人员安全管理办法

人员安全管理办法

1. 概述

1. 随着网络及信息安全的发展，大部分的安全事件都与内部人员疏忽，或者第三方合作人员、离职员工泄露学校秘密等有关，都暴露出人员安全管理方面存在的问题。本规范目标在于建立健全信息系统维护员工安全管理制度，建立健全第三方人员信息安全管理制度，本规范涉及人员范围包括南京特殊教育师范学院信息化建设与管理中心维护人员及与南京特殊教育师范学院信息化建设与管理中心合作第三方厂商人员。

2. 人员入职管理

2. 新员工入职安全培训规范是保证新员工入职顺利达到目标的一个重要因素，建立标准的安全培训规范是新员工参与到工作中完成既定任务的基础。新员工入职安全培训规范包括：

   1. 培训方式：主要采用课堂授课的方式介绍信息系统安全规范。

   2. 培训内容：新员工入职安全培训主要以信息系统安全介绍为主，同时介绍信息安全管理规章制度。

3. 入职信息安全

   1. 员工办理入职手续正式生效后，才能开通工作所涉及系统（包括：应用系统、数据库系统、主机操作系统、网络系统等）访问账号的权限。

   2. 新员工正式入职后，填写《用户创建和授权审批表单》，部门经理审批后提交系统支持中心，由信息化建设与管理中心创建域用户后将该用户提交给申请的员工，新员工在第一次使用该帐户登录学校域环境是必须改变初始密码。

4. 新员工签订保密协议：

   1. 保密协议的签订应符合人力资源部门的相关规定，包括但不限于：明确规定入职员工需要保密的内容，另外再根据入职员工的工作岗位是否为核心岗位工作来确定是否需要签订脱密协议，在脱密协议中约定入职员工离职前的脱密事项及脱密的期限。保密协议中应规定保密期限、保密范围、保密的权利义务、违约责任等其它方面。

