【文章內(nèi)容簡(jiǎn)介】 。 公司級(jí)信息安全策略由公司信息安全辦公室負(fù)責(zé)制定167。 部門(mén)級(jí)信息安全策略由部門(mén)信息安全組織負(fù)責(zé)制定部門(mén)信息安全組織/公司信息安全辦公室2審核與發(fā)布167。 公司級(jí)策略u(píng) 公司信息安全工作組審核u 公司信息安全領(lǐng)導(dǎo)小組審批u 公司信息安全辦公室發(fā)布167。 部門(mén)級(jí)策略u(píng) 公司信息安全辦公室審核u 公司信息安全工作組審批u 部門(mén)信息安全組織發(fā)布部門(mén)信息安全組織/公司信息安全辦公室/公司信息安全工作組/工作信息安全領(lǐng)導(dǎo)小組3修改與廢止167。 制定部門(mén)負(fù)責(zé)修改和廢止167。 公司信息安全辦公室審核、備案167。 公司信息安全工作組、領(lǐng)導(dǎo)小組審批部門(mén)信息安全組織/公司信息安全辦公室/公司信息安全工作組/工作信息安全領(lǐng)導(dǎo)小組4監(jiān)督和檢查167。 公司信息安全辦公室監(jiān)督、檢查公司信息安全辦公室流程輸入步驟編號(hào)輸入部門(mén)輸入內(nèi)容輸入標(biāo)準(zhǔn)載體名稱1部門(mén)信息安全組織策略（制度、標(biāo)準(zhǔn)、規(guī)范、運(yùn)行維護(hù)計(jì)劃）完整策略文檔1公司信息安全辦公室策略（制度、標(biāo)準(zhǔn)、規(guī)范、運(yùn)行維護(hù)計(jì)劃）完整策略文檔流程輸出步驟編號(hào)接收部門(mén)輸出內(nèi)容輸出標(biāo)準(zhǔn)載體名稱4信息安全辦公室策略審批、備案信息及時(shí)、準(zhǔn)確“信息安全平臺(tái)”使能器IT信息平臺(tái)“公司信息安全平臺(tái)”策略策略文檔216。 公司級(jí)制度管理流程圖下圖給出公司級(jí)制度的管理流程供本次項(xiàng)目參考：公司級(jí)制度管理流程圖216。 部門(mén)級(jí)制度管理流程圖下圖給出部門(mén)級(jí)制度管理流程圖供本次項(xiàng)目參考：部門(mén)級(jí)制度管理流程圖 滿足指標(biāo)解決方案名稱控制類(lèi)控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動(dòng)作安全制度管理解決方案安全管理制度制定和發(fā)布a應(yīng)指定或授權(quán)專(zhuān)門(mén)的部門(mén)或人員負(fù)責(zé)安全管理制度的制定；專(zhuān)人制定的規(guī)定制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布b安全管理制度應(yīng)具有統(tǒng)一的格式，并進(jìn)行版本控制；版本控制規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布c應(yīng)組織相關(guān)人員對(duì)制定的安全管理制度進(jìn)行論證和審定；制度審定規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布d安全管理制度應(yīng)通過(guò)正式、有效的方式發(fā)布；制度發(fā)布規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度制定和發(fā)布e安全管理制度應(yīng)注明發(fā)布范圍，并對(duì)收發(fā)文進(jìn)行登記。制度制度管理規(guī)范，收發(fā)記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度評(píng)審和修訂a信息安全領(lǐng)導(dǎo)小組應(yīng)負(fù)責(zé)定期組織相關(guān)部門(mén)和相關(guān)人員對(duì)安全管理制度體系的合理性和適用性進(jìn)行審定；定期審定的規(guī)定與記錄制度管理規(guī)定與記錄安全制度管理解決方案安全管理制度評(píng)審和修訂b應(yīng)定期或不定期對(duì)安全管理制度進(jìn)行檢查和審定，對(duì)存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂。