【正文】 審核檢查備注XXX信息系統(tǒng)用戶管理制度第一章 范圍及職責第一條 本制度適用于信息系統(tǒng)用戶的管理，包括：崗位配置原則、人員錄用及調(diào)（離）崗、授權管理、安全培訓教育、第三方人員管理。第二條 XX部門負責信息系統(tǒng)用戶掛歷制度的制定和修訂。第二章 崗位配置原則 第三條 根據(jù)信息系統(tǒng)智能要求，結合信息部門實際情況進行人員配備，權限、智能不同的角色必須分離，避免權責不清、責任不明確的現(xiàn)象發(fā)生。其中，系統(tǒng)管理員不能見人安全審計員。 第四條 重要崗位實施角色備份制度，在合理設置工作崗位、完善工作職責的基礎上，在相近崗位之間，實行頂崗或互為備崗制，以便能及時處理緊急任務。 第五條 各崗位工作人員安排為確保信息安全工作的順利開展，保障信息系統(tǒng)的正常運行，須設置安全管理員、系統(tǒng)管理員、網(wǎng)絡管理員、機房管理員、安全審計員和信息審查員并明確其工作職責。第三章 人員錄用及調(diào)離 第六條 相關信息安全職責在崗位說明書中予以明確，各部門負責人根據(jù)已批準的崗位說明書和部門人員配置要求，填寫相關申請，統(tǒng)一招調(diào)。 第七條 所有信息系統(tǒng)相關崗位均要簽署保密協(xié)議，關鍵崗位人員必須從內(nèi)部人員中選拔。 第八條 對被錄用人的身份、背景、專業(yè)資格和資質(zhì)等進行審查，當人員處理涉密信息或涉及高敏感性的信息或擔負重要崗位時，應進行更嚴格的政審。 第九條 人員調(diào)離時必須更換或歸還之前發(fā)放的身份證件、鑰匙、單位提供的軟硬件設備及文檔資料等資產(chǎn)，并辦理詳盡的交接手續(xù)。 第十條 人員調(diào)離時必須終止其所有的訪問權限，涉及相關信息系統(tǒng)賬號、口令時，先采取更換密碼或凍結賬號的措施，避免直接刪除賬號。第十一條 人員調(diào)（離）崗時必須簽署保密承諾書，承諾在調(diào)（離）崗后根據(jù)保密承諾書的內(nèi)容履行相關的保密責任和義務，涉密人員實行脫密期管理制度。第十二條 對未辦理正常交接手續(xù)離崗的人員，及時進行信息安全風險評估并由專人跟進處理，保證信息系統(tǒng)的安全和業(yè)務連續(xù)性。第十三條 建立完善的獎懲機制，對違反信息安全策略或規(guī)定的人員，歸于紀律處理，對信息安全工作表現(xiàn)優(yōu)異的人員么給與適當激勵。第十四條 與上級信息安全管理部門、信息系統(tǒng)服務商和寬帶提供商（如電信、網(wǎng)通等）保持適當練習，確保在發(fā)生信息安全事故和查處危害內(nèi)部信息安全的違法犯罪行為時能夠得到及時響應和必要幫助。第四章 授權管理第十五條 權限的分級應遵循以下原則。一、符合業(yè)務安全需求；二、遵循最小權限原則；三、系統(tǒng)管理員分配超級權限，一般用戶則分配普通權限；第十六條 所有賬號注冊都必須通過申請才能開放。申請人提出權限申請，提交《用戶權限審批和修改表》給XX部門審批，審批同意后才能開通響應的權限。每個用戶必須被分配唯一的賬號，賬號名不能透露用戶的權限信息，不允許共享賬號。第十七條 所有系統(tǒng)都應該建立應急賬號，應急賬號數(shù)據(jù)必須放在密封的信封內(nèi)妥善收藏，并控制好信封的存取。在使用后必須立刻修改，然后把新的密碼裝到信封里。第十八條 人員調(diào)離、離職時，亦需提交《用戶權限審批和修改表》XX部門審批，該員工的所有賬號必須在最后上班日之前注銷或修改。當注銷賬號時，必須確保已取消其相關的系統(tǒng)權限。第十九條 每3個月對重要系統(tǒng)特權用戶級權限進行審計，每6個月對各系統(tǒng)的普通用戶及權限進行審計（權限審計將重點關注權限與崗位是否匹配、權限的分配、變更、注銷記錄是否完整）。在權限審計完成后，填寫《權限審查表》。對審查過程發(fā)現(xiàn)的問題責成改進。第二十條 每3個月提交全變變更匯總記錄，XX部門副惡人對提交的報表數(shù)據(jù)進行審核，對審查過程發(fā)現(xiàn)的問題責成改進。第五章 安全培訓教育 第二十一章 各崗位人員必須清楚自己的安全職責，了解各自的工作職能范圍和責任義務。第二十二條 制定安全教育和培訓計劃、記錄培訓具體內(nèi)容和培訓結果以及參加培訓人員，在培訓結束后把培訓相關記錄材料整理歸檔。