2022年最新基层单位信息系统安全等级保护三级管理制度-信息系统安全人员及培训管理规定 .pdf

《2022年最新基层单位信息系统安全等级保护三级管理制度-信息系统安全人员及培训管理规定 .pdf》由会员分享，可在线阅读，更多相关《2022年最新基层单位信息系统安全等级保护三级管理制度-信息系统安全人员及培训管理规定 .pdf（4页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、精品文档精品文档版本号： 1.0. 0423 信息系统安全人员及培训管理规定第一章 总则第一条为了进一步规范我单位信息系统安全人员及培训的管理工作，根据信息安全等级保护管理办法 、 信息系统安全管理要求 （GBT 20269-2006）和其他有关法律法规的规定，结合本单位实际，特制定本规定。第二条 本规定适用于我单位信息系统安全人员及培训管理工作，包括人员录用、人员离岗、人员考核与审查、教育和培训、第三方人员的管理工作。第三条 我单位信息系统安全工作人员包括安全管理员、管理中心安全主管、技术管理人员、重要业务应用操作人员；其中技术管理人员属于关键岗位人员，包括系统管理员、数据库管理员、网络管理

2、员、系统开发人员和系统维护人员。第二章人员录用第四条 信息安全领导小组秘书长负责指导人事部门对安全工作人员的录用工作。应对拟录用人员进行身份、背景、专业资格和资质等方面的审查，并进行技能考核，合格者需签署保密协议方可上岗。第五条 人员录用前的审查标准为：具有基本的专业技术水平，接受过安全意识教育和培训， 能够掌握安全管理基本知识； 对信息系统关键岗位的人员还应具备较好的思想品质；安全管理员应具有基本的系统安全风险分析和评估能力。第六条重要区域或部位的安全管理员一般可从内部符合条件的人员中选拔，应具备认真负责的工作态度、能够保守工作秘密。第三章人员离岗第七条 人事部门应及时把被解雇的、退休的、辞

3、职的或其他原因离开的人员情况书面函告信息系统安全管理中心，非紧急离开人员应提前2 个工作日函告；管理中心接到函告后应立即停止其对信息系统的所有访问权限、更改其使用的超级用户密码；应收回其所有相关证件、徽章、密钥、访问控制标记等，并收回机构提供的设备等。第八条 管理层和信息系统关键岗位人员调离岗位，必须签署书面保密承诺名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 4 页 - - - - - - - - - 精品文档精品文档书，承诺其调离后对原来工作中涉及信息的保密要求；必

4、须进行离岗安全审查，在规定的脱密期限后， 方可调离；必须经人事部门严格按照人事管理规定办理调离手续。第九条 涉密人员的脱密期限遵照有关保密规定；非涉密人员的脱密期限一般为 30 天。第四章 人员考核与审查第十条 应每半年组织一次针对信息系统安全工作人员的定期考核，对各个岗位的人员进行不同侧重的安全认知和安全技能的考核，作为人员是否适合当前岗位的参考；考核方式包括书面考题、实际操作。第十一条应每半年组织一次针对关键岗位人员的定期审查，审查依据记录表格和操作日志，如发现其违反安全规定，应查明原因，令其做出整改承诺；严重者不得继续从事关键岗位工作。第十二条对关键岗位人员的工作，每年终进行安全考核，年

5、终考核通过对定期考核、 定期审查的结果进行审查， 考核结果存档保留， 以保证安全管理的有效性。第五章教育和培训第十三条应每半年组织一次针对信息系统安全工作人员的信息安全教育和培训，包括信息安全意识的培养教育和安全技术培训。第十四条教育和培训应让安全工作人员知晓信息的敏感性和信息安全的重要性，培养安全意识， 认识其自身的责任和安全违例会受到纪律惩罚，以及应掌握的信息安全基本知识和技能。第十五条针对不同岗位，制定不同的专业培训计划，包括信息安全基础知识、安全政策、岗位操作规程、安全技术、安全标准、安全要求、法律责任和业务控制措施等。第十六条应制定并实施安全教育和培训计划，计划由安全管理员组织制定名

6、师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 4 页 - - - - - - - - - 精品文档精品文档并牵头实施， 列入年度计划和考核工作之中。 教育和培训的情况和结果进行记录并归档保存。第六章 第三方人员管理第十七条第三方人员是指外包项目的承接单位、供货公司等外单位的硬件和软件开发维护人员， 咨询人员， 临时性的短期职位人员， 以及辅助人员和外部服务人员等。 第三方人员非因工作需要不得进入计算机房，不得对重要信息系统进行维护性逻辑访问。第十八条第三方人员进入计算机房

7、需要得到安全管理员的书面批准，并有专人负责全程陪同、 有书面申请、 批准和过程记录， 应划定范围并有专人全程监督或陪同；进行逻辑访问应使用专门设置的临时账户，并进行审计。第十九条计算机房中的在关键区域，一般不允许第三方人员进入；已经正式运行的重要信息系统，一般不允许第三方人员进行逻辑访问。第七章 沟通和合作第二十条应加强各类管理人员之间、内部机构之间以及信息安全职能部门内部的合作与沟通， 对于重大问题应及时召开协调会议，共同协作处理信息安全问题。第二十一条应加强与外单位的合作与沟通，及时获取最新安全动态与保护技术。第二十二条应在必要时邀请或聘用信息安全专家，对我单位的信息系统安全方面提出建议；

8、也可组织专家参与安全威胁的评估， 提供安全控制措施的建议，进行信息安全有效性评判，对安全事件给予专业指导和原因调查。第二十三条对外沟通和合作过程中可以提供必要的内部信息，但事先应经名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 4 页 - - - - - - - - - 精品文档精品文档过安全管理员的书面批准， 在提供内部信息的同时应告知这些信息的敏感性和保密性，并应采取必要的安全措施，保证提供的信息在安全可控的范围内。第八章 附则第二十四条本规定由单位信息安全领导小组负责解释。第二十五条违反本规定，发生信息安全事件的， 按照事件造成的损失和后果，依据国家有关法律法规进行处罚。第二十六条本规定自发布之日起施行。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 4 页 - - - - - - - - -