当前位置:文档之家 › 07信息安全人员管理办法

07信息安全人员管理办法

  • 格式:doc
  • 大小:47.50 KB
  • 文档页数:8

下载文档原格式

  / 8

合集下载

单位个人信息管理制度

单位个人信息管理制度

第一章总则第一条为加强单位个人信息管理,保护个人信息安全,依据《中华人民共和国个人信息保护法》等相关法律法规,结合我单位实际情况,制定本制度。

第二条本制度适用于单位内部所有涉及个人信息处理的业务活动,包括收集、存储、使用、加工、传输、提供、公开、删除等环节。

第二章个人信息管理原则第三条个人信息管理应遵循以下原则:1. 合法、正当、必要原则:收集、使用个人信息应当具有明确、合理的目的,不得超出实现目的所必需的范围。

2. 最小化原则:收集个人信息应当限于实现处理目的所必需的范围和限度。

3. 安全原则:采取必要措施保障个人信息安全,防止个人信息泄露、损毁、篡改等。

4. 透明原则:公开个人信息处理规则,便于个人信息主体了解和行使权利。

第三章个人信息收集与使用第四条单位在收集个人信息时,应当遵循以下规定:1. 明确收集目的、范围和方式,并告知个人信息主体。

2. 收集个人信息时,不得采用误导、欺诈等手段。

3. 收集的个人信息应当真实、准确、完整。

第五条单位在处理个人信息时,应当遵循以下规定:1. 依据收集目的使用个人信息,不得超出目的范围。

2. 不得出售、出租、出借个人信息。

3. 采取技术措施和其他必要措施,防止个人信息泄露、损毁、篡改。

第四章个人信息存储与传输第六条单位应当建立个人信息存储管理制度,确保个人信息安全:1. 采用加密技术保护存储的个人信息。

2. 定期检查、清理存储的个人信息,确保其真实、准确、完整。

3. 不得将存储的个人信息用于其他目的。

第七条单位在传输个人信息时,应当采取以下措施:1. 采用安全传输技术,如SSL等。

2. 传输过程中,不得泄露个人信息。

3. 传输完成后,及时销毁传输介质。

第五章个人信息主体权利第八条单位应当尊重个人信息主体的权利,包括:1. 访问权:个人信息主体有权查询、复制其个人信息。

2. 更正权:个人信息主体发现其个人信息有误的,有权要求更正。

3. 删除权:个人信息主体要求删除其个人信息的,单位应当及时删除。

信息安全中心管理规定

信息安全中心管理规定

信息安全中心管理规定1. 目的为了加强我国信息安全,保障国家安全、公共利益以及企业、个人的合法权益,根据《中华人民共和国网络安全法》等相关法律法规,制定本规定。

2. 适用范围本规定适用于我国境内所有从事信息安全相关的企业、机构、组织和个人。

3. 信息安全责任3.1 信息系统的所有者应对信息系统安全负总责。

3.2 信息系统运营者应按照法律法规和相关规定,采取必要的安全措施,保障信息系统安全。

3.3 信息系统使用者和管理者应按照法律法规和相关规定,履行信息系统安全保护义务。

4. 信息安全保护措施4.1 信息系统建设和运行应符合国家信息安全等级保护的要求。

4.2 信息系统运营者应建立健全信息安全管理制度,包括信息安全管理、信息安全技术、信息安全应急等。

4.3 信息系统运营者应对信息系统进行定期安全检查和风险评估,及时整改安全隐患。

4.4 信息系统运营者应采取有效措施,防止非法侵入、非法访问、非法篡改等信息安全事件的发生。

4.5 信息系统运营者应按照国家相关规定,对涉及国家安全、公共利益的重要信息系统进行安全保护。

5. 信息安全违规处理5.1 对违反本规定的,由相关部门依法予以查处。

5.2 对违反本规定,导致信息系统安全事故的,依法承担相应责任。

5.3 对违反本规定,构成犯罪的,依法追究刑事责任。

6. 附则6.1 本规定自发布之日起施行。

6.2 本规定的解释权归中华人民共和国工业和信息化部。

6.3 本规定如有未尽事宜,由国家相关部门补充规定。

---本规定旨在加强我国信息安全保护,推动信息安全产业健康发展,保障国家安全、公共利益以及企业、个人的合法权益。

希望所有从事信息安全相关的企业、机构、组织和个人严格遵守本规定,共同维护我国信息安全。

