【文章內(nèi)容簡介】 或不當(dāng)使用。系統(tǒng)文件安全，應(yīng)保護(hù)系統(tǒng)文件以防止未授權(quán)的訪問。4 信息安全管理體系認(rèn)證步驟決策準(zhǔn)備→宣貫培訓(xùn)→制定計劃→確定信息安全方針和范圍→現(xiàn)狀調(diào)查與風(fēng)險評估→明確信息安全結(jié)構(gòu)及職責(zé)→確定風(fēng)險處理計劃、準(zhǔn)備控制概要→制定業(yè)務(wù)可持續(xù)發(fā)展計劃→體系文件編寫→體系運行→內(nèi)部審核→外部審核初訪→外部正式審核→頒發(fā)證書→體系持續(xù)運行老師總結(jié)，注意問題：向質(zhì)量管理體系、方向、發(fā)展在資產(chǎn)、威脅、脆弱性、評估、識別中下功夫ISMS嵌入到管理體系中去建立實施、運行改進(jìn)，與其它體系一脈相承第二部分信息安全管理規(guī)定1 信息安全管理的組織、人員和制度 組織管理信息安全管理組織主要包括：綜合信息處、企業(yè)發(fā)展處、營銷宣傳中心、人力資源處、市場開發(fā)處、計劃財務(wù)處、安全技術(shù)處和稽查管理處，信息安全問題由單位內(nèi)部的各處控制和管理。組織根據(jù)自身業(yè)務(wù)特點和具體情況所制定的信息安全管理辦法和規(guī)范，必須符合國家信息安全相關(guān)法律、法規(guī)的規(guī)定。從單位自身微觀的層次上體現(xiàn)了信息安全管理與國家的宏觀的信息安全管理的一致和配合。 人員管理 管理目標(biāo)人員的素質(zhì)是提高信息安全性致關(guān)重要的因素。信息安全的人員管理中，人員因素是信息安全管理環(huán)節(jié)中最重要的一環(huán)，全面提高人員的技術(shù)水平、道德品質(zhì)、政治覺悟和安全意識是信息安全的重要保障。人員的安全審查應(yīng)該從安全意識、法律意識、安全技能等幾方面進(jìn)行，應(yīng)試具有政治可靠、思想進(jìn)步、作風(fēng)正派、技術(shù)合格等基本素質(zhì)，關(guān)鍵崗位人員的審查標(biāo)準(zhǔn)。 管理措施 離崗離職人員的管理第一條工作人員離職之后仍對其在任職期間接觸、知悉的屬于本單位或者雖屬于第三方但本單位承諾或負(fù)有保密義務(wù)的秘密信息，承擔(dān)如同任職期間一樣的保密義務(wù)和不擅自使用的義務(wù)，直至該秘密信息成為公開信息，而無論離職人員因何種原因離職。第二條 離職人員因職務(wù)上的需要所持有或保管的一切記錄著本單位秘密信息的文件、資料、圖表、筆記、報告、信件、傳真、磁帶、磁盤、儀器以及其它任何形式的載體，均歸本單位所有，而無論這些秘密信息有無商業(yè)上的價值。第三條離職人員應(yīng)當(dāng)于離職時，或者于本單位提出請求時，返還全部屬于本單位的財務(wù)，包括記載著本單位秘密信息的一切載體。若記錄著秘密信息的載體是由離職人員自備的，則視為離職人員已同意將這些載體物的所有權(quán)轉(zhuǎn)讓給本單位，本單位應(yīng)該在離職人員返還這些載體時，給予離職人員相當(dāng)于載體本身價值的經(jīng)濟補償；但秘密信息可以從載體上消除或復(fù)制出來時，可以由本單位將秘密信息復(fù)制到本單位享有所有權(quán)的其他載體上，并把原載體上的秘密信息消除，此種情況下的離職人員無需將載體返還，本單位也無須給予離職人員經(jīng)濟補償。第四條 離職人員離職時，應(yīng)將工作時使用的電腦、U盤及其他一切存儲設(shè)備中關(guān)于工作相關(guān)或與本單位有利益關(guān)系的信息、文件等內(nèi)容交接給本單位相關(guān)人員，不得在離職后以任何形式帶走相關(guān)信息。第五條員工離職（包括崗位變動、解除勞動關(guān)系等）相關(guān)規(guī)定中應(yīng)包括信息安全審查的相關(guān)內(nèi)容，審查應(yīng)包括以下方面：●當(dāng)員工發(fā)生崗位變動時，應(yīng)按有關(guān)規(guī)定辦理離職手續(xù)?！