第二十三條 根據(jù)各個崗位的業(yè)務應用、安全意識和保密意識需求制定培訓計劃，定期組織安全教育和培訓。第二十四條 各崗位人員要積極參與單位組織的內(nèi)、外部信息安全交流和培訓，提升信息安全意識和專業(yè)水平。第二十五條 定期對各崗位人員進行安全理論知識和安全技能水平的考察。第六章 第三方人員管理第二十六條 為加強與信息安全公司、產(chǎn)品供應商、業(yè)界專家、安全組織的溝通與合作或應急響應，應建立詳細的外聯(lián)單位聯(lián)系表（內(nèi)容至少包括外聯(lián)單位的名稱、聯(lián)系人、地址、聯(lián)系方式等）。第二十七條 第三方人員對敏感信息資產(chǎn)進行訪問前，必須簽訂正式的合同及保密協(xié)議；子啊合同和保密協(xié)議中明確第三方人員的安全責任、必須遵守的安全要求以及違反要求的處罰鞥條款，對其允許訪問的區(qū)域、系統(tǒng)、設備、信息等內(nèi)容應有明確的規(guī)定。第二十八條 需要訪問信息系統(tǒng)的第三方人員必須得到有關部門和領導的許可、授權，其訪問權限必須得到嚴格的限制。第三方人員使用的工具需經(jīng)過相關部門的安全檢查。第二十九條 與第三方人員共同協(xié)定現(xiàn)場工作規(guī)范并按照既定規(guī)范實施管理、落實運維人員或終端責任人全程陪同的策略以降低風險。第三十條 在第三方人員進行遠程訪問之前，要嚴格鑒定訪問者的身份，確保訪問者為已授權人員。第三十一條 負責第三方人員接待和管理的部門在第三方人員訪問結束之后，要及時收回相關物品、資料并且終止其訪問權限。第三十二條 負責接待第三方人員的哦工作人員須由相應信息安全教育培訓經(jīng)驗，并且具備良好的安全意識和風險識別能力。第三十三條 應選擇具有公安部門、保密部門、密碼管理部門資質(zhì)認證的第三方公司進行信息安全合作，保障系統(tǒng)安全。第七章 附 則第三十四條 本制度由XXXX附則解釋。第三十五條 本制度自發(fā)布之日起生效執(zhí)行。附件：（在崗人員）（離崗人員）3. 信息安全培訓計劃表4. 信息安全培訓記錄表5. 用戶權限審批和修改表附件1安全保密責任書（在崗人員）為做好本單位的保密工作，確保單位敏感信息和國家秘密的安全，特制定本保密責任書。一、個人信息提供本人保證，涉密資格審查時提供的所有個人信息都是真實的，沒有任何虛假、偽造或隱瞞。二、崗位職責（一）積極參加奧秘教育和培訓，完成規(guī)定的學時要求（每年累計不得少于16小時），認證學習、掌握并嚴格執(zhí)行保密法律、法規(guī)、規(guī)章和本單位、本部門的保密規(guī)定；（二）依法確定、使用和管理單位敏感信息、國家秘密及其載體，確保單位敏感信息和國家秘密的絕對安全；（三）負責所在涉密場所保密安全防范措施的執(zhí)行并確保落實；（四）嚴格按照保密工作部門有關手機使用保密管理規(guī)定的要求，使用和管理手機。三、行為規(guī)范本人保證，不得作出下列行為：（一）以任何方式非法向知悉范圍以外的人員泄露單位敏感信息和國家秘密；（二）違規(guī)記錄、存儲、復制、攜帶單位敏感信息或國家秘密，違規(guī)持有單位敏感信息或國家秘密載體；（三）未經(jīng)單位審查批準，擅自發(fā)表涉及未公開工作內(nèi)容文章、著述；（四）擅自移交信息系統(tǒng)敏感資料或透漏信息系統(tǒng)相關敏感信息；（五）在本單位以外的其他單位兼職，擅自向境外駐華機構、企業(yè)等提供信息咨詢服務；（六）發(fā)生泄密后隱瞞事實或不及時報告；（七）參加社會非法組織或活動；（八）其他違反保密規(guī)定的行為。四、報告事項遇有下列情形之一的，本人保證主動、及時向本單位保密工作部門或部門責任人報告：（一）發(fā)生或發(fā)現(xiàn)泄密；（二）有涉外婚戀行為；（三）擬因私出國（境）或到境外定居；（四）有直系親屬在國（境）外學習、工作和定居；（五）與國（境）外人員非公務交往情況；（六）擬辭職脫離本崗位；（七）其他可能影響履行保密職責的重大事項。五、出境審批依照保密 ，本人因私出境須按程序由本單位批準同意。否則，不得擅自出境。六、保密監(jiān)督自覺接受保密監(jiān)督、檢查、管理和考核，配合做好相關工作，履行崗位保密職責。七、離崗要求本人離崗脫密期確定為如離崗應簽署《保密承諾書》，并保證嚴格執(zhí)行脫密期規(guī)定及限制。