3. 人员在职管理

5. 在职人员需遵守员工信息安全守则

6. 物理安全

   1. 每个员工有责任保护信息系统计算机资源和设备，以及包含的信息；

   2. 员工离开办公室或工作区域，应激活屏幕保护口令或将员工的计算机关机；

   3. 员工在休息中或在办公室之外的地方工作，应将便携电脑置于控制之下；

   4. 员工对外出带存有信息系统机密资料的便携介质需妥善保管；

   5. 员工的便携电脑被盗、丢失时，员工必须及时向上级主管报告。

7. 区域安全

   1. 非工作时间，员工进入或离开办公区域时，应在值班人员处登记；

   2. 外来人员进入办公区域或机房，相关员工必须全程陪同；

   3. 将物品带入/带出办公区域，要遵守相关的规定及流程；

   4. 参加会议时遵守会前、会中、会后的保密流程。

8. 应用安全

   1. 文档与数据安全

      1. 员工不能在未经上级主管授权的情况下泄露信息系统机密信息，并且必须严格遵守相关标准及流程；

      2. 对于信息系统机密信息必须根据相关规定予以适当的标识，禁止和任何未经授权的人员讨论机密或尚未公开的专有信息；

      3. 禁止从非正常途径获取信息系统相关的涉密文档及非授权复制涉密文档；

      4. 将信息系统的机密信息通过互联网传送时，必须予以加密；

      5. 将信息系统机密信息存储于可移动的介质上时，必须要注意防范偷窃或未经授权的访问；

      6. 禁止在没有员工控制的系统上，存储或处理信息系统相关的机密信息；

      7. 当打印信息系统相关机密信息时，员工必须保护这些信息不受盗窃和非授权阅览；

      8. 通过传真发送信息系统相关的机密文档应进行登记，要核实目的传真的电话号码，必须联系收件人确认保护传真，确保快速取走或确保传真件在安全区域内；

      9. 如果在电话、电视会议中涉及讨论信息系统相关的机密信息，会议的主持人或组织人，在会议全过程中一定要确认每一个与会者是经授权参与的。

   2. 软件与系统安全

      1. 必须在个人计算机上激活安全控制及设置必要的开机口令；

      2. 员工的计算机上应安装和运行项目授权使用的防病毒软件和个人防火墙，必须开启实时扫描保护功能，至少每周进行一次全硬盘扫描和病毒库文件的更新；

      3. 员工在个人使用的计算机上，必须卸载不必要的软件，停止不必要的服务，及时安装必要的安全补丁。并且遵循项目相关的安全标准和规范加固个人使用的计算机设备；

      4. 员工要保护好并定时更换访问学校内部信息系统的口令；

      5. 保护个人的识别代码，以防非法滥用。如果员工访问不在学校控制下的计算机系统，禁止将在学校内部系统使用的口令作为外部系统的口令；

      6. 员工私人安装在学校计算机上的软件，员工应持有有效使用许可证明；

      7. 员工在学校内使用受版权或其他知识产权法规保护的信息或软件时，务必遵循相关的法规；

      8. 收到来历不明的邮件要警惕；

      9. 在学校内部网络群发邮件仅可以用于工作目的，不准许群发大型邮件，也禁止转发恶意邮件；

      10. 限制使用基于互联网的PEER-TO-PEER文件共享服务，如 NAPSTER、Kazaa、BT、eMule、eDonkey等。

   3. 硬件与网络安全

      1. 员工需要从外部连接到信息系统内部的系统或网络时，必须使用信息系统相关主管批准的远程访问服务；

      2. 未经信息系统相关主管的允许，不得监控网络流量(如使用SNIFFER或类似设备)；

      3. 未经信息系统相关主管的允许，不得针对信息系统的网络或服务器运行安全扫描程序；

      4. 未经信息系统相关主管的允许，不得增加网络设备到信息系统的网络架构中；

      5. 禁止在网络上传播未经证实、垃圾邮件和广告等没有意义的消息；

      6. 禁止访问非法网站（如法轮功等）。

9. 帐号安全管理

   1. 帐号设立原则

      1. 操作系统、应用系统、数据库、网络设备等系统均应通过帐号和口令实现登录验证。

      2. 应用系统用户按个人创建单独的用户帐号，并赋予相应的权限，以避免共享帐号的产生。帐号必须明确责任人，责任人必须细化到个人，不得以部门或组作为责任人。

   2. 帐号的使用原则

      1. 任何帐号只限于申请帐号过程中所声明的使用人使用，禁止其他人使用此帐号。

      2. 系统正式投入使用前，必须更改原来系统中的缺省帐号的所有口令，以保证正式环境的安全。

      3. 帐号使用人在使用的过程中，不得使用帐号访问与自己工作无关的资源。

      4. 系统管理员应定期对系统中的帐户进行审计，对不符合要求的帐号进行整改。

   3. 系统用户帐号

      1. 系统用户帐号由具体使用人员向系统管理员申请，系统管理员对用户帐号统一进行管理、设置和分配，建立《操作系统管理员账号清单》、《数据库管理员账号清单》、《应用系统管理员用户账号清单》。

      2. 信息化建设与管理中心负责对用户帐号创建、变更或撤销申请的审批，针对不同的用户帐号，建立《操作系统管理账号的审批文件》、《数据库系统管理账号的审批文件》、《应用系统管理员账号的审批文件》。

