人员安全管理规范V1.0.docVIP

PAGE 文档属性：内部资料，请勿外传文档编号： 文档属性：内部资料，请勿外传 文档编号： 项目编号： 人员安全管理规范 XXXX TIME \@ yyyy年M月 2022年3月 文档说明 文档历史 文档版本 修订日期 修订人 描述 Ver1.0 目　录 TOC \o 1-5 \h \z 1 编制说明 1 2 适用范围 1 3 依据标准 1 4 安全管理细则 2 4.1 人员录用安全管理 2 4.2 人员入职安全管理 2 4.3 人员安全培训 2 4.4 人员安全考核 3 4.5 人员惩罚机制 3 4.6 外部人员访问安全管理 4 4.7 安全保密制度 4 4.7.1 安全保密管理制度 4 4.7.2 安全保密协议 5 5 责任要求 6 6 规范执行 6 人员安全管理规范 编制说明 本管理规范定义了xxx信息网络的人员安全管理方面的相关要求。 本管理规范由xxx信息中心进行维护和解释。 适用范围 本安全管理规范适用于xxx的所有工作人员，包括有业务联系的第三方人员。 依据标准 《计算机信息系统安全保护等级划分准则》（GB17859） 《信息安全管理体系标准》（BS7799/ISO17799） 《信息技术安全管理指南》（ISO13335） 《信息技术安全性通用评估准则》（ISO15408/GB18336） 《计算机信息系统安全保护条例》（国务院令第147号） 《计算机信息网络国际联网安全保护管理办法》 《 计算机信息系统国际联网保密管理规定》 《计算机病毒防治管理办法》（公安部令第51号令） 《计算机场地安全要求》（GB9361-88） xxx相关管理规定 安全管理细则 人员入职安全管理 在职责说明书中除了要说明岗位的一般职责和规范以外，还要加入与此岗位相关的信息安全管理规范，具体内容参看各个安全管理规范中的适用范围部分。 人员入职必须签订保密协议，保密协议所包含的内容参看本规范的安全保密协议。 尽可能从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。 在人员的入职培训内容中应该包括信息安全管理规范的相关内容解释和技术培训。 人员安全培训 为确保用户意识到信息安全威胁和隐患，并在他们正常工作时遵守xxx的信息安全策略，需要xxx提供必要的信息安全教育与培训，如安全意识教育、岗位技能培训和相关安全技术培训。这种教育与培训有时需要扩大到有关的第三方用户。 对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒； 确定培训内容：根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临信息安全风险，确定培训内容。也就是说培训应考虑不同层次的职责、能力、文化程度以及所面临的风险。 制定培训计划：主管部门应该根据各部门提出的培训需求及组织的对培训的基本要求，制定培训计划，培训计划包括： 培训项目 主要内容 主要负责人 培训日程安排 培训方式 培训对象 培训实施：按照培训计划实施培训，培训前要写好培训方案，并通知相关人员 培训考核：培训后要进行考核。考核内容可以包括理论考核、实际操作技能考核。考核形式可以有问答、问卷、技术演示。根据考核培训的结果发上岗证或重新培训。 对安全教育和培训的情况和结果进行记录并归档保存。 人员安全考核 要能够定期对各个岗位的人员进行安全技能及安全认知的考核； 对关键岗位的人员需要进行全面、严格的安全审查和技能考核； 对于每次的考核结果应进行记录并保存。 人员惩罚机制 为保证工作人员严格执行组织的各项安全制度，应对违规者进行惩罚。 组织安全管理部门应与人事部分一起建立安全惩罚管理办法。 管理办法应明确工作人员被惩罚的使用情况、证据提供、惩罚手段、审批等要求。 惩罚的处理应确保准确、公正、合理。 惩罚的手段包括： 行政警告 经济处罚 调离岗位 触犯刑律者交司法机关 外部人员访问安全管理 外部人员访问要遵守xxx的相关安全管理规定。 确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案； 对需要访问xxx的外部人员发放通行证。通行证应该针对访问地点的安全敏感度设置不同的安全级别。外部人员访问敏感地点应该有专人陪同。 对于需要长时间访问xxx的外部人员应该建立档案，档案应与通行证对应。 外来人员携带电脑要接入政协网，必须征得信息中心允许方可接入。工作人员有义务向外来人员说明网络接入安全要求。 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。 安全保密制度 安全保密管理制度 系统设计时，应将系统内有效业务操作员的数量、代号和级别公开，以便操作员相互监督，防止非业务操作员留在系统内。 备份的业务数据，