人员离岗离职信息安全管理制度
1、为规范我局计算机信息安全工作,保证内部计算机与网络信息安全,适应信息安全等方面的需要,防止计算机网络失密泄密事件发生,特制定本制度;
2、工作人员离岗离职时,有关部门应即时取消其计算机涉密信息系统访问授权。工作人员离岗离职之后,仍对其在任职期间接触、知悉的属于我局或者虽属于第三方但本单位承诺或负有保密义务的秘密信息,承担如同任职期间一样的保密义务和不擅自使用的义务,直至该秘密信息成为公开信息,而无论离职人员因何种原因离职。
3、离职人员因职务上的需要所持有或保管的一切记录着本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体,均归我局所有,而无论这些秘密信息有无商业上的价值。
4、离职人员应当于离职时,或者于我局提出请求时,返还全部属于我局的财物,包括记载着我局秘密信息的一切载体。若记录着秘密信息的载体是由离职人员自备的,则视为离职人员已同意将这些载体物的所有权转让给本单位,我局应当在离职人员返还这些载体时,给予离职人员相当于载体本身价值的经济补偿;但秘密信息可以从载体上消除或复制出来时,可以由我局将秘密信息复制到本单位享有所有权的其他载体上,并把原载体上的秘密信息消除,此种情况下离职人员无须将载体返还,我局也无须给予离职人员经济补偿。
5、离职人员离职时,应将工作时使用的电脑、u盘及其他一切存储设备中关于工作相关或与我局会有利益关系的信息、文件等内容交接给本部门领导,不得在离职后以任何形式带走相关信息。
第二篇:信息安全管理制度
信息安全管理组织机构和人员职责管理
办法
[日期:20xx-12-18] 作者: 浏览:1812
第一章 总则
第一条 为加强海南电网公司信息安全管理工作,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,特制定本办法。
第二条 本办法适用于海南电网公司(以下简称公司)本部、分公司,以及直属各单位的信息安全组织机构和人员职责的管理。其他联网单位参照执行。
第二章 信息安全领导小组
第三条 公司成立信息安全领导小组。领导小组是信息安全的最高决策机构,下设办公室挂靠在公司信息中心,负责信息安全领导小组的日常事务。
第四条 信息安全领导小组下设两个工作组:
信息安全工作组
应急处理工作组
第五条 信息安全领导小组的职责主要包括:
根据国家和行业有关信息安全的政策、法律和法规,批准公司信息安全总体策略规划、管理规范和技术标准;
确定公司信息安全各有关部门工作职责,指导、监督信息安全工作。
第三章 信息安全工作组
第六条 信息安全工作组组长由公司信息中心的负责人担任。
第七条 信息安全工作组的主要职责包括:
贯彻执行公司信息安全领导小组的决议,协调和规范公司信息安全工作; 根据信息安全领导小组的工作部署,对信息安全工作进行具体安排、落实; 组织对重大的信息安全工作制度和技术操作策略进行审查,拟订信息安全总体策略规划,并监督执行;
负责协调、督促各职能部门和有关单位的信息安全工作,参与信息系统工程建设中的安全规划,监督安全措施的执行;
组织信息安全工作检查,分析信息安全总体状况,提出分析报告和安全风险的防范对策;
负责接受各单位的紧急信息安全事件报告,组织进行事件调查,分析原因、涉及范围,并评估安全事件的严重程度,提出信息安全事件防范措施;
及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。 跟踪先进的信息安全技术,组织信息安全知识的培训和宣传工作。
第四章 应急处理工作组
第八条 应急处理工作组组长由公司信息中心的主要负责人担任。
第九条 应急处理工作组的主要职责包括:
审定公司网络与信息系统的安全应急策略及应急预案;
决定相应应急预案的启动,负责现场指挥,并组织相关人员排除故障,恢复系统;
每年组织对信息安全应急策略和应急预案进行测试和演练。
第五章 各分公司及直属单位信息安全工作常设机构及人员
第十条 各分公司及直属单位应指定分管信息的单位领导负责本单位信息安全管理,并配备信息安全技术人员,有条件的应设置信息安全工作小组或办公室,对海南电网公司信息安全领导小组和工作小组负责,落实本单位信息安全工作和应急处理工作。
第六章 信息安全人员基本要求
第十一条 信息安全管理人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
第十二条 信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历,具备专科以上学历。
第十三条 违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作。
第七章 信息安全人员管理
第十四条 信息安全人员的配备和变更情况,应向上一级单位报告、备案。 第十五条 信息安全人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务。涉及海南电网业务核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。
第八章 信息安全人员职责范围
第十六条 信息安全人员应履行以下职责:
负责信息安全管理的日常工作;
