第一篇：信息系統(tǒng)安全等級測評之組織機構(gòu)和人員安全管理辦法

××公司

信息安全管理組織機構(gòu)和人員安全管理辦法

第一章 總則

第1條 為加強本公司信息安全管理工作，保障網(wǎng)絡(luò)與信息系統(tǒng)的正常運行，依據(jù)有關(guān)法律、法規(guī)及信息安全標準，特制定本辦法。

第2條 本辦法適用于本公司的信息安全組織機構(gòu)和人員職責的管理。

第二章 信息安全領(lǐng)導小組

第1條 公司成立信息安全領(lǐng)導小組。領(lǐng)導小組是信息安全的最高決策機構(gòu)，下設(shè)辦公室掛靠在公司技術(shù)部，負責信息安全領(lǐng)導小組的日常事務(wù)。

第2條 信息安全領(lǐng)導小組下設(shè)兩個工作組：

信息安全工作組

應(yīng)急處理工作組

第3條 信息安全領(lǐng)導小組的職責主要包括：

根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標準；

確定公司信息安全各有關(guān)部門工作職責，指導、監(jiān)督信息安全工作。

第三章 信息安全工作組

第1條 信息安全工作組組長由公司技術(shù)部的負責人擔任。

第2條 信息安全工作組的主要職責包括：

貫徹執(zhí)行公司信息安全領(lǐng)導小組的決議，協(xié)調(diào)和規(guī)范公司信息安全工作；

根據(jù)信息安全領(lǐng)導小組的工作部署，對信息安全工作進行具體安排、落實；

組織對重大的信息安全工作制度和技術(shù)操作策略進行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；

負責協(xié)調(diào)、督促各職能部門和有關(guān)單位的信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；

組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全風險的防范對策；

負責接受各單位的緊急信息安全事件報告，組織進行事件調(diào)查，分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事件防范措施；

及時向信息安全工作領(lǐng)導小組和上級有關(guān)部門、單位報告信息安全事件。

跟蹤先進的信息安全技術(shù)，組織信息安全知識的培訓和宣傳工作。

第四章 應(yīng)急處理工作組

第1條 應(yīng)急處理工作組組長由公司技術(shù)部的主要負責人擔任。

第2條 應(yīng)急處理工作組的主要職責包括：

審定公司網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案；

決定相應(yīng)應(yīng)急預(yù)案的啟動，負責現(xiàn)場指揮，并組織相關(guān)人員排除故障，恢復系統(tǒng)； 每年組織對信息安全應(yīng)急策略和應(yīng)急預(yù)案進行測試和演練。

第五章 信息安全人員基本要求

第1條 信息安全管理人員和專（兼）職信息安全技術(shù)人員應(yīng)當政治可靠、業(yè)務(wù)素質(zhì)高、遵紀守法、恪盡職守。

第2條 信息安全管理人員及專職和兼職信息安全技術(shù)人員應(yīng)有計算機專業(yè)工作三年以上經(jīng)歷，具備?？埔陨蠈W歷。

第3條 違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全管理與技術(shù)工作。

第六章 信息安全人員管理

第1條 信息安全人員的配備和變更情況，應(yīng)向總經(jīng)理報告、備案。

第2條 信息安全人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。

第七章 信息安全人員職責范圍

第1條 信息安全人員應(yīng)履行以下職責：

負責信息安全管理的日常工作；

開展信息安全檢查工作，對要害崗位人員安全工作進行指導和監(jiān)督；

負責維護和審查有關(guān)安全審計記錄，及時發(fā)現(xiàn)存在問題，提出安全風險防范對策； 開展信息安全知識的培訓和宣傳工作；

監(jiān)控信息安全總體狀況，提出信息安全分析報告；

及時向信息安全工作領(lǐng)導小組和有關(guān)部門、單位報告信息安全事件。

第2條 信息安全人員在行使職責時，確因工作需要，經(jīng)批準，可了解涉及經(jīng)營與管理有關(guān)的信息系統(tǒng)的機密信息。

第3條 信息安全人員發(fā)現(xiàn)本單位重大信息安全隱患，有權(quán)向公司總經(jīng)理報告。

第4條 信息安全人員發(fā)現(xiàn)信息系統(tǒng)要害崗位人員使用不當，應(yīng)及時建議公司進行調(diào)整。

第5條 信息安全人員必須嚴格遵守國家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制度，嚴守公司商業(yè)秘密。

第八章 要害崗位人員管理

第1條 信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、重要應(yīng)用開發(fā)人員、系統(tǒng)維護人員、重要業(yè)務(wù)操作人員等崗位人員。