耠x職員工原崗位使用的各類信息系統(tǒng)用戶是否已完成交接或被關(guān)閉?！耠x職員工是否簽署保密協(xié)議，若已簽署保密協(xié)議應(yīng)檢查保密協(xié)議中的相關(guān)內(nèi)容，向其重申權(quán)益及其應(yīng)承擔(dān)的保密義務(wù)?！耠x職員工保管的工作資料、信息資產(chǎn)是否已經(jīng)交回。●離職員工使用的各類計算機及其他設(shè)備是否已全部交回?！裥畔⒖萍紗T工及關(guān)鍵崗位員工，應(yīng)立即取消其原崗位的系統(tǒng)權(quán)限，及時更改相應(yīng)系統(tǒng)的相關(guān)用戶密碼，確保密碼、設(shè)備、資料及相關(guān)敏感信息等的移交。 在崗在職人員的管理第一條禁止利用計算機資源制造、傳播違反國家法律法規(guī)的信息。第二條 掌握所在崗位需要的計算機信息安全知識；妥善保管計算機系統(tǒng)中的重要文件和數(shù)據(jù)；妥善保管身份認(rèn)證憑據(jù)（如用戶賬號、密碼、數(shù)字證書等）。第三條 嚴(yán)禁自行更改所使用計算機系統(tǒng)的硬件配置；嚴(yán)禁在計算機設(shè)備上安裝、使用非工作需要的軟件或非授權(quán)的數(shù)據(jù)介質(zhì)（如軟盤、光盤、U盤和移動硬盤燈）。第四條所有員工有義務(wù)和責(zé)任愛護(hù)并正確使用計算機；計算機必須安裝防病毒軟件，及時更新補丁，并定期檢查更新情況；未經(jīng)審批，計算機不得與外單位網(wǎng)絡(luò)連接；禁止在非授權(quán)的情況下將計算機同時接入互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)。第五條離開工作座位時，必須將辦公電腦啟動屏幕保護(hù)程序或保持注銷狀態(tài)，并采用口令進(jìn)行保護(hù)；非必要時，不能將計算機設(shè)備提供給他人使用（特別是非本單位人員）；未經(jīng)設(shè)備保管員同意，不能擅自使用他人計算機設(shè)備，禁止與他人的設(shè)備互換使用。第六條發(fā)現(xiàn)可以與計算機安全相關(guān)的事件時，有責(zé)任和義務(wù)及時報告；有責(zé)任和義務(wù)自覺接受信息中心部門在信息安全防范方面的管理、監(jiān)督和檢查。第七條有義務(wù)參加信息安全教育和培訓(xùn)。 員工招聘管理第一條員工招聘過程中，與新員工簽訂的勞動合同或其他協(xié)議中應(yīng)明確員工的信息安全責(zé)任，并應(yīng)包括與信息安全相關(guān)的保密條款，如有需要，合同中應(yīng)明確該責(zé)任在結(jié)束合同關(guān)系一段特定的時間內(nèi)仍然有效。第二條信息科技關(guān)鍵崗位人員的招聘，應(yīng)明確該崗位在信息安全方面的要求，并對應(yīng)聘人員的相關(guān)背景進(jìn)行嚴(yán)格審查；相關(guān)崗位人員應(yīng)簽署專門的保密協(xié)議，如有需要，保密協(xié)議中應(yīng)明確該責(zé)任在結(jié)束合同關(guān)系一段特定的時間內(nèi)仍然有效。員工信息安全教育與培訓(xùn) 教育與培訓(xùn)的主要內(nèi)容教育與培訓(xùn)的內(nèi)容主要有三個方面：第一，基本安全教育及基本概念可能存在的威脅和風(fēng)險、理解相關(guān)方針和規(guī)章制度、提高安全意識、掌握基本安全操作概念。第二，專業(yè)安全方面的培訓(xùn)及職業(yè)道德教育與崗位相關(guān)安全技術(shù)理論培訓(xùn)、崗位職能和操作技能培訓(xùn)。第三，安全的高級培訓(xùn)及國家和行業(yè)相關(guān)法律法規(guī)、全面的安全技術(shù)理論和知識、全面的安全管理理論、安全工程理論、關(guān)鍵崗位職能與責(zé)任的培訓(xùn)。 教育與培訓(xùn)的主要措施第一條為保障