开展信息安全检查工作,对要害岗位人员安全工作进行指导和监督;
负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
开展信息安全知识的培训和宣传工作;
监控信息安全总体状况,提出信息安全分析报告;
及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。
第十七条 信息安全人员在行使职责时,确因工作需要,经批准,可了解涉及电力生产、经营与管理有关的信息系统的机密信息。
第十八条 信息安全人员发现本单位重大信息安全隐患,有权向上级机构信息安全主管部门报告。
第十九条 信息安全人员发现信息系统要害岗位人员使用不当,应及时建议有关单位、部门进行调整。
第二十条 信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度,严守公司商业秘密。
第九章 要害岗位人员管理
第二十一条 信息系统要害岗位人员,是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。
第二十二条 重要信息系统,是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。
第二十三条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
第二十四条 要害岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺。
第二十五条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。
第二十六条 对要害岗位人员应实行定期考查制度,要害岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。
第二十七条 要害岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务 。涉及公司业务保密信息的要害岗位人员调离单位,必须进行离岗审计,在规定的脱密期后,方可调离。
第二十八条 要害岗位人员离岗后,必须即刻更换操作密码或注销用户。
第十章 要害岗位安全责任
第二十九条 系统管理员安全责任
负责系统的运行管理,实施系统安全运行细则;
严格用户权限管理,维护系统安全正常运行;
认真记录系统安全事项,及时向信息安全人员报告安全事件;
对进行系统操作的其他人员予以安全监督。
第三十条 网络管理员安全责任
负责网络的运行管理,实施网络安全策略和安全运行细则;
安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行; 监控网络关键设备、网络端口、网络物理线路,防范黑客入侵,及时向信息安全人员报告安全事件;
对操作网络管理功能的其他人员进行安全监督。
第三十一条 系统开发员安全责任
系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现; 系统投产运行前,应完整移交系统源代码和相关涉密资料;
不得对系统设置“后门”;
对系统核心技术保密。
第三十二条 系统维护员安全责任
负责系统维护,及时解除系统故障,确保系统正常运行;
不得擅自改变系统功能;
不得安装与系统无关的其他计算机程序;
维护过程中,发现安全漏洞应及时报告信息安全人员。
第三十三条 业务操作员安全责任
严格执行系统操作规程和运行安全管理制度;
不得向他人提供自己的操作密码;
及时向系统管理员报告系统各种异常事件。
第三十四条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第十一章 第三方人员管理
第三十五条 第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。
第三十六条 应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第三十七条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
第三十八条 一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等,不许接入自带的设备。
第三十九条 第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。
第四十条 第三方人员工作结束后,应及时清除有关账户、过程记录等信息。 第十二章 培训与教育
第四十一条 信息安全人员应定期参加下列信息安全知识和技能的培训:
信息安全法律法规及行业规章制度的培训;
信息安全基本知识的培训;
信息安全专门技能的培训。
第四十二条 信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第四十三条 应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训,并应注意培养信息安全意识。
第十三章 附则
第四十四条 本办法由海南电网公司信息中心负责解释。
第四十五条 本办法自发布之日起施行。