《信息技术(基础模块)》07 信息安全基础

《信息技术(基础模块)》07 信息安全基础
在本任务中,我们将从了解近年来的信息系统恶 意攻击事件开始,了解网络安全等级保护制度,认识 常见恶意攻击形式及特点,了解信息系统安全防范常 用技术,为防范信息系统恶意攻击打下基础。
体验探究——了解近年来的信息系统恶意攻击事件
— 21 —
随着全球信息产业的发展,信息安全 的重要性与日俱增。
近年来,全球信息系统恶意攻击事 件频发,从大型企业服务器遭受攻击到个 人隐秘信息的泄露,公司财产流失及个人 名誉扫地等情况无一不严重威胁各国经济 社会的安全和稳定。
— 6—
体验探究——调研App违法违规收集使用个人信息现状及治理情况
如今,智能手机已经成为人们生活中不可
缺少的一部分。通过智能手机,用户只需安装各
种App,即可获取相应的网络服务。
但是,用户在享受移动互联网快速发展带
来的各种利好时,App强制授权、过度索权、超
范围收集个人信息的现象大量存在,违法违规使
一、信息安全基础知识
— 11 —
B
信息安全的概念
信息安全的目标 其目标是保护和维持信息的三大基本安全属性, 即保密性、完整性、可用性,三者也常合称为 信息的CIA属性。
信息安全的特征 信息安全具有系统性、动态性、无边界 性和非传统性4项特征。
信息安全是一门涉及计算机科学、网络技术、通信技术、计 算机病毒学、密码学、应用数学、数论、信息论、法律学、 犯罪学、心理学、经济学、审计学等多门学科的综合性学科。
第一级:等级保护对象受到破坏后,
会对相关公民、法人和其他组织的 合法权益造成损害,但不危害国家
01
安全、社会秩序和公共利益。
第五级:等级保护对象受到破 坏后﹐会对国家安全造成特别 05 严重危害。
第二级:等级保护对象受到破坏后,会对相关 公民、法人和其他组织的合法权益造成严重损 02 害或特别严重损害,或者对社会秩序和公共利 益造成危害,但不危害国家安全。

信息安全等级保护标准体系概述

信息安全等级保护标准体系概述

标准定位和关系
• 管理办法(43文件)(总要求) • 实施指南(GB/T25058-2010) • 定级指南(GB/T22240-2008) • 基本要求(GB/T22239-2008) • 测评要求 • 建设指南
目录
• 信息安全等级保护制度要干什么 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
实施指南特点
• 阶段
• 过程
• 活动
• 子活动
例如: • 信息系统定级
• 信息系统分析
• 系统识别和描绘
• 识别信息系统的基本信息 • 识别信息系统的管理框架 •…
• 信息系统划分
系统定级阶段-实施流程
主要输入
系统立项文档 系统建设文档 系统管理文档
过程 信息系统分析
主要输出
系统总体描述文件 系统详细描述文件
管理办法
• 《管理办法》第十三条:
• 运营、使用单位应当参照《信息安全技术信息系统安全管理要求》 (GB/T20269-2006)、《信息安全技术信息系统安全工程管理要求》 (GB/T20282-2006)、《信息系统安全等级保护基本要求》等管理规范,制 定并落实符合本系统安全保护等级要求的安全管理制度。
信息安全等级保护标准体系概述
目录
• 信息安全等级保护标准体系 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
目录
• 信息安全等级保护标准体系 • 信息安全等级保护工作使用的主要标准
• 管理办法 • 实施指南 • 定级指南 • 基本要求 • 测评要求
等级保护标准体系
多年来,在有关部门支持下,在国内有关专 家、企业的共同努力下,全国信息安全标准化技 术委员会和公安部信息系统安全标准化技术委员 会组织制订了信息安全等级保护工作需要的一系 列标准,形成了比较完整的信息安全等级保护标 准体系。汇集成《信息安全等级保护标准汇编》 供有关单位、部门使用。

信息安全现场管理制度

信息安全现场管理制度

信息安全现场管理制度第一章总则第一条为加强信息安全管理,确保信息系统的正常运行和信息的保密性、完整性和可用性,维护信息系统的正常运行,有效处理信息系统出现的故障和安全事件,制定本制度。

