人员安全管理办法
第一章 总则
第一条 为加强杭州市长征中学信息安全管理工作,保障学校网络与信息系统的正常运行和人员的安全管理,依据国家相关法律法规,特制定本办法。
第二条本办法适用于杭州市长征中学所属部门及所有人员。
第二章 安全岗位管理领导机构和执行机构
第三条 杭州市长征中学信息安全相关人员岗位管理由杭州市长征中学网络与信息安全工作领导小组负责。
第四条 信息安全人员岗位管理执行机构由信息化办公室、相关业务部门和现代教育技术中心组成。
第五条 信息安全人员岗位管理执行机构职责:
(一)根据国家和省市有关信息安全的政策、法律和法规,制定本单位信息安全人员岗位管理制度(规范);
(二)信息化办公室和相关业务部门负责涉密人员的使用和管理(管理制度另行制定);
(三)现代教育技术中心负责信息安全人员的培训。
第三章 信息安全人员基本要求
第六条 信息安全人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。
第七条 信息安全管理人员应有计算机专业知识,具备专科以上学历, 关键岗位管理人员需要在学校工作两年以上经历。
第八条 违反国家法律、法规和规章受到处罚的人员,不得从事信息安全管理与技术工作。
第四章 信息安全人员管理
第九条 信息化办公室负责信息安全人员审查工作,对人员的身份、背景、专业资格和资质进行审核;现代教育技术中心负责对人员进行技术技能审查和考核,保存相关文档。
第十条 关键岗位管理人员需要有两年以上相关工作经历并签署岗位安全协议。
第十一条 信息安全人员需签署保密协议并存档。
第十二条 现代教育技术中心负责信息安全人员的配备和变更,并向信息化办公室报备。
第十三条 信息安全人员调离岗位,必须严格办理调离手续,经杭州市长征中学网络与信息安全工作领导小组同意方可离开。
第十四条 信息安全离岗人员需承诺其调离后的保密义务并签署书面离岗保密协议。
第五章 人员岗位管理
第十五条 现代教育技术中心负责杭州市长征中学信息安全相关人员的岗位管理。
第十六条 现代教育技术中心负责制定安全岗位职责,岗位职责包括安全责任、违约责任等。
第十七条 应配备系统管理员、网络管理员、安全管理员、安全审计员等岗位,管理员、安全员和审计员之间必须严格进行岗位分离,每个岗位应至少有一名备岗人员。
第六章 信息安全人员职责范围
第十八条 信息安全人员应履行以下职责:
(一)负责信息安全管理的日常工作;
(二)开展信息安全检查工作;
(三)负责维护和审查有关安全审计记录,及时发现存在问题,提出安全风险防范对策;
(四)开展信息安全知识的培训和宣传工作;
(五)监控信息安全总体状况,提出信息安全分析报告;
(六)及时向安全主管领导及信息安全工作领导小组报告信息安全事件。
第十九条 信息安全人员发现本单位重大信息安全隐患,有权向杭州市长征中学信息安全领导小组报告。
第二十条 信息安全人员发现信息系统关键岗位人员使用不当,应及时建议杭州市长征中学信息安全领导小组进行调整。
第二十一条 信息安全人员必须严格遵守国家有关法律、法规和杭州市长征中学有关规章制度。
第七章 关键岗位人员管理
第二十二条 信息系统关键岗位人员,是指与重要信息系统直接相关的主管、系统(网络)管理员、安全员、审计员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。
第二十三条 重要信息系统,是指杭州市长征中学所开发的门户网站、办公OA系统等核心业务或有保密要求的信息系统。
第二十四条 关键岗位人员上岗前必须经单位人事部门进行政治素质审查,技术部门进行业务技能考核,工作经历和工作经验考查等,合格者方可上岗。
第二十五条 关键岗位人员有责任保护信息系统的秘密,并以签署保密协议的方式作出安全承诺。
第二十六条 关键岗位人员上岗必须实行“权限分散、不得交叉覆盖” 的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员;系统开发人员原则上不应兼任系统管理员。
第二十七条 对关键岗位人员应实行定期考查制度,关键岗位人员应定期接受安全培训,加强自身安全意识和风险防范意识。
第二十八条 关键岗位人员调离岗位,必须严格办理调离手续,承诺其调离后的保密义务 。涉及杭州市长征中学业务保密信息的关键岗位人员调离单位, 必须进行离岗审计,在规定的脱密期后,方可调离。
第二十九条 关键岗位人员离岗后,必须即刻更换操作密码或注销用户。
第八章 关键岗位安全责任
第三十条 系统管理员安全责任
(一)负责系统的运行管理,实施系统安全运行细则;
(二)严格用户权限管理,维护系统安全正常运行;
(三)认真记录系统安全事项,及时向信息安全人员报告安全事件;
(四)为安全审计员提供完整、准确的主机系统的运行日志;
(五)对进行系统操作的其他人员予以安全监督。
第三十一条 网络管理员安全责任
(一)负责网络的运行管理,实施网络安全策略和安全运行细则;
