广东省外语艺术职业学院网络与信息安全人员管理办法
第一章 总则
第一条 为落实国家、省、市关于网络信息安全与等级保护的相关政策和规定,严格执行信息安全管理体系标准,提高学校信息安全管理水平,维护学校业务信息系统安全稳定,实现业务信息和系统服务的网络安全保护等级,规范网络与信息安全人员职责,根据《中华人民共和国网络安全法》(中华人民共和国主席令第五十三号)、《信息安全技术网络安全等级保护基本要求》GBT22239-2019等法规,结合学校实际,制订本办法。
第二条 本办法适用于学校信息化建设管理中相关安全人员的管理,相关安全人员包括现代教育技术中心(以下简称“现教中心”)负责网络与信息化相关工作人员、其它部门涉及网络与信息安全业务相关人员。
第二章 岗位职责
第三条 学校根据各岗位信息安全特性和业务特点,确定各岗位网络与信息安全职责。各岗位网络与信息安全职责应包括以下内容:
(一)在信息安全管理组织架构中的角色和职责。
(二)在执行信息安全方针和目标方面的职责。
(三)在遵守国家、地方各种信息安全相关法律法规方面的职责。
(四)在保护信息资产免受未授权访问、泄露、修改、销毁或干扰方面的职责。
(五)执行特定的安全过程或活动方面的职责。
(六)在报告信息安全事故和漏洞方面的职责。
第四条 学校根据已确定岗位的网络与信息安全职责,在岗位职责或协议中通过相关条款加以明确。网络与信息安全相关条款可以包括以下方面:
(一)岗位相关的法律职责和权利。
(二)信息系统相关资产的管理职责。
(三)保护个人信息方面的安全职责,包括对个人隐私保密,不滥用个人信息等。
(四)在办公区域外和正常工作时间之外的职责。
(五)信息安全违规将受到的惩戒措施。
第三章 人员录用和培训
第五条 网络与信息安全相关岗位用人单位在制定进人计划时,根据岗位职责向学校人力资源部提交明确的招聘要求。
第六条 网络与信息安全岗位人员在上岗之前应签署保密协议。保密协议可包括以下方面的内容:
(一)岗位所要保护的信息。
(二)协议有效期。
(三)协议终止时所应采取的措施。
(四)为避免泄密,签字人的职责和行为。
(五)保密协议与知识产权保护、商业秘密保护的关系。
(六)涉密信息的许可使用,及签字人使用信息的权力。
(七)对涉密信息的活动的审核和监视。
(八)涉密信息泄露或被破坏后的处理程序。
(九)协议终止时信息的归档或销毁的措施。
(十)违反协议后应采取的措施。
第七条 各单位(部门)应通过教育和培训活动,确保本部门(单位)员工任职网络与信息安全相关岗位前,理解其岗位信息安全角色和职责。
第八条 各部门(单位)应确保在针对本部门(单位)员工的岗前培训中,包括信息安全管理体系和相关管理制度、岗位信息安全职责等信息安全相关的内容。
第九条 对网络与信息安全人员进行安全意识教育、岗位技能培训,针对不同岗位制定不同的培训计划,对信息安全基础知识、岗位操作规程等进行培训。
第四章 离职(离岗)管理
第十条 网络与信息安全相关岗位人员出现离职、转岗时,涉及安全管理职责的变动包括:
(一)离职转岗人员归还包括但不限于相关信息系统管理账号用户名及密码、相关管理手册等资产方面的职责。
(二)相关业务系统管理部门撤销离职转岗人员管辖的业务系统访问权的职责。
(三)离职转岗人员所在部门明确离职转岗人员离开岗位后还应承担的责任,如保密限制等。
第十一条 各部门(单位)应立即撤销或停用离岗人员所使用的账户,或者修改离岗人员所掌握的系统账户口令。人力资源部在人员任用终止时,应按照离岗手续,通知相关部门(单位),相关部门(单位)对该人员使用信息和信息系统的权限进行调整,包括物理访问、逻辑访问、密钥及ID卡等,并作相应记录。
第十二条 离职(转岗)人员所在部门应明确告知离职(转岗)人员其离职(转岗)后仍需担负的安全责任和义务,以及违反安全责任和义务所引发的后果。
第十三条 离职转岗人员必须归还其使用的信息系统管理相关的资产,包括所有先前发放的软件资产、访问卡、文件和设备等。相关部门(单位)应与离岗(转岗)人员进行离岗(转岗)交接,并做好记录。
第十四条 离职转岗人员必须及时向所在部门(单位)上交其涉及到的专利、技术文档等。
第十五条 离职转岗人员必须对正在实施的项目的相关信息形成文档并提交给相关部门(单位),进行项目交接。
第十六条 如发生离职转岗人员未尽其应负的安全责任,泄露学校敏感秘密,学校按照有关规定和相关协议追究其法律责任。
第五章 信息安全岗位检查
第十七条 各部门(单位)应提高安全意识,定期对本部门(单位)岗位进行信息安全检查,确保信息安全规定得到有效执行。
第十八条 学校不定期抽查各部门(单位)岗位信息安全职责的落实情况,确保各部门(单位)岗位信息安全职责的落实。
第六章 网络与信息安全岗位考核
第十九条 对于信息安全事故和在信息安全检查中发现的违规行为,学校根据有关考核规定对相关责任人进行处罚。
第二十条 定期对网络与信息安全岗位的人员进行安全技能及安全认知的考核。
第二十一条 对负责重要信息业务系统的人员进行全面、严格的安全审查和技能考核。
第七章 校外人员管理
第二十二条 各部门(单位)在与建设方签订合同时,应按照岗位角色和职责要求,在合同中对建设方技术人员进行约束。
第二十三条 各部门(单位)应要求建设方根据合同要求,对其人员进行安全职责的宣传和教育,确保技术人员理解其应担负的安全责任和义务。
第二十四条 各部门(单位)应按照有关信息安全管理规定以及合同要求,对所有校外人员进行监督和检查,并就安全违规情况按合同条款中的要求进行处理。
第二十五条 校外人员访问受控区域前必须先提出书面申请,经运维管理部门审批准许后由专人全程陪同或监督,并登记备案。
第二十六条 对校外人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。
第二十七条 校外人员离场后,管理人员需及时清除其访问区域、系统、设备、信息等内容的所有访问权限,并登记备案。
第八章 附则
第二十八条 本办法自印发之日起施行,由现代教育技术中心负责解释。
