人員安全管理制度

1、人員安全管理制度1. 引言為加強XX信息通信分公司（以下簡稱“公司”）對信息安全人員的規(guī)范化管理，完善信息安全人員的管理制度，促進公司信息安全事業(yè)的發(fā)展。特制度本標準，本標準闡述了公司信息安全人員管理方面的基本要求和管理原則，明確定公司在信息安全人員管理方面的人員錄用、人員離崗、人員考核、安全意識教育和培訓、外部人員訪問控制管理中應遵守的原則與工作流程。2. 規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡注明日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標準（不包括勘誤、通知單），然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用

2、文件，其最新版本適用于本標準信息安全技術(shù) 信息系統(tǒng)安全保障評估框架（GB/T 20274.1-2006）信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T 20269-2006 ）信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求（GBT 22239-2008）本標準未涉及的管理內(nèi)容，參照國家、電力行業(yè)、南方電網(wǎng)公司的有關(guān)標準和規(guī)定執(zhí)行。3. 目標為充分發(fā)揮公司各信息系統(tǒng)業(yè)務支撐作用，不斷提高各信息系統(tǒng)服務質(zhì)量和水平，確保各信息系統(tǒng)安全、優(yōu)質(zhì)、經(jīng)濟運行，都需要信息人員的支持。為使公司人員安全管理制度規(guī)范化、程序化、制度化，保障網(wǎng)絡與信息系統(tǒng)的正常運行，依據(jù)有關(guān)法律、法規(guī)及信息安全標準，結(jié)合省電網(wǎng)工作實際，特

3、制定本制度。4. 人員錄用人員的錄用有公司人力資源部負責人員的錄用所錄人員和專（兼）職信息安全技術(shù)人員應當政治可靠、業(yè)務素質(zhì)高、遵紀守法、恪盡職守；信息安全管理人員及專職和兼職信息安全技術(shù)人員應有計算機專業(yè)工作三年以上經(jīng)歷，具備?？埔陨蠈W歷；違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全管理與技術(shù)工作，同時以下職位要求具備相關(guān)的能力。.系統(tǒng)管理員大學?？朴嬎銠C專業(yè)畢業(yè)，具有兩年以上工作經(jīng)驗。熟悉計算機硬件技術(shù)與軟件操作系統(tǒng)的原理與配置。熟悉掌握操作系統(tǒng)的安裝與卸載。掌握數(shù)據(jù)庫（SQL、ORACLE、Sybase等）原理以及安裝、設(shè)計與管理。能夠熟悉網(wǎng)絡的構(gòu)架以及網(wǎng)絡和操作系統(tǒng)的結(jié)

4、合。能夠獨立完成IIS、DNS、DHCP、ROUTE等系統(tǒng)的設(shè)計。熟悉各類操作系統(tǒng)（windows、unix、EXCHANGE等）的管理。.網(wǎng)絡管理員計算機專業(yè)本科以上學歷。三年以上的網(wǎng)絡管理工作經(jīng)驗。熟悉網(wǎng)絡技術(shù)的原理。英文閱讀流利。能夠獨立設(shè)計網(wǎng)絡，優(yōu)化網(wǎng)絡性能。熟練使用交換機、路由器、網(wǎng)管軟件等網(wǎng)絡軟硬件設(shè)備。熟悉WINDOWS、UNIX等應用層操作系統(tǒng)。有從事本崗位工作的高度責任感，遵紀守法，堅持原則，嚴格管理.項目管理員大學本科畢業(yè)，具有三年以上電力系統(tǒng)相關(guān)工作經(jīng)驗。熟悉計算機軟硬件及網(wǎng)絡相關(guān)知識。熟悉與項目相關(guān)的業(yè)務部門技術(shù)和管理知識。政治素質(zhì)高、思想品德好、有較強的組織協(xié)調(diào)能力和

5、表達能力。.數(shù)據(jù)庫管理員大學本科計算機專業(yè)畢業(yè)，具有五年以上工作經(jīng)驗。熟悉計算機硬件技術(shù)與軟件操作系統(tǒng)的原理。熟悉掌握操作系統(tǒng)的安裝與卸載。掌握數(shù)據(jù)庫（SQL、ORACLE、Sybase等）原理以及安裝、設(shè)計與管理。能夠熟悉網(wǎng)絡的構(gòu)架以及網(wǎng)絡和操作系統(tǒng)的結(jié)合。熟悉各類操作系統(tǒng)（NT、WIN2K、EXCHANGE等）的管理。.信息安全員大學專科及以上計算機專業(yè)畢業(yè)，具有兩年以上工作經(jīng)驗。熟悉各類信息安全技術(shù)和設(shè)備的原理與配置。熟悉各類操作系統(tǒng)（windows、unix）的管理。掌握數(shù)據(jù)庫（SQL、ORACLE、Sybase等）的安全配置技術(shù)。熟悉網(wǎng)絡的構(gòu)架以及網(wǎng)絡和操作系統(tǒng)。.硬件維護人員相關(guān)專

6、業(yè)中專以上畢業(yè)。認真負責，遵紀守法。熟悉掌握計算機軟硬件的知識及網(wǎng)絡知識，具有較高的軟件硬件維護水平.系統(tǒng)運維人員相關(guān)專業(yè)中專以上畢業(yè)。認真負責，遵紀守法。熟悉掌握計算機軟硬件的知識及網(wǎng)絡知識，具有較高的軟件硬件維護水平人員職責.系統(tǒng)管理員所轄工作對本部門主觀領(lǐng)導負責。負責所管轄的應用系統(tǒng)及設(shè)備的運行維護。負責系統(tǒng)各項業(yè)務參數(shù)的設(shè)置、修改、檢查。負責設(shè)置和修改系統(tǒng)用戶帳號和口令（密碼）。負責授權(quán)或限制操作員、網(wǎng)絡管理員的普通用戶使用系統(tǒng)的口令（密碼）。負責給系統(tǒng)增、刪各類用戶。.網(wǎng)絡管理員所轄工作對本部門主觀領(lǐng)導負責。負責計算機網(wǎng)絡的管理工作。認真貫徹執(zhí)行網(wǎng)絡管理方面的有關(guān)規(guī)程和上級制定的有關(guān)

