安全管理体系25小时

人员安全管理121人员筛选、雇用条款和条件2管理职责、信息安全意识、教育和培训3惩戒程序4职业责任的终止或变更目录人员筛选、雇用条款和条件人员筛选信息安全管理人员和专（兼）职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历，具备专科以上学历。违反国家法律、法规和行业规章受到处罚的人员，不得从事信息安全管理与技术工作。在工作申请时应当严格审查长期雇员。包括采取以下措施：

a）有满意的特征比对，例如一项业务和一个人；

b）对申请人履历的审查（完整性和准确性）；

c）对其所宣称的学术和职业资质进行确认；

d）单独的身份检查（护照或者类似文件）；

3人员筛选、雇用条款和条件

对合同签约方和临时雇员也要进行类似的检查。如果这些雇员是通过代理机构提供的，在与代理机构的合同中应当清楚定义该代理方所要承担的筛选责任，以及如果筛选没有完成或者对筛选的结果仍然存有疑虑时代理机构应当遵循的通知程序。

管理层应当评价对有权访问敏感系统的新雇员和没有经验的雇员所做检查监督。所有雇员的工作都要由更高级的雇员做定期检查并遵循一定的批准程序。

管理人员应当清楚他们员工的个人环境会影响到他们的工作。私人问题和财务问题、他们行动或者生活方式的改变、不断出现的消极情绪和精神压力异常，都可能导致欺诈、盗窃、失误或者其它安全隐患。这类信息应当做符合相关法规的处理。

4人员筛选、雇用条款和条件雇用条款和条件用工合同条款应当阐明雇员对于信息安全所负的责任。适当的时候，在雇佣期结束后的一段确定时期内仍然要承担这种责任。其中包括如果雇员不遵守安全要求时组织所要采取的行动。

在用工合同条款中应当包括并清楚界定员工的法律责任和权利，例如：涉及到的版权法或者数据保护法规方面的责任和权利。还包括员工信息的分类和管理责任。只要情况适当，用工合同中就应当清楚阐明这些责任要延伸到组织规定范围之外并拓展到正常的工作时间之外，例如在家工作时就要考虑这些问题。5管理职责、信息安全意识、教育和培训严格遵守信息安全保密制度，不得泄露操作系统、数据库的系统管理员帐号、密码，切实保障系统安全。合理配置操作系统、数据库管理系统所提供的安全审计功能，以达到相应安全等级标准。关闭与应用系统无关的所有网络端口，制定严格的网络安全策略机制，防止非法用户的侵入。及时安装正式发布的系统补丁，修补系统存在的安全漏洞，防止系统遭受各种恶意攻击。启用系统提供的审计功能，监测系统运行日志，掌握系统运行状况。6管理职责、信息安全意识、教育和培训加强口令密码、密钥安全管理。严格按照相关规定设置符合安全保密策略的口令密码并定期或不定期进行更换。严格按照安全保密机制对所用密钥生命周期的全过程（产生、存储、分配、使用、废除、归档、销毁）进行管理。密钥应作为绝密数据保管，必须通过机要渠道传递或采用加密通信方式网内分配。密钥必须定期更换，对已泄露或怀疑泄露的密钥应及时废除，旧密钥必须安全归档。密钥备份是全国计算机等级考试备考资料计算机一级考试计算机二级考试计算机三级考试计算机四级考试针对主要密码设备和保密工作人员的意外事件而采取的必要措施，密钥副本的保存必须是物理安全的。要有在紧急情况下销毁密钥的手段和措施，以防密钥丢失。7管理职责、信息安全意识、教育和培训加强信息系统的安全监测。安全管理人员要制定各种紧急情况应对方案并经常监测、分析计算机信息系统运行状况，切实提高信息系统的安全效能。要协助业务操作人员审查业务处理结果，发现问题应及时查明原因。对不能确认的异常现象，必须向计算机安全管理部门报告。要对计算机信息系统安全运行的监测记录及其分析结果严格管理，未经相关领导许可不得对外发布或引用。重大安全事件和应急处理。确认计算机信息系统出现重大安全事件，必须果断采取控制措施，立即报告相关安全工作领导小组并逐级如实上报计算机安全主管部门。重大安全事件发生后，协助有关人员保护事件现场，积极协助安全事件的调查，做好善后处理工作。重大安全事件的处理情况，安全管理员必须形成书面材料，报告上级计算机安全主管部门。8管理职责、信息安全意识、教育和培训定期对信息安全工作进行巡检，并在其他业务管理员的协助下建立完整的安全巡检报告。要根据信息系统安全需求及网络系统建设的发展，提出网络系统安全整改意见和实施方案，提出具体的解决方案。落实对其他管理员和普通用户信息安全工作的指导和监督。监控信息系统的安全需求变化，及时获取来自其他管理员和普通用户的安全意见，进行必要的安全管理体系修订。认真履行信息安全工作的岗位职责，处理信息安全工作组核准的其它事务。对网络的运行进行管理，认真落实网络安全策略并严格按照信息系统安全运行细则进行操作。9配置符合安全策略的网络参数，对网络用户访问权限进行严格的控制，维护网络确保其安全正常运行。监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向计算机安全人员报告安全事件。严密监控其他人员对网络管理功能的操作，发现违规操作时及时制止，防止类似事件的发生。10惩戒程序为保证员工严格执行组织的信息安全方针，程序和有关安全规章，对犯规者进行惩戒是一种管理手段。为此组织应该建立一个惩戒管理制度，明确规定员工被惩戒的适用情况、证据提供、惩戒手段、审批等具有要求，确保准确、公正、合理处理违反方针程序和有关规定的员工。惩戒手段包括行政警告、经济处罚、调离岗位、依据合同予以辞退，对于触犯刑律的移交司法机关处理。11职业责任的终止或变更单位必须有对调理或终止人员的管理制度，例如人员调理的同时马上收回钥匙、移交工作、更换口令、取消帐号、并向被调离或终止的人员申明其保密义务。对调离工作的人员，确定该员工是否从事过重要材料方面的工作，是否涉及接触信息处理设备，特