第一章 范围及职责
第一条 本规定适用于信息系统用户的管理,包括:岗位配置原则、人员录用及调离、授权管理、安全培训教育、第三方人员管理。
第二条 网络信息安全领导小组负责信息系统用户管理规定的制定和修订。
第二章 岗位配置原则
第三条 根据信息系统要求,结合信息部门实际情况进行人员配备,权限、职能不同的角色必须分离,避免权责不清、责任不明确的现象发生。
第四条 重要岗位实施角色备份制度,在合理设置工作岗位、完善工作职责的基础上,在相近岗位之间,实行顶岗或互为备岗制,以便能及时处理紧急任务。
第五条 各岗位工作人员安排:为确保信息安全工作的顺利开展,保障信息系统的正常运行,须设置安全管理员、系统管理员、网络管理员、机房管理员并明确其工作职责。
第三章 人员录用及调离
第六条 相关信息安全职责在岗位职责中予以明确,各部门负责人根据已批准的岗位职责和部门人员配置要求,填写相关申请,统一调配。
第七条 所有信息系统相关岗位均要签署保密协议,关键岗位人员必须从在编人员中选拔。
第八条 对被录用人的身份、背景、专业资格和资质等进行严格审查。
第九条 人员调离时必须更换或归还之前发放的身份证件、钥匙、单位提供的软硬件设备及文档资料等资产,并办理严格的交接手续。
第十条 人员调离时必须终止其所有的访问权限,涉及相关信息系统账号、口令时,必须先采取更换密码或冻结账号的措施,避免直接删除账号。
第十一条 人员调(离)岗时必须签署保密承诺书,承诺在调(离)岗后根据保密承诺书的内容履行相关的保密责任和义务,涉密人员实行脱密期管理规定。
第十二条 对未办理正常交接手续离岗的人员,及时进行信息安全风险评估并由专人跟进处理,保证信息系统的安全和业务连续性。
第十三条 建立完善的奖惩机制,对违反信息安全策略或规定的人员,按相关规定给予纪律处分,对信息安全工作表现突出优异的人员,给予适当激励。
第十四条 与上级信息安全管理部门、信息系统服务商和宽带提供商保持联系,确保在发生信息安全事故和查处危害内部信息安全的违法犯罪行为时能够得到及时响应和必要帮助。
第四章 授权管理
第十五条 权限的分级应遵循以下原则:
1.符合业务安全需求;
2.遵循最小权限原则;
3.系统管理员分配超级权限,一般用户则分配普通权限;
第十六条 每个用户必须被分配唯一的账号,账号名不能透露用户的权限信息,不允许共享账号。
第十七条 人员调职、离职时,其账号必须立即修改或注销。当注销账号时,确保已取消其相关的系统权限。
第十八条 系统管理员每3个月对重要系统特权用户及权限进行审计,每6个月对各系统的普通用户及权限进行审计(权限审计将重点关注权限与岗位是否匹配、权限的分配、变更、注销记录是否完整)。在权限审计完成后,填写《用户权限审批和修改表》,对审查过程发现的问题及时整改。
第十九条 每3个月提交权限变更汇总记录,人事处负责人对提交的报表数据进行审核确认。
第五章 安全培训教育
第二十条 各岗位人员必须明确各自的安全职责,了解各自的工作职能范围和责任义务。
第二十一条 根据各个岗位的业务应用、安全意识和保密意识需求制定培训计划,定期组织安全教育和培训。
第二十二条 安全管理员应记录培训具体内容、培训结果以及参加培训人员,并将培训相关材料整理归档。
第二十三条 各岗位人员要积极参与单位组织的内、外部信息安全交流和培训,提升信息安全意识和专业水平。
第二十四条 网络信息安全领导小组办公室不定期对各岗位人员进行安全理论知识和安全技能水平的考察。
第六章 第三方人员管理
第二十五条 为加强与信息安全公司、产品供应商、业界专家、安全组织的沟通合作及应急响应,应建立详细的外联单位联系表(内容包括外联单位的名称、联系人、地址、联系方式等)。
第二十六条 第三方人员对敏感信息资产进行访问前, 必须签订正式的合同及保密协议;在合同和保密协议中明确第三方人员的安全责任、必须遵守的安全要求以及违反要求的处罚等条款,对其允许访问的区域、系统、设备、信息等内容应有明确的规定。
