MHWJW信息系统人员管理制度Vok

信息系统人员管理制度文档信息制度编号: 生效日期:分发范围: 解释部门: 版次:Ver1.1页数: 13制定人:审核人: 批准人: 传阅 阅后执行并存档 保密 保密等级 内部公开版本记录版本号版本日期修改者说 明文件名信息系统人员管理制度信息系统人员管理制度XX单位信息系统人员管理制度1 总则1.1 目的 为防止品质不良、技能欠佳的人员进入XX单位从事信息岗位，降低职工因信息系使用不当所带来的差错、欺诈及滥用设施的风险，减少人员对于信息安全保密性、完整性、可用性的负面影响，特制定本制度。 1.2 范围 本规定适用于XX单位信息系统岗位人员的聘用、任职、离职的安全考察、保密控制以及其他信息安全行为的考察与控制。 1.3 职责1. 人力资源保障科负责XX单位职工聘用与录用。信息系统岗位人员任职期间及离职时的考核管理由信息中心负责。2. 信息中心须与信息系统关键岗位人员签订保密协议。3. 各信息系统使用部门负责本部门员工的日常管理工作。 2 入职管理2.1 人员考察安全策略人员的录用考察按照人力资源保障科招聘录用程序执行。但对于从事信息系统管理岗位的人员还需要考察以下策略：a) 大学本科以上学历，计算机相关专业，具有一定工作经验。b) 熟悉计算机硬件技术与软件操作系统的原理与配置。c) 熟悉各类计算机操作系统，掌握数据库（SQL、ORACLE、Sybase等）原理以及安装、设计与管理。d) 能够熟悉网络的构架以及网络和操作系统的结合，能够独立完成IIS、DNS、DHCP、ROUTE等系统的设计。e) 有从事本岗位工作的高度责任感，遵纪守法，坚持原则，严格管理。2.2 入职培训安全策略a) 入职职工必须在正式上岗前接收XX单位相关管理制度和信息安全管理制度的学习。b) 同时入职职工人数如到达一定数量，信息中心负责组织发起对新入职职工的信息安全意识教育、培训和考核工作。c) 如入职职工为调岗或新入职但人数较少，可由信息中心将其纳入最近一次的信息安全意识教育和培训计划中，作为重点培训对象。3 在职管理3.1 考核管理a) 员工从一般岗位转到信息安全重要岗位，应当对其进行信用及信息安全技能考察。b) 关键技术岗位的入职人员由信息中心代表XX单位与其签署关键岗位保密协议。c) 员工在职期间，由信息中心、组织人保科定期对员工进行信息安全教育和培训，定期对信息中心部门人员从安全意识、安全技能等综合考核，考核结果记入档案，并根据奖惩条例进行处置。d) 信息中心将人员信息安全技能考察的结果记入人员信息安全技能考察评审记录，并交人力资源保障科备案。3.2 内部选拔a) 关键岗位的人员可从内部人员中选拔产生，以便有足够时间和条件考察选拔人员各方面的素质和技能。b) 内部选拔人员从事关键岗位的，XX单位须与选拔人员签署岗位安全协议，岗位安全协议格式和内容见附件。4 离职管理4.1 离职安全策略a) 部门要加强职工离职时的涉密资料、账号口令、钥匙、资产、等的交接工作。b) 部门在职工离职后要采取相应的技术防范措施（如变更口令、程序等)，必要时应与信息中心协调。c) 人力资源保障科和原使用部门要做好员工离职的教育工作，告知其离职后，不得向第三方泄露其在任职期内所获得的XX单位的商业和技术秘密。 d) 涉及XX单位关键或涉密信息岗位的职工离职时，应按要求采取相应的脱密措施，由信息中心与之签署离职保密承诺书，并交人力资源保障科备案。4.2 离职流程规范人员离职流程按照人力资源保障科员工离职程序执行。a) 关键信息技术岗位员工离职必须与信息中心签订离职保密承诺书。b) 员工离职后如发生泄密情况，应承担由此涉及的法律责任。5 职工日常信息行为规范5.1 安全意识a) XX单位职工应具备良好的信息安全意识， 对自身工作涉及信息安全部分， 应积极主动配合信息安全相关的工作要求，不得消极对待信息安全工作。b) 职工须积极参加“信息安全规范与保密意识”类培训，并认证积极准备，通过考核。5.2 信息使用a) 未经审批，不得将涉密信息脱离XX单位安全域（物理、业务、网络和系统等）。b) 未经审批，不得将涉密信息告知非授权人员（包括但不限于供应商/合作商、XX单位其他部门员工）。c) 为了避免不必要的商业纠纷，未经审批，不得接收任何第三方给予的涉密资料。5.3 账号管理a) 任何情况下，职工不得盗用、传播他人帐号、密码。b) 未经正式授权，职工不得索要、使用他人帐号、密码。