信息安全管理组织机构和人员安全管理办法

1、信息安全管理组织机构和人员安全管理办法第一章 总则第 1 条 为加强本公司信息安全管理工作，保障网络与信息系统的正常运行，依据有关法律、法规及信息安全标准，特制定本办法。第 2 条 本办法适用于本公司的信息安全组织机构和人员职责的管理。第二章 信息安全领导小组第 1 条 公司成立信息安全领导小组。领导小组是信息安全的最高决策机构，下设办公室挂靠在公司技术部， 负责信息安全领导小组的日常事务。第 2 条 信息安全领导小组下设两个工作组：信息安全工作组应急处理工作组第 3 条 信息安全领导小组的职责主要包括：根据国家和行业有关信息安全的政策、 法律和法规，批准公司信息安全总体策略规划、管理规范和技

2、术标准；确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。第三章 信息安全工作组第 1 条 信息安全工作组组长由公司技术部的负责人担任。第 2 条 信息安全工作组的主要职责包括：贯彻执行公司信息安全领导小组的决议， 协调和规范公司信息安全工作；根据信息安全领导小组的工作部署， 对信息安全工作进行具体安排、落实；组织对重大的信息安全工作制度和技术操作策略进行审查， 拟订信息安全总体策略规划，并监督执行；负责协调、督促各职能部门和有关单位的信息安全工作， 参与信息系统工程建设中的安全规划，监督安全措施的执行；组织信息安全工作检查， 分析信息安全总体状况， 提出分析报告和安全风险的防范对策

3、；负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；及时向信息安全工作领导小组和上级有关部门、 单位报告信息安全事件。 跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。第四章 应急处理工作组第 1 条 应急处理工作组组长由公司技术部的主要负责人担任。第 2 条 应急处理工作组的主要职责包括：审定公司网络与信息系统的安全应急策略及应急预案；决定相应应急预案的启动， 负责现场指挥， 并组织相关人员排除故障，恢复系统；每年组织对信息安全应急策略和应急预案进行测试和演练。第五章 信息安全人员基本要求第 1 条 信息

4、安全管理人员和专（兼）职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。第 2 条 信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历，具备专科以上学历。第 3 条 违反国家法律、法规和行业规章受到处罚的人员，不得从事信息安全管理与技术工作。第六章 信息安全人员管理第 1 条 信息安全人员的配备和变更情况，应向总经理报告、备案。第 2 条 信息安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。第七章 信息安全人员职责范围第 1 条 信息安全人员应履行以下职责：负责信息安全管理的日常工作；开展信息安全检查工作， 对要害岗位人员安全工作进行指导和

5、监督；负责维护和审查有关安全审计记录， 及时发现存在问题， 提出安全风险防范对策；开展信息安全知识的培训和宣传工作；监控信息安全总体状况，提出信息安全分析报告；及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。第 2 条 信息安全人员在行使职责时，确因工作需要，经批准，可了解涉及经营与管理有关的信息系统的机密信息。第 3 条 信息安全人员发现本单位重大信息安全隐患，有权向公司总经理报告。第 4 条 信息安全人员发现信息系统要害岗位人员使用不当，应及时建议公司进行调整。第 5 条 信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度，严守公司商业秘密。第八章 要害岗位人员管理第

6、 1 条 信息系统要害岗位人员，是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。第 2 条 重要信息系统，是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。第 3 条 要害岗位人员上岗前必须经单位人事部门进行政治素质审查，技术部门进行业务技能考核， 工作经历和工作经验考查等， 合格者方可上岗。第 4 条 要害岗位人员有责任保护信息系统的秘密，并以签署保密协议的方式作出安全承诺。第 5 条 要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业

