联系方式 | 业务合作 | 会员

人员安全管理制度的管理标准

2011-04-29   来源:安全文化网    热度:   收藏   发表评论 0

  1引言

  为加强海南电网信息通信分公司(以下简称“公司”)对信息安全人员的规范化管理,完善信息安全人员的管理制度,促进公司信息安全事业的发展。特制度本标准,本标准阐述了公司信息安全人员管理方面的基本要求和管理原则,明确定公司在信息安全人员管理方面的人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问控制管理中应遵守的原则与工作流程。

  2规范性引用文件

  下列文件中的条款通过本标准的引用而成为本标准的条款。凡注明日期的引用文件,其随后所有的修改单或修订版均不适用于本标准(不包括勘误、通知单),然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡未注日期的引用文件,其最新版本适用于本标准

  《信息安全技术信息系统安全保障评估框架》(GB/T202741-2006)

  《信息安全技术信息系统安全管理要求》(GB/T20269-2006)

  《信息安全技术信息系统安全等级保护基本要求》(GBT22239-2008)

  本标准未涉及的管理内容,参照国家、电力行业、南方电网公司的有关标准和规定执行。

  3目标

  为充分发挥公司各信息系统业务支撑作用,不断提高各信息系统服务质量和水平,确保各信息系统安全、优质、经济运行,都需要信息人员的支持。为使公司人员安全管理制度规范化、程序化、制度化,保障网络与信息系统的正常运行,依据有关法律、法规及信息安全标准,结合省电网工作实际,特制定本制度。

  4人员录用

  人员的录用有公司人力资源部负责人员的录用

  所录人员和专(兼)职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守;信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历,具备专科以上学历;违反国家法律、法规和行业规章受到处罚的人员,不得从事信息安全管理与技术工作,同时以下职位要求具备相关的能力。