第二十七条 需要访问信息系统的第三方人员必须得到有关部门和领导的许可、授权,其访问权限必须得到严格的限制。第三方人员使用的工具需经过相关部门的安全检查。
第二十八条 与第三方人员共同协定现场工作规范并按照既定规范实施管理、落实运维人员或终端责任人全程陪同的策略以降低风险。
第二十九条 在第三方人员进行远程访问之前,要严格鉴定访问者的身份,确保访问者为已授权人员。
第三十条 负责第三方人员接待和管理的部门在第三方人员访问结束之后,要及时收回相关物品、资料并且终止其访问权限。
第三十一条 负责接待第三方人员的工作人员须经相应信息安全教育培训,并且具备良好的安全意识和风险识别能力。
第三十二条 应选择具有公安部门资质认证的第三方公司进行信息安全服务合作,保障系统安全。
第七章 附则
第三十三条 本规定由网络信息安全领导小组负责解释。
第三十四条 本规定自发布之日起生效执行
附:
1. 福建中医药大学网络与信息安全责任书
2.信息安全培训计划表
3.信息安全培训记录表
4.用户权限审批和修改表
福建中医药大学网络与信息安全责任书
为强化信息安全管理,提高信息安全防范意识,提升信息安全防护技能,有效遏制重、特大信息安全事故发生,本单位作为重要信息系统运营使用单位,承诺履行下列网络与信息安全管理责任:
一、遵守《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《信息安全等级保护管理办法》等网络与信息安全相关法律法规规定,认真做好本单位网络与信息安全工作,接受同级或指定的网络与信息安全协调小组、公安、安全、保密、密码管理和信息化主管等网络与信息安全监督检查部门的指导。
二、建立健全网络与信息安全责任制。指定本单位网络与信息安全主管领导、责任部门和责任人,并落实相应职责。
三、建立健全网络与信息安全管理规定。建立并落实信息安全等级保护、保密管理、密码管理等网络与信息安全相关管理规定。
四、建立健全信息系统安全保护技术措施。建立并落实身份认证、访问控制、数据加密、安全审计、责任认定以及防篡改、防攻击、防瘫痪、防泄密等技术措施。
五、严格遵照国务院办公厅信息安全“五禁止”要求,提升安全防范意识,防止国家秘密或内部信息泄露到互联网上。
网络与信息安全主管校领导签字:
责任单位:(盖章)
责任单位负责人(签名):
年 月 日
年 月 日
信息安全培训计划表 填表日期: 年 月 日 | |||
培训名称 | |||
培训类别 | □理论 □操作 | ||
培训人数 | 培训地点 | ||
培训时间 | 年 月 日 至 年 月 日 | ||
课时安排: | |||
课程内容简介: | |||
培训教师安排: | |||
培训所用材料: | |||
培训计划人 | |||
信息安全培训记录表 填表日期: 年 月 日 | |||||
培训名称 | |||||
培训类别 | □理论 □操作 | ||||
培训人数 | 培训地点 |
| |||
培训时间 | 年 月 日 至 年 月 日 | ||||
培训教师 | |||||
培训内容概要: | |||||
参与培训人员签到 | |||||
姓名 | 部门 | 姓名 | 部门 | ||
培训考核形式 | □笔试 □其他 | ||||
培训考核合格率 | |||||
用户权限审批和修改表 日期: 年 月 日 |
| ||||||
申请联系人信息 | 姓名 | 单位/部门 | |||||
岗位 | 联系电话 | ||||||
涉及权限变更的人员信息 | 姓名 | 部门/岗位 | 联系电话 | 需要变更的系统 | 备注 | ||
变更原因 | |||||||
用户访问权限变更描述 | |||||||
使用部门审核意见 | 签名: | ||||||
应用管理部门审核意见 | 签名: | ||||||
执行信息 | |||||||
系统管理员 | 签名: | ||||||
备注: | |||||||