07信息安全人員管理辦法

1、信息安全人員管理辦法編制部門信息技術(shù)處版本說明更新日期更新人員更新說明V1.02014.06編制V1.12014.08細(xì)化重要崗位人員安全職責(zé)91總則為加強(qiáng)信息安全管理工作，保障XX系統(tǒng)正常運(yùn)行，依據(jù)有關(guān)法律、法規(guī)及信 息安全標(biāo)準(zhǔn)，特制定本辦法。本辦法適用范圍包括：XX系統(tǒng)信息安全管理人員及各重要崗位人員。2人員職責(zé)及管理2.1信息安全管理人員職責(zé)1）負(fù)責(zé)信息安全管理的日常工作；2）開展信息安全檢查工作，對(duì)重要崗位人員安全工作進(jìn)行指導(dǎo)和監(jiān) 督；3）負(fù)責(zé)維護(hù)和審查有關(guān)安全審計(jì)記錄，及時(shí)發(fā)現(xiàn)存在問題，提出安 全風(fēng)險(xiǎn)防范對(duì)策；4）開展信息安全知識(shí)的培訓(xùn)和宣傳工作；5）監(jiān)控信息安全總體狀況，提出信息安

2、全分析報(bào)告。及時(shí)向xx安 全工作組報(bào)告信息安全事件。2.2信息安全管理人員管理1）信息安全人員在行使職責(zé)時(shí)，確因工作需要，經(jīng)批準(zhǔn)，可了解 XX系統(tǒng)相關(guān)信息系統(tǒng)的機(jī)密信息。2）信息安全人員發(fā)現(xiàn)本單位重大信息安全隱患，有權(quán)向信息安全主 管部門報(bào)告。3）信息安全人員發(fā)現(xiàn)信息系統(tǒng)重要崗位人員使用不當(dāng)，應(yīng)及時(shí)建議 有關(guān)單位、部門進(jìn)行調(diào)整。4）信息安全人員必須嚴(yán)格遵守國家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制度，嚴(yán)守XX系統(tǒng)相關(guān)秘密。5）信息安全人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后 的保密義務(wù)。涉及xx系統(tǒng)核心技術(shù)的信息安全人員調(diào)離單位，必須進(jìn)行 離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。2.3重要崗位

3、人員安全職責(zé)1）信息系統(tǒng)重要崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的安全主 管、系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、數(shù)據(jù)庫管理人員、重要應(yīng)用開發(fā)人 員、系統(tǒng)維護(hù)人員、重要業(yè)務(wù)操作人員等崗位人員。2）重要信息系統(tǒng)，是指涉及xx業(yè)務(wù)辦理、安全系統(tǒng)等核心業(yè)務(wù)且 有保密要求的信息系統(tǒng)。2.3.1系統(tǒng)安全主管1）負(fù)責(zé)系統(tǒng)的總體安全及運(yùn)行策略；2）負(fù)責(zé)制定系統(tǒng)的總體安全管理策略和相關(guān)崗位的管理制度；3）負(fù)責(zé)制定總體安全工作規(guī)劃，開展安全評(píng)價(jià)，編制各崗位的安全 技術(shù)操作規(guī)程；4）負(fù)責(zé)制定系統(tǒng)的應(yīng)急預(yù)案；5） 了解系統(tǒng)運(yùn)行現(xiàn)狀，定期組織安全檢查，及時(shí)發(fā)現(xiàn)事故隱患，隨 時(shí)向信息安全領(lǐng)導(dǎo)小組提出事故隱患情況及整改建議；6）