第二条本制度适用于本单位或者组织的信息系统管理及信息安全管理活动。

第三条本单位或者组织对信息系统管理及信息安全管理应当依据国家法律、行政法规、部门规章及相关标准制定和执行本制度。

第四条信息安全现场管理应当遵循的基本原则包括:合法合规、科学规范、全员参与、分类保护、风险预防和快速响应。

第五条信息安全现场管理工作的目标为保障信息系统的正常运行和信息的保密性、完整性和可用性,保证信息安全的连续性、稳定性和可靠性。

第二章组织机构第六条信息安全现场管理机构由工作单位业务主管领导组织管理,设置信息安全部门(信息安全工作小组)具体担负信息安全现场管理工作。

第七条信息安全部门由信息安全负责人、信息安全管理员、信息安全监察员等人员组成。

信息安全负责人为工作单位业务主管任命;信息安全管理员由信息安全负责人任命;信息安全监察员由信息安全管理员任命。

第三章人员管理第八条信息安全现场管理应当实行全员参与的工作机制。

所有工作人员对信息系统安全负有直接责任。

第九条工作人员参与信息安全管理应当接受相应的信息安全培训,掌握有关信息安全的政策规定和操作规程。

第十条工作人员应当遵守信息安全管理规定,不得擅自外传、丢失、泄露、篡改、破坏信息。

第十一条工作人员在发现信息系统和信息有异常情况时,应当及时向信息安全负责人报告,积极配合处理。

第十二条工作人员应当妥善保管自己的工作账号和密码,不得将账号和密码透露给他人,并定期更改密码。

第十三条工作人员应当妥善保管工作中使用的存储介质、移动设备等信息设备,不得私自擅用。

第十四条工作人员在离岗或者离职时,应当及时交还工作单位提供的各类信息设备和文件等。

第四章系统管理第十五条工作单位应当建立健全信息系统管理制度,包括信息系统的安全运行、维护、监测、备份等工作。

入职信息安全管理制度内容

入职信息安全管理制度内容

入职信息安全管理制度内容第一章总则第一条为了加强公司对信息资产的保护,规范信息安全管理行为,制定本制度。

第二条本制度适用于公司内部所有员工、职工和外部合作伙伴。

第三条公司信息安全管理制度的宗旨是保护公司的信息资产,防范各种信息安全风险,确保信息的机密性、完整性和可用性。

第四条公司信息安全管理制度的核心目标是建立健全的信息安全管理体系,最大限度地保障公司信息资产的安全,确保公司的信息基础设施稳定可靠。

第五条公司信息安全管理制度的基本原则是依法合规、不偏不倚、权责一致、科学合理。

第二章信息资产管理第六条公司应当对其拥有的所有信息资产进行登记、分类、评估和分级保护,确保信息资产的安全性。

第七条公司应当建立完善的信息资产管理制度,包括信息资产的采集、存储、传输、处理和销毁等方面的要求。

第八条公司应当制定信息资产的风险评估制度,对信息资产的安全风险进行评估,采取相应的措施进行风险防范。

第九条公司应当对信息资产进行分类保护,并制定不同级别的保密措施,确保各级别信息资产的安全。

第十条公司应当建立信息资产的保护措施,包括技术防护措施、管理控制措施和监督检查措施等。

第三章信息安全责任第十一条公司应当建立健全的信息安全责任制度,明确信息安全管理的责任分工和权利义务。

第十二条公司应当明确相关岗位的信息安全责任,明确信息安全管理人员的职责和权限。

第十三条公司应当对信息安全违规的行为进行处罚,保障信息安全制度的执行。

第十四条公司应当对员工进行信息安全意识培训,提高员工的信息安全意识和保密意识。

第十五条公司应当定期组织信息安全演练,提高员工对信息安全事件的应急处理能力。

第四章信息系统管理第十六条公司应当建立健全的信息系统管理制度,确保信息系统的正常运行和安全性。

第十七条公司应当对信息系统进行分类管理,制定相应的网络安全保护措施。

第十八条公司应当加强对信息系统的安全防护和监测,发现并及时处理各类安全威胁。

第十九条公司应当加强对信息系统的授权访问管理,严格控制信息系统的访问权限。

信息安全等级保护管理办法(精)

信息安全等级保护管理办法第一章总则第一条为规范信息安全等级保护管理,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设,根据《中华人民共和国计算机信息系统安全保护条例》等有关法律法规,制定本办法。

第二条国家通过制定统一的信息安全等级保护管理规范和技术标准,组织公民、法人和其他组织对信息系统分等级实行安全保护,对等级保护工作的实施进行监督、管理.第三条公安机关负责信息安全等级保护工作的监督、检查、指导。

