第一条 为了进一步规范学院信息系统安全人员管理,保障信息安全,根据《信息安全等级保护管理办法》、《信息系统安全管理要求》(GBT 20269-2006)和其他有关法律法规的规定,结合学院实际,特制定本制度汇编。
第二条 本制度适用于学院信息系统安全人员管理工作,包括人员录用、人员离岗、人员考核与审查、教育和培训、外部人员访问的管理工作。
第三条 信息系统安全工作人员包括安全管理员、系统管理员、网络管理员、数据库管理员、机房管理员、重要业务应用操作人员等;其中关键岗位人员指系统管理员、数据库管理员、网络管理员、系统开发人员和系统维护人员。
第四条 电教网络中心的人员招聘、录用工作由人事部门负责,有专门的录用考试。
第五条 人员录用前的审查标准为:
(一) 具有的基本的专业技术水平,接受过安全意识教育和培训,能够掌握安全管理基本知识。
(二) 对信息系统关键岗位的人员应注意思想品质方面的考察。
(三) 安全管理员应具有基本的系统安全风险分析和评估能力。
第六条 人事部门应对拟录用信息安全人员进行详细的背景调查,包括被录用人的身份、背景、学历、专业资格和资质等内容进行审查,技能考核等,合格者需签署保密协议,对其经历背景确认无误后才可办理录用手续。
第七条 人事部门要保存所有人员安全审查记录,详细记录审查内容和审查结果等内容。
第八条 电教网络中心聘用人员需签订《劳动合同》、保密协议及其他方面条款,并保存所有与被录用人员签署的保密协议,保密协议至少包括保密范围、保密责任、违约责任、协议有效期限和责任人签字等内容。
第九条 对从内部人员中选拔的从事关键岗位的人员,应签署岗位安全协议,并保存所有与从事关键岗位人员签署的岗位安全协议,至少包括安全保密义务、违约责任、协议有效期限和责任人签字等内容。
第十条 对电教网络中心新入职人员进行入职培训时,应加强信息安全规章制度的教育培训,将制度掌握及执行情况纳入试用期考核。
第十一条 重要区域的安全管理员一般可从内部符合条件的人员中选拔,应具备认真负责的工作态度、能够保守工作秘密。
第十二条 电教网络中心应对被录用人所具有的技术技能进行考核,保存人员考核记录,详细记录考核内容和考核结果等内容。
第十三条 离岗人员包括被解雇的、退休的、辞职的或其他原因离开的人员。
第十四条 电教网络中心人员离职时,人事部门安排离职员工与指定同事进行工作移交,所有移交工作须有详细的书面记录,确保资料移交全面、移交后的工作能够顺利进行。
第十五条 离职人员持有所发工作证件、钥匙、徽章等以及部门提供的软硬件设备,应退还至部门,并及时终止离岗人员的所有访问权限,访问权限至少包括物理访问权限、网络设备访问权限、操作系统访问权限、数据库访问权限、应用系统访问权限、用户终端访问权限等。
第十六条 电教网络中心人员内部调动至其他岗位时,在接到岗位调动通知后,应于规定的日期内依据调动程序办理好工作及资料的移交手续后才能前往新岗报到。
第十七条 电教网络中心人员离职后应严格执行《劳动合同》所约定的保密条款,关键岗位人员离岗须签订《离岗保密协议》后方可离开,并保存与调离人员签署的保密承诺书。
第十八条 电教网络中心负责对技能的考核工作,每年对各个岗位的人员至少进行一次安全技能、安全认知及信息安全等级保护相关内容的考核,所产生的考核文档和记录,应详细记录考核内容和考核时间等内容。
第十九条 每年对关键岗位人员至少进行一次全面、严格的安全审查和技能考核,如:要求关键岗位人员参加专业的信息安全培训、职业资格认证、信息安全等级保护培训班等;所产生的考核文档和记录,应详细记录考核内容和考核时间等内容。
第二十条 每年对各个岗位的人员至少进行一次安全审查(如:人员背景审查),对关键岗位人员应有特殊的审查内容(如:人员信用审查),保存人员安全审查记录,详细记录审查内容和审查结果等内容。
第二十一条 如发现其违反规定,应查明原因,令其做出整改承诺;严重者不得继续从事关键岗位工作。
第二十二条 人事部门负责安全意识教育和培训工作,每年底对各部门次年安全教育培训需求进行征询,根据各部门人员培训需求制定安全教育培训计划,可针对不同岗位制订不同的培训计划,明确培训方式、培训对象、培训内容、培训时间和地点等方面内容,培训内容至少包括信息安全基础知识、岗位操作规程、信息安全等级保护政策法规、信息安全等级保护技术知识等。
