应组织相关人员对第三方人员的工作进行安全检查和安全评估,办理有关离场手续,交还临时出入证,登记离场时间。
第二十五条 第三方人员进入机房等重要区域时,必须在《机房人员出入登记表》上进行登记,并由接待人全程陪同。
第二十六条 第三方人员进出机房等重要区域时,必须遵守该区域的管理规定。