国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导.国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导.涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理。

国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调.第四条信息系统主管部门应当依照本办法及相关标准规范,督促、检查、指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。

第五条信息系统的运营、使用单位应当依照本办法及其相关标准规范,履行信息安全等级保护的义务和责任.第二章等级划分与保护第六条国家信息安全等级保护坚持自主定级、自主保护的原则。

信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。

第七条信息系统的安全保护等级分为以下五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益.第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全.第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。

信息安全管理方针和策略

制定并执行安全计划
根据组织实际情况,制定详细的安全计划,包括安全目标、措施、时间表等 ,并严格执行。
安全培训和意识提升
加强安全培训
定期组织信息安全培训和技能提升,提高员工对信息安全的认识和应对能力。
提升安全意识
通过宣传和教育,提高员工对信息安全的认识和意识,强化安全防范意识。
04
资产安全
资产分类和管理
政策制定和发布
制定信息安全政策
根据组织业务需求和法律法规 要求,制定全面的信息安全政 策,确保信息安全的合规性和
有效性。
审核与修订
定期评估和修订信息安全政策, 确保其与组织发展、业务变化和 法律法规的符合性。
发布与传达
通过正式渠道发布信息安全政策, 确保所有员工和相关方了解并遵守 。
标准和规范遵从
01
遵循国家和国际标准
遵循国家和国际信息安全标准和规范 ,如ISO 27001、NIST SP 800等。
02
合规性评估
定期评估Байду номын сангаас息安全标准和规范的合规 性,确保组织业务与法律要求的符合 性。
03
认证与认可
根据需要,可以寻求相关安全认证和 认可,以证明组织信息安全管理和技 术的专业性。
信息安全政策培训
信息安全管理方针和策略
xx年xx月xx日
contents
目录
• 信息安全管理目标和原则 • 安全政策和标准 • 组织安全 • 资产安全 • 信息安全风险评估和管理 • 信息安全事件应急响应 • 安全审计和监控 • 合规性和符合性
01
信息安全管理目标和原则
管理目标
确保信息的安全性和完整性
信息安全管理旨在确保信息的机密性、完整性和可用性,以避免信息泄露、篡改或破坏。

人员出勤信息安全管理

人员出勤信息安全管理在任何一个组织或企业中,对于员工的出勤信息安全管理至关重要。

这不仅涉及到员工工作的监督管理,更涉及到企业的安全稳定和信息保密的重要性。

在当前信息化的时代,人员出勤信息安全管理显得尤为重要。

首先,对于员工的出勤信息进行保密是非常重要的。

员工的出勤信息包含了个人的工作时间、工作地点等个人隐私信息,如果这些信息泄霩,将可能被利用来做违法犯罪活动或者对企业造成威胁。

因此,对于员工的出勤信息,企业应当建立完善的保密机制,严格管理出勤数据的访问权限,只有经过授权的人员才可以查看或修改员工的出勤信息。

其次,对于出勤信息的采集应当精准可靠。

现在很多企业都采用电子化系统来管理员工的出勤信息,这种方式相比传统的纸质考勤表更为简便高效,但也需要保证系统的稳定性和准确性。

在使用电子考勤系统时,企业要确保系统可以准确记录员工的上下班时间、加班情况等出勤信息,避免出现漏打卡、误打卡等问题。

另外,还应当建立定期检查和维护机制,确保系统运行正常。

另外,人员出勤信息需要进行合理使用。

企业在收集员工出勤信息的同时,要明确规定出勤信息的使用范围和目的,禁止将员工出勤信息用于其他非法用途。

员工的出勤信息仅限于用于工资结算、考勤管理、安全监督等正当用途,不得私自泄霩或用于其他商业目的。

维护员工的隐私权和信息安全是企业责无旁贷的义务。

最后,员工应当充分了解并配合企业的出勤信息安全管理工作。

员工应当积极遵守企业的出勤制度,按时按规定打卡、提交出勤情况,并且配合企业做好出勤信息的管理和保密工作。

同时,员工也可以通过相关渠道反馈出勤信息管理存在的问题和建议,共同营造出一个安全、和谐的工作环境。

综上所述,人员出勤信息安全管理是企业管理中的一项重要工作,需要企业管理者和员工共同努力。

企业要建立健全的出勤信息管理制度,保护员工的隐私权和信息安全,确保出勤信息的准确性和保密性。

员工要积极配合企业管理,共同维护企业的信息安全和稳定。

通过良好的出勤信息管理,企业才能更好地提升工作效率、保障信息安全、增强竞争力。

07-服务商管理办法

XXX股份有限公司XXX机房服务商管理办法版本管理服务商管理办法1总则第一条为加强XXX股份有限公司XXX机房提供服务的外部服务商管理,确保其所提供的服务满足信息安全要求。