第二十三条 其中信息安全基础知识、岗位操作规程、信息安全等级保护政策法规、信息安全等级保护技术知识的培训应至少每年一次。
第二十四条 教育和培训应让安全工作人员知晓信息的敏感性和信息安全的重要性,培养安全意识,认识其自身的责任和安全违例会受到纪律惩罚,以及应掌握的信息安全基本知识和技能。
第二十五条 安全意识教育和培训的时间每季度不少于一次。其主要内容包括:
(一) 党和国家及地方有关安全生产方针、政策、法规、标准、规章制度、法制观念和要求;
(二) 安全基础知识、消防知识等;
(三) 电教网络中心的各项规章制度和要求;
(四) 工程项目的特点、重大危险源(风险)的识别分布及主要管理和技术控制措施。
(五) 安全纪律及文明工作要求。
第二十六条 应对各个岗位人员进行安全教育和培训,保存安全教育和培训记录,详细记录培训人员、培训内容、培训结果等内容。
第二十七条 对违反工作协议的行为要明确具体的安全责任和惩戒措施。
第二十八条 计算机应用、维护及操作人员违反规定的,给予处罚或者警告至降级处分;造成严重后果的,给予撤职至开除处分。
第二十九条 对擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的,给予有关责任人员记过至撤职处分;造成严重后果的,给予有关责任人员留用察看至开除处分。
第三十条 利用计算机进行违法违规活动或者为违法违规活动提供条件的,给予有关责任人员记过撤职处分;造成严重后果的,给予留用至开除处分。
第三十一条 对违反规定,有下列危害网络安全行为之一的,给予有关责任人员处罚或者警告至记过处分;造成严重后果的,给予记大过至开除处分:
(一) 对使用与业务无关的软件或者利用通讯手段非法侵入其他系统和网络的(含从一个业务系统进入另一个业务系统,从学院以外的系统和设备侵入业务网络系统,以及从学院业务网络系统进入单位以外的网络系统);
(二) 未经审批,私自使用学院内部网络上的计算机拨号上国际互联网的;
(六) 未经审批,私自在网络系统内开设游戏网站、论坛、聊天室等与工作无关的网络服务的;
第三十二条 利用电教网络中心的计算机设备和网络系统制造、传播计算机病毒,给予有关责任人员记过至记大过处分;造成严重后果的,给予有关责任人员降级至开除处分。
第三十三条 机房值班人员擅自离岗的,给予处罚或者警告处分;造成严重后果的,给予记过至开除处分。
第三十四条 系统管理和操作人员离开主机或者终端时没有按操作规程退出系统的,给予处罚或者警告至记过处分;造成严重后果的,给予记大过至开除处分。
第三十五条 违反规定将属于学院的计算机软件、文档、资料、客户信息等据为己有、复制或者借给外单位的,给予有关责任人员记过至撤职处分;造成严重后果的,给予留用察看至开除处分。
第三十六条 未按规定进行数据备份、没有妥善保管备份数据或备分数据无效的,给予有关责任人员处罚或者警告至记过处分;造成严重后果的,给予记大过至开除处分。
第三十七条 在计算机信息系统安全保护工作中成绩显著的个人,由学院给予表彰、奖励。
第三十八条 若发生过违反制度规定造成的信息安全事件,应对事件责任人进行查处,保存安全事件查处记录。
第三十九条 外来人员访问重要区域(如访问机房、重要服务器和设备)时,应提出书面申请,经相关负责人批准后,由专人全程陪同,并保存外部人员访问重要区域的登记记录,详细记录外部人员访问重要区域的进入时间、离开时间、访问区域、访问设备或信息及陪同人等内容。
第四十条 系统机房重地24小时有专人值班,外人未经允许不得进入机房重地,进出必须登记,实行交接班制度,并做好记录。
第四十一条 与工作无关的物品不得带入机房重地,携带工作必需品进入机房必须登记,并接受检查。
第四十二条 外来人员不得进入工作区域,参观、学习和办事者必须经领导批准,由接待人员安排接待。
第四十三条 本制度由学院电教网络中心负责解释。
第四十四条 本制度自公布之日起执行。
附件1 录用人员审查记录表
姓 名 | 性 别 | 免冠照片 | ||||||||
出生年月 | 政治面貌 | |||||||||
