【文章內(nèi)容簡介】 廢止、檢查和監(jiān)督落實，建立科學(xué)、嚴(yán)謹(jǐn)?shù)男畔踩呗怨芾眢w系。流程終點：審議安全策略執(zhí)行步驟編號操作步驟操作描述操作崗位1策略制定167。 公司級信息安全策略由公司信息安全辦公室負(fù)責(zé)制定167。 部門級信息安全策略由部門信息安全組織負(fù)責(zé)制定部門信息安全組織/公司信息安全辦公室2審核與發(fā)布167。 公司級策略u 公司信息安全工作組審核u 公司信息安全領(lǐng)導(dǎo)小組審批u 公司信息安全辦公室發(fā)布167。 部門級策略u 公司信息安全辦公室審核u 公司信息安全工作組審批u 部門信息安全組織發(fā)布部門信息安全組織/公司信息安全辦公室/公司信息安全工作組/工作信息安全領(lǐng)導(dǎo)小組3修改與廢止167。 制定部門負(fù)責(zé)修改和廢止167。 公司信息安全辦公室審核、備案167。 公司信息安全工作組、領(lǐng)導(dǎo)小組審批部門信息安全組織/公司信息安全辦公室/公司信息安全工作組/工作信息安全領(lǐng)導(dǎo)小組4監(jiān)督和檢查167。 公司信息安全辦公室監(jiān)督、檢查公司信息安全辦公室流程輸入步驟編號輸入部門輸入內(nèi)容輸入標(biāo)準(zhǔn)載體名稱1部門信息安全組織策略（制度、標(biāo)準(zhǔn)、規(guī)范、運行維護(hù)計劃）完整策略文檔1公司信息安全辦公室策略（制度、標(biāo)準(zhǔn)、規(guī)范、運行維護(hù)計劃）完整策略文檔流程輸出步驟編號接收部門輸出內(nèi)容輸出標(biāo)準(zhǔn)載體名稱4信息安全辦公室策略審批、備案信息及時、準(zhǔn)確“信息安全平臺”使能器IT信息平臺“公司信息安全平臺”策略策略文檔216。 公司級制度管理流程圖下圖給出公司級制度的管理流程供本次項目參考：公司級制度管理流程圖216。 部門級制度管理流程圖下圖給出部門級制度管理流程圖供本次項目參考：部門級制度管理流程圖 滿足指標(biāo)解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進(jìn)動作安全制度管理解決方案安全管理制度制定和發(fā)布a應(yīng)指定或授權(quán)專門的部門或人員負(fù)責(zé)安全管理制度的制定；專人制定的規(guī)定制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布b安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；版本控制規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布c應(yīng)組織相關(guān)人員對制定的安全管理制度進(jìn)行論證和審定；制度審定規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布d安全管理制度應(yīng)通過正式、有效的方式發(fā)布；制度發(fā)布規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布e安全管理制度應(yīng)注明發(fā)布范圍，并對收發(fā)文進(jìn)行登記。制度制度管理規(guī)范，收發(fā)記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度評審和修訂a信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門和相關(guān)人員對安全管理制度體系的合理性和適用性進(jìn)行審定；定期審定的規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度評審和修訂b應(yīng)定期或不定期對安全管理制度進(jìn)行檢查和審定，對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。定期修訂的規(guī)定與記錄制度管理規(guī)定與記錄 安全教育與培訓(xùn)解決方案組織內(nèi)的人員安全意識決定了信息安全的管理水平，有必要定期的對所有人員進(jìn)行全面的安全培訓(xùn)，提供信息系統(tǒng)使用人員和管理人員的安全技能與安全意識，在安全教育和培訓(xùn)過程中著重考慮如下幾個方面： 信息安全培訓(xùn)的對象信息安全培訓(xùn)工作需要分層次、分階段、循序漸進(jìn)地進(jìn)行，而且必須是能夠覆蓋全員的培訓(xùn)；分層次培訓(xùn)是指對不同層次的人員，如對管理層（包括決策層）、信息安全管理人員，系統(tǒng)管理員和員工開展有針對性和不同側(cè)重點的培訓(xùn)；分階段是指在信息安全管理體系的建立、實施和保持的不同階段，培訓(xùn)工作要有計劃地分步實施；信息安全培訓(xùn)要采用內(nèi)部和外部結(jié)合的方式進(jìn)行，安全培訓(xùn)對象主要保護(hù)如下幾個類型的員工：216。 