第2條 重要信息系統(tǒng)，是指涉及公司生產(chǎn)、建設(shè)與經(jīng)營、管理等核心業(yè)務(wù)且有保密要求的信息系統(tǒng)。

第3條 要害崗位人員上崗前必須經(jīng)單位人事部門進行政治素質(zhì)審查，技術(shù)部門進行業(yè)務(wù)技能考核，工作經(jīng)歷和工作經(jīng)驗考查等，合格者方可上崗。

第4條 要害崗位人員有責任保護信息系統(tǒng)的秘密，并以簽署保密協(xié)議的方式作出安全承諾。

第5條 要害崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的原則。系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開發(fā)人員、系統(tǒng)維護人員不得兼任業(yè)務(wù)操作員；系統(tǒng)開發(fā)人員原則上不應(yīng)兼任系統(tǒng)管理員。

第6條 對要害崗位人員應(yīng)實行定期考查制度，要害崗位人員應(yīng)定期接受安全培訓，加強自身安全意識和風險防范意識。

第7條 要害崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及公司業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。

第8條 要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。

第九章 要害崗位安全責任

第1條 系統(tǒng)管理員安全責任

負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則；

嚴格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；

認真記錄系統(tǒng)安全事項，及時向信息安全人員報告安全事件；

對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。

第2條 網(wǎng)絡(luò)管理員安全責任

負責網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行細則；

安全配置網(wǎng)絡(luò)參數(shù)，嚴格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護網(wǎng)絡(luò)安全正常運行；

監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時向信息安全人員報告安全事件；

對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。

第3條 系統(tǒng)開發(fā)員安全責任

系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)； 系統(tǒng)投產(chǎn)運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料；

不得對系統(tǒng)設(shè)置“后門”；

對系統(tǒng)核心技術(shù)保密。

第4條 系統(tǒng)維護員安全責任

負責系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行；

不得擅自改變系統(tǒng)功能；

不得安裝與系統(tǒng)無關(guān)的其他計算機程序；

維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告信息安全人員。

第5條 業(yè)務(wù)操作員安全責任

嚴格執(zhí)行系統(tǒng)操作規(guī)程和運行安全管理制度；

不得向他人提供自己的操作密碼；

及時向系統(tǒng)管理員報告系統(tǒng)各種異常事件。

第6條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。

第十章 第三方人員管理

第1條 第三方人員包括軟件開發(fā)商，硬件供應(yīng)商，系統(tǒng)集成商，設(shè)備維護商和服務(wù)提供商，以及實習學生和臨時工作人員。

第2條 應(yīng)對第三方人員的物理訪問和邏輯訪問實施訪問控制，根據(jù)其在系統(tǒng)中完成工作的時間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。

第3條 第三方人員的現(xiàn)場工作或遠程維護工作內(nèi)容應(yīng)在合同中明確規(guī)定，如工作涉及機密或秘密信息內(nèi)容，應(yīng)要求其簽署保密協(xié)議。

第4條 一般情況下第三方人員的現(xiàn)場工作，如數(shù)據(jù)庫、系統(tǒng)、漏洞掃描、入侵檢測、白客滲透以及其他軟件的安裝等，不許接入自帶的設(shè)備。

第5條 第三方人員的現(xiàn)場工作應(yīng)在本單位信息部門有關(guān)人員的陪同和監(jiān)督下完成。第三方人員自帶設(shè)備接入信息系統(tǒng)應(yīng)得到特別授權(quán)，其操作應(yīng)受到審計。

第6條 第三方人員工作結(jié)束后，應(yīng)及時清除有關(guān)賬戶、過程記錄等信息。

第十一章 培訓與教育

第1條 信息安全人員應(yīng)定期參加下列信息安全知識和技能的培訓：

信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓；

信息安全基本知識的培訓；

信息安全專門技能的培訓。

第2條 信息安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。

第3條 應(yīng)對所有使用計算機的人員定期進行基本的信息安全知識和技能的培訓，并應(yīng)注意培養(yǎng)信息安全意識。

第十二章 附則

第1條 本辦法由公司人力行政部負責解釋。

第2條 本辦法自發(fā)布之日起施行。

××公司

××年××月××日

第二篇：廣東省信息安全等級測評機構(gòu)管理辦法

廣東省信息安全等級測評機構(gòu)管理辦法

（試行）

第一條

為規(guī)范信息安全等級測評機構(gòu)管理，提高信息安全保障能力和水平，保障和促進信息化建設(shè)，根據(jù)《廣東省計算機信息系統(tǒng)安全保護條例》和《信息安全等級保護管理辦法》等規(guī)定，制定本辦法。