最高学历 | 身份证号 | |||||||||
电话 | 职称 | |||||||||
地址 | 邮编 | |||||||||
现有资质 | ||||||||||
拟聘用部门 | 岗位 | |||||||||
技能考核 结果 | 考核人 | |||||||||
教育背景(从大专填写) | ||||||||||
时 间 | 院 校 名 称 | 专业方向 | 见证人 | |||||||
工作经历 | ||||||||||
时间 | 单位名称 | 职务\职称 | 见证人 | |||||||
资料审查 | ||||||||||
审查结果 | 审查人 | |||||||||
附件2
关键岗位安全协议
甲方:
乙方: 身份证号:
为保护山西林业职业技术学院的合法权益,同时依法保护员工的合法权益,甲乙双方本着公平、公正的原则,经过双方友好协商,一致同意就以下条款达成协议,共同遵照执行。
第一章 术语定义
第一条 本协议所指之“资料” 为甲方认定的属机密或绝密的装置,文件,图片,说明书,用户手册,磁带,光盘及任何其它以物理形式记录的图文内容。
第二条 本协议所指之“信息”包括通过讨论,评估,交谈等获得的非文字内容。
第三条 本协议所指之“第三方”为签署本协议的甲、乙方之外的任何一方。甲方的上级单位,下属单位,协作单位,甲方单位的其他员工,甲方之外的其它任何组织、人员等,在本协议中均被认为是第三方。
第四条 本协议所指之“关键岗位”为掌握、保管或使用甲方认定的属机密或绝密的资料和信息的岗位。
第二章 责任
第五条 甲方聘用乙方任职 岗位,并向乙方提供必要的资料和信息。
第六条 乙方在 岗位工作过程中掌握、保管或使用的资料和信息属于甲方所有,乙方并不因为资料的持有而拥有资料中所包含的著作权,专利权和其它知识产权。
第七条 乙方在“保密期限”内,未经甲方以书面方式授权或同意,乙方不得将甲方提供之资料以任何形式,如口头,书面,影印,复制,摄像,传阅或其它类型方式,转给第三方。
第八条 乙方在“保密期限”内,未经甲方以书面方式授权同意,无论出于盈利还是非盈利的目的,乙方均不得将甲方提供之资料出售或转让给第三方。
第九条 乙方在“保密期限”内,对所掌握、保管或使用的所有资料或信息负有保密责任。乙方保证将该资料和信息的传播限制在经甲方书面授权的人员范围内,不得将资料或信息扩散到甲方书面授权的范围之外。
第十条 乙方发现资料已经泄漏或者可能泄漏时,应当立即采取补救措施并及时报告给甲方。
第十一条 甲方有权对乙方通过工作用计算机等方式向外发送的资料或信息进行定期或不定期的监督检查,乙方应予以配合。
第十二条 乙方提出辞职请求后,甲方有权将乙方调离特殊安全岗位,并经过脱密期后,乙方方可离开甲方。脱密期时间期限为1-6个月,乙方提出辞职后甲方根据实际工作需要确定。
第十三条 任何时候,应甲方的书面要求,乙方有责任将甲方所属之资料完整退还,包括其所有复制品及含有资料和信息任何内容的所有文件、物品,并向甲方发出正式的书面确认函。如果该保密资料及复制品或上述文件或物品属于不能归还的形式、或已经复制或转录到其他资料中,则应销毁或删除,并向甲方提供销毁或删除的证明。乙方不得以任何理由留存这些资料及复制品。
第十四条 除按本协议授权的方式和范围掌握、保管或使用资料和信息外,甲方对资料和信息无明示或暗示的许可授予乙方。
第三章 义务
第十五条 甲方提供的资料和信息如属下列范围的不在保密之列:
1. 乙方经合法渠道获取的已公开的资料和信息;
2. 在不违反本协议内容的条件下从第三方获得的资料和信息;
3. 已成为众所周知的资料和信息;
4. 甲方已通过论文,报刊或新闻媒介公诸于世的资料和信息;
5. 经甲方书面授权明确批准公开发布的资料和信息。
第十六条 在本协议第二十条规定的“保密期限”内,乙方有义务对甲方提供的资料和信息实施本协议各条款规定的保密责任。
第四章 纠纷
第十七条 因乙方违反本协议的条款,并因此而造成严重后果,或经济损失,乙方负责承担一切后果和赔偿甲方全部经济损失。