(二)安全配置网络参数,严格控制网络用户访问权限,维护网络安全正常运行;
(三)监控网络关键设备、网络端口、网络物理线路,防范黑客入侵, 及时向信息安全人员报告安全事件;
(四)为安全审计员提供完整、准确的记录网络设备和网络运行活动的运行日志。
(五)对操作网络管理功能的其他人员进行安全监督。
第三十二条 安全管理员职责
(一)监督检查各项信息安全管理规章制度的执行,及时查处安全隐患;
(二)协助安全管理员制定网络和主机设备安全配置规则,并监督落实执行;
(三)负责组织信息系统的安全风险评估工作,并定期进行系统的漏洞扫描,形成安全评估报告;
(四)对信息系统按照要求进行备份;
(五)负责参与安全事件的调查
第三十三条 安全审计员职责
(一)负责对整个信息系统进行安全审计,对安全管理员所做的安全评估报告进行审计;
(二)对各种设备的安全配置规则进行监督性安全审计,审计配置规则的合理性和落实情况;
(三)负责审计的原始材料的汇集、整理、建档,定期编写审计报告, 及时报主管领导审核;
(四)在安全审计过程中,详细记录异常现象、发生的时间、产生的结果和处理方式,并及时上报;
(五)及时对第三方接入信息系统行为进行跟踪审计。
第三十四条 系统开发员安全责任
(一)系统开发建设中,应严格执行系统安全策略,保证系统安全功能的准确实现;
(二)系统投产运行前,应完整移交系统源代码和相关涉密资料;
(三)不得对系统设置“后门”;
(四)对系统核心技术保密。
第三十五条 系统维护员安全责任
(一)负责系统维护,及时解除系统故障,确保系统正常运行;
(二)不得擅自改变系统功能;
(三)不得安装与系统无关的其他计算机程序;
(四)维护过程中,发现安全漏洞应及时报告信息安全人员。
第三十六条 业务操作员安全责任
(一)严格执行系统操作规程和运行安全管理制度;
(二)不得向他人提供自己的操作密码;
(三)及时向系统管理员报告系统各种异常事件。
第三十七条 各关键岗位人员必须严格遵守保密法规和有关信息安全管理规定。
第三十八条 由于因工作疏忽或失误而产生所在岗位的安全事故,应追究相关人的责任。
第九章 第三方人员管理
第三十九条 第三方人员包括软件开发商,硬件供应商,系统集成商, 设备维护商和服务提供商,以及实习学生和临时工作人员。
第四十条 应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。
第四十一条 第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。
第四十二条 一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、渗透测试以及其他软件的安装和管理等,不得接入未经允许的自带设备。
第四十三条 第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权, 其操作应受到审计。
第四十四条 第三方人员工作结束后,应及时清除有关账户、过程记录等信息。
第十章 外部人员访问
第四十五条 现代教育技术中心负责信息系统外部人员访问管理。
第四十六条 外部人员访问杭州市长征中学信息系统安全受控区域前,应先提出书面申请,经批准后由现代教育技术中心人员全程陪同或监督,并登记备案,外部服务人员则须佩戴证件上岗。
第四十七条 杭州市长征中学信息系统安全关键区域不允许外部人员访问,若有特殊情况,则必须得到现代教育技术中心领导的书面批准并签署保密协议并由专人全程陪同。
第四十八条 外部人员未经许可禁止携带移动介质和便携式设备进入相关区域。
第十一章 人员安全意识教育
第四十九条 由学校网络与信息安全工作领导小组负责人员的信息安全意识教育,现代教育技术中心负责制定人员信息安全意识教育计划,详细规定人员意识教育的内容、方法和过程。
第五十条 安全意识教育包括信息安全基础知识、各类人员的安全责任和惩戒措施等。
第五十一条 采用常规宣传、短期培训等方式,每年至少一次对各类人员进行安全意识教育。
第五十二条 安全意识教育要覆盖到本系统全体工作人员。
第十二章 培训与考核
第五十三条 每年定期对信息安全人员进行下列信息安全知识和技能的培训:
(一)信息安全法律法规及行业规章制度的培训;
(二)信息安全基本知识的培训;
(三)信息安全专业技能的培训。
第五十四条 信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。
第五十五条(至少每年一次)对所有人员进行基本的信息安全知识和技能的培训。
第五十六条 安全意识教育应进行必要的考核(至少每年一次),并将考核结果及日常情况进行记录、保存,作为人员考核的内容之一。
第十三章 附则
第五十七条 本办法由杭州市长征中学负责解释。
第五十八条 本办法自发布之日起施行。
杭州市长征中学
2021年09月10日