八、法律責任如果本人未能履行保密義務和職責，違反保密規(guī)定，致使本崗位存在重大泄密隱患或發(fā)生泄密，本人將按照有關規(guī)定將承擔相應的黨紀、政紀責任；清潔嚴重的，承擔相應的刑事責任。九、享有權利（一）拒絕執(zhí)行違反保密規(guī)定的指示、指令和要求；（二）直至違反保密規(guī)定的行為；（三）舉報、控告泄密行為；（四）向保密工作部門如實反映本單位保密工作情況；（五）對本崗位的保密工作提出建議；（六）享受相應的崗位津貼和政治待遇；（七）參加保密業(yè)務培訓和保密組織活動；（八）保密法律、法規(guī)、規(guī)章規(guī)定的其他權利。（九）其他本保密責任書自雙方簽字之日起生效，至離崗之日止。本保密責任書一式三份，單位保密工作機構（組織）、人事部門和責任人各留存一份。上述所有條款本人已仔細閱讀，明白無誤，無任何異議。單位代表（簽章）： 年 月 日保密責任人（簽名）：身份證號碼： 年 月 日附件2保密承諾書（離崗人員）我已被告知各項保密制度，知悉應當承擔的保密義務和法律責任。本人莊重承諾：一、嚴格遵守國家保密法律、法規(guī)和規(guī)章制度履行保密義務；二、本人保證，在脫密期間及以后，除非得到核發(fā)授權或批準，永不泄露所知悉的單位敏感信息和國家秘密；三、本人已履行了工作交接手續(xù)，保證沒有私自留存任何單位敏感信息或國家秘密及其載體。四、未經(jīng)原單位審查批準，不擅自發(fā)表涉及原單位未公開工作內(nèi)容的文章、著述。五、在脫密期間，暴增不受聘、受雇于境外及境外駐華機構、組織、企業(yè)、人員或為其提供信息咨詢服務；不參加非法組織或非法活動以及其他違反保密規(guī)定的行為。六、在脫密期間，本人因私出境須依照保密規(guī)定和程序申報，未經(jīng)批準不擅自出境；七、自愿接受脫密期管理，自 年 月 日至 年 月 日服從有關部門的保密監(jiān)督；八、自愿如實提供聯(lián)系方式，聯(lián)系電話 ，常地址 。如有變動及時告知原單位。九、違反上述承諾，自愿承擔黨紀、政紀和法律后果。十、本離崗保密承諾書一式三份，單位保密工作機構（組織）、人事部門和承諾人各留存一份，自簽字之日起生效。上述所有條款本人已仔細閱讀，明白無誤，無任何異議。承諾人（簽名）：身份證號碼： 年 月 日附件3信息安全培訓計劃表 填表日期： 年 月 日培訓名稱培訓類別□理論 □操作培訓人數(shù)培訓地點培訓時間 年 月 日至 年 月 日課時安排：課程內(nèi)容簡介：培訓教師安排：培訓所用材料：培訓計劃人附件4信息安全培訓記錄表 填表日期： 年 月 日培訓名稱培訓類別□理論 □操作培訓人數(shù)培訓地點培訓時間年 月 日至 年 月 日培訓教師培訓內(nèi)容概要：參與培訓人員簽到姓 名部 門姓 名部 門培訓考核形式□筆試 □其他培訓考核合格率 附件5用戶權限審批和修改表申請聯(lián)系人信息姓名單位/部門崗位聯(lián)系電話涉及權限變更的人員信息姓名部門/崗位聯(lián)系電話需要變更的系統(tǒng)備注變更原因用戶訪問權限變更描述使用部門審核意見 簽 名：應用管理部門審核意見 簽 名：執(zhí)行信息系統(tǒng)管理員 簽 名：備注XXX信息資產(chǎn)和設備管理制度第一章 范圍及職責 第一條 本制度使用與信息資產(chǎn)的管理，包括：獲取、分類、使用和處置以及安全設備的管理。 第二條 本制度中的信息資產(chǎn)是指可以存儲信息數(shù)據(jù)的信息載體，包括：硬件、軟件、數(shù)據(jù)（電子數(shù)據(jù)）、文檔（紙質(zhì)文件）、人員、服務設施、其他。 第三條 XX部門主要負責信息資產(chǎn)的分類、匯總、使用與處置方法，以及安全設備的選型、檢測、安裝、登記、使用、維護和儲存。 第四條 計算機資產(chǎn)統(tǒng)計信息的范圍包括但不限于：計算機主機名、IP地址、MAC地址、使用人/責任人、所屬部門、物理位置、服務器的內(nèi)外網(wǎng)IP對應等。第二章 信息資產(chǎn)的獲取 第五條 軟件、硬件設施、服務性設施等的獲得主要以采購的方式獲得，采購按照有關規(guī)定進行采購和驗收。 第六條 數(shù)據(jù)信息資產(chǎn)的獲得來源主要為：外包供應商、市場信息、其他信息。第三章 信息資產(chǎn)的分類 第七條