c) 未经正式授权，职工不得将自己账号、密码提供给他人使用。d) 职工如发现账号、密码泄漏，应在第一时间（10 分钟内）告知部门领导，检查对业务造成的影响并采取有针对性的补救措施；同时通知信息中心修改或冻结泄漏的账号及密码，信息中心对该事件进行评估并督促相关人员进行整改闭环。5.4 软件配置a) 信息安全控制类软件（防病毒、信息安全保护等）、其他类信息管理部门统一安装的软件（网管软件、资产管理等），员工不得卸载、干扰、破坏其正常运行。 b) 未经审批，禁止安装黑名单软件（如 QQ、迅雷等）。 5.5 介质管理a) 未经审批，禁止使用 USB 存储、刻录光驱等易于泄露涉密信息的介质。 b) 对于带存储介质的设备，职员应要求维修人员在卫计委内进行维修，并且监督整个维修过程，如需要在卫计委以外进行维修，应走审批流程。 c) 计算机、打印机、复印机、扫描仪等含有存储介质的设备带出卫计委以外单位维修时，为了防止泄密，必须拆卸下硬盘，并妥善保存。 d) 计算机、打印机、复印机、扫描仪等含有存储介质的设备报废时，所含存储介质应物理销毁（碾压，粉碎），方可报废。 e) 不得在未对硬盘进行低级格式化前，将存储设备转移到卫计委以外（所有权转移） 。 f) 妥善保管终端设备，如有丢失，应在第一时间（10 分钟内）告知所属部门领导，检查对业务造成的影响并采取有针对性的补救措施；同时通知信息安全管理部门备案， 信息安全管理部门对该事件进行评估并督促相关部门进行整改闭环。5.6 物理安全 a) 存储涉密信息的设备（如便携机）或涉密文档在任何时间均应妥善保存（如下班或离开座位时放入上锁柜子中）。 b) 出差期间随身携带涉密便携机及手持设备，禁止托运。 c) 离开办公桌超过 10 分钟以上，应关闭或锁定计算机。5.7 文档管理 a) 调岗或离职前应进行涉密信息的移交和清理，未经授权情况下，严禁私自保存涉密信息。 b) 未经授权，不得私下传播涉密文档，或收集与本岗位工作无关的涉密文档。 c) 职工个人电脑中存放与本职工作无关的商业秘密信息，视同窃密。 d) 不得在未采取保密措施情况下，传送涉密信息的纸件。 e) 外发涉密文件应加密后发送，密码可通过其他方式（如电话）告知对方。 f) 含涉密信息的纸件必须用碎纸机销毁，严禁直接扔垃圾箱或用手撕毁；含涉密信息的纸件不能重复使用。 g) 因工作需要进行的文件共享，必须设置复杂密码（至少8位，须符合大小写字母、数字、特殊字符四选三的要求），涉密文件不得共享。 5.8 身份伪造 a) 不得自行改动电脑中的IP 地址、计算机名及其它网络参数。 b) 不得伪造信息，冒充他人身份。5.9 涉密会议 a) 未经审批，不得使用录音、录像设备。 b) 会议结束后，必须清理会议室场所（包括相关设备上的电子数据、白板上的板书信息、文档等）。 5.10 责任与处罚a) 违反以上信息安全行为规范，一经发现第一次提出口头警告，上报信息中心并记入信息安全违反档案。b) 累计违反两次、或虽然初次违反但情节严重，影响较坏，可就此违反行为在XX单位点名通告批评。c) 累计违反三次，对口头警告无悔改之意，或违反情节特别严重，影响非常坏，可上报卫计委处理。d) 造成经济损失的由信息安全领导小组协商给予追究补偿；若触犯法律法规的，依法由公安机关追究责任人法律责任。6 附件附1：人员信息安全技能考察评审记录人员信息安全技能考察评审记录人员姓名培训课程考察评审情况考核结果记录人 年 月 日附2：关键岗位保密协议关键岗位保密协议甲方：XX单位法定代表人：住所地：乙方：乙方因在甲方单位履行职务，已经（或将要）知悉甲方秘密信息。为了明确乙方的保密义务，甲、乙双方本着平等、自愿、公平和诚实信用的原则，订立本保密协议。一、乙方应本着谨慎、诚实的态度，采取任何必要、合理的措施，维护其于任职期间知悉或者持有的任何属于甲方或者属于第三方但甲方承诺或负有保密义务的技术秘密或其他秘密信息，以保持其机密性。具体范围包括但不限于以下内容：1、涉及甲方秘密的会议，包括会议场所，出席人员、列席规模，会议事项等等涉及会议方面的一切信息。2、各类工作会议，产生的文件、决议等需要保密的，或者未确定是否属于保密信息，在未传达或正式发文和发布前，都属于保密范围。3、会议印发的密级文件，会议传达涉密内容等。4、XX单位建设方面的会议，涉及到需要保密的信息。5、通过内网、交换文件、相关单位业务往来的电话、传真、电子文档等信息，需要保密的，或者请示领导之前，未确定是否需要保密的信息。