2范围第二条XXX股份有限公司XXX机房所有外部服务商的安全管理均适用本规定,包括但不限于:信息安全产品提供、业务系统开发、系统集成、网络维护、风险评估、等级保护、信息安全管理体系建设等。

3职责第三条XXX制定、审查、修订本规程;并负责监督本规程的落实情况;第四条XXX负责制定和执行服务商信息安全服务的控制措施。

4管理细则4.1流程4.2资格审查第五条XXX股份有限公司XXX机房应从技术能力、企业经营管理能力和未来发展能力等方面信息安全服务商进行资格审查。

第六条技术能力审查第七条审查服务提供商提供的服务资质证书;主要安全服务设备装置情况。

主要服务人员资历表、履历表是否拥有对高新技术深入理解的技术专家和项目管理人员等。

第八条经营管理能力审查第九条对服务提供商提供的经营管理能力进行审查;近三年在类似行业的业绩表、在建工程一览表、最新的企业资产负债表。

了解服务商安全服务提供商的领导层结构、员工素质、客户数量、社会评价;考察服务提供商的项目管理水平,用户对服务提供商的服务满意程度。

第十条企业未来发展能力审查第十一条对服务提供商的发展能力进行审查。

分析安全服务提供商近年的发展规划,了解其发展能力与潜力;考察其从事相关业务的时间、市场份额等因素。

4.3服务商协议签署第十二条XXX股份有限公司XXX机房在识别、确定服务需求之后,要与服务提供商签署相关的合同及安全协议。

第十三条识别双方的权利与义务,根据网络技术部部外包服务的目标、范围和业务需要,以及相关的管理规定,来明确双方权利和义务。

第十四条识别与服务提供商有关的风险,识别服务提供商提供的服务对XXX股份有限公司XXX机房的哪些信息有风险,评估外包服务对XXX股份有限公司XXX机房的信息和信息处理设施造成的影响程度,并采取相应的措施处理这些风险,如提出对服务人员的安全要求,加强管理等。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息安全人员管理办法
1总则
为加强信息安全管理工作,保障xx系统正常运行,依据有关法律、法规及信息安全标准,特制定本办法。

本办法适用范围包括:xx系统信息安全管理人员及各重要岗位人员。

2人员职责及管理
2.1信息安全管理人员职责
1)负责信息安全管理的日常工作;
2)开展信息安全检查工作,对重要岗位人员安全工作进行指导和监督;
3)负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
4)开展信息安全知识的培训和宣传工作;
5)监控信息安全总体状况,提出信息安全分析报告。

及时向xx安全工作组报告信息安全事件。

2.2信息安全管理人员管理
1)信息安全人员在行使职责时,确因工作需要,经批准,可了解xx系统相关信息系统的机密
信息。

2)信息安全人员发现本单位重大信息安全隐患,有权向信息安全主管部门报告。

3)信息安全人员发现信息系统重要岗位人员使用不当,应及时建议有关单位、部门进行调整。

4)信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度,严守xx系统相关秘
密。

5)信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。

涉及xx系统
核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。

2.3重要岗位人员安全职责
1)信息系统重要岗位人员,是指与重要信息系统直接相关的安全主管、系统管理人员、网络管
理人员、数据库管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。

2)重要信息系统,是指涉及xx业务办理、安全系统等核心业务且有保密要求的信息系统。

2.3.1系统安全主管
1)负责系统的总体安全及运行策略;
2)负责制定系统的总体安全管理策略和相关岗位的管理制度;
3)负责制定总体安全工作规划,开展安全评价,编制各岗位的安全技术操作规程;
4)负责制定系统的应急预案;
5)了解系统运行现状,定期组织安全检查,及时发现事故隐患,随时向信息安全领导小组提出
事故隐患情况及整改建议;
6)根据系统运行的情况,定期对系统的安全现状进行评估并提出优化和建议方案;
7)制定各个业务岗位的绩效考核,保障系统的安全稳定运行;
2.3.2安全管理人员
1)负责执行系统的整体安全策略;
2)负责监督和检查安全策略和制度的执行情况;
3)针对系统运行中的违规行为进行监督,并提出整改意见和措施;
4)负责关键业务主机、网络设备、数据库系统超级管理员账号的管理;
5)负责系统重要资料的保管与管理;
6)定期进行系统的安全检查,并根据检查情况进行系统安全情况汇报;
7)监督执行运维操作规程,对违规操作进行记录和警告;
2.3.3网络管理人员
1)负责网络的运行管理,实施网络安全策略和安全运行细则;
2)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
3)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安
全事件;
4)定期对网络设备和网络环境进行巡检和检查;
5)对操作网络管理功能的其他人员进行安全监督。