7、务操作员；系统开发人员原则上不应兼任系统管理员。第 6 条 对要害岗位人员应实行定期考查制度，要害岗位人员应定期接受安全培训，加强自身安全意识和风险防范意识。第 7 条 要害岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务 。涉及公司业务保密信息的要害岗位人员调离单位，必须进行离岗审计，在规定的脱密期后，方可调离。第 8 条 要害岗位人员离岗后，必须即刻更换操作密码或注销用户。第九章 要害岗位安全责任第 1 条 系统管理员安全责任负责系统的运行管理，实施系统安全运行细则；严格用户权限管理，维护系统安全正常运行；认真记录系统安全事项，及时向信息安全人员报告安全事件；对进行系统操作的

8、其他人员予以安全监督。第 2 条 网络管理员安全责任负责网络的运行管理，实施网络安全策略和安全运行细则；安全配置网络参数， 严格控制网络用户访问权限， 维护网络安全正常运行；监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；对操作网络管理功能的其他人员进行安全监督。第 3 条 系统开发员安全责任系统开发建设中， 应严格执行系统安全策略， 保证系统安全功能的准确实现；系统投产运行前，应完整移交系统源代码和相关涉密资料；不得对系统设置“后门”；对系统核心技术保密。第 4 条 系统维护员安全责任负责系统维护，及时解除系统故障，确保系统正常运行；不得擅自改变系统功

9、能；不得安装与系统无关的其他计算机程序；维护过程中，发现安全漏洞应及时报告信息安全人员。第 5 条 业务操作员安全责任严格执行系统操作规程和运行安全管理制度；不得向他人提供自己的操作密码；及时向系统管理员报告系统各种异常事件。第 6 条 各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。第十章 第三方人员管理第 1 条 第三方人员包括软件开发商，硬件供应商，系统集成商，设备维护商和服务提供商，以及实习学生和临时工作人员。第 2 条 应对第三方人员的物理访问和逻辑访问实施访问控制，根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。第 3 条 第三方人员的现场工作或远

10、程维护工作内容应在合同中明确规定，如工作涉及机密或秘密信息内容，应要求其签署保密协议。第 4 条 一般情况下第三方人员的现场工作，如数据库、系统、漏洞扫描、入侵检测、 白客渗透以及其他软件的安装等，不许接入自带的设备。第 5 条 第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权，其操作应受到审计。第 6 条 第三方人员工作结束后，应及时清除有关账户、过程记录等信息。第十一章 培训与教育第 1 条 信息安全人员应定期参加下列信息安全知识和技能的培训：信息安全法律法规及行业规章制度的培训；信息安全基本知识的培训；信息安全专门技能的培训。

11、信息安全人员应定期接受政治思想教育、 职业道德教育和安全保密教育。第 3 条 应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训，并应注意培养信息安全意识。第十二章 附则第 1 条 本办法由公司人力行政部负责解释。第 2 条 本办法自发布之日起施行。陕西溢诚金融服务股份有限公司2017年7月1日物业安保培训方案为规范保安工作，使保安工作系统化/ 规范化 ,最终使保安具备满足工作需要的知识和技能，特制定本教学教材大纲。一、课程设置及内容全部课程分为专业理论知识和技能训练两大科目。其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内

12、容包括：岗位操作指引、勤务技能、消防技能、军事技能。二培训的及要求培训目的1）保安人员培训应以保安理论知识、消防知识、法律常识教学为主，在教学过程中，应要求学员全面熟知保安理论知识及消防专业知识，在工作中的操作与运用，并基本掌握现场保护及处理知识2 ）职业道德课程的教学应根据不同的岗位元而予以不同的内容，使保安在各自不同的工作岗位上都能养成具有本职业特点的良好职业道德和行为规范）法律常识教学是理论课的主要内容之一，要求所有保安都应熟知国家有关法律、法规，成为懂法、知法、守法的公民，运用法律这一有力武器与违法犯罪分子作斗争。工作入口门卫守护，定点守卫及区域巡逻为主要内容，在日常管理和发生突发事件时能够运用所学的技能保护公司财产以及自身安全。2、培训要求1）保安理论培训通过培训使保安熟知保安工作性质、地位、任务、及工作职责权限，同时全面掌握保安专业知识以及在具体工作中应注意的事项及一般情况处置的原则和方法。