  系统管理员

  大学专科计算机专业毕业,具有两年以上工作经验。

  熟悉计算机硬件技术与软件操作系统的原理与配置。

  熟悉掌握操作系统的安装与卸载。

  掌握数据库(SQL、ORACLE、Sybase等)原理以及安装、设计与管理。

  能够熟悉网络的构架以及网络和操作系统的结合。

  能够独立完成IIS、DNS、DHCP、ROUTE等系统的设计。

  熟悉各类操作系统(windows、unix、EXCHANGE等)的管理。

  网络管理员

  计算机专业本科以上学历。三年以上的网络管理工作经验。

  熟悉网络技术的原理。英文阅读流利。

  能够独立设计网络,优化网络性能。

  熟练使用交换机、路由器、网管软件等网络软硬件设备。

  熟悉WINDOWS、UNIX等应用层操作系统。

  有从事本岗位工作的高度责任感,遵纪守法,坚持原则,严格管理

  项目管理员

  大学本科毕业,具有三年以上电力系统相关工作经验。

  熟悉计算机软硬件及网络相关知识。

  熟悉与项目相关的业务部门技术和管理知识。

  政治素质高、思想品德好、有较强的组织协调能力和表达能力。

  数据库管理员

  大学本科计算机专业毕业,具有五年以上工作经验。

  熟悉计算机硬件技术与软件操作系统的原理。

  熟悉掌握操作系统的安装与卸载。

  掌握数据库(SQL、ORACLE、Sybase等)原理以及安装、设计与管理。

  能够熟悉网络的构架以及网络和操作系统的结合。

  熟悉各类操作系统(NT、WIN2K、EXCHANGE等)的管理。

  信息安全员

  大学专科及以上计算机专业毕业,具有两年以上工作经验。

  熟悉各类信息安全技术和设备的原理与配置。

  熟悉各类操作系统(windows、unix)的管理。

  掌握数据库(SQL、ORACLE、Sybase等)的安全配置技术。

  熟悉网络的构架以及网络和操作系统。

  硬件维护人员

  相关专业中专以上毕业。认真负责,遵纪守法。

  熟悉掌握计算机软硬件的知识及网络知识,具有较高的软件硬件维护水平

  系统运维人员

  相关专业中专以上毕业。认真负责,遵纪守法。

  熟悉掌握计算机软硬件的知识及网络知识,具有较高的软件硬件维护水平

  人员职责

  系统管理员

  所辖工作对本部门主观领导负责。

  负责所管辖的应用系统及设备的运行维护。

  负责系统各项业务参数的设置、修改、检查。

  负责设置和修改系统用户帐号和口令(密码)。

  负责授权或限制操作员、网络管理员的普通用户使用系统的口令(密码)。

  负责给系统增、删各类用户。

  网络管理员

  所辖工作对本部门主观领导负责。

  负责计算机网络的管理工作。

  认真贯彻执行网络管理方面的有关规程和上级制定的有关网络管理工作的各项规章制度

  参与网络规划,包括网络拓朴结构的制定,ip地址的规划,网络设备的选型等。

  负责网络日常维护和故障排除。

  负责网络安全,制定安全策略。

  负责网络固定资产的管理及装置的报废、淘汰工作。

  项目管理员

  对本项目领导小组和本人所在部门的直接领导负责。

  负责所辖项目的全过程的组织、沟通、总结整理工作,直至工程结束后的总结验收、鉴定或评审结束,保证项目的按时按质完成

  数据库管理员

  所辖工作对本部门主管领导负责。

  负责所辖所有业务数据安全管理。

  负责存储备份系统的运行、维护及升级等工作。

  参与各系统数据库的设计、数据编码编制和数据结构规划等工作。

  信息安全员

  负责数据接口管理以及数据仓库的建设。

  所辖工作对本部门主管领导负责。

  负责所管辖的信息系统及网络的安全管理,确保不发生重大信息安全事故。

  组织或参与公司或上级单位的信息安全检查。

  负责信息安全的信息发布、宣传和培训。

  协助其他信息技术管理工作。

  硬件维护人员

  负责公司本部及本所部门电脑安装、调试和日常维护。

  负责公司本部及本所各部门打印机的日常维护。

  负责公司本部及本所各部门工作人员使用电脑技术指导。

  负责协助公司本部及本所各部门工作人员做好数据安全与备份。

  分公司系统运维人员

  遵守所在单位的各项规章制度、服从所在单位领导关于信息化工作的安排并作好信息化建设的参谋。

  接受省公司信息中心的工作安排,配合省公司信息中心作好全省网络和应用系统的建设和运行维护工作,及时反映所在单位信息化工作方面的情况。

  负责分公司及各部门电脑、打印机的安装、调试和日常维护。

  负责分公司局域网的运行与维护,保证网络安全运行。

  负责分公司及各部门工作人员使用电脑及应用系统的技术指导。

  负责分公司应用系统日常运行及数据备份

  人员考核

  按工作标准,应定期对各个岗位的人员进行安全技能及安全认知的考核。

  对关键岗位的人员须进行全面、严格的考核,必须经过政审并要考核其业务能力。

  考核结果进行记录并保存。

  按省公司有关规定进行检查与考核

  人员离岗

  对调离人员,特别是因不适合安全管理要求被调离的人员,必须严格办理调离手续,进行调离谈话、承诺其调离后的保密义务,交回所有钥匙及证件,退还全部技术手册、软件及有关资料,更换系统口令和机要锁。涉及电网业务核心技术的信息安全人员调离单位,必须进行离岗审计,并在规定的脱密期后,方可调离。

  立即终止由于各种原因即将离岗的员工的所有访问权限;取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备;经机构人事部门办理严格的调离手续,并承诺调离后的保密义务后方可离开。

  安全意识教育和培训

  信息安全人员应负责对公司所有使用计算机的人员进行安全意识教育、岗位技能培训和相关安全技术培训工作。

  信息安全人员应书面形式告知相关人员相应的安全责任和惩戒措施,并对违反违背安全策略和规定的人员进行惩戒。

  信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。

  信息安全人员应定期参加下列信息安全知识和技能的培训:

  信息安全法律法规及行业规章制度的培训;

  信息安全基本知识的培训;

  信息安全专门技能的培训。

  第三方人员管理

  第三方人员包括软件开发商,硬件供应商,系统集成商,设备维护商和服务提供商,以及实习学生和临时工作人员。

  应对第三方人员的物理访问和逻辑访问实施访问控制,根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。

  第三方人员的现场工作或远程维护工作内容应在合同中明确规定,如工作涉及机密或秘密信息内容,应要求其签署保密协议。

  一般情况下第三方人员的现场工作,如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等,不许接入自带的设备。

  第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权,其操作应受到审计。

  第三方人员工作结束后,应及时清除有关账户、过程记录等信息。

  5附则

  1)本标准由海南电网公司信息通信分公司负责解释。

  2)本标准自颁布之日起实行。