信息安全考核制度.docx

信息安全考核制度.docx

《信息安全考核制度.docx》由会员分享，可在线阅读，更多相关《信息安全考核制度.docx（10页珍藏版）》请在冰豆网上搜索。

信息安全考核制度

竭诚为您提供优质文档/双击可除

信息安全考核制度

　　篇一：

人员网络及信息安全管理规定

　　xxxx单位或公司企业标准

　　人员网络及信息安全管理规定

　　20xx-10-25发布20xx-11-01实施xxxx单位或公司发布

　　q/jyg/gl-xx-20-20xx.a

　　前言

　　本标准由xxxx单位或公司标准化管理委员会提出。

　　本标准由xxxx单位或公司xxxx部门起草并归口管理。

　　本标准主要起草人：

　　本标准由xxx批准。

　　本标准首次发布于20xx年10月25日,自本标准发布之日起，《信息系统操作人员安全管理规定》同时废除。

　　ii

　　人员网络及信息安全管理规定

　　1范围

　　为规范公司信息系统安全人员管理，保障公司信息安全，根据《信息安全等级保护管理办法》、《信息系统安全管理要求》（gb/t19715.2--20xx）以及公司相关规章制度，制订本规定。

　　本标准规定了本企业内部人员、第三方运维人员等安全管理的相关内容，包括工作岗位风险分级、人员审核、人员录用、保密协议、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。

　　本标准适用于本企业内部人员及第三方人员的管理与考核。

　　2规范性引用文件

　　无规范性引用文件，保留本条款的目的是保持本公司标准结构的一致，便于今后的修订。

3术语和定义

　　3.1人员安全

　　是指通过管理和控制，确保单位内部人员（特别是信息系统的管理维护人员）和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。

　　3.2第三方人员

　　是指来自外单位的专业服务机构，为本单位提供应用系统开发、网络管理和安全支持等信息技术外包服务的工作人员。

　　3.3安全教育和培训

　　是通过宣传和教育的手段，确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性，具备符合要求的安全意识、知识和技能，提高其进行信息安全防护的主动性、自觉性和能力。

4机构和职责

　　4.1信息化建设项目实施小组

　　4.1.1

　　4.1.2

　　4.1.3负责指导公司及两厂信息系统操作人员安全管理工作；负责执行公司信息安全检查及管理工作；研究国家和行业的信息安全政策法规，组织有关部门讨论来保证其符合性。

　　4.2人力资源部

　　4.2.1

　　4.2.2

　　4.2.3负责组织各部门编制部门所属员工的工作职能；负责员工的专业资质审查、招聘和岗位技能培训等；负责员工离职、调动的审查和批准等。

　　4.3xxxx部门

　　4.3.1负责检查各部门的信息安全工作落实情况；

　　4.3.2

　　4.3.3

　　4.3.4

　　4.3.5

　　4.3.6负责对人员在岗时的信息安全相关工作记录进行检查；负责对信息系统关键人员进行定期培训和考核工作；负责第三方人员信息安全管理工作；负责工作岗位风险状态分级及划分信息系统安全职责工作；负责普及信息安全防范意识，并针对信息安全违规事件向公司提出处理建议。

　　4.4其他部门

　　4.4.1

　　4.4.2

　　4.4.3

　　4.4.4负责接受信息安全教育和培训、以及配合定期的信息安全抽查工作；负责部门人员在岗时的信息安全管理；负责定期组织针对本部门信息系统工作人员的技能考核工作；负责部门人员在岗、离岗或调动后的资产管理及记录存档工作。

　　5人员安全管理

　　5.1人员录用

　　4.4.5

　　4.4.6信息化建设项目实施小组负责指导人力资源部信息安全工作人员的录用工作；人力资源部对拟录用信息系统岗位人员身份、背景、专业资格和资质等方面进行审查，并进行技能考核；

