001网络安全关键岗位人员管理制度.docx
《001网络安全关键岗位人员管理制度.docx》由会员分享,可在线阅读,更多相关《001网络安全关键岗位人员管理制度.docx(5页珍藏版)》请在冰豆网上搜索。
001网络安全关键岗位人员管理制度
江西中磊支付科技有限公司
密级:
内部
江西中磊支付平台
网络安全关键岗位人员管理制度
文档编号:
V1.0
项目名称:
江西中磊支付平台
编写:
杨文辉
编写日期:
2014-4-15
审核:
李骏
审核日期:
2014-6-13
批准:
朱志龙
批准日期:
2014-6-17
江西中磊支付科技有限公司
2014年6月
修订记录
版本
日期
拟稿和修改
说明
草稿
2014-04-15
拟稿
V1.0
2014-06-17
正式签发文档
V
网络安全关键岗位人员管理制度
一、安全管理机构
1、岗位设置
a) 应设立信息安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责;
b) 应设立系统管理员、网络管理员、安全管理员等岗位,并定义各个工作岗位的职责;
c) 应成立指导和管理信息安全工作的委员会或领导小组,其最高领导由单位主管领导委任或授权;
d) 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。
2、人员配备
a) 应配备一定数量的系统管理员、网络管理员、安全管理员等;
b) 应配备专职安全管理员,不可兼任;
c) 关键事务岗位应配备多人共同管理。
3、授权和审批
a) 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等;
b) 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按照审批程序执行审批过程,对重要活动建立逐级审批制度;
c) 应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批人等信息;
d) 应记录审批过程并保存审批文档。
4、沟通和合作
a) 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通,定期或不定期召开协调会议,共同协作处理信息安全问题;
b) 应加强与兄弟单位、公安机关、电信公司的合作与沟通;
c) 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通;
d) 应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息;
e) 应聘请信息安全专家作为常年的安全顾问,指导信息安全建设,参与安全规划和安全评审等。
5、审核和检查
a) 安全管理员应负责定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况;
b) 应由内部人员或上级单位定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等;
c) 应制定安全检查表格实施安全检查,汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报;
d) 应制定安全审核和安全检查制度规范安全审核和安全检查工作,定期按照程序进行安全审核和安全检查活动。
二、人员安全管理
1、人员录用
a) 应指定或授权专门的部门或人员负责人员录用;
b) 应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;
c) 应签署保密协议;
d) 应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。
2、人员离岗
a) 应严格规范人员离岗过程,及时终止离岗员工的所有访问权限;
b) 应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;
c) 应办理严格的调离手续,关键岗位人员离岗须承诺调离后的保密义务后方可离开。
3、人员考核
a) 应定期对各个岗位的人员进行安全技能及安全认知的考核;
b) 应对关键岗位的人员进行全面、严格的安全审查和技能考核;
c) 应对考核结果进行记录并保存。
4、安全意识教育和培训
a) 应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训;
b) 应对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒;
c) 应对定期安全教育和培训进行书面规定,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训;
d) 应对安全教育和培训的情况和结果进行记录并归档保存。
附件(相关人员的管理制度):
第一节信息安全管理人员
第一条公司应选派政治思想过硬、具有较高计算机水平的人员从事信息安全管理工作。
凡是因违反国家法律法规和公司有关规定受到过处罚或处分的人员,不得从事此项工作。
第二条公司信息安全管理人员应经过总部组织的专业培训与审核,培训与审核合格后方可上岗。
上岗后,每年至少参加一次信息安全专业培训。
第三条公司信息安全管理人员在如下职责范围内开展本单位信息安全管理工作:
(一)组织落实上级信息安全管理规定,制定信息安全管理制度,协调部门计算机安全员工作,监督检查信息安全保障工作。
(二)审核信息化建设项目中的安全方案,组织实施信息安全保障项目建设,维护、管理信息安全专用设施。
(三)检测网络和信息系统的安全运行状况,检查运行操作、备份、机房环境与文档等安全管理情况,发现问题,及时通报和预警,并提出整改意见。
统计分析和协调处置信息安全事件。
(四)定期组织信息安全宣传教育活动,开展信息安全检查、评估与培训工作。
第四条信息安全管理人员在履行职责时,确因工作需要查询相关涉密信息,须经本单位主管同意后向保密工作委员会办公室提交申请,获得批准后方可查询。
第五条信息安全管理人员实行备案管理制度。
信息安全管理人员的配备和变更情况应及时报上一级运维部门备案。
信息安全管理人员调离原岗位时应办理交接手续,并履行其调离后的保密义务。
第二节部门计算机安全员
第六条各部门应指派素质好、较熟悉计算机知识的人员担任部门计算机安全员,并报本单位运维部门备案。
如有变更应做好交接工作,并及时通报运维部门。
第七条部门计算机安全员配合信息安全管理人员工作,并参加各项信息安全技能培训。
第八条部门计算机安全员在如下职责范围内开展工作:
(一)负责本部门计算机病毒防治工作,监督检查本部门客户端安全管理情况。
(二)负责提出本部门信息安全保障需求,及时与信息安全管理人员沟通信息安全信息。
(三)负责本部门国际互联网使用和接入安全管理,组织开展本部门信息安全自查,协助运维部门完成对本部门的信息安全检查工作。
第三节技术支持人员
第九条本规定所称技术支持人员,是指参与公司网络、计算机系统、机房环境等建设、运行、维护的内部技术支持人员和外包服务人员。
第十条公司内部技术支持人员在履行网络和信息系统建设和日常运行维护职责过程中,应承担如下安全义务:
(一)不得对外泄漏或引用工作中触及的任何敏感信息。
严格权限访问,未经业务主管部门授权不得擅自改变系统设置或修改系统生成的任何数据。
(二)主动检查和监控生产系统安全运行状况,发现安全隐患或故障及时报告本部门主管领导,并及时响应、处置。
(三)严格操作管理、测试管理、应急管理、配置管理、变更管理、档案管理等工作制度,做好数据备份工作。
第十一条外部技术支持人员应严格履行外包服务合同(协议)的各项安全承诺。
提供技术服务期间,严格遵守新生公司相关安全规定与操作规程,关键操作应经授权,并有新生公司内部员工在场。
不得拷贝或带走任何配置参数信息或业务数据,不得对外泄漏或引用任何工作信息。
第四节业务系统操作人员
第十二条本规定所称业务系统操作人员是指直接操作业务系统进行业务处理的业务部门工作人员。
第十三条业务系统操作人员应承担如下安全义务:
(一)严格规程操作,防止误操作。
定期修改操作密码并妥善保管,按需、适时进行必要的数据备份。
(二)发现业务系统出现异常及时报告运维部门。
(三)不得在操作终端上安装与业务系统无关的软件和硬件,不得擅自修改业务系统及其运行环境参数设置。
第十四条业务系统操作应按照“权限分散、不得交叉任职”原则,严格进行操作角色划分和授权管理。
技术支持人员不得兼任业务系统操作人员。
升级会员 