管理層（決策層）l 管理層培訓(xùn)目標(biāo)是明確建立公司信息安全體系的迫切性和重要性，獲得公司管理層（決策層）有形的支持和承諾。l 管理層培訓(xùn)方式可以采用聘請外部信息安全培訓(xùn)、專業(yè)公司的技術(shù)專家和咨詢顧問以專題講座、研討會等形式。216。 信息安全管理人員l 信息安全管理人員培訓(xùn)目標(biāo)是理解及掌握信息安全原理和相關(guān)技術(shù)、強化信息安全意識、支撐公司信息安全體系的建立、實施和保持。l 信息安全管理人員培訓(xùn)方式可以采用聘請外部信息安全專業(yè)資格授證培訓(xùn)、參加信息安全專業(yè)培訓(xùn)、自學(xué)信息安全管理理論及技術(shù) 和 公司內(nèi)部學(xué)習(xí)研討的方式。216。 公司系統(tǒng)管理員l 公司系統(tǒng)管理員培訓(xùn)目標(biāo)是掌握各系統(tǒng)相關(guān)專業(yè)安全技術(shù)，協(xié)助公司和各部門信息安全管理人員維護(hù)和保障系統(tǒng)正常、安全運行。l 公司系統(tǒng)管理員培訓(xùn)方式可以采用外部和內(nèi)部相結(jié)合的培訓(xùn)以及自學(xué)的方式。216。 員工l 員工培訓(xùn)目標(biāo)是了解公司相關(guān)信息安全制度和技術(shù)規(guī)范，并安全、高效地使用公司信息系統(tǒng)。l 員工培訓(xùn)方式應(yīng)主要采取內(nèi)部培訓(xùn)的方式。 信息安全培訓(xùn)的內(nèi)容信息安全培訓(xùn)的內(nèi)容主要包含如下幾個方面：216。 安全體系及安全職責(zé)分工培訓(xùn)l 公司各級領(lǐng)導(dǎo)及員工明確了解公司信息安全體系，并明確各自在的安全職責(zé)，明確自身對維護(hù)保障公司系統(tǒng)正常、安全運行所需承擔(dān)的相關(guān)責(zé)任和義務(wù)。l 培訓(xùn)應(yīng)采用長期，并覆蓋公司全員。216。 新員工入職安全培訓(xùn)新員工在正式上崗前，應(yīng)進(jìn)行信息安全方面的培訓(xùn)，明確崗位所要求遵守的公司信息安全制度和技術(shù)規(guī)范。216。 員工安全技術(shù)教育針對公司系統(tǒng)的維護(hù)人員和管理員應(yīng)定期開展安全技術(shù)教育培訓(xùn)（每年至少一次），明確如何安全使用有關(guān)系統(tǒng)，包括各業(yè)務(wù)系統(tǒng)、主機操作系統(tǒng)、電子郵件系統(tǒng)、內(nèi)部網(wǎng)站以及普通計算機周邊硬件設(shè)備。216。 各項安全專業(yè)技術(shù)教育針對公司安全管理員和系統(tǒng)管理員應(yīng)定期開展由供應(yīng)商或廠家提供的專業(yè)安全技術(shù)培訓(xùn)，幫助相關(guān)安全管理人員和系統(tǒng)管理員了解掌握正確、安全地安裝、配置、維護(hù)系統(tǒng)。216。 安全專業(yè)資格認(rèn)證針對公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)實際情況，挑選公司信息安全管理及安全技術(shù)人員進(jìn)行相關(guān)的認(rèn)證考試培訓(xùn)，并參加認(rèn)證考試，以提高公司安全管理人員對信息安全的管理理論和技術(shù)的水平。216。 信息安全內(nèi)部考核（含培訓(xùn)）針對公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)崗位不同，對員工進(jìn)行相關(guān)的信息安全培訓(xùn)，并在培訓(xùn)后實行書面（開卷或閉卷）信息安全考核。 信息安全培訓(xùn)的管理對于信息安全培訓(xùn)的管理主要控制信息安全培訓(xùn)的發(fā)起和實施，保證信息安全培訓(xùn)的質(zhì)量：216。 安全培訓(xùn)的發(fā)起l 公司及部門安全管理組織可根據(jù)自身安全管理的需要，發(fā)起相應(yīng)的安全培訓(xùn)計劃。l 涉及納入員工考核的培訓(xùn)，需要公司人力資源部的確實，以及公司網(wǎng)絡(luò)與信息安全辦公室備案考核結(jié)果。l 新員工、公司全員的安全培訓(xùn)教育，納入公司人力資源部的整體培訓(xùn)計劃中。l 具體操作過程遵守公司人力資源部的相關(guān)培訓(xùn)管理制度。