单位内部人员信息安全管理规定.docx

单位内部人员信息安全管理规定 总则 为保障AA省BB单位（公司）人员信息安全管理的规范性，制定本规定。 人员信息安全管理包括与信息化工作有关的人员录用、岗位人选、人员转岗和离岗、人员考核、人员惩戒、人员教育和培训等的信息安全管理。 本规定适用于AA省BB单位（公司）。 人员录用 信息安全人员录用规则遵照人事部门的人员录用管理规定执行。 录用过程中应注意以下涉及信息安全方面的要求： （一）录用部门应明确被录用人员的信息安全技能要求，在录用过程中依据技能要求进行考察，并对技能考核结果进行记录； （二）对于可接触较多机密或更高级别信息资产或特殊工种的人员，需要签订保密协议； （三）应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议，明确应尽的信息安全保护义务，保证其在岗工作期间和离岗后一定时期内，均不得违反岗位安全协议。 岗位人选 明确所有信息安全岗位人员在信息系统安全保护中的职责和权限，其工作、活动范围应当被限制在完成其任务的最小范围内。 安全管理员、安全审计员、网络管理员、系统管理员、数据库管理员、机房管理员等和信息安全有关的岗位人员，必须经过严格的审查并考核其业务能力。 人员转岗和离岗 人员的转岗和离岗由所在部门及时通知人事部门，只有具备经过人事部门签字的保密承诺文档后才能办理转岗和离岗手续。 人员转岗和离岗时，需及时终止离岗人员的所有访问权限，及时变更转岗人员的访问权限。 对转岗和离岗人员，要对设备上保留的数据进行安全处理，包括备份需要留存的数据以及删除不必要的数据。 对关键岗位的转岗和离岗人员需重申调离后的保密义务，要求调离人员在保密承诺文档上签字，承诺相关保密义务后方可离开。 人员考核 信息化管理处每年对所有岗位人员进行信息安全考察，内容如下： （一）对所有人员进行信息安全意识考核； （二）对涉及信息安全管理、检查和执行的岗位人员，将定期进行信息安全技能的考核，包括信息安全管理知识的掌握程度、所管理业务系统中安全产品的操作技能、所管理业务系统中使用的操作系统和应用软件的安全使用等； （三）每年发生的信息安全事故、信息安全检查结果和信息安全审计结果将纳入考察内容。 信息安全考察结果将进行存档，以便查询，及与上次考核进行对比分析。 对于考核中发现有违反信息安全法规行为的人员或发现不适于承担信息安全关键岗位的人员要依据有关规定处理。 信息化管理处每年还将对信息安全三大员（系统管理员、安全管理员、安全审计员）的人员进行一次工作督察，督察的内容参照《安全组织人员岗位职责》中有关的要求执行。 人员惩戒 人员违反信息安全策略和规定时，依照信息化管理处相关规定进行处理。 如该信息安全违规行为涉及法律层面，则将移交司法机关处理。 人员教育和培训 由信息化管理处制定培训计划，实施信息安全教育和培训工作，培训计划分层次、分阶段，循序渐进地进行。分层次培训是指对不同层次和不同岗位的人员，如对管理层（包括决策层）、安全管理员、系统管理员和所有信息安全相关人员开展有针对性和不同侧重点的培训。分阶段培训是指在信息安全管理体系的建立、实施和保持的不同阶段，实施不同的培训内容。 新员工在正式上岗前，需进行信息安全方面的培训，明确岗位所要求遵守的信息安全管理制度、技术规范以及操作流程。 对信息系统的维护人员和管理人员需定期开展信息安全技术教育培训（每年至少一次），明确如何安全使用有关系统，包括各业务系统、主机操作系统、电子邮件系统以及计算机硬件设备等。 定期开展由供应商或厂家提供的专业安全技术培训，帮助相关信息安全管理人员和技术人员了解掌握正确、安全地安装、配置和维护系统。 在信息安全教育和培训后实行书面的考核，确认教育和培训的效果，对安全教育和培训的情况和结果记录并归档保存。 日常的信息安全教育和培训以内部培训为主，对于暂时没有条件实施内部培训的，可根据需要，邀请厂商、合作伙伴或者专业的培训机构实施培训。 附则 本规定的解释权归AA省BB单位（公司）。 本规定自发布之日起生效。  附件3-1-1 人员录用审查考核结果记录（模板） 人员录用审查考核结果记录 基本情况 姓名 性别 出生日期 身高 体重 籍贯 民族 政治面貌 婚姻状况 身份证号 拟定部门 拟定岗位 联系电话 家庭住址 教育经历 时间 毕业院校或培训机构 专业 学历 证明人 工作经历 时间 单位 部门 岗位 证明人 家庭成员 姓名 关系 职业 工作单位地址或现住址 联系电话 考核结果 基本技能考核结果 专业技能考核结果 其他相关考核结果 其他审查 资料真实情况确认 违纪违法情况审查 其他相关情况审查 审查意见 用人部门意见及签字 人事部门意见及签字 主管领导意见及签字  附件3-1-2 信息系统关键岗位安全协议（模板） （一）协议范围 本协议适用