定期修訂的規(guī)定與記錄制度管理規(guī)定與記錄 安全教育與培訓(xùn)解決方案組織內(nèi)的人員安全意識(shí)決定了信息安全的管理水平，有必要定期的對(duì)所有人員進(jìn)行全面的安全培訓(xùn)，提供信息系統(tǒng)使用人員和管理人員的安全技能與安全意識(shí)，在安全教育和培訓(xùn)過(guò)程中著重考慮如下幾個(gè)方面： 信息安全培訓(xùn)的對(duì)象信息安全培訓(xùn)工作需要分層次、分階段、循序漸進(jìn)地進(jìn)行，而且必須是能夠覆蓋全員的培訓(xùn)；分層次培訓(xùn)是指對(duì)不同層次的人員，如對(duì)管理層（包括決策層）、信息安全管理人員，系統(tǒng)管理員和員工開(kāi)展有針對(duì)性和不同側(cè)重點(diǎn)的培訓(xùn)；分階段是指在信息安全管理體系的建立、實(shí)施和保持的不同階段，培訓(xùn)工作要有計(jì)劃地分步實(shí)施；信息安全培訓(xùn)要采用內(nèi)部和外部結(jié)合的方式進(jìn)行，安全培訓(xùn)對(duì)象主要保護(hù)如下幾個(gè)類(lèi)型的員工：216。 管理層（決策層）l 管理層培訓(xùn)目標(biāo)是明確建立公司信息安全體系的迫切性和重要性，獲得公司管理層（決策層）有形的支持和承諾。l 管理層培訓(xùn)方式可以采用聘請(qǐng)外部信息安全培訓(xùn)、專(zhuān)業(yè)公司的技術(shù)專(zhuān)家和咨詢顧問(wèn)以專(zhuān)題講座、研討會(huì)等形式。216。 信息安全管理人員l 信息安全管理人員培訓(xùn)目標(biāo)是理解及掌握信息安全原理和相關(guān)技術(shù)、強(qiáng)化信息安全意識(shí)、支撐公司信息安全體系的建立、實(shí)施和保持。l 信息安全管理人員培訓(xùn)方式可以采用聘請(qǐng)外部信息安全專(zhuān)業(yè)資格授證培訓(xùn)、參加信息安全專(zhuān)業(yè)培訓(xùn)、自學(xué)信息安全管理理論及技術(shù) 和 公司內(nèi)部學(xué)習(xí)研討的方式。216。 公司系統(tǒng)管理員l 公司系統(tǒng)管理員培訓(xùn)目標(biāo)是掌握各系統(tǒng)相關(guān)專(zhuān)業(yè)安全技術(shù)，協(xié)助公司和各部門(mén)信息安全管理人員維護(hù)和保障系統(tǒng)正常、安全運(yùn)行。l 公司系統(tǒng)管理員培訓(xùn)方式可以采用外部和內(nèi)部相結(jié)合的培訓(xùn)以及自學(xué)的方式。216。 員工l 員工培訓(xùn)目標(biāo)是了解公司相關(guān)信息安全制度和技術(shù)規(guī)范，并安全、高效地使用公司信息系統(tǒng)。l 員工培訓(xùn)方式應(yīng)主要采取內(nèi)部培訓(xùn)的方式。 信息安全培訓(xùn)的內(nèi)容信息安全培訓(xùn)的內(nèi)容主要包含如下幾個(gè)方面：216。 安全體系及安全職責(zé)分工培訓(xùn)l 公司各級(jí)領(lǐng)導(dǎo)及員工明確了解公司信息安全體系，并明確各自在的安全職責(zé)，明確自身對(duì)維護(hù)保障公司系統(tǒng)正常、安全運(yùn)行所需承擔(dān)的相關(guān)責(zé)任和義務(wù)。l 培訓(xùn)應(yīng)采用長(zhǎng)期，并覆蓋公司全員。216。 新員工入職安全培訓(xùn)新員工在正式上崗前，應(yīng)進(jìn)行信息安全方面的培訓(xùn)，明確崗位所要求遵守的公司信息安全制度和技術(shù)規(guī)范。216。 員工安全技術(shù)教育針對(duì)公司系統(tǒng)的維護(hù)人員和管理員應(yīng)定期開(kāi)展安全技術(shù)教育培訓(xùn)（每年至少一次），明確如何安全使用有關(guān)系統(tǒng)，包括各業(yè)務(wù)系統(tǒng)、主機(jī)操作系統(tǒng)、電子郵件系統(tǒng)、內(nèi)部網(wǎng)站以及普通計(jì)算機(jī)周邊硬件設(shè)備。216。 各項(xiàng)安全專(zhuān)業(yè)技術(shù)教育針對(duì)公司安全管理員和系統(tǒng)管理員應(yīng)定期開(kāi)展由供應(yīng)商或廠家提供的專(zhuān)業(yè)安全技術(shù)培訓(xùn)，幫助相關(guān)安全管理人員和系統(tǒng)管理員了解掌握正確、安全地安裝、配置、維護(hù)系統(tǒng)。