　　4.4.7人员录用前的审查标准为：

具有基本的专业技术水平，接受过安全意识教育和培训，能够掌握安全管理基本知识。

信息系统关键岗位人员还应具备较好的思想品质以及基本的系统安全风险分析、评估能力；

　　4.4.8从事关键岗位或负责核心系统、机房等重要区域的人员，须从内部人员选拨，应具备认真负责的工作态度、较高的职业道德水准；

　　4.4.9由人力资源部及xxxx部门对信息安全人员进行入职培训，包括信息安全规章制度的教育培训等，并将制度掌握等培训情况纳入到试用期考核。

　　5.2在职人员

　　5.2.1

　　5.2.2

　　5.2.3各部门领导负责本部门人员信息安全管理工作，确保岗位信息安全职责的落实；各部门应对人员领用资产的情况做相应记录，在人员归还信息资产时消除记录；xxxx部门定期组织抽查内部人员权限分配情况，如发现权限分配不合理，立即通知相关部门进行修改；

　　5.2.4xxxx部门信息系统管理员应严格执行相关操作手册，进行日常运维操作。

　　5.3人员调动

　　5.3.1

　　义务；

　　5.3.2工作人员内部调动至其他岗位时，在接到岗位调动通知后，应于一个月内依据调动程序工作人员岗位调动后，须办理严格的调动手续，关键岗位人员离岗须承诺调离后的保密办理工作资料、软硬件设备等移交手续；

　　5.3.3被调动人员持有原岗位钥匙、公司文件和设备等硬件资产由所在部门收回，并做好岗位交接记录；

　　5.3.4由被调动人员填写《信息系统权限变更表》，经原部门以及人力资源部审批后，上报至xxxx部门，由xxxx部门负责对其信息系统访问授权进行调整，并回收相关软件；

　　5.3.5

　　项；

　　5.3.6工作人员岗位调动后，还应承担原岗位的保密责任，参见附件《保密协议》。

工作人员信息系统权限变动后，xxxx部门须告知其信息安全责任的变化和新的注意事

　　5.4人员离职

　　5.4.1工作人员离职后，须办理严格的离职手续，管理层和关键岗位人员离职须承诺调离后的保密义务；

　　5.4.2

　　5.4.3

　　录；

　　5.4.4由离职人员填写《信息系统权限变更表》，经原部门及人力资源部审批后，上报至xxxx工作人员离职时，应于一个月内依据离职程序办理工作资料、软硬件设备等移交手续；由所在部门收回离职人员持有原岗位钥匙、公司文件和设备等硬件资产，并做好交接记部门，由xxxx部门负责删除其信息系统权限，并回收相关软件；

　　5.4.5工作人员离职后，须由xxxx部门进行安全审查，在规定的脱密期限后方可离职；涉密人员的脱密期限遵照有关保密规定签署书面保密承诺书，承诺调离后对原来工作中涉及信息的保密要求，参见《保密协议》。

　　5.5人员考核

　　5.5.1各部门每年组织一次针对本部门信息系统工作人员的定期考核，对各个岗位的人员进行不同侧重的安全认知和安全技能考核，作为人员是否适合当前岗位的参考；

　　5.5.2xxxx部门每年组织一次针对关键岗位人员的定期审查和技能考核，审查依据记录表格和操作日志，如发现其违反安全规定，应查明原因，令其做出整改承诺，严重者不得继续从事关键岗位工作。

