人员安全管理
部机关外网、应用系统应设置信息安全岗位,并配备专职和兼职的人员。安全人员包括:安全管理员、系统管理员、数据库管理员、网络管理员、审计管理员和机房管理员等。
第一章人员录用
第1条部信息中心要根据本制度的要求,制定信息安全人员岗位和人员录用规则。
第2条部信息中心的信息安全人员岗位和人员报部信息办备案。
第3条各岗位人员选用和配置时,要对被选用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核。审查通过后,需签署岗
位安全协议(错误!未到引用源。)。
第二章岗位人选
第4条所有人员应明确其在安全系统中的职责和权限。工作、活动范围应当被限制在完成其任务的最小范围内。
第5条机关外网的信息安全岗位人选包括:安全管理员、系统管理员、网络管理员、审计管理员和机房管理员,必须考核其业务能力。关键的岗位人
员不得兼职。
第三章安全意识教育和培训
第6条由部信息中心负责制定培训计划,按计划对信息系统各个岗位的人员进行安全意识教育和培训。培训形式以集中授课方式为主。
第7条通过培训,使各个岗位人员明确自身的安全责任,知悉违反规定的惩戒措施。对违反安全保密策略和规定的人员需要进行惩戒,惩戒内容以违
反规定的程度而定(见错误!未到引用源。)。
数据库管理员岗位要求第8条定期对从事操作和维护信息系统的技术人员进行技能培训,包括:计算机操作维护培训、应用软件操作培训、信息系统安全培训等,保证只有
经过培训考核合格的人员才能上岗。对于安全管理人员要进行高级安全
培训,并且取得“上岗证书”后方可任职(培训相关内容见错误!未
到引用源。、错误!未到引用源。)。
第四章人员考核
第9条安全技能及安全知识考核:部信息中心负责每年对信息系统各个岗位人员进行安全技能及安全知识的考核,对业务人员着重考核业务知识,对
技术人员着重考核技术技能。对关键岗位人员的考核难度要高于一般岗
位人员,确保其熟练掌握岗位技能及知识。
第10条安全审查:部信息中心每年对机关外网所有岗位人员进行安全审查,从政治思想、工作表现、遵守安全规程等方面进行审查。对于考核发现有
违反安全法规行为的人员或发现不适于接触信息系统的人员要及时调
离岗位,不应让其再接触系统。
第五章外部人员访问管理
第11条向经常或一段时间内需要进入系统的外部人员(除本单位正式编制人员和聘用人员之外的其他人
员)知会本单位的相关安全保密规定,使其认
识到自身的责任和安全违规会受到的惩罚。
第12条对重要安全控制区域和保密要害部门、部位采取隔离控制措施,禁止未经授权的外部人员接近或进入。对于出入安全控制区域的活动进行监视
和记录。
第13条外部人员访问重要区域(如机房、重要服务器或设备等),需要首先填写《外部人员访问申请审批单》(错误!未到引用源。),提交给安全管
理员审批,获批准后方可进入。
第14条对所有进入系统现场进行维修、服务、参观等的外部人员进行全程旁站陪同。
第15条外部人员访问重要区域需要进行登记,登记内容包括进入时间、离开时
间、访问区域、访问设备或信息及陪同人等(错误!未到引用源。)。第16条允许外部访问的区域、系统、设备、信息仅限于此次工作相关的内容。
第六章人员离岗
第17条对即将离岗人员,要及时终止其所有访问权限,收回各种身份证件、钥匙、徽章以及机构为其提供的软硬件设备等。
第18条对离岗人员需要向其重申调离后的保密义务,要求调离人员在保密承诺文档上签字,承诺相关保密义务。