6、各业务信息系统中涉及用药、处方、病人病情、病患者隐私、系统账号等业务信息系统的敏感信息。7、领导指定需要保密的信息。二、除了履行职务需要之外，乙方承诺，不得刺探与本职工作或本身业务无关的秘密，除甲方书面同意外，不得以泄露、发布、出版、传授、转让或者其他任何方式使任何第三方（包括按照保密制度的规定不得知悉该项秘密的甲方的其他工作人员）知悉属于甲方或者虽属于他人但甲方承诺或负有保密义务的秘密信息，也不得在履行职务之外使用这些秘密信息，不得协助任何第三人使用秘密信息。如发现秘密信息被泄露，应当采取有效措施防止泄密进一步扩大，并及时向甲方报告。三、双方同意，乙方离职之后仍对其在甲方任职期间接触、知悉的属于甲方或者虽属于第三方但甲方承诺或负有保密义务的秘密信息，承担如同任职期间一样的保密义务和不擅自使用的义务，直至该秘密信息成为公开信息，而无论乙方因何种原因离职。四、乙方因职务上的需要所持有或保管的一切记录着甲方秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体，均归甲方所有，而无论这些秘密信息有无商业上的价值。 五、乙方应当于离职时，或者于甲方提出请求时，返还全部属于甲方的财物，包括记载着甲方秘密信息的一切载体。若记录着秘密信息的载体是由乙方自备的，则视为乙方已同意将这些载体物的所有权转让给甲方，甲方应当在乙方返还这些载体时，给予乙方相当于载体本身价值的经济补偿；但秘密信息可以从载体上消除或复制出来时，可以由甲方将秘密信息复制到甲方享有所有权的其他载体上，并把原载体上的秘密信息消除，此种情况下乙方无须将载体返还，甲方也无须给予乙方经济补偿。 六、双方确认，乙方的保密义务自乙方知道秘密信息起，到该秘密信息被甲方对社会不特定的公众公开时止。乙方是否在职，不影响保密义务的承担。 七、乙方认可甲方在支付乙方报酬时已充分考虑了乙方需承担的保密义务，故甲方无须在乙方离职时再另外支付保密费。 八、双方约定： （1）乙方如违反本合同任一条款，应当一次性向甲方支付相当于其离职前一年年收入10倍的违约金；无论违约金给付与否，甲方均有权不经预告立即解除与乙方的聘用关系。 （2）如果因为乙方前款所称的违约行为给甲方造成的损失超过违约金数额的，以损失额为准。（3）因乙方的违约行为侵犯了甲方的秘密信息权利的，甲方可以选择根据本协议要求乙方承担违约责任，或者根据国家有关法律、法规要求乙方承担侵权责任。 九、双方本着平等协商的精神，在签署本协议前已详细审阅过协议的内容，并完全了解协议各条款的法律含义。乙方事先也已经全面了解了甲方的保密制度，甲方的保密制度为本协议的组成部分。十、本合同如与双方以前的口头或书面协议有抵触，以本合同为准。本合同的修改必须采用双方同意的书面形式。本合同独立于双方签订的劳动合同，未尽事宜，依中华人民共和国合同法处理。 十一、本协议自双方签字后生效。甲方：（签章） 乙方：（签名）甲方代表：（签字） 身份证号码：年 月 日年 月 日附3：岗位安全协议岗位安全协议甲方：XX单位乙方：根据中华人民共和国劳动合同法规定，经双方协商一致，自愿签订本协议，共同遵守本协议所列条款。一、聘用岗位甲方根据工作需要，聘任乙方到部门，岗位工作，任职务，岗位级别。二、协议期限本协议期限为_年，自_年月日起至_年月日止。三、岗位职责乙方应在聘用期内，按照所聘岗位的岗位说明书，接受甲方的管理，在规定的时限内完成规定的工作任务，并达到岗位说明书规定的工作标准，以及甲方确定的其他工作指标。四、乙方在岗位聘用期间应做到（各部门主管的保密职责要求）1.2.3.4.五、岗位协议解除劳动者发生职务晋升或岗位调整或出现其他情况不得不解除岗位协议的，本协议可以提前解除。本协议作为劳动合同的附件，与劳动合同一并管理。本协议一式两份，甲乙双方各执一份，自签订之日起生效。甲乙双方一经签订协议，公司的各项规章制度，将与本协议一并生效。甲方（公章）乙方（签字或盖章）法定代表人或委托代理人（签字或盖章）签订日期： 附4：离职保密承诺书离职保密承诺书本人承诺，自XX单位离职之日起，本人就在职其间掌握的所有与XX单位相关的秘密或需要保密的信息依据关键岗位保密协议之要求，仍需承担相关保密义务。并接受XX单位保留对因我在离职后违反在职其间签订的XX单位关键岗位保密协议而导致的损失向本人追究赔偿的权利。承诺人（签字）：承诺人身份证号：承诺人原所属部门（盖章）：日期： 年月日