1、总则

1.1、目的

为提高人员工作效率，防止品质不良、技能欠佳的人员进入XXXXX单位从事信息岗位，降低职员因信息系统使用不当所带来的差错、欺诈及滥用设施的风险，减少人员对于信息安全保密性、完整性、可用性的负面影响，特制定本制度。

1.2、范围

本规定适用于XXXXX单位内部人员及外部工作人员工作过程中的安全管理。

1.3、职责

人事部负责网络安全与信息化管理部门职工聘用与录用。信息系统岗位人员任职期间及离职时的考核管理由网络安全与信息化管理部门负责。

网络安全与信息化管理部门须与信息系统关键岗位人员签订保密协议，各部门负责本部门员工对于信息系统使用的日常管理工作。

2、管理细则

2.1、人员录用管理

2.1.1、人员录用考察

1)在录用前必须对涉录用人员的政治历史、身份、专业资格以及业务能力（学术水平）进行人事审查和核实，必要时将核查家庭成员及主要社会关系，并会见证明人，对其经历和人品进行确认，不符合要求的人员将及时调离岗位。

2)信息技术人员应具有计算机基础理论知识和专业信息技术经验,较强的业务工作能力和再学习能力,良好的职业道德和服务意识，兼具敬业精神和团队合作精神。

3)禁止录用有劣迹、违法犯罪记录人员从事信息技术工作。

4)关键信息技术岗位的人员必须经过严格考核，合格后方可录用。

2.1.2、人员入职管理

1)员工入职时需签订“员工保密协议”，明确其应承担的安全保密责任和应遵守的保密规定；保密协议的内容符合国家有关规定，保密协议中设有适当的奖惩条款。

2)入职人员必须在正式上岗前接受网络安全与信息化管理部门相关管理制度和信息安全管理制度的学习。

3)同时入职职工人数如到达一定数量，网络安全与信息化管理部门负责组织发起对新入职职工的信息安全意识教育、培训和考核工作。

4)如入职职工为调岗或新入职但人数较少，可由网络安全与信息化管理部门将其纳入最近一次的信息安全意识教育和培训计划中，作为重点培训对象。

2.2、人员在职管理

1)员工从一般岗位转到信息安全重要岗位，应当对其进行信用及信息安全技能考察。

2)关键技术岗位的入职人员由网络安全与信息化管理部门与其签署《关键岗位保密协议》。

3)员工在职期间，由网络安全与信息化管理部门、人事部定期对员工进行信息安全教育和培训，定期对网络安全与信息化管理部门人员从安全意识、安全技能等综合考核，考核结果记入档案，并根据奖惩条例进行处置。

4)网络安全与信息化管理部门将人员信息安全技能考察的结果记入《人员信息安全技能考察评审记录》，并交综合部备案。

2.3、人员离职管理

网络安全与信息化管理部门应加强工作人员离岗离职的管理，尤其是加强对于安全技术管理人员离职的管理，包括：

1)根据离岗离职人员的重要程度，严格执行保密协议的规定，对离岗离职人员使用和保管的各种证件（如工作证、车辆出入证等）、钥匙、IC卡、USB Key、涉密文件、技术资料、软件、介质和安全保密设备等物品进行清查登记，并要求其全部退还。