第二條

本辦法所稱信息安全等級測評機構(gòu)是指對信息系統(tǒng)的安全保護措施是否符合信息安全等級保護相關(guān)法律和標準進行評估的組織。

第三條

信息安全等級測評應(yīng)當堅持實事求是、客觀公正的原則，保證測評活動的獨立性和測評結(jié)論的準確性。

第四條

第二級以上的計算機信息系統(tǒng)的安全測評應(yīng)當選擇符合下列條件的計算機信息系統(tǒng)安全等級測評機構(gòu)（簡稱測評機構(gòu)）承擔：

（一）在中華人民共和國境內(nèi)注冊成立（港澳臺地區(qū)除外），具有相應(yīng)經(jīng)營范圍的營業(yè)執(zhí)照，注冊資本100萬元以上；

（二）由中國公民投資、中國法人投資或者國家投資的企事業(yè)單位（港澳臺地區(qū)除外）；

（三）近3年完成的測評項目總值150萬元以上；

（四）具有計算機安全或相關(guān)專業(yè)資格證書的專業(yè)技術(shù)人員不少于20人，其中大學本科以上學歷的人員不少于15人；

（五）管理人員應(yīng)當具有3年以上從事計算機信息系統(tǒng)安全技術(shù)領(lǐng)域企業(yè)管理工作經(jīng)歷，技術(shù)負責人已獲得計算機信息系統(tǒng)安全技術(shù)相關(guān)專業(yè)的高級職稱，從事安全測評工作不少于3年，無犯罪記錄；

（六）工作人員僅限于中國公民，法人及主要業(yè)務(wù)、技術(shù)人員無犯罪記錄；

（七）具有與所承擔項目適應(yīng)的技術(shù)裝備；

（八）具有完備的保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等安全管理制度；

（九）對國家安全、社會秩序、公共利益不構(gòu)成威脅。

第五條

我省對測評機構(gòu)實施備案制度。符合第四條規(guī)定的條件，承擔第二級以上的計算機信息系統(tǒng)測評工作的機構(gòu)應(yīng)當?shù)焦矙C關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門備案。

第六條

信息安全等級測評機構(gòu)申請備案，應(yīng)當向地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提交下列資料：

（一）備案申請書；

（二）營業(yè)執(zhí)照復印件；

（三）管理人員和專業(yè)技術(shù)人員的身份證明、學歷證明、計算機安全培訓合格證書復印件和無犯罪證明；

（四）技術(shù)裝備情況及組織管理制度報告。第七條

地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當自接到申請材料之日起15日內(nèi)對申請材料進行初審。初審合格的，報送省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門審查；初審不合格的，退回申請并說明理由。

省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當自接到初審材料之日起15日內(nèi)進行審查，符合條件的，發(fā)給備案證書。不符合條件的，作出不予備案的決定并說明理由。

承擔省直和中央駐粵單位信息安全等級測評工作的機構(gòu)，直接向省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申請，省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當在30日內(nèi)作出備案意見。

第八條

省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門對已備案的信息安全等級測評機構(gòu)進行公布。

第九條

備案證書分為正本和副本，正本和副本具有同等效力。

第十條

備案證書實行年檢制度。年檢時間為每年2月至3月，新領(lǐng)備案證書未滿半年的不需年檢。

第十二條

信息安全等級測評機構(gòu)參加年檢，應(yīng)當持下列材料向地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申請：

（一）備案證書年檢申請書；

（二）備案證書副本；

（三）其他材料。

第十三條

地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當自接到申請材料之日起15日內(nèi)對申請材料進行初審。初審合格的，報送省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門審查；初審不合格的，退回申請并說明理由。

省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當自接到初審材料之日起15日內(nèi)進行審查并作出年檢結(jié)論。

持國家工商行政管理總局或省工商行政管理局核發(fā)的營業(yè)執(zhí)照的機構(gòu)，直接向省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門提出申請，省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察部門應(yīng)當在30日內(nèi)作出年檢結(jié)論。

第十四條

年檢結(jié)論分為合格、取消兩種。

具備下列情形的，年審結(jié)論為合格：

（一）遵守國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定；

（二）上完成的測評項目總值不低于50萬元；

（三）符合備案條件。

有下列情形之一的，年檢結(jié)論為取消：

（一）違反國家有關(guān)法律法規(guī)和本省有關(guān)規(guī)定，情節(jié)嚴重；

（二）上完成的測評項目總值低于50萬元；

（三）情況發(fā)生變更，達不到備案條件。

年檢合格的，在備案證書副本和年檢申請書上注明，加蓋省公安廳公共信息網(wǎng)絡(luò)安全監(jiān)察專用章。

年檢結(jié)論為取消的，備案證書作廢，信息安全等級測評機構(gòu)應(yīng)當自接到年檢結(jié)論之日起10日內(nèi)交回備案證書。

未按時參加年檢的，年審結(jié)論視為取消。

因特殊原因未年檢的，應(yīng)當書面說明理由，經(jīng)批準，方可補辦相關(guān)手續(xù)。

第十五條

備案證書登記事項發(fā)生變更的，應(yīng)在30日內(nèi)到地級以上市公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門辦理變更手續(xù)。

