信息安全人员管理细则

信息安全人员管理细则第一条根据各岗位信息安全特性和业务特点，确定各岗位信息安全角色和职责。信息安全角色及职责应包括以下内容：一、在信息安全管理组织架构中的角色和职责；二、在执行信息安全方针和目标方面的职责；三、在遵守国家、地方各种信息安全相关法律法规方面的职责；四、在保护信息资产免受未授权访问、泄露、修改、销毁或干扰方面的职责；五、执行特定的安全过程或活动方面的职责；六、在报告信息安全事故和弱点方面的职责。第二条 根据已确定的岗位安全角色和职责，在岗位职责或协议中通过信息安全相关条款加以明确。信息安全相关条款可以包括以下方面：一、岗位相关的法律职责和权利；二、信息系统相关资产的管理职责；三、操作其他组织和机构信息的职责；四、保护个人信息方面的安全职责，包括对个人隐私保密，不滥用个人信息等;五、在办公区域外和正常工作时间之外的职责；六、信息安全违规将受到的惩戒措施。第三条人员录用和上岗一、指定或授权专门的部门或人员负责人员录用；二、严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核；三、岗位人员在任用之前应签署保密协议；四、从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。五、各单位（部门）应通过教育和培训活动，确保本单位（部门）员工、外来人员在上岗前，理解其岗位信息安全角色和职责。六、各单位（部门）应确保在针对本单位员工的岗前培训中，包括信息安全管理体系和相关管理制度、岗位信息安全职责等信息安全相关的内容。第四条教育和培训一、对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；二、对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒；三、对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训；四、对安全教育和培训的情况和结果进行记录并归档保存。第五条撤销访问权一、各单位（部门）在人员任用终止时，应按照离岗手续，通知相关单位（部门）对该人员使用信息和信息系统的权限进行调整；二、各单位（部门）依照相关人员的个人权限清单和XX的要求，修改、限制或删除相关信息和信息系统的访问权限，包括物理访问、逻辑访问、密钥及ID卡等,并作相应记录；三、各单位（部门）应立即撤销或停用离岗人员所使用的账户，或者修改离岗人员所掌握的系统帐户口令。第六条离职管理一、XX应明确人员离职和转岗时的手续，明确离职和转岗管理职责。职责一般包括：1、在归还资产方面各相关单位（部门）的职责；2、在撤销访问权方面各相关单位（部门）的职责；3、在岗位人员变动方而各相关单位（部门）的职责；4、离开岗位后还应承担的责任，如保密限制等。二、离职人员应明确其离职后仍需担负的安全责任和义务，以及违反安全责任和义务所引发的后果。三、离岗人员在离岗时归还其使用的资产，包括所有先前发放的软件、访问卡、文件和设备等。相关单位（部门）应与离岗人员进行离岗交接，并做好记录；四、离岗人员应就其涉及到的专利、技术文档等及时向所在单位（部门）上交;五、人员在离岗时，应对正在实施的项目中的相关信息形成文档并提交给相关单位（部门），进行项目交接。六、如发生有离职人员违反其应负的安全责任，泄露组织部敏感秘密，由XX按照有关规定和相关协议追究其法律责任。第七条保密协议xx应根据岗位安全职责，对重要岗位制定相应的保密协议。保密协议可包括以下方面的内容：一、岗位所要保护的信息；二、协议有效期；三、协议终止时所应采取的措施；四、为避免泄密，签字人的职责和行为；五、保密协议与知识产权保护、商业秘密保护的关系；六、涉密信息的许可使用，及签字人使用信息的权力；七、对涉密信息的活动的审核和监视；八、涉密信息泄露或被破坏后的处理程序；九、协议终止时信息的归档或销毁的措施；十、违反协议后应采取的措施。第八条信息安全岗位检查一、各单位（部门）应提高安全意识，定期对本单位（部门）岗位进行信息安全检查，确保信息安全规定得到了有效地执行；二、XX应不定期抽查各单位（部门）的岗位信息安全职责的落实情况，确保各单位（部门）的岗位信息安全职责的落实。第九条信息安全岗位考核一、对于信息安全事故和在信息安全检查中发现的违规行为，由XX根据有关考核规定对该人员进行处罚；二、对于情节特别严重的违规行为，还应借助网络、简报等媒介向组织部其它政府机构（部门）进行普遍宣传，避免同类问题再次发生。三、定期对各个岗位的人员进行安全技能及安全认知的考核；四、对关键岗位的人员进行全面、严格的安全审查和技能考核；五、对考核结果进行记录并保存。第十条外来人员管理一、外来人员来组织部访问、参观时，应对其进行信息安全意识教育，确保其理解和遵守访问、参观时应注意的信息安全规定。二、各单位（部门）在与外部方签订合同时，应按照岗位角色和职责要求，在合同中对外来人员进行约束。三、各单位（部门）应要求外部方根据合同要求，对其人员进行安全职责的宣传和教育，确保外来人员理解其应担负的安全责任和义务。四、各单位（部门）应按照组织部有关信息安全管理规定以及合同要求，对所有外来人员进行监督和检查，并就安全违规情况按合同条款中的要求进行处理。五、确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案；六、对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。