1、版本记录版本号版本日期编写人审核人审批人说 明0.12009-5-8新建 目 录第一章总则1第二章人员入职安全管理要求1第三章在职人员安全要求23.1.在职人员安全培训及考核要求23.2.岗位角色分离安全要求23.3.互斥岗位角色分离原则3第四章人员离职安全要求4第五章附则4第一章 总则第一条 为减少由于人员管理带来的信息盗用、滥用及误用带来的信息安全风险,规定本公司员工在入职、岗位聘用过程中安全方面的培训与考核、员工离职的人力资源使用周期中的人员安全管理要求,制定本细则。第二条 本细则适用于公司雇佣的所有员工。对于公司因各种事因增加的驻场办公的第三方人员安全管理以及临时来访人员的安全管理规定
2、以第三方人员安全管理规定为准,不在本细则管理范围内。第二章 人员入职安全管理要求第三条 人员在录用前需要对其简历内容的真实性进行背景调查。第四条 在与员工签订的劳动合同或保密协议中应明确该员工所从事岗位的职责、违反职责时的惩罚措施、合同约束条款在离职后的有效期。第五条 聘用员工时应与其签署保密协议,在劳动关系发生变更时应按保密协议对其进行审计。第六条 对定级为国家等级保护三级的信息系统管理人员聘用应当从公司内部选拔产生,并签署岗位安全协议。第七条 对入职员工领用的各种资产应有领用证明文件,并在领用证明文件上有详细规格、型号等记录,以备离职时审计使用。第八条 为新入职的员工开设的操作系统帐号、应
3、用系统帐号的权限应限制在最小权限范围内,并符合实名制原则。不得越权授权,并将该用户的帐号名称及权限报给安全管理部门备案,以备安全管理部门巡检时审计使用。第三章 在职人员安全要求3.1. 在职人员安全培训及考核要求第九条 对需要专业技能的岗位人员,应进行岗前培训。第十条 每年至少进行一次安全意识、安全管理制度的普及培训,并对参加培训人员的培训效果进行考核、记录、保存。第十一条 对从事IT系统相关的工作人员每年至少提供一次有针对性的安全培训,并对参加培训人员的培训效果进行考核、记录、保存。第十二条 对通过考核发现违背安全管理要求的员工要给予相应的处罚。第十三条 对连续没有通过安全考核的员工应做出转
4、岗或离岗的处罚。第十四条 对因岗位变动而需要修改用户账号权限时,应限制在最小权限范围内,不得越权授权,并将该用户的帐号名称及权限报给安全管理部门备案,以备安全管理部门巡检时审计使用。3.2. 岗位角色分离安全要求第十五条 对IT部门技术岗位职责的定义,应执行以下角色分离原则。1. 系统开发人员必须与系统测试人员分离;2. 系统使用人员必须与系统开发人员分离;3. 系统的维护人员必须与系统开发人员分离;4. 系统的访问授权人员与权限复核人员分离;5. 系统操作人员与日志审计人员。第十六条 对于财务部门岗位职责的定义,应执行以下角色分离原则:1. 财务系统的系统管理员必须与财务系统操作员分离;2.
5、 财务系统的系统管理员必须与财务审核员分离;3. 财务部门高层管理人员如非特殊需要不应该拥有对财务系统过高权限。第十七条 一般系统使用部门岗位职责的定义,应执行以下角色分离原则:1. 生产操作人员与系统技术维护人员;2. 生产操作人员与业务的审批授权人员;3. 数据录入人员与审查人员;4. 生产操作人员与生产操作检查人员;第十八条 项目管理岗位职责的定义,应执行以下角色分离原则:1. 项目立项与项目审批;2. 项目的实施与项目的验收;3. 项目执行与项目监督。3.3. 互斥岗位角色分离原则第十九条 员工不得私自将对系统的操作权限委托给担任互斥角色职能的其他员工。第二十条 如果员工因出差、休假等
6、原因需要将工作临时转交给其他工作人员时应由部门经理审批确保不违背互斥角色分离原则。第二十一条 部门经理应以季度为周期定期检查本部门是否存在违反互斥岗位职责管理原则的情况。第二十二条 如果确因工作需要,需要由同一人员担任两个互斥的角色职能时,必须有足够的证据证明不会对系统的信息安全造成威胁。第二十三条 如果确因主客观因素限制而无法满足岗位角色分离原则的,必须由部门经理审批,遵循最小权限原则进行授权,并保留授权记录。第二十四条 如果确因主客观因素限制而无法满足岗位角色分离原则的,必须对其所做的操作进行监控。第二十五条 如果确因主客观因素限制而无法满足岗位角色分离原则的,必须保留全部的操作记录和日志
7、。第四章 人员离职安全要求第二十六条 为避免劳动纠纷,应自离职人员的部门领导在离职申请材料上签字或离职人员在离职通知材料上签字视为离职开始生效。第二十七条 离职生效后,离职员工应根据入职时领用资产证明文件归还各种资产,并接受对资产的完整性、有效性的审计。第二十八条 离职生效后,应由人事部门及时通知离职员工所在部门的应用系统负责人及信息技术部操作系统负责人和安全管理部门,应用系统负责人和操作系统负责人应在确认离职人员的资料已备份保存的情况下尽快删除该离职人员的用户账号,安全管理部门负责对删除的结果进行审计。第二十九条 对保密协议中约定的同业禁止等持续生效条款,离职者应有继续履行保密义务的承诺,并在做出承诺后方可离开。第五章 附则第三十条 本细则由办公室负责解释。第三十一条 本细则如与此前发布的相关办法相抵触的,以本细则为准。第三十二条 本细则自发布之日起施行。-文档结束-