4、根據(jù)系統(tǒng)運(yùn)行的情況，定期對(duì)系統(tǒng)的安全現(xiàn)狀進(jìn)行評(píng)估并提出優(yōu) 化和建議方案；7）制定各個(gè)業(yè)務(wù)崗位的績(jī)效考核，保障系統(tǒng)的安全穩(wěn)定運(yùn)行；2.3.2安全管理人員1）負(fù)責(zé)執(zhí)行系統(tǒng)的整體安全策略；2）負(fù)責(zé)監(jiān)督和檢查安全策略和制度的執(zhí)行情況；3）針對(duì)系統(tǒng)運(yùn)行中的違規(guī)行為進(jìn)行監(jiān)督，并提出整改意見和措施；4）負(fù)責(zé)關(guān)鍵業(yè)務(wù)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫系統(tǒng)超級(jí)管理員賬號(hào)的管 理；5）負(fù)責(zé)系統(tǒng)重要資料的保管與管理；6）定期進(jìn)行系統(tǒng)的安全檢查，并根據(jù)檢查情況進(jìn)行系統(tǒng)安全情況匯 報(bào)；7）監(jiān)督執(zhí)行運(yùn)維操作規(guī)程，對(duì)違規(guī)操作進(jìn)行記錄和警告；2.3.3網(wǎng)絡(luò)管理人員1）負(fù)責(zé)網(wǎng)絡(luò)的運(yùn)行管理，實(shí)施網(wǎng)絡(luò)安全策略和安全運(yùn)行細(xì)則；2）安全配置網(wǎng)絡(luò)參

5、數(shù)，嚴(yán)格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護(hù)網(wǎng)絡(luò)安全 正常運(yùn)行；3）監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵， 及時(shí)向信息安全人員報(bào)告安全事件；4）定期對(duì)網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)環(huán)境進(jìn)行巡檢和檢查；5）對(duì)操作網(wǎng)絡(luò)管理功能的其他人員進(jìn)行安全監(jiān)督。2.3.4 系統(tǒng)管理人員1）負(fù)責(zé)系統(tǒng)的運(yùn)行管理，實(shí)施系統(tǒng)安全運(yùn)行細(xì)則；2）嚴(yán)格用戶權(quán)限管理，維護(hù)系統(tǒng)安全正常運(yùn)行；3）認(rèn)真記錄系統(tǒng)安全事項(xiàng)，及時(shí)向信息安全人員報(bào)告安全事件；4）對(duì)進(jìn)行系統(tǒng)操作的其他人員予以安全監(jiān)督。5）負(fù)責(zé)系統(tǒng)維護(hù)，及時(shí)解除系統(tǒng)故障，確保系統(tǒng)正常運(yùn)行；6）不得擅自改變系統(tǒng)功能；7）不得安裝與系統(tǒng)無關(guān)的其他計(jì)算機(jī)程序；8）維護(hù)過程中，發(fā)現(xiàn)安全漏洞

6、應(yīng)及時(shí)報(bào)告信息安全人員。2.3.5 數(shù)據(jù)庫管理員1）負(fù)責(zé)數(shù)據(jù)庫的正常運(yùn)行，合理配置參數(shù)，嚴(yán)格控制用戶訪問權(quán)限, 維護(hù)數(shù)據(jù)庫正常運(yùn)行；2）負(fù)責(zé)管理數(shù)據(jù)庫管理員的賬號(hào)與密碼，并按照安全策略定期進(jìn)行 更換；3）負(fù)責(zé)執(zhí)行總體安全策略的數(shù)據(jù)庫備份策略，定期對(duì)數(shù)據(jù)庫的信息 進(jìn)行備份和管理；4）負(fù)責(zé)對(duì)數(shù)據(jù)庫出現(xiàn)的問題或故障進(jìn)行診斷，并進(jìn)行故障排除、優(yōu) 化和調(diào)整；2.3.6 信息資產(chǎn)管理員1）嚴(yán)格執(zhí)行系統(tǒng)操作規(guī)程和運(yùn)行安全管理制度；2）詳細(xì)記錄現(xiàn)有信息系統(tǒng)以及相關(guān)服務(wù)器、數(shù)據(jù)庫、操作系統(tǒng)的狀 態(tài)和情況；3）及時(shí)向安全主主管匯報(bào)現(xiàn)有信息資產(chǎn)的最新情況；2.3.7 物理安全負(fù)責(zé)人1）負(fù)責(zé)計(jì)算機(jī)機(jī)房的防火、防水、防