2)对于离岗离职人员，即时取消其一切授权，注销用户帐号，并更换有关门锁和口令等。

3)部门要加强职工离职时的涉密资料、账号口令、钥匙、资产、等的交接工作。

4)部门在职工离职后要采取相应的技术防范措施（如变更口令、程序等)，必要时应与网络安全与信息化管理部门协调。

5)人事部和原使用部门要做好员工离职的教育工作，告知其离职后，不得向第三方泄露其在任职期内所获得的XXXXX单位的商业和技术秘密。

6)涉及XXXXX单位关键或涉密信息岗位的职工离职时，应按要求采取相应的脱密措施，由XXXXX单位与之签署《离职保密承诺书》，并交综合部备案。

2.4、信息安全工作小组人员配备情况

XXXXX单位的信息安全工作小组人员配置如附件1所示。

2.5、人员日常信息行为规范

2.5.1、安全意识

1)XXXXX单位工作人员应具备良好的信息安全意识，对自身工作涉及信息安全部分， 应积极主动配合信息安全相关的工作要求，不得消极对待信息安全工作。

2)XXXXX单位工作人员须积极参加“信息安全规范与保密意识”类培训，并认证积极准备，通过考核。

2.5.2、信息使用

1)未经审批，不得将涉密信息脱离XXXXX单位安全域（物理、业务、网络和系统等）。

2)未经审批，不得将涉密信息告知非授权人员（包括但不限于供应商/合作商、XXXXX单位其他部门员工）。

3)为了避免不必要的商业纠纷，未经审批，不得接收任何第三方给予的涉密资料。

2.5.3、账号管理

1)任何情况下，XXXXX单位工作人员不得盗用、传播他人帐号、密码。

2)未经正式授权，XXXXX单位工作人员不得索要、使用他人帐号、密码。

3)未经正式授权，XXXXX单位工作人员不得将自己账号、密码提供给他人使用。

4)XXXXX单位工作人员如发现账号、密码泄漏，应在第一时间（10 分钟内）告知部门领导，检查对业务造成的影响并采取有针对性的补救措施；同时通知XXXXX单位部修改或冻结泄漏的账号及密码，XXXXX单位对该事件进行评估并督促相关人员进行整改闭环。

2.5.4、软件配置

1)信息安全控制类软件（防病毒、信息安全保护等）、其他类信息管理部门统一安装的软件（网管软件、资产管理等），员工不得卸载、干扰、破坏其正常运行。

2)未经审批，禁止安装黑名单软件。

2.5.5、介质管理

1)未经审批，禁止使用 USB 存储、刻录光驱等易于泄露涉密信息的介质。

2)对于带存储介质的设备，职员应要求维修人员在XXXXX单位内进行维修，并且监督整个维修过程，如需要在XXXXX单位以外进行维修，应走审批流程。

3)计算机、打印机、复印机、扫描仪等含有存储介质的设备带出XXXXX单位以外维修时，为了防止泄密，必须拆卸下硬盘，并妥善保存。

4)计算机、打印机、复印机、扫描仪等含有存储介质的设备报废时，所含存储介质应物理销毁（碾压，粉碎），方可报废。

5)不得在未对硬盘进行低级格式化前，将存储设备转移到XXXXX单位以外（所有权转移）。

6)妥善保管终端设备，如有丢失，应在第一时间（10分钟内）告知所属部门领导，检查对业务造成的影响并采取有针对性的补救措施；同时通知信息安全管理部门备案，信息安全管理部门对该事件进行评估并督促相关部门进行整改闭环。

2.5.6、物理安全

1)存储涉密信息的设备（如便携机）或涉密文档在任何时间均应妥善保存（如下班或离开座位时放入上锁柜子中）。

2)出差期间随身携带涉密便携机及手持设备，禁止托运。

3)离开办公桌超过 10 分钟以上，应关闭或锁定计算机。

2.5.7、文档管理

1)调岗或离职前应进行涉密信息的移交和清理，未经授权情况下，严禁私自保存涉密信息。

2)未经授权，不得私下传播涉密文档，或收集与本岗位工作无关的涉密文档。

3)职员个人电脑中存放与本职工作无关的商业秘密信息，视同窃密。

4)不得在未采取保密措施情况下，传送涉密信息的纸件。

5)外发涉密文件应加密后发送，密码可通过其他方式（如电话）告知对方。

6)含涉密信息的纸件必须用碎纸机销毁，严禁直接扔垃圾箱或用手撕毁；含涉密信息的纸件不能重复使用。

7)因工作需要进行的文件共享，必须设置复杂密码（至少8位，须符合大小写字母、数字、特殊字符四选三的要求），涉密文件不得共享。

2.5.8、身份伪造

1)不得自行改动电脑中的IP 地址、计算机名及其它网络参数。

2)不得伪造信息，冒充他人身份。

2.5.9、涉密会议

1)未经审批，不得使用录音、录像设备。

2)会议结束后，必须清理会议室场所（包括相关设备上的电子数据、白板上的板书信息、文档等）。

2.5.10、责任与处罚

1)违反以上信息安全行为规范，一经发现第一次提出口头警告，上报网络安全与信息化管理部门并记入信息安全违反档案。

2)累计违反两次、或虽然初次违反但情节严重，影响较坏，可就此违反行为在网络安全与信息化管理部门点名通告批评。

3)累计违反三次，对口头警告无悔改之意，或违反情节特别严重，影响非常坏，可上网络安全与信息化管理部门进行处理。

4)造成经济损失的由信息安全领导小组协商给予追究补偿；若触犯法律法规的，依法由公安机关追究责任人法律责任。

3.附则

本管理制度由XXXXX单位负责解释，自发布之日起实施。