216。 安全專(zhuān)業(yè)資格認(rèn)證針對(duì)公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)實(shí)際情況，挑選公司信息安全管理及安全技術(shù)人員進(jìn)行相關(guān)的認(rèn)證考試培訓(xùn)，并參加認(rèn)證考試，以提高公司安全管理人員對(duì)信息安全的管理理論和技術(shù)的水平。216。 信息安全內(nèi)部考核（含培訓(xùn)）針對(duì)公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)崗位不同，對(duì)員工進(jìn)行相關(guān)的信息安全培訓(xùn)，并在培訓(xùn)后實(shí)行書(shū)面（開(kāi)卷或閉卷）信息安全考核。 信息安全培訓(xùn)的管理對(duì)于信息安全培訓(xùn)的管理主要控制信息安全培訓(xùn)的發(fā)起和實(shí)施，保證信息安全培訓(xùn)的質(zhì)量：216。 安全培訓(xùn)的發(fā)起l 公司及部門(mén)安全管理組織可根據(jù)自身安全管理的需要，發(fā)起相應(yīng)的安全培訓(xùn)計(jì)劃。l 涉及納入員工考核的培訓(xùn)，需要公司人力資源部的確實(shí)，以及公司網(wǎng)絡(luò)與信息安全辦公室備案考核結(jié)果。l 新員工、公司全員的安全培訓(xùn)教育，納入公司人力資源部的整體培訓(xùn)計(jì)劃中。l 具體操作過(guò)程遵守公司人力資源部的相關(guān)培訓(xùn)管理制度。216。 安全培訓(xùn)的實(shí)施l 培訓(xùn)的實(shí)施，建議由公司人力資源部負(fù)責(zé)。l 對(duì)專(zhuān)業(yè)性很強(qiáng)的培訓(xùn)，培訓(xùn)發(fā)起的各級(jí)安全培訓(xùn)組織負(fù)責(zé)。l 具體操作過(guò)程遵守公司人力資源部的相關(guān)培訓(xùn)管理制度。 滿足指標(biāo)解決方案名稱控制類(lèi)控制點(diǎn)指標(biāo)名稱措施名稱改進(jìn)動(dòng)作改進(jìn)對(duì)象安全教育與培訓(xùn)解決方案人員安全管理安全意識(shí)教育和培訓(xùn)a應(yīng)對(duì)各類(lèi)人員進(jìn)行安全意識(shí)教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)；培訓(xùn)教材與記錄　　安全教育與培訓(xùn)解決方案人員安全管理安全意識(shí)教育和培訓(xùn)b應(yīng)對(duì)安全責(zé)任和懲戒措施進(jìn)行書(shū)面規(guī)定并告知相關(guān)人員，對(duì)違反違背安全策略和規(guī)定的人員進(jìn)行懲戒；處罰制度　　安全教育與培訓(xùn)解決方案人員安全管理安全意識(shí)教育和培訓(xùn)c應(yīng)對(duì)定期安全教育和培訓(xùn)進(jìn)行書(shū)面規(guī)定，針對(duì)不同崗位制定不同的培訓(xùn)計(jì)劃，對(duì)信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等進(jìn)行培訓(xùn)；配置制度與計(jì)劃　　安全教育與培訓(xùn)解決方案人員安全管理安全意識(shí)教育和培訓(xùn)d應(yīng)對(duì)安全教育和培訓(xùn)的情況和結(jié)果進(jìn)行記錄并歸檔保存。培訓(xùn)文檔管理　　 人員安全管理解決方案在安全管理的過(guò)程中，內(nèi)部人員的安全管理作為安全管理的重中之重，內(nèi)部人員安全是信息系統(tǒng)主要面臨的內(nèi)部安全威脅，在對(duì)人員的管理中，需要重點(diǎn)考慮如下幾個(gè)方面的內(nèi)容 普通員工安全管理一、 員工錄用安全管理員工錄用，除了應(yīng)該遵守相關(guān)人事和勞動(dòng)法律法規(guī)外，還必須考慮以下安全事項(xiàng)：n 除了嚴(yán)格考察該人員的業(yè)務(wù)技術(shù)水平和相關(guān)資質(zhì)認(rèn)證（相關(guān)計(jì)算機(jī)認(rèn)證證書(shū)等）外，還必須考慮政治、社會(huì)和素質(zhì)等多方面的因素。