　　5.6安全意识教育和培训

　　5.6.1xxxx部门应根据各岗位的信息安全角色和职责，制定该岗位所需的信息安全培训计划，并对安全教育和培训情况及结果进行记录。

培训内容包括安全意识教育、岗位技能培训和相关安全技术培训；

　　5.6.2xxxx部门应在工作人员被授予访问权限之前，依据其安全角色和职责，进行针对性的安全教育和安全培训；

　　5.6.3信息安全培训内容包括但不仅限于以下几方面：

　　1）信息安全基础知识、岗位操作规程、信息系统使用规范；

　　2）公司信息安全方针、策略与信息安全目标的宣贯培训；

　　3）信息安全专题培训（如病毒防范培训、访问控制培训、等级保护培训等）；

　　篇二：

xxxx公司it外包服务人员信息安全考核办法

　　xxxx公司it外包服务人员信息安全考核办法

　　为加强对公司it外包人员信息安全的管理，考核it外包人员信息安全实施情况，保障公司业务连续性、可靠性发展，特制定本办法。

　　一、信息安全管理细则

（一）外包工程师须严格遵守开行总分行的安全管理规范。

（二）公司it外包工程师须与分行签订保密协议。

　　（三）对需要保密的技术资料、数据应加强保管，避免无关人员接触。

　　（四）不得擅自向外传播和介绍客户和项目情况。

　　（五）明确职责，对于非本人工作职权范围内的机密，做到不打听、不猜测，不参与小道消息的传播。

　　（六）非经发放部门或文件管理部门允许，外包人员不得私自复印和拷贝有关文件。

　　（七）树立保密意识，涉及开行秘密的书籍、资料、信息和成果，应妥善保管，若有遗失或失窃，应立即向公司主管领导汇报。

　　（八）发现其他员工有泄密行为或非本公司人员有窃取机密行为和动机，应及时阻止并向公司主管领导汇报。

　　（九）不在非工作计算机设备中存放涉及公司秘密的文件。

　　二、信息安全事件的定义

（一）一般事件：

较为严重的安全违规情况，造成10万元以内的直接/间接经济损失，但未对公司核心等关键业务/对外服务造成直接影响的安全事件；

（二）严重事件：

对公司部分核心等关键业务开展造成影响，直接/间接经济损失10万元以上、50万　　

元以内的，在行内进行通报的，但能够及时控制范围，尚未在外界造成负面影响的事件；

　　（三）重大事件：

对公司业务开展造成严重影响，直接/间接经济损失50万元以上的；社会影响恶劣，损害公司声誉乃至国家形象的；违反国家信息安全相关法律、法规，受到外部监管机构通报的事件。

　　三、信息安全考核办法

　　信息安全考核采用打分形式评估，满分为100分。

当年发生1次及以上重大安全事件，扣100；当年发生严重安全事件，每次扣50；当年发生一般安全事件，每次扣20；发现与一个《细则》不符事项，扣2分，情节严重的，可加倍扣分。

以上考核每半年一次，考核结果通报外包服务商。

　　篇三：

信息化考核制度

　　崇州市燎原小学

　　信息化建设管理制度

　　第一章燎原小学信息化建设管理制度

　　总则

　　为了保障燎原小学校园网络系统安全、促进校园数字化应用和发展、保证校园网络的正常运行，为我校师生提供一个先进、可靠、安全的计算机网络教学、科研和办公环境，促进学校与外界的信息交流、资源共享和科研合作，制定本管理条例。

　　第一节管理组织机构

　　第一条校园网管理小组由学校校长、分管副校长、教导处和信息技术教师等组成，下设校园网络信息安全小组。

　　第二条校园网管理小组的主要职责是：

　　1、负责制定我校计算机校园网及信息化建设的中长期发展规划；

　　2、统筹入网部门与校园网中心主结点的联接；

　　3、监督校园网的运行及网络安全、保密事宜；

　　4、研究和审定校园网建设和运行中的重大决策。

　　第三条校园网信息安全小组由分管领导牵头，各室主要负责人为本室的网络安全责任人。

　　第四条信息技术教师在校园网管理小组指导下开展具体工作，负责校园网的短期规划、建设、日常技术运行管理。

　　第五条校园网的信息安全稽查工作由校长办公室负责。

　　第二节应用安全管理

　　第六条学校园网信息安全由校园网信息安全小组负责。

　　第七条学校任何室和个人不得利用校园网络从事危害国家安全、泄露国家机密的活动，不得危害计算机网络及信息系统的安全。

　　第八条校园网出口处应安装防火墙以便对有害连接和有害信息进行记录和过滤。

所有提供公开服务的计算机上均应安装病毒防火墙和入侵检测系统，对网络连接进行记录。

　　第九条校园网用户必须自觉接受并配合校园网管理小组进行的监督检查以及所采取的必要措施。

　　第十条配备的防病毒软件必须是经过公安部门认证的产品。

对防病毒软件必须及时进行升级和更新。

　　第十一条任何连入校园网络的计算机均须安装病毒防火墙。

重要部门的计算机，如财务管理系统、财产管理系统、图书管理系统等，应当做到专机、专人、专管、专用，避免交叉使用。

　　第十二条严禁使用来历不明的光盘、软盘、硬盘及其它移动存储器。

对