1、.XXXXX有 限 公 司体 系 文 件文件编号XZ-GZ10-019标题:关键岗位信息安全管理细则版 本 号A.1页 数1/21. 目的为了切实保障公司信息系统安全,规范公司关键岗位人员信息安全的责任,根据国家信息安全法规,制定本细则。2. 适用范围公司所有关键岗位人员。3. 定义3.1 关键岗位本细则中关键岗位是指在信息系统运行过程中可接触到等级为敏感级及以上信息资产的岗位。3.2 关键岗位人员本公司关键岗位为设计人员(项目开发)质量管理人员,公司骨干(主管级及以上人员)业务(销售)等岗位。4. 引用文件无5. 程序5.1 信息关键岗位控制要求5.1.1关键岗位是指在信息系统运行过程中可接
2、触到等级为敏感级以上信息的岗位,选拔招聘关键岗位人员时,应对被选拔者的相关背景和资历、入职动机、工作稳定性等进行审查,审查通过后方可上岗工作。5.1.2 关键岗位人员必须是正式员工,并签署“商业秘密保密协议”和“员工遵守职业道德准则承诺书”。5.1.3 为做好关键岗位风险控制,有效防范和规避关键岗位员工操作风险和道德风险,应对关键岗位人员进行信息安全例行检查,通过例行检查对关键岗位人员进行评估,必要时对关键岗位人员实施轮换,在轮换时需对原岗位人员进行离任审计,以确保对离任人员的风险控制。5.1.4 关键岗位的员工,有义务接受信息安全和保密知识、职业道德的教育和培训。5.1.5 关键岗位人员禁止
3、使用(除非授权):a) USB接口数据交换;b) 外网访问;c) 非公司邮箱的使用(邮箱使用权限需经审批);d) 电脑打印;5.2 关键岗位的信息安全基本要求。5.2.1 禁止利用计算机资源制造、传播违反国家法律法规的信息。5.2.2 掌握所在岗位需要的计算机信息安全知识,妥善保管计算机系统中的重要文件和数据,妥善保管身份认证凭据(如用户账号、密码、数字证书等)。5.2.3 严禁自行更换所使用计算机系统的软硬件配置;严禁在计算机设备上安装、使用盗版软件,与工作无关的软件或非授权数据介质(如软盘、光盘、优盘和移动硬盘等)。XXXXX有 限 公 司体 系 文 件文件编号XZ-GZ10-019标题:
4、关键岗位信息安全管理细则版 本 号A.1页 数2/25.2.4 计算机桌面设备是固定资产,有义务和责任爱护并正确使用;桌面计算机必须安装防毒软件,及时更新补丁,并定期检查更新情况;未经审批,桌面计算机不得与外单位网络及互联网连接,禁止在非授权情况下将桌面计算机同时接入互联网和内部网络。5.2.5 发现可疑与计算机安全相关的事件时,有责任和义务及时报告,并自觉接受信息中心,在信息安全防范方面的管理、监督和检查。5.2.6 遵循公司信息安全管理手册相关规定。5.2.7 信息安全要求,包括但不限于以上条款。5.3 关键岗位员工的离职5.3.1 离职员工(包括岗位变动、解除劳动关系等)相关规定中应包括
5、信息安全审查的相关内容,审查应包括以下方面:a) 当员工发生岗位变动时,应按有关规定办理离职手续;b) 离职员工原岗位使用的各类信息系统用户是否已完成交接或被关闭;c) 离职员工签署的保密协议,检查协议中的相关内容,向其重申权益及其应承担的保密义务;d) 离职员工保管的工作资料、信息资产是否已经交回;e) 离职员工使用的各类计算机设备是否已全部交回;f) 对离职员工应立即取消其在原岗位的系统权限,及时更改相应系统的相关用户密码,确保密码、设备、资料及相关敏感信息等的移交;5.2.2 对离职员工在离职前需安排一个月的脱密期,及时收回信息资产及IT权限,必要时进行日志审计。6. 相关文件6.1 ISMS01信息安全管理手册6.2 XZ-GZ10-017员工职业道德与规范准则7. 记录 XZ-007A.0离职人员信息确认表编制 审核 批准 日期.
