【文章內容簡介】 或不當使用。系統文件安全，應保護系統文件以防止未授權的訪問。4 信息安全管理體系認證步驟決策準備→宣貫培訓→制定計劃→確定信息安全方針和范圍→現狀調查與風險評估→明確信息安全結構及職責→確定風險處理計劃、準備控制概要→制定業(yè)務可持續(xù)發(fā)展計劃→體系文件編寫→體系運行→內部審核→外部審核初訪→外部正式審核→頒發(fā)證書→體系持續(xù)運行老師總結，注意問題：向質量管理體系、方向、發(fā)展在資產、威脅、脆弱性、評估、識別中下功夫ISMS嵌入到管理體系中去建立實施、運行改進，與其它體系一脈相承第二部分信息安全管理規(guī)定1 信息安全管理的組織、人員和制度 組織管理信息安全管理組織主要包括：綜合信息處、企業(yè)發(fā)展處、營銷宣傳中心、人力資源處、市場開發(fā)處、計劃財務處、安全技術處和稽查管理處，信息安全問題由單位內部的各處控制和管理。組織根據自身業(yè)務特點和具體情況所制定的信息安全管理辦法和規(guī)范，必須符合國家信息安全相關法律、法規(guī)的規(guī)定。從單位自身微觀的層次上體現了信息安全管理與國家的宏觀的信息安全管理的一致和配合。 人員管理 管理目標人員的素質是提高信息安全性致關重要的因素。信息安全的人員管理中，人員因素是信息安全管理環(huán)節(jié)中最重要的一環(huán)，全面提高人員的技術水平、道德品質、政治覺悟和安全意識是信息安全的重要保障。人員的安全審查應該從安全意識、法律意識、安全技能等幾方面進行，應試具有政治可靠、思想進步、作風正派、技術合格等基本素質，關鍵崗位人員的審查標準。 管理措施 離崗離職人員的管理第一條工作人員離職之后仍對其在任職期間接觸、知悉的屬于本單位或者雖屬于第三方但本單位承諾或負有保密義務的秘密信息，承擔如同任職期間一樣的保密義務和不擅自使用的義務，直至該秘密信息成為公開信息，而無論離職人員因何種原因離職。第二條 離職人員因職務上的需要所持有或保管的一切記錄著本單位秘密信息的文件、資料、圖表、筆記、報告、信件、傳真、磁帶、磁盤、儀器以及其它任何形式的載體，均歸本單位所有，而無論這些秘密信息有無商業(yè)上的價值。第三條離職人員應當于離職時，或者于本單位提出請求時，返還全部屬于本單位的財務，包括記載著本單位秘密信息的一切載體。若記錄著秘密信息的載體是由離職人員自備的，則視為離職人員已同意將這些載體物的所有權轉讓給本單位，本單位應該在離職人員返還這些載體時，給予離職人員相當于載體本身價值的經濟補償；但秘密信息可以從載體上消除或復制出來時，可以由本單位將秘密信息復制到本單位享有所有權的其他載體上，并把原載體上的秘密信息消除，此種情況下的離職人員無需將載體返還，本單位也無須給予離職人員經濟補償。第四條 離職人員離職時，應將工作時使用的電腦、U盤及其他一切存儲設備中關于工作相關或與本單位有利益關系的信息、文件等內容交接給本單位相關人員，不得在離職后以任何形式帶走相關信息。第五條員工離職（包括崗位變動、解除勞動關系等）相關規(guī)定中應包括信息安全審查的相關內容，審查應包括以下方面：●當員工發(fā)生崗位變動時，應按有關規(guī)定辦理離職手續(xù)?！耠x職員工原崗位使用的各類信息系統用戶是否已完成交接或被關閉?！耠x職員工是否簽署保密協議，若已簽署保密協議應檢查保密協議中的相關內容，向其重申權益及其應承擔的保密義務。●離職員工保管的工作資料、信息資產是否已經交回?！耠x職員工使用的各類計算機及其他設備是否已全部交回?！裥畔⒖萍紗T工及關鍵崗位員工，應立即取消其原崗位的系統權限，及時更改相應系統的相關用戶密碼，確保密碼、設備、資料及相關敏感信息等的移交。 在崗在職人員的管理第一條禁止利用計算機資源制造、傳播違反國家法律法規(guī)的信息。第二條 掌握所在崗位需要的計算機信息安全知識；妥善保管計算機系統中的重要文件和數據；妥善保管身份認證憑據（如用戶賬號、密碼、數字證書等）。第三條 嚴禁自行更改所使用計算機系統的硬件配置；嚴禁在計算機設備上安裝、使用非工作需要的軟件或非授權的數據介質（如軟盤、光盤、U盤和移動硬盤燈）。第四條所有員工有義務和責任愛護并正確使用計算機；計算機必須安裝防病毒軟件，及時更新補丁，并定期檢查更新情況；未經審批，計算機不得與外單位網絡連接；禁止在非授權的情況下將計算機同時接入互聯網和內部網絡。第五條離開工作座位時，必須將辦公電腦啟動屏幕保護程序或保持注銷狀態(tài)，并采用口令進行保護；非必要時，不能將計算機設備提供給他人使用（特別是非本單位人員）；未經設備保管員同意，不能擅自使用他人計算機設備，禁止與他人的設備互換使用。第六條發(fā)現可以與計算機安全相關的事件時，有責任和義務及時報告；有責任和義務自覺接受信息中心部門在信息安全防范方面的管理、監(jiān)督和檢查。第七條有義務參加信息安全教育和培訓。 員工招聘管理第一條員工招聘過程中，與新員工簽訂的勞動合同或其他協議中應明確員工的信息安全責任，并應包括與信息安全相關的保密條款，如有需要，合同中應明確該責任在結束合同關系一段特定的時間內仍然有效。第二條信息科技關鍵崗位人員的招聘，應明確該崗位在信息安全方面的要求，并對應聘人員的相關背景進行嚴格審查；相關崗位人員應簽署專門的保密協議，如有需要，保密協議中應明確該責任在結束合同關系一段特定的時間內仍然有效。員工信息安全教育與培訓 教育與培訓的主要內容教育與培訓的內容主要有三個方面：第一，基本安全教育及基本概念可能存在的威脅和風險、理解相關方針和規(guī)章制度、提高安全意識、掌握基本安全操作概念。第二，專業(yè)安全方面的培訓及職業(yè)道德教育與崗位相關安全技術理論培訓、崗位職能和操作技能培訓。第三，安全的高級培訓及國家和行業(yè)相關法律法規(guī)、全面的安全技術理論和知識、全面的安全管理理論、安全工程理論、關鍵崗位職能與責任的培訓。 教育與培訓的主要措施第一條為保障