第十八条 本协议受中华人民共和国法律管辖。如因本协议之内容产生纠纷时,双方应首先协商解决。协商解决不了的,任何一方可将因本协议引起的或与本协议有关的任何争议,提交仲裁进行仲裁。仲裁裁决是终局的,对双方均有约束力。如果乙方违反本协议,乙方同意支付甲方因争取执行其在本协议项下的权利而发生的一切合理费用和开支(包括仲裁费用和律师费用)。
第五章 期限
第十九条 本协议经双方协商同意。自双方签署之日起生效。
第二十条 “保密期限”是自乙方签署本协议之日起,至乙方调离甲方的关键岗位伍(5)年止,或至按照第十五条所述,资料和信息不再具有保密性质之日为止。以上述两期限最先届满之日为准。
第二十一条 若本协议涉及的资料或信息已公开或甲方认为已失去保密意义,本协议自动失效,同时甲方将用书面方式通知乙方。
第六章 其它
第二十二条 本协议用中文书写,一式两份,由双方签署,加盖公章并各执一份。均具有同等法律效力。
甲方:(签章) 乙方:(签名)
年 月 日 年 月 日
附件3 人员考核记录表
姓 名 | 考核时间 | ||||||
考核类别 | 考核方式 | 主考人 | |||||
考 核 内 容 (考核方式为“考试”,可不填写,但应保留试卷) | |||||||
考核结果 | |||||||
填表人 | 填表时间 | ||||||
审核人 | 审核日期 | ||||||
附件4 资料移交清单
移交人 | 姓名 | 岗位 | 日期 |
工作内容 移交列项 | |||
工作用品 移交列项 | |||
经手人 | 姓名 | 岗位 | 接交日期 |
人事部门意见 |
负责人(签字): 日期: | ||
注:本单填写完成后交资料室存档。 | |||
附件5
离岗保密协议
甲方:
乙方(姓名): 身份证号码:
乙方与 年 月 日 与甲方解除聘用关系,根据中华人民共和国相关法律、法规及相应条例的规定,签订本离岗保密协议:
乙方在甲方任职期间,在职务范围或非职务范围内知悉的能为甲方带来现实或潜在的经济利益或竞争优势的商业秘密(即技术信息和经营信息)为本协议保护范畴。
乙方离岗后承担如同任职期间一样的保密义务和不得擅自使用有关秘密信息的义务。
本协议保密的商业秘密包括:
甲方所有非公开的规章制度、管理流程以及所有下发的文件;
甲方签订的所有非公开的合同、法律文件以及其中所有非公开的数据和内容;
甲方的重要报告、重要外部来函、各类会议纪要以及其他存档材料;
甲方客户资料、客户信息系统及技术信息和知识产权等所有信息;
甲方各类统计数据和报表;
甲方所有的技术资料及现有成果、技术秘密;
乙方在甲方任职期间接触、知悉的属于甲方或者虽属第三方但甲方有保密义务的技术秘密和其他商业秘密信息。
乙方全部或部分违反此协议的 ,造成的经济损失,乙方须承担全部责任,并赔偿甲方所受全部损失。
在签订本协议前,乙方已详细阅读了协议的内容,并完全了解协议各条款的法律含义。
本协议一式二份,甲乙双方各执一份。
甲方(章): 乙方(签字):
年 月 日 年 月 日
附件6 人员安全审查记录表
被审查人情况 | 姓名 | 性别 | 民族 | |||||
身份证号 | 婚否 | |||||||
工作部门 | 工种 | |||||||
家庭住址 | 电话 | |||||||
审查内容 | 参加的培训记录 | 培训时间 | ||||||
技能考核 | 考核时间 | |||||||
人员背景审查 | 审查结果 | |||||||
人员信用审查 | 审查结果 | |||||||
其他 | 审查结果 | |||||||
最终审查结果 | ||||||||
审查部门 | 审查人 | 审查时间 | ||||||
附件7 安全教育培训计划表
序号 | 培训方式 | 培训对象 | 培 训 内 容 | 培训时间 | 地点 | |
填表人 | 填表日期 | |||||
批准人 | 批准日期 | |||||
附件8 安全事件查处记录表
部门 | 时间 | ||
事件类型 | 地点 | ||
违规人员 | |||
违规行为 | |||
处理结果 | |||
改进预防措施 | |||
处罚及教育 | |||
记录人 | 日期 | ||
审核 | 日期 | ||
批准 | 日期 | ||
附件9 外部人员访问重要区域登记表
姓名 | 单位/部门 | 访问区域 | 进入 时间 | 离开 时间 | 陪同人 | 批准人 |