7、網(wǎng)絡管理工作的各項規(guī)章制度參與網(wǎng)絡規(guī)劃,包括網(wǎng)絡拓樸結(jié)構(gòu)的制定，ip地址的規(guī)劃，網(wǎng)絡設(shè)備的選型等。負責網(wǎng)絡日常維護和故障排除。負責網(wǎng)絡安全，制定安全策略。負責網(wǎng)絡固定資產(chǎn)的管理及裝置的報廢、淘汰工作。.項目管理員對本項目領(lǐng)導小組和本人所在部門的直接領(lǐng)導負責。負責所轄項目的全過程的組織、溝通、總結(jié)整理工作，直至工程結(jié)束后的總結(jié)驗收、鑒定或評審結(jié)束，保證項目的按時按質(zhì)完成.數(shù)據(jù)庫管理員所轄工作對本部門主管領(lǐng)導負責。負責所轄所有業(yè)務數(shù)據(jù)安全管理。負責存儲備份系統(tǒng)的運行、維護及升級等工作。參與各系統(tǒng)數(shù)據(jù)庫的設(shè)計、數(shù)據(jù)編碼編制和數(shù)據(jù)結(jié)構(gòu)規(guī)劃等工作。.信息安全員負責數(shù)據(jù)接口管理以及數(shù)據(jù)倉庫的建設(shè)。 所轄工

8、作對本部門主管領(lǐng)導負責。負責所管轄的信息系統(tǒng)及網(wǎng)絡的安全管理，確保不發(fā)生重大信息安全事故。組織或參與公司或上級單位的信息安全檢查。負責信息安全的信息發(fā)布、宣傳和培訓。協(xié)助其他信息技術(shù)管理工作。.硬件維護人員負責公司本部及本所部門電腦安裝、調(diào)試和日常維護。負責公司本部及本所各部門打印機的日常維護。負責公司本部及本所各部門工作人員使用電腦技術(shù)指導。負責協(xié)助公司本部及本所各部門工作人員做好數(shù)據(jù)安全與備份。.分公司系統(tǒng)運維人員遵守所在單位的各項規(guī)章制度、服從所在單位領(lǐng)導關(guān)于信息化工作的安排并作好信息化建設(shè)的參謀。接受省公司信息中心的工作安排，配合省公司信息中心作好全省網(wǎng)絡和應用系統(tǒng)的建設(shè)和運行維護工作

9、，及時反映所在單位信息化工作方面的情況。負責分公司及各部門電腦、打印機的安裝、調(diào)試和日常維護。負責分公司局域網(wǎng)的運行與維護，保證網(wǎng)絡安全運行。負責分公司及各部門工作人員使用電腦及應用系統(tǒng)的技術(shù)指導。負責分公司應用系統(tǒng)日常運行及數(shù)據(jù)備份.人員考核按工作標準，應定期對各個崗位的人員進行安全技能及安全認知的考核。對關(guān)鍵崗位的人員須進行全面、嚴格的考核，必須經(jīng)過政審并要考核其業(yè)務能力?？己私Y(jié)果進行記錄并保存。按省公司有關(guān)規(guī)定進行檢查與考核.人員離崗對調(diào)離人員，特別是因不適合安全管理要求被調(diào)離的人員，必須嚴格辦理調(diào)離手續(xù)，進行調(diào)離談話、承諾其調(diào)離后的保密義務，交回所有鑰匙及證件，退還全部技術(shù)手冊、軟件及

10、有關(guān)資料，更換系統(tǒng)口令和機要鎖。涉及電網(wǎng)業(yè)務核心技術(shù)的信息安全人員調(diào)離單位，必須進行離崗審計，并在規(guī)定的脫密期后，方可調(diào)離。立即終止由于各種原因即將離崗的員工的所有訪問權(quán)限；取回各種身份證件、鑰匙、徽章等以及機構(gòu)提供的軟硬件設(shè)備；經(jīng)機構(gòu)人事部門辦理嚴格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務后方可離開。.安全意識教育和培訓信息安全人員應負責對公司所有使用計算機的人員進行安全意識教育、崗位技能培訓和相關(guān)安全技術(shù)培訓工作。信息安全人員應書面形式告知相關(guān)人員相應的安全責任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進行懲戒。信息安全人員應定期接受政治思想教育、職業(yè)道德教育和安全保密教育。信息安全人員應定期參加下列信息安全知識和技能的培訓： 信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓； 信息安全基本知識的培訓； 信息安全專門技能的培訓。第三方人員管理第三方人員包括軟件開發(fā)商，硬件供應商，系統(tǒng)集成商，設(shè)備維護商和服務提供商，以及實習學生和臨時工作人員。應對第三方人員的物理訪問和邏輯訪問實施訪問控制，根據(jù)其在系統(tǒng)中完成工作的時間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。第三方人員的現(xiàn)場工作或遠程維護工作內(nèi)容應在合同中明確規(guī)定，如工作涉及機密或秘密信息內(nèi)容，應要求其簽署保密協(xié)議。一般情況下第三方人員的現(xiàn)場工作，如數(shù)據(jù)庫、系統(tǒng)、漏