      3. 信息化建设与管理中心负责每季度对系统用户帐号清单进行复核并签字确认，对多余或不恰当的账号进行调整。

      4. 系统用户帐号权限应基于“使用需要”，逐个事件进行授权，即以完成其工作职责的最低要求为依据，临时帐号应在完成特定任务后由系统管理员立即收回。

      5. 系统管理员需通过安全途径将帐号初始口令告知用户，用户收到初始口令后，应在初次登陆系统时修改初始口令。

4. 员工信息安全考核规范

10. 考核方法

    1. 考核对象：考核对象为所有信息系统维护员工。

    2. 考核周期：依据人力资源处的相关规定进行。

    3. 考核关系：信息安全考核主要采用员工自评价、安全管理员对考核对象评价、信息系统主管对各考核对象评价。

    4. 考核维度：考核维度是对考核对象不同角度、不同方面的考核。信息系统信息安全考核主要包括员工信息安全意识维度、能力维度、态度维度、安全事件维度四个方面。

       1. 每一个考核维度由相应的测评指标组成，对不同的考核对象采用不同的测评指标。

          1. 信息安全意识：指被考核人员通过安全培训与教育、自学所形成的对信息化资产保护的意识成果；

          2. 能力：指被考核人进行信息化资产安全保护方面所具备的特殊能力和岗位所需要的素质能力；

          3. 态度：指被考核人员对待信息化资产安全进行保护的态度和作风；

          4. 安全事件：指被考核人在考核期内是否与发生的安全事件有直接的关系；

    5. 考核指标权重：权重表示单个考核指标在指标体系中的相对重要程度，以及该指标由不同的考核人评价时的相对重要程度。具体权重见月度考核的相关内容。

    6. 考核程序：各考核人对被考核人进行考核评分；安全管理员根据得分确定被考核人的综合评定等级，上报信息系统主管审批后作为绩效考核的相关依据；

    7. 员工考核结果主要作为员工绩效考核、岗位变动、岗位升降等工作的参考；

    8. 考核办法及评分标准由安全管理员根据实际情况自行制定；

    9. 对于特殊员工、新入职的员工、未进行信息安全培训与教育或有其它特殊原因的员工，经信息系统主管批准可以不参加本月的考核。

    10. 申诉处理：安全管理员需要制定申诉受理流程及程序，受理考核过程中考核对象提出的申诉。

5. 员工信息安全培训规范

11. 培训对象：信息系统维护员工；

12. 培训目的：提高信息系统维护员工整体信息安全意识，使其充分了解既定的信息安全策略；

13. 培训方式：下发电子文档、网上教学、厂家送培、内部培训或其它方式；

14. 培训周期：不定期；

15. 培训内容：如何安全使用有关系统，包括各信息系统、主机操作系统、电子邮件系统、内部网站以及普通计算机周边硬件设备。

6. 人员调动管理

16. 人员调动指南京特殊教育师范学院信息化建设与管理中心内部各信息系统运维操作人员发生变化。人员调到应符合但不限于如下要求：

    1. 当员工因工作需要进行岗位调整时，说明当前岗位所涉及的账号和权限等安全信息。

    2. 安全管理员根据掌握调动人员所涉及的系统和应用账号，并及时注销员工与原工作岗位有关的账号和权限，并申请开通员工新岗位所需相关账号及权限。账号的注销和开通需要得到申请员工调动前后所属领导的签字确认。

17. 安全管理员应及时关闭调动人员的原访问账号及权限；

18. 安全管理员应及时安排接替人员做好相关安全方面的交接工作，交接内容包括但不限于：

    1. 运维操作文档，包括电子和非电子文档。

    2. 电子文档包括但不限于：

    3. 主机操作系统、数据库安装软件

    4. 应用系统安装软件

    5. 网络设备安全相关文档

    6. 非电子文档

    7. 主机操作系统、数据库相关账户口令

    8. 应用系统配置文档

    9. 网络设备配置文档

    10. 帐号口令，包括但不限于：

        1. 主机操作系统口令，

        2. 数据库账户口令

        3. 网络设备口令

        4. 应用系统账户口令。

7. 人员离职管理

19. 人员离职管理规范

    1. 在职人员离职时，必须按照信息系统相关安全规范办理离职手续。

    2. 安全管理员应及时关闭离职人员的访问账号及权限。

    3. 安全管理员应对离职人员办理离职手续期间访问日志进行审计。

    4. 以上结果由安全管理员签字确认。

20. 帐号注销：员工因为离职或其他原因不再需要使用学校帐号、资源，应及时注销学校域帐号。首先员工应删除学校域内所有自己的资源，然后填写《人员访问权限修改表单》，经部门经理审批后提交信息化建设与管理中心，信息化建设与管理中心负责删除该用户帐号。

21. 离职竟业禁止协议：员工在离职时，向人力资源部门提供该员工在职时的岗位的重要程度信息，协助人力资源部确定是否需要签订竞业禁止协议，竞业禁止协议中需要对：时间、地域、限制领域进行明确规定等。

8. 第三方人员安全管理

22. 第三方人员定义：是指除南京特殊教育师范学院员工以外的所有的人员。第三方人员分为临时来访人员和非临时来访人员。临时来访的第三方人员是指来南京特殊教育师范学院时间周期较短的人员，包括进行业务交流的人员，临时来访参观的人员等；非临时来访的第三方人员是指来访时间较长的第三方技术服务人员，包括项目建设人员，外来信息系统职守人员，外来信息系统维护人员等。

23. 临时来访第三方人员管理制度

    1. 临时来访第三方人员进行相关业务活动时，须提前与信息系统相关人员预约，到访时需在安全管理员进行联系并登记，然后到指定区域等候。

    2. 业务洽谈一般应当在接待室或会议室内进行，招标、谈判等正式洽谈和重大项目的会谈应当在专门的会议室进行，不得在办公室进行。应当避免同一领域的临时来访第三方人员在同一会议室同时进行业务洽谈。

