第一章 范围及职责
第一条 本制度适用于信息系统用户的管理,包括:岗位配置原则、人员调(离)岗、安全培训教育、第三方人员管理。
第二条 现代教育技术中心负责信息系统用户管理制度的制定和修订。
第二章 岗位配置原则
第三条 根据信息系统职能要求,结合信息部门实际情况进行人员配备,权限、职能不同的角色必须分离,避免权责不清、责任不明确的现象发生。
第四条 各岗位工作人员安排
为确保信息安全工作的顺利开展,保障信息系统的正常运行,须设置安全管理员、系统管理员、网络管理员、机房管理员并明确其工作职责。
系统管理员职责:负责日常信息系统管理,对信息系统的整体运行进行整体规划和信息系统的日常巡检,发现故障需要及时上报
安全管理员:负责日常信息安全管理工作过程人员和外来人员的接入信息系统的权限制定和审批,并监测异常账户。
审计管理员:负责信息安全管理工作过程中的系统管理员、审计管理员、外来人员的系统操作日志和系统日志进行审计,避免出现高危操作。
第三章 人员录用及调离
第五条 所有信息系统相关岗位均要签署保密协议,关键岗位人员必须从内部人员中选拔。
第六条 人员调离时必须更换或归还之前发放的身份证件、钥匙、单位提供的软硬件设备及文档资料等资产,并办理详尽的交接手续。
第七条 人员调离时必须终止其所有的访问权限,涉及相关信息系统账号、口令时,先采取更换密码或冻结账号的措施,避免直接删除账号。
第八条 人员调(离)岗时必须签署保密承诺书,承诺在调(离)岗后根据保密承诺书的内容履行相关的保密责任和义务,涉密人员实行脱密期管理制度。
第九条 建立完善的奖惩机制,对违反信息安全策略或规定的人员,给予正式纪律处理,对信息安全工作表现突优异的人员,给予适当激励。
第四章 安全培训教育
第十条 制定安全教育和培训计划、记录培训具体内容和培训结果以及参加培训人员,在培训结束后把培训相关记录材料整理归档。
第十一条 根据各个岗位的业务应用、安全意识和保密意识需求制定培训计划,定期组织安全教育和培训。
第十二条 定期对各岗位人员进行安全理论知识和安全技能水平的考察。
第五章 第三方人员管理
第十三条 第三方人员对敏感信息资产进行访问前,必须签订保密协议;在保密协议中明确第三方人员的安全责任、必须遵守的安全要求以及违反要求的处罚等条款,对其允许访问的区域、系统、设备、信息等内容应有明确的规定。
第十四条 需要访问信息系统/受控网络的第三方人员必须得到现代教育技术中心及相应使用部门的许可、授权,其访问权限必须得到严格的限制。第三方人员使用的工具需经过现代教育技术中心的安全检查。
第十五条 与第三方人员共同协定现场工作规范并按照既定规范实施管理、落实运维人员或终端责任人全程陪同的策略以降低风险。
第十六条 在第三方人员进行远程访问之前,要严格鉴定访问者的身份,确保访问者为已授权人员。
第十七条 外包项目工作人员工作票时间超出期限后须重新申请工作票。
第十八条 应选择具有公安部门、保密部门、密码管理部门资质认证的第三方单位进行信息安全合作,保障系统安全。
第五章 外来人员管理
三、 未经批准不得动用机房设备、物品和资料,确因工作需要,必须经过批准方可在管理人员的指导或协同下进行,对进出机房人员需进行登记(附表六);
四、 机房应保持清洁、卫生,温度、湿度适可,机房在内严禁吸烟,严禁携带无关物品尤其是易燃、易爆物品及其他危险品进入机房;
五、 进入机房不得随意挪动消防设备,出现异常情况应立即采取切断电源、报警、使用灭火设备等正确方式予以处理;
六、 不允许私自将机房内的设备、工具、部件等带出机房;
七、 进入机房人员要对数据实施严格的安全与保密管理,防止系统数据的非法生成、变更、泄露、丢失及破坏;
八、 未经现代教育技术中心及相应使用部门的许可,进入人员不得在服务器上安装新软件,若确实需要安装,安装前应进行病毒例行检测。不得在服务器上使用来路不明的U盘、光盘等存储介质;