人员网络及信息安全管理规定.pdfVIP

XXXX单位或公司企业标准 人员网络及信息安全管理规定 2014 — 10 — 25 发 布 2014— 11—01 实施 XXXX 单 位 或 公 司 发 布 前 言 本标准由 XXXX单位或公司标准化管理委员会提出 . 本标准由 XXXX单位或公司 XXXX部门起草并归口管理。 本标准主要起草人 : 本标准由 XXX批准。 本标准首次发布于 2014 年 10月25 日，自本标准发布之日起，《信息系统操作人员安全管理规定》同 时废除。 II 人员网络及信息安全管理规定 1 范围 为规范公司信息系统安全人员管理， 保障公司信息安全， 根据 《信息安全等级保护管理办法》 、《信 息系统安全管理要求》 （GB/T19715.2--2005 ）以及公司相关规章制度 ,制订本规定。 本标准规定了本企业内部人员、第三方运维人员等安全管理的相关内容 ,包括工作岗位风险分级、 人员审核、人员录用、保密协议、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人 员安全等。 本标准适用于本企业内部人员及第三方人员的管理与考核。 2 规范性引用文件 无规范性引用文件，保留本条款的目的是保持本公司标准结构的一致，便于今后的修订 . 3 术语和定义 3.1 人员安全 是指通过管理和控制， 确保单位内部人员 （特别是信息系统的管理维护人员） 和第三方人员在安 全意识、能力和素质等方面都满足工作岗位的要求 . 3.2 第三方人员 是指来自外单位的专业服务机构， 为本单位提供应用系统开发、 网络管理和安全支持等信息技术 外包服务的工作人员。 3.3 安全教育和培训 是通过宣传和教育的手段， 确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要 性 , 具备符合要求的安全意识、 知识和技能， 提高其进行信息安全防护的主动性、 自觉性和能力。 4 机构和职责 4.1 信息化建设项目实施小组 4.1.1 负责指导公司及两厂信息系统操作人员安全管理工作； 4.1.2 负责执行公司信息安全检查及管理工作 ; 4.1.3 研究国家和行业的信息安全政策法规，组织有关部门讨论来保证其符合性。 4.2 人力资源部 4.2.1 负责组织各部门编制部门所属员工的工作职能； 4.2.2 负责员工的专业资质审查、招聘和岗位技能培训等； 4.2.3 负责员工离职、调动的审查和批准等 . 4.3 XXXX部门 4.3.1 负责检查各部门的信息安全工作落实情况； 3 4.3.2 负责对人员在岗时的信息安全相关工作记录进行检查； 4.3.3 负责对信息系统关键人员进行定期培训和考核工作； 4.3.4 负责第三方人员信息安全管理工作； 4.3.5 负责工作岗位风险状态分级及划分信息系统安全职责工作； 4.3.6 负责普及信息安全防范意识，并针对信息安全违规事件向公司提出处理建议。 4.4 其他部门 4.4.1 负责接受信息安全教育和培训、以及配合定期的信息安全抽查工作； 4.4.2 负责部门人员在岗时的信息安全管理； 4.4.3 负责定期组织针对本部门信息系统工作人员的技能考核工作； 4.4.4 负责部门人员在岗、离岗或调动后的资产管理及记录存档