2.3.4系统管理人员
1)负责系统的运行管理,实施系统安全运行细则;
2)严格用户权限管理,维护系统安全正常运行;
3)认真记录系统安全事项,及时向信息安全人员报告安全事件;
4)对进行系统操作的其他人员予以安全监督。

5)负责系统维护,及时解除系统故障,确保系统正常运行;
6)不得擅自改变系统功能;
7)不得安装与系统无关的其他计算机程序;
8)维护过程中,发现安全漏洞应及时报告信息安全人员。

2.3.5数据库管理员
1)负责数据库的正常运行,合理配置参数,严格控制用户访问权限,维护数据库正常运行;
2)负责管理数据库管理员的账号与密码,并按照安全策略定期进行更换;
3)负责执行总体安全策略的数据库备份策略,定期对数据库的信息进行备份和管理;
4)负责对数据库出现的问题或故障进行诊断,并进行故障排除、优化和调整;
2.3.6信息资产管理员
1)严格执行系统操作规程和运行安全管理制度;
2)详细记录现有信息系统以及相关服务器、数据库、操作系统的状态和情况;
3)及时向安全主主管汇报现有信息资产的最新情况;
2.3.7物理安全负责人
1)负责计算机机房的防火、防水、防静电、防雷击和防辐射等安全设施的管理;
2)负责对计算机机房的内部装修,落实电磁波防护等技术规范与技术要求;
3)负责计算机机房配电系统、空调系统的维护与管理;
4)负责计算机机房的进出口的控制机监控系统和门禁系统的维护与管理;
5)负责对本单位计算机机房及所属各部门计算机机房安全性的检查,发现问题或隐患及时提出
整改意见和书面报告
3重要岗位人员管理
各重要岗位人员必须严格遵守保密法规和有关信息安全管理规定。

重要岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工
作经历和工作经验考查等,合格者方可上岗。

重要岗位人员有责任保护信息系统的秘密,并以签署《保密协议》的方式作出安全承诺。

重要岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。

系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。

对重要岗位人员应实行定期考查制度,重要岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。

重要岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。

涉及公司业务保密信息的重要岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。

重要岗位人员离岗后,必须即刻更换操作密码或注销用户。

4第三方人员管理
1)第三方人员包括相关软件开发商、硬件供应商、系统集成商、设备维护商和服务提供商,以
及临时工作人员等。

2)应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性
质、范围、内容等方面的需要给予最低授权。

3)第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信
息内容,应要求其签署保密协议。

4)一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测以及其他软件的
安装等,不许接入自带的设备。

5)第三方人员的现场工作应在xx信息安全工作组有关人员的陪同和监督下完成。

第三方人员
自带设备接入信息系统应得到特别授权,其操作应受到审计。

6)第三方人员工作结束后,应及时清除有关账户、过程记录等信息。

5培训与教育
1)信息安全人员应定期参加下列信息安全知识和技能的培训:
信息安全法律法规及行业规章制度的培训;
信息安全基本知识的培训;
信息安全专门技能的培训。

2)信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。

3)应对xx系统相关人员定期进行基本的信息安全知识和技能的培训,并应注意培养信息安全
意识。

6人员考核
1)信息安全主管部门要定期对信息各岗位工作人员进行全面、严格的安全考核;
2)考核的内容包括:政治思想、业务水平、安全技能及安全认知等方面;
3)应对考核结果进行记录并保存;
4)对于考核合格者应予以表扬和奖励。

不合格的或违反安全法规行为的人员应教育、批评或处
罚。

5)对于发现不适于接触信息系统的人员要及时调离岗位,不应让其再接触系统。

6)信息安全人员及各重要岗位人员有责任保护信息系统的秘密,并以签署《保密协议》的方式
作出安全承诺。

7附则
本办法自发布之日起施行。