XXX 单位人员安全管理制度V1.020XX 年 XX 月 XX 日目录1目的........................................................................................................................12适用范围................................................................................................................13人员安全管理........................................................................................................13.1 人员安全管理策略......................................................................................13.2 人员安全管理分工原则..............................................................................24外部人员安全管理.................................................................................................34.1 外部信息技术人员物理访问.......................................................................34.2 外部信息技术人员信息访问.......................................................................35第三方驻场运维人员管理.....................................................................................45.1 驻场人员日常管理......................................................................................45.2 驻场人员网络接入管理..............................................................................45.3 驻场人员保密管理......................................................................................46附则........................................................................................................................51目的本文档规定了 XXX 单位人员安全管理要求。2适用范围本文档适用于 XXX 单位信息安全中的人员安全管理。3人员安全管理人员安全管理限定为内部人员安全管理,包括人员录用、调动、离岗、考核、培训教育以及外部人员访问管理。3.1人员安全管理策略(一)录用前应明确被录用人员的安全技能要求,在录用过程中依据技能要求进行考察,并对技能考核结果进行记录;对涉及访问关键信息,或者访问处理这些信息系统的工作人员应进行严格的安全背景审核和权限审查;关键岗位人员应当进行特殊的安全审核、权限管理和保密管理,签署岗位安全协议;人员相关的安全事项必须包括在工作描述或合同中。(二)工作期间所有工作人员必须在开始工作前,亲自签订保密协议;必须对全体工作人员就 XXX 单位信息安全策略和相关管理规定进行培训,使他们熟悉信息安全的实施并加强安全意识;在对工作人员授权对某项信息技术服务进行访问前,必须对他们进行培训,确保他们正确使用相关的信息工具和设备;应根据岗位职责的不同,定期对各个岗位的人员进行不同层面的安全认知 1 / 75和安全技能进行培训;定期对全体工作人员进行安全技能及安全认知的考核,并将考核结果进行记录并保存;对安全责任和惩戒措施进行书面规定并告知相关人员,对违反违背安全策略和规定的人员进行惩戒。(三)调离岗应严格规范人员调离岗过程,及时调整调离岗人员的所有访问权限;确保指定的继任者能够从该工作人员处获得与该岗位相关的资料和信息;收回所有 XXX 单位系统文档、各种分发物件(身份证件、钥匙、徽章、USB令牌等)以及借走的 IT 设备(笔记本、U 盘等)。(四)转岗应严格规范人员转岗过程,应分配临时员工的所有访问权限,并定期检查人员变动及权限匹配关系;关键岗位人员应在转岗期间签署保密协议书。3.2人员安全管理分工原则为确保信息系统的安全,必须加强人事安全管理,提高安全管理人员的技术水平和安全意识,人员安全管理工作遵循以下原则。(一)重要安全事件多人负责原则,对一些有较高密级与安全有关的活动,都必须有两人或多人在场。上述所指与安全有关的活动包括:硬件和软件的维护;系统软件的设计、实现和维护;处理保密信息;系统用媒介的发放与回收;访问控制用证件...
