12-信息安全培训及教育管理办法(含安全教育和培训记录表、技能考核表).doc

信息安全培训及教育管理办法 总则 为了加强公司信息安全保障能力，建立健全公司的安全管理体系，提高整体的信息安全水平，保证网络通信畅通和业务系统的正常运营，提高网络服务质量，在公司安全体系框架下，本策略主要明确公司信息安全培训及教育工作的内容及相关人员的职责。对公司人员进行有关信息安全管理的理论培训、安全管理制度教育、安全防范意识宣传和专门安全技术训练；确保公司信息安全策略、规章制度和技术规范的顺利执行，从而最大限度地降低和消除安全风险。 本策略适用于公司所有部门和人员。 信息安全培训的要求 信息安全培训工作需要分层次、分阶段、循序渐进地进行，而且必须是能够覆盖全员的培训。 分层次培训是指对不同层次的人员，如对管理层（包括决策层）、信息安全管理人员，系统管理员和公司人员开展有针对性和不同侧重点的培训。 分阶段是指在信息安全管理体系的建立、实施和保持的不同阶段，培训工作要有计划地分步实施；信息安全培训要采用内部和外部结合的方式进行。 管理层（决策层） 管理层培训目标是明确建立公司信息安全体系的迫切性和重要性，获得公司管理层（决策层）有形的支持和承诺。 管理层培训方式可以采用聘请外部信息安全培训、专业公司的技术专家和咨询顾问以专题讲座、研讨会等形式。 信息安全管理人员 信息安全管理人员培训目标是理解及掌握信息安全原理和相关技术、强化信息安全意识、支撑公司信息安全体系的建立、实施和保持。 信息安全管理人员培训方式可以采用聘请外部信息安全专业资格授证培训、参加信息安全专业培训、自学信息安全管理理论及技术和公司内部学习研讨的方式。 公司系统管理员 公司系统管理员培训目标是掌握各系统相关专业安全技术，协助公司和各部门信息安全管理人员维护和保障系统正常、安全运行。 公司系统管理员培训方式可以采用外部和内部相结合的培训以及自学的方式。 公司人员 公司人员培训目标是了解公司相关信息安全制度和技术规范，有安全意识，并安全、高效地使用公司信息系统。 公司人员培训方式应主要采取内部培训的方式。 信息安全培训的内容 安全体系及安全职责分工 公司各级领导及人员明确了解公司信息安全体系，并明确各自在的安全职责，明确自身对维护保障公司系统正常、安全运行所需承担的相关责任和义务。 培训应采用长期，并覆盖公司全员。 新人员入职安全培训 新人员在正式上岗前，应进行信息安全方面的培训，明确岗位所要求遵守的公司信息安全制度和技术规范。 公司人员安全技术教育 针对公司系统的维护人员和管理员应定期开展安全技术教育培训（每年至少一次），明确如何安全使用有关系统，包括各业务系统、主机操作系统、电子邮件系统、内部网站以及普通计算机周边硬件设备。 各项安全专业技术教育 针对公司安全管理员和系统管理员应定期开展由供应商或厂家提供的专业安全技术培训，帮助相关安全管理人员和系统管理员了解掌握正确、安全地安装、配置、维护系统。 安全专业资格认证 针对公司安全管理员和系统管理员应根据实际情况，挑选公司信息安全管理及安全技术人员进行相关的认证考试培训，并参加认证考试，以提高公司安全管理人员对信息安全的管理理论和技术的水平。 信息安全内部考核（含培训） 针对公司安全管理员和系统管理员应根据岗位不同，对人员进行相关的信息安全培训，并在培训后实行书面（开卷或闭卷）信息安全考核。 每年至少一次对各个岗位的人员进行安全技能及安全认知的考核。 公司人员的安全培训及教育成绩，作为对该人员作考核的依据之一。 关于信息安全的奖惩措施 公司人员安全管理由各部门专、兼职安全管理员具体进行操作，把执行情况向本部门安全管理组织，及公司信息安全办公室汇报，并由公司信息安全办公室直接呈报给公司信息安全领导小组作为公司各部门年度目标责任制考核的内容之一。 对执行制度好、信息安全工作成绩显著的部门和个人，将给与表彰和适当奖励；对违反公司安全管理制度、信息安全工作存在不足和隐患的部门，由公司信息安全领导小组发出书面整改通知，限期整改；对刻意不执行公司安全管理制度、漠视信息安全工作和存在安全隐患而没有及时整改的，以至造成重大安全事故和案件的，将追究其部门主要负责人和直接责任者的责任，并按公司有关考核管理办法予以处理，构成犯罪的，将依法追究其刑事责任。 公司信息安全培训的管理 安全培训的发起 公司及部门安全管理组织可根据自身安全管理的需要，发起相应的安全培训计划。 涉及纳入公司人员考核的培训，需要公司人事部的确实，以及公司信息安全办公室备案考核结果。 新人员、公司全员的安全培训教育，纳入公司人事部的整体培训计划中。 具体操作过程遵守公司人事部的相关培训管理制度。 安全培训的实施 培训的实施，主要由公司人事部负责。 对专业性很强的培训，培训发起的各级安全培训组织负责。 具体操作