n 不考慮錄用有犯罪前科、重大行政處分紀(jì)錄和“黑客”經(jīng)歷的人員。如有特殊情況，需要經(jīng)公司主管安全的一級(jí)經(jīng)理同意后，方可考慮錄用。在簽訂勞動(dòng)合同之外，必須簽訂《保密協(xié)議》，明確該人員應(yīng)嚴(yán)格遵守的相關(guān)安全管理制度、安全技術(shù)規(guī)范和保守商業(yè)機(jī)密的要求以及違約責(zé)任等。二、 員工工作調(diào)動(dòng)的安全管理由于業(yè)務(wù)工作的需要或其他原因，需要對(duì)員工進(jìn)行崗位調(diào)動(dòng)時(shí)，必須考慮以下安全事項(xiàng)：n 根據(jù)新崗位的需要，增加、刪除或修改該人員的計(jì)算機(jī)信息系統(tǒng)訪問(wèn)權(quán)限，包括電子郵件系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和其他計(jì)算機(jī)信息軟硬件系統(tǒng)。n 如有必要，重新創(chuàng)建相關(guān)管理員賬號(hào)并修改其口令。n 如有必要，修改合同中有關(guān)條款和相應(yīng)的保密條款或保密協(xié)議，并擬定新的雇傭合同，而且原合同中的保密條款或保密協(xié)議將繼續(xù)有效。n 與原崗位有關(guān)的所有資料文件，包括其軟硬拷貝都需要移交，不允許私自帶走。遵循“需要知道”原則，盡量避免由于不當(dāng)或過(guò)于頻繁的調(diào)動(dòng)，造成人員的權(quán)限過(guò)大的情況。三、 員工離職的安全管理員工在離職時(shí)，必須遵守以下安全操作流程：n 刪除該員工的所有信息系統(tǒng)訪問(wèn)賬號(hào)和權(quán)限，如有必要將重新創(chuàng)建有關(guān)管理員賬號(hào)和口令。n 由相關(guān)人員和該員工一起回顧其簽訂的保密協(xié)議，并使該員工明確所有保密事項(xiàng)，以及在離開(kāi)公司后3年內(nèi)不得披露、使用技術(shù)資料的規(guī)定。四、 對(duì)員工的安全審計(jì)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組及各生產(chǎn)中心安全管理組織定期組織對(duì)員工進(jìn)行安全審計(jì)和監(jiān)督工作，并把審計(jì)和監(jiān)督結(jié)果報(bào)告抄送給該人員所屬部門(mén)主管，作為對(duì)該人員工作考核的依據(jù)之一。對(duì)于不遵守公司信息安全管理制度和安全技術(shù)規(guī)范的員工，經(jīng)查實(shí)后，由其所屬部門(mén)主管根據(jù)有關(guān)規(guī)定，報(bào)請(qǐng)人事行政部門(mén)對(duì)該員工進(jìn)行處罰。五、 對(duì)員工的安全培訓(xùn)及教育員工的安全培訓(xùn)及教育由公司網(wǎng)絡(luò)與信息安全辦公室及各部門(mén)安全管理組織統(tǒng)一計(jì)劃，公司人力資源部協(xié)助實(shí)施。具體培訓(xùn)的內(nèi)容及要求遵照《信息安全培訓(xùn)及教育管理辦法》。員工的安全培訓(xùn)及教育成績(jī)，作為對(duì)該人員工作考核的依據(jù)之一。 安全崗位人員管理一、 安全崗位人員的管理考核專(zhuān)職安全管理員：專(zhuān)職負(fù)責(zé)信息安全管理工作，是信息安全管理部門(mén)的主要成員。具體人員在網(wǎng)絡(luò)工程處，歸屬網(wǎng)絡(luò)工程處長(zhǎng)管理，考核。各部門(mén)專(zhuān)、兼職安全管理員：負(fù)責(zé)本部門(mén)信息安全管理工作，是信息安全管理組織的成員。人員編制在各部門(mén)，日常工作歸屬相應(yīng)部門(mén)來(lái)管理。同時(shí)作為信息安全組織組織的成員，其工作考核的一部分歸屬信息安全管理部門(mén)。（具體份額，人力資源部門(mén)和信息安全領(lǐng)導(dǎo)小組確定）二、 安全崗位人員的培訓(xùn)教育安全崗位的人員需要進(jìn)行相關(guān)安全管理技能的專(zhuān)業(yè)培訓(xùn)及教育等工作，安全崗位人員的培訓(xùn)由信息安全管理部門(mén)牽頭負(fù)責(zé)，安全崗位人員的培訓(xùn)成績(jī)作為其相應(yīng)工作考核項(xiàng)之一。