216。 安全培訓(xùn)的實施l 培訓(xùn)的實施，建議由公司人力資源部負(fù)責(zé)。l 對專業(yè)性很強的培訓(xùn)，培訓(xùn)發(fā)起的各級安全培訓(xùn)組織負(fù)責(zé)。l 具體操作過程遵守公司人力資源部的相關(guān)培訓(xùn)管理制度。 滿足指標(biāo)解決方案名稱控制類控制點指標(biāo)名稱措施名稱改進(jìn)動作改進(jìn)對象安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)a應(yīng)對各類人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；培訓(xùn)教材與記錄　　安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)b應(yīng)對安全責(zé)任和懲戒措施進(jìn)行書面規(guī)定并告知相關(guān)人員，對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；處罰制度　　安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)c應(yīng)對定期安全教育和培訓(xùn)進(jìn)行書面規(guī)定，針對不同崗位制定不同的培訓(xùn)計劃，對信息安全基礎(chǔ)知識、崗位操作規(guī)程等進(jìn)行培訓(xùn)；配置制度與計劃　　安全教育與培訓(xùn)解決方案人員安全管理安全意識教育和培訓(xùn)d應(yīng)對安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。培訓(xùn)文檔管理　　 人員安全管理解決方案在安全管理的過程中，內(nèi)部人員的安全管理作為安全管理的重中之重，內(nèi)部人員安全是信息系統(tǒng)主要面臨的內(nèi)部安全威脅，在對人員的管理中，需要重點考慮如下幾個方面的內(nèi)容 普通員工安全管理一、 員工錄用安全管理員工錄用，除了應(yīng)該遵守相關(guān)人事和勞動法律法規(guī)外，還必須考慮以下安全事項：n 除了嚴(yán)格考察該人員的業(yè)務(wù)技術(shù)水平和相關(guān)資質(zhì)認(rèn)證（相關(guān)計算機認(rèn)證證書等）外，還必須考慮政治、社會和素質(zhì)等多方面的因素。n 不考慮錄用有犯罪前科、重大行政處分紀(jì)錄和“黑客”經(jīng)歷的人員。如有特殊情況，需要經(jīng)公司主管安全的一級經(jīng)理同意后，方可考慮錄用。在簽訂勞動合同之外，必須簽訂《保密協(xié)議》，明確該人員應(yīng)嚴(yán)格遵守的相關(guān)安全管理制度、安全技術(shù)規(guī)范和保守商業(yè)機密的要求以及違約責(zé)任等。二、 員工工作調(diào)動的安全管理由于業(yè)務(wù)工作的需要或其他原因，需要對員工進(jìn)行崗位調(diào)動時，必須考慮以下安全事項：n 根據(jù)新崗位的需要，增加、刪除或修改該人員的計算機信息系統(tǒng)訪問權(quán)限，包括電子郵件系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和其他計算機信息軟硬件系統(tǒng)。n 如有必要，重新創(chuàng)建相關(guān)管理員賬號并修改其口令。n 如有必要，修改合同中有關(guān)條款和相應(yīng)的保密條款或保密協(xié)議，并擬定新的雇傭合同，而且原合同中的保密條款或保密協(xié)議將繼續(xù)有效。n 與原崗位有關(guān)的所有資料文件，包括其軟硬拷貝都需要移交，不允許私自帶走。遵循“需要知道”原則，盡量避免由于不當(dāng)或過于頻繁的調(diào)動，造成人員的權(quán)限過大的情況。三、 員工離職的安全管理員工在離職時，必須遵守以下安全操作流程：n 刪除該員工的所有信息系統(tǒng)訪問賬號和權(quán)限，如有必要將重新創(chuàng)建有關(guān)管理員賬號和口令。n 由相關(guān)人員和該員工一起回顧其簽訂的保密協(xié)議，并使該員工明確所有保密事項，以及在離開公司后3年內(nèi)不得披露、使用技術(shù)資料的規(guī)定。四、 對員工的安全審計網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及各生產(chǎn)中心安全管理組織定期組織對員工進(jìn)行安全審計和監(jiān)督工作，并把審計和監(jiān)督結(jié)果報告抄送給該人員所屬部門主管，作為對該人員工作考核的依據(jù)之一。