7、靜電、防雷擊和防輻射等安全 設(shè)施的管理；2）負(fù)責(zé)對(duì)計(jì)算機(jī)機(jī)房的內(nèi)部裝修，落實(shí)電磁波防護(hù)等技術(shù)規(guī)范與技術(shù)要求:3）負(fù)責(zé)計(jì)算機(jī)機(jī)房配電系統(tǒng)、空調(diào)系統(tǒng)的維護(hù)與管理；4）負(fù)責(zé)計(jì)算機(jī)機(jī)房的進(jìn)出口的控制機(jī)監(jiān)控系統(tǒng)和門禁系統(tǒng)的維護(hù) 與管理；5）負(fù)責(zé)對(duì)本單位計(jì)算機(jī)機(jī)房及所屬各部門計(jì)算機(jī)機(jī)房安全性的檢 查，發(fā)現(xiàn)問題或隱患及時(shí)提出整改意見和書面報(bào)告3重要崗位人員管理各重要崗位人員必須嚴(yán)格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。重要崗位人員上崗前必須經(jīng)單位人事部門進(jìn)行政治素質(zhì)審查，技術(shù)部門進(jìn)行 業(yè)務(wù)技能考核，工作經(jīng)歷和工作經(jīng)驗(yàn)考查等，合格者方可上崗。重要崗位人員有責(zé)任保護(hù)信息系統(tǒng)的秘密，并以簽署保密協(xié)議的方式作 出安全

8、承諾。重要崗位人員上崗必須實(shí)行“權(quán)限分散、不得交義覆蓋”的原則。系統(tǒng)管理 人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開發(fā)人員、系統(tǒng)維護(hù)人員不得兼任業(yè)務(wù)操作員；系統(tǒng) 開發(fā)人員原則上不應(yīng)兼任系統(tǒng)管理員。對(duì)重要崗位人員應(yīng)實(shí)行定期考查制度，重要崗位人員應(yīng)定期接受安全培訓(xùn)， 加強(qiáng)自身安全意識(shí)和風(fēng)險(xiǎn)防范意識(shí)。重要崗位人員調(diào)離崗位，必須嚴(yán)格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義 務(wù)。涉及公司業(yè)務(wù)保密信息的重要崗位人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，在 規(guī)定的脫密期后，方可調(diào)離。重要崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。4第三方人員管理1）第三方人員包括相關(guān)軟件開發(fā)商、硬件供應(yīng)商、系統(tǒng)集成商、設(shè) 備維護(hù)商和服務(wù)提供商，以及臨

9、時(shí)工作人員等。2）應(yīng)對(duì)第三方人員的物理訪問和邏輯訪問實(shí)施訪問控制，根據(jù)其在 系統(tǒng)中完成工作的時(shí)間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。3）第三方人員的現(xiàn)場(chǎng)工作或遠(yuǎn)程維護(hù)工作內(nèi)容應(yīng)在合同中明確規(guī) 定，如工作涉及機(jī)密或秘密信息內(nèi)容，應(yīng)要求其簽署保密協(xié)議。4） 一般情況下第三方人員的現(xiàn)場(chǎng)工作，如數(shù)據(jù)庫、系統(tǒng)、漏洞掃描、 入侵檢測(cè)以及其他軟件的安裝等，不許接入自帶的設(shè)備。5）第三方人員的現(xiàn)場(chǎng)工作應(yīng)在xx信息安全工作組有關(guān)人員的陪同 和監(jiān)督下完成。第三方人員自帶設(shè)備接入信息系統(tǒng)應(yīng)得到特別授權(quán)，其 操作應(yīng)受到審計(jì)。6）第三方人員工作結(jié)束后，應(yīng)及時(shí)清除有關(guān)賬戶、過程記錄等信息。5培訓(xùn)與教育1）信息安全人員應(yīng)定期參加下列信息安全知識(shí)和技能的培訓(xùn)：信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)；信息安全基本知識(shí)的培訓(xùn)；信息安全專門技能的培訓(xùn)。2）信息安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保 密教育。3）應(yīng)對(duì)xx系統(tǒng)相關(guān)人員定期進(jìn)行基本的信息安全知識(shí)和技能的培 訓(xùn)，并應(yīng)注意培養(yǎng)信息安全意識(shí)。6人員考核1）信息安全主管部門要定期對(duì)信息各崗位工作人員進(jìn)行全面、嚴(yán)格 的安全考核；2）考核的內(nèi)容包括：政治思想、業(yè)務(wù)水平、安全技能及安全認(rèn)知等方面;3）應(yīng)對(duì)考核結(jié)