信息安全管理体系人员安全管理制度.docx

PAGE1

信息安全管理体系人员安全管理制度

目录

TOC\h\z\u第一章 总则 1

第二章 人员录用 1

第三章 人员调/离岗 2

第四章 信息安全意识教育 2

第五章 人员考核 2

第六章 附则 3

附件 3

附件1：保密协议书 3

附件2：培训记录单 7

总则

为了加强集团人员信息安全管理，提高集团人员的信息安全意识，特制定本制度。

本制度的目的是对人员录用、人员离岗、人员信息安全意识教育、人员考核等方面进行规范。

人员录用

在面试有关业务系统岗位的工作人员时，应由应聘岗位所属部门的部门经理及技术人员负责面试，并决定是否予以录用。

集团人员在签订《劳动合同》的同时应签订保密协议书，约定信息系统的安全保密责任以及违反规定泄密后的责任追究，保密内容、保密范围及保密义务等内容详见附件1：《保密协议书》。

对拟录用的人员应进行详细的背景调查，对其工作经历背景确认无误后才可办理录用手续。

从事关键岗位的人员如核心业务开发人员、网络工程师、运维工程师等，需从内部人员进行选拔，并签署岗位安全协议，并承诺离岗后的保密义务。

关键岗位人员应职责分离，如系统、数据库管理员应职责分离，防止由于关键岗位人员权限过大带来不必要的风险。

集团人员入职需要进行入职培训，加强信息安全制度规范的教育培训，将制度规范的掌握及执行情况纳入试用期考核。

新入职人员所需的账号如应用系统、操作系统账号权限应由相应的技术人员进行开通，账号开通之前需要进行申请，具体的账号申请流程见《信息系统运维安全管理制度》。

人员调/离岗

集团人员因工作原因需要调岗时，其部门负责人员应通知人力资源部及网络运营中心人员进行相应账号的删除或者权限调整，并记录存档。

集团人员离岗时，应及时移交相关物品（身份证件、钥匙、领用的软硬件设备等）及权限，并由人力资源部及网络运营中心人员删除其相应账号后方可离职。

关键岗位人员离岗需承诺离岗后的保密责任。

信息安全意识教育

新员工在正式上岗前，应进行信息安全方面的培训，明确岗位所要求遵守的信息安全制度、技术规范以及操作流程。

由网络运营中心结合集团的实际情况，制定部门的培训计划，针对信息系统的维护人员和管理人员定期开展安全技术、业务技能培训（每年至少一次），学习如何进行安全操作；针对集团信息系统相关业务人员定期开展安全意识培训，明确人员的安全职责，提高人员的安全意识。所有的培训计划都需要报人力资源部进行审核。

应定期开展由供应商或安全服务商提供的专业技术培训，帮助相关技术人员了解掌握系统，正确安装、配置、操作、维护系统。

网络运营中心要对培训过程进行记录，登记培训时间、培训地点、培训内容、培训老师、参加培训人员，保存过程资料，培训记录单详见附件2。

人员考核

应定期对信息系统维护和管理人员进行安全考核，确认其是否遵守集团相关安全管理制度，是否进行安全操作并存有记录，是否积极参加相关安全技术培训，考核结果要进行记录存档。

应定期对关键岗位的技术人员进行安全考核和技能考核，考核结果要进行记录存档。

附则

本制度的制定和修改需要经架构与安全委员会成员讨论通过后，管理委员会批准之日起生效。

本制度解释权属架构与安全委员会。

附件

附件1：保密协议书

保密协议书

甲方：

法定代表人或委托代理人：

注册地址：

乙方：性别：

有效证件名称：证件号码：

户籍类型（农业、非农业）：

户籍家庭住址：邮政编码：

现通讯地址：邮政编码：

联系电话(手机)：固定电话：

紧急联系人姓名：关系：联系电话：