    3. 除预定的工作内容外，接待人不得为临时来访第三方人员随意安排其它活动；不得向临时来访第三方人员透露业务范围之外的技术、商务情况。

    4. 临时来访第三方人员自接触信息资源起至离开止，必须安排接待人全程陪同。

    5. 除以下情况外，接待人不得引领和允许第三方人员进入机房、办公室和其他机要区域：

       1. 南京特殊教育师范学院信息化建设与管理中心批准的参观活动；

       2. 必要的设备和软件等现场安装、维修、调测；

    6. 结束业务活动后，接待人应陪送临时来访第三方人员离开南京特殊教育师范学院信息化建设与管理中心。接待人在无法陪送的情况下应委托本部门其他人员陪送。

    7. 对接待人的接待工作，信息系统主管和其他人员有权进行监督。接待人员违反上述规定，造成南京特殊教育师范学院信息化建设与管理中心财产损失的，应纳入绩效考核系统，并按南京特殊教育师范学院相关制度进行处罚。

    8. 未经批准，临时来访的第三方人员不得在南京特殊教育师范学院信息化建设与管理中心内摄影、拍照。

24. 非临时来访第三方人员管理制度

    1. 信息系统维护部门应建立常驻非临时来访第三方人员档案，非临时来访第三方人员需签订相关安全保密协议。指派安全管理员定期对第三方人员进行检查，确认其身份信息；并为非临时来访第三方人员分配长期办公的物理区域和IP地址。

    2. 非临时来访第三方人员出入南京特殊教育师范学院信息化建设与管理中心允许的区域时，原则上不需安排专门人员陪同。

    3. 非临时来访第三方人员只允许在经允许的区域（除机房）进行业务活动。

    4. 由于必要的设备和软件等现场安装、维修、调测；接待人可以引领非临时来访第三方人员进入机房，但接待人必须全程陪同。

    5. 非临时来访第三方人员在进行维护工作时应遵守南京特殊教育师范学院信息化建设与管理中心所有相关管理和技术规范。

    6. 未经批准，非临时来访第三方人员不得在南京特殊教育师范学院信息化建设与管理中心内摄影、拍照。

    7. 对非临时来访第三方的技术人员因业务需要须在南京特殊教育师范学院信息化建设与管理中心进行工作的，应与之签订个人保密协议，向其明确南京特殊教育师范学院信息化建设与管理中心的保密制度。

    8. 非临时来访第三方人员因工作需要，所获得的南京特殊教育师范学院信息化建设与管理中心相关资料，使用完后，应归还南京特殊教育师范学院信息化建设与管理中心相关人员或销毁,并在安全管理员处进行备案。

    9. 非临时来访第三方人员因技术支持对系统的任何操作要进行登记，记录在案。

25. 第三方人员接入网络管理规范

    1. 第三方人员与南京特殊教育师范学院信息化建设与管理中心安全管理员协商后，确定连接内网的必要性；

    2. 第三方人员携带的便携电脑等设备，需经安全管理员的许可方可接入信息系统网络；

    3. 第三方人员携带的便携电脑、掌上电脑，若未安装杀毒软件并且若杀毒软件未获得最近的更新或未开启主动防毒功能，或其操作系统未获得全面及最近的更新，不可接入信息系统网络；

    4. 未经批准，第三方人员携带的便携电脑、掌上电脑，不可以无线方式接入信息系统内部网络；

    5. 第三方人员的便携电脑、掌上电脑、具有数据存储功能的电子设备等，接入信息系统网络时，须经过杀毒处理；

    6. 信息系统便携电脑、掌上电脑、具有数据存储功能的电子设备等与第三方人员进行数据交换，须经过杀毒处理。

26. 第三方人员对信息系统操作规范

    1. 第三方人员应全面遵守信息系统安全管理制度及做出承诺，必要时应以书面形式（承诺书或保密协议书）确定承诺内容。

    2. 任何员工都有权力、责任及义务向信息系统主管、安全管理员报告与第三方人员相关的信息安全事件。

    3. 第三方人员对信息系统的操作应接受检查监督。

    4. 第三方人员应在安全管理员指定的接入点接入。

    5. 第三方人员对信息系统的操作范围仅限于安全管理员批准的范围内。

    6. 第三方人员不得私自对信息系统账号及其他资源进行修改。

    7. 第三方人员不得发起任何可能对信息系统造成威胁的操作。

    8. 第三方人员应配合安全管理员进行权限回收，并删除本次操作过程中获取的信息系统相关数据。