對于不遵守公司信息安全管理制度和安全技術(shù)規(guī)范的員工，經(jīng)查實后，由其所屬部門主管根據(jù)有關(guān)規(guī)定，報請人事行政部門對該員工進(jìn)行處罰。五、 對員工的安全培訓(xùn)及教育員工的安全培訓(xùn)及教育由公司網(wǎng)絡(luò)與信息安全辦公室及各部門安全管理組織統(tǒng)一計劃，公司人力資源部協(xié)助實施。具體培訓(xùn)的內(nèi)容及要求遵照《信息安全培訓(xùn)及教育管理辦法》。員工的安全培訓(xùn)及教育成績，作為對該人員工作考核的依據(jù)之一。 安全崗位人員管理一、 安全崗位人員的管理考核專職安全管理員：專職負(fù)責(zé)信息安全管理工作，是信息安全管理部門的主要成員。具體人員在網(wǎng)絡(luò)工程處，歸屬網(wǎng)絡(luò)工程處長管理，考核。各部門專、兼職安全管理員：負(fù)責(zé)本部門信息安全管理工作，是信息安全管理組織的成員。人員編制在各部門，日常工作歸屬相應(yīng)部門來管理。同時作為信息安全組織組織的成員，其工作考核的一部分歸屬信息安全管理部門。（具體份額，人力資源部門和信息安全領(lǐng)導(dǎo)小組確定）二、 安全崗位人員的培訓(xùn)教育安全崗位的人員需要進(jìn)行相關(guān)安全管理技能的專業(yè)培訓(xùn)及教育等工作，安全崗位人員的培訓(xùn)由信息安全管理部門牽頭負(fù)責(zé)，安全崗位人員的培訓(xùn)成績作為其相應(yīng)工作考核項之一。三、 安全崗位人員職責(zé)崗位名稱崗位技能要求具體工作內(nèi)容信息安全主管大學(xué)本科以上學(xué)歷，計算機通信；信息安全專業(yè)制訂信息安全管理制度和技術(shù)規(guī)范。領(lǐng)導(dǎo)、組織信息安全管理制度和技術(shù)規(guī)范的具體實施。監(jiān)督、檢查信息安全管理工作。定期就信息安全管理的效果和有關(guān)重大問題及時向人民銀行信息安全管理部門匯報。安全管理大學(xué)本科以上學(xué)歷，計算機/信息安全專業(yè)參與信息安全管理制度的制訂。負(fù)責(zé)實施和維護(hù)信息安全管理制度和技術(shù)規(guī)范。負(fù)責(zé)監(jiān)督、檢查信息安全工作情況，負(fù)責(zé)對各部門信息安全考核及各部門安全管理員的工作考核。組織、領(lǐng)導(dǎo)對安全崗位人員的信息安全教育培訓(xùn)。定期向信息安全主管匯報總體及各部門信息安全的工作情況。安全技術(shù)大學(xué)本科以上學(xué)歷，計算機/信息安全專業(yè) 參與信息安全技術(shù)規(guī)范的制訂。 負(fù)責(zé)實施和維護(hù)信息安全管理制度和技術(shù)規(guī)范。 負(fù)責(zé)信息安全解決方案的評估檢查工作。 負(fù)責(zé)監(jiān)督、檢查信息系統(tǒng)安全運行情況（保密性、完整性和可用性）。 負(fù)責(zé)安全預(yù)警及安全審計工作。 負(fù)責(zé)安全事件監(jiān)控及重大安全事件響應(yīng)。 領(lǐng)導(dǎo)、監(jiān)督、檢查各部門安全管理員的工作。負(fù)責(zé)信息安全技術(shù)的跟蹤及研究工作。技術(shù)支持處安全管理大學(xué)本科以上學(xué)歷，計算機/信息安全專業(yè)制訂技術(shù)支持處信息安全管理制度和技術(shù)規(guī)范。組織技術(shù)支持處信息安全管理制度和技術(shù)規(guī)范的具體實施。負(fù)責(zé)落實外匯局信息安全在技術(shù)支持處的工作職責(zé)負(fù)責(zé)技術(shù)支持處建設(shè)項目及信息安全項目的方案編制，安全評估、安全檢查、實施等工作。監(jiān)督、檢查技術(shù)支持處信息系統(tǒng)安全運行情況（保密性、完整性和可用性）。定期就技術(shù)支持處信息安全管理的效果和有關(guān)重大問題及時向外匯局信息安全管理部門匯報。四、 與信息安全相關(guān)崗位人員安全職責(zé)信息安全工作涉及各方面的人員，下表明確和信息安全相關(guān)的崗位人員的安全職責(zé)要求。崗位名稱具體工作內(nèi)容系統(tǒng)規(guī)劃及建設(shè) 根據(jù)和各部門安全建設(shè)的要求，在規(guī)劃中提前考慮信息安全因素； 為系統(tǒng)建設(shè)提供安全功能開發(fā)和建設(shè)的指導(dǎo)； 在項目建設(shè)中同步考慮項目的信息安全因素，做好安全加固等保障工作； 為系統(tǒng)維護(hù)人員提供系統(tǒng)安全運行和維護(hù)的指導(dǎo)；系統(tǒng)維護(hù) 在項目規(guī)劃和建設(shè)階段提出信息安全方面的建議； 負(fù)責(zé)系