三、 安全崗位人員職責(zé)崗位名稱崗位技能要求具體工作內(nèi)容信息安全主管大學(xué)本科以上學(xué)歷，計(jì)算機(jī)通信；信息安全專(zhuān)業(yè)制訂信息安全管理制度和技術(shù)規(guī)范。領(lǐng)導(dǎo)、組織信息安全管理制度和技術(shù)規(guī)范的具體實(shí)施。監(jiān)督、檢查信息安全管理工作。定期就信息安全管理的效果和有關(guān)重大問(wèn)題及時(shí)向人民銀行信息安全管理部門(mén)匯報(bào)。安全管理大學(xué)本科以上學(xué)歷，計(jì)算機(jī)/信息安全專(zhuān)業(yè)參與信息安全管理制度的制訂。負(fù)責(zé)實(shí)施和維護(hù)信息安全管理制度和技術(shù)規(guī)范。負(fù)責(zé)監(jiān)督、檢查信息安全工作情況，負(fù)責(zé)對(duì)各部門(mén)信息安全考核及各部門(mén)安全管理員的工作考核。組織、領(lǐng)導(dǎo)對(duì)安全崗位人員的信息安全教育培訓(xùn)。定期向信息安全主管匯報(bào)總體及各部門(mén)信息安全的工作情況。安全技術(shù)大學(xué)本科以上學(xué)歷，計(jì)算機(jī)/信息安全專(zhuān)業(yè) 參與信息安全技術(shù)規(guī)范的制訂。 負(fù)責(zé)實(shí)施和維護(hù)信息安全管理制度和技術(shù)規(guī)范。 負(fù)責(zé)信息安全解決方案的評(píng)估檢查工作。 負(fù)責(zé)監(jiān)督、檢查信息系統(tǒng)安全運(yùn)行情況（保密性、完整性和可用性）。 負(fù)責(zé)安全預(yù)警及安全審計(jì)工作。 負(fù)責(zé)安全事件監(jiān)控及重大安全事件響應(yīng)。 領(lǐng)導(dǎo)、監(jiān)督、檢查各部門(mén)安全管理員的工作。負(fù)責(zé)信息安全技術(shù)的跟蹤及研究工作。技術(shù)支持處安全管理大學(xué)本科以上學(xué)歷，計(jì)算機(jī)/信息安全專(zhuān)業(yè)制訂技術(shù)支持處信息安全管理制度和技術(shù)規(guī)范。組織技術(shù)支持處信息安全管理制度和技術(shù)規(guī)范的具體實(shí)施。負(fù)責(zé)落實(shí)外匯局信息安全在技術(shù)支持處的工作職責(zé)負(fù)責(zé)技術(shù)支持處建設(shè)項(xiàng)目及信息安全項(xiàng)目的方案編制，安全評(píng)估、安全檢查、實(shí)施等工作。監(jiān)督、檢查技術(shù)支持處信息系統(tǒng)安全運(yùn)行情況（保密性、完整性和可用性）。定期就技術(shù)支持處信息安全管理的效果和有關(guān)重大問(wèn)題及時(shí)向外匯局信息安全管理部門(mén)匯報(bào)。四、 與信息安全相關(guān)崗位人員安全職責(zé)信息安全工作涉及各方面的人員，下表明確和信息安全相關(guān)的崗位人員的安全職責(zé)要求。崗位名稱具體工作內(nèi)容系統(tǒng)規(guī)劃及建設(shè) 根據(jù)和各部門(mén)安全建設(shè)的要求，在規(guī)劃中提前考慮信息安全因素； 為系統(tǒng)建設(shè)提供安全功能開(kāi)發(fā)和建設(shè)的指導(dǎo)； 在項(xiàng)目建設(shè)中同步考慮項(xiàng)目的信息安全因素，做好安全加固等保障工作； 為系統(tǒng)維護(hù)人員提供系統(tǒng)安全運(yùn)行和維護(hù)的指導(dǎo)；系統(tǒng)維護(hù) 在項(xiàng)目規(guī)劃和建設(shè)階段提出信息安全方面的建議； 負(fù)責(zé)系統(tǒng)交維后的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫(kù)等信息安全狀況的檢查和驗(yàn)收； 負(fù)責(zé)系統(tǒng)設(shè)備的日常運(yùn)行、安全維護(hù)和管理工作，保持系統(tǒng)處于良好的運(yùn)行狀態(tài)；應(yīng)用維護(hù)