第十六條

信息安全等級測評機構(gòu)應(yīng)當履行下列義務(wù)：

（一）遵守國家有關(guān)法律法規(guī)和技術(shù)標準，提供安全、客觀、公正的檢測評估服務(wù)，保證測評的質(zhì)量和效果；

（二）保守在測評活動中知悉的國家秘密、商業(yè)秘密和個人隱私，防范測評風險；

（三）對測評人員進行安全保密教育，與其簽訂安全保密責任書，規(guī)定應(yīng)當履行的安全保密義務(wù)和承擔的法律責任，并負責檢查落實。

第十七條

公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門對信息安全等級測評機構(gòu)進行監(jiān)督、檢查和指導。第十八條

信息安全等級測評機構(gòu)有下列行為之一的，由所在地公安機關(guān)公共信息網(wǎng)絡(luò)安全監(jiān)察部門責令改正，并予以通報。對已辦理備案的，收回備案證書。觸犯有關(guān)法律、法規(guī)和規(guī)章的，依法追究法律責任。

（一）偽造、冒用信息安全等級測評機構(gòu)備案證書的；

（二）轉(zhuǎn)讓、轉(zhuǎn)借信息安全等級測評機構(gòu)備案證書的；

（三）出具虛假、失實的信息安全等級測評結(jié)論的；

（四）泄露測評活動中掌握的國家秘密、商業(yè)秘密和個人隱私的；

（五）違反法律、法規(guī)、規(guī)章等規(guī)定的其他行為。

第十九條

本辦法自印發(fā)之日起施行。

第三篇：《信息安全等級保護測評機構(gòu)管理辦法》最新

信息安全等級保護測評機構(gòu)管理辦法

第一條 為加強信息安全等級保護測評機構(gòu)管理，規(guī)范等級測評行為，提高測評技術(shù)能力和服務(wù)水平，根據(jù)《信息安全等級保護管理辦法》等有關(guān)規(guī)定，制定本辦法。

第二條 等級測評工作，是指等級測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀況進行檢測評估的活動。

等級測評機構(gòu)，是指依據(jù)國家信息安全等級保護制度規(guī)定，具備本辦法規(guī)定的基本條件，經(jīng)審核推薦，從事等級測評等信息安全服務(wù)的機構(gòu)。

第三條 等級測評機構(gòu)推薦管理工作遵循統(tǒng)籌規(guī)劃、合理布局、安全規(guī)范的方針，按照“誰推薦、誰負責，誰審核、誰負責”的原則有序開展。

第四條 等級測評機構(gòu)應(yīng)以提供等級測評服務(wù)為主，可根據(jù)信息系統(tǒng)運營使用單位安全保障需求，提供信息安全咨詢、應(yīng)急保障、安全運維、安全監(jiān)理等服務(wù)。

第五條 國家信息安全等級保護工作協(xié)調(diào)小組辦公室（以下簡稱“國家等保辦”）負責受理隸屬國家信息安全職能部門和重點行業(yè)主管部門申請單位提出的申請，并對其推薦的等級測評機構(gòu)進行監(jiān)督管理。

省級信息安全等級保護工作協(xié)調(diào)（領(lǐng)導）小組辦公室（以下簡稱“省級等保辦”）負責受理本省（區(qū)、直轄市）申請單位提出的申請，并對其推薦的等級測評機構(gòu)進行監(jiān)督管理。

第六條 申請成為等級測評機構(gòu)的單位（以下簡稱“申請單位”）應(yīng)具備以下基本條件：

（一）在中華人民共和國境內(nèi)注冊成立，由中國公民、法人投資或者國家投資的企事業(yè)單位；

（二）產(chǎn)權(quán)關(guān)系明晰，注冊資金100萬元以上；

（三）從事信息系統(tǒng)安全相關(guān)工作兩年以上，無違法記錄；

（四）測評人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄；

（五）具有信息系統(tǒng)安全相關(guān)工作經(jīng)驗的技術(shù)人員，不少于10人；

（六）具備必要的辦公環(huán)境、設(shè)備、設(shè)施，使用的技術(shù)裝備、設(shè)施應(yīng)滿足測評工作需求；

（七）具有完備的安全保密管理、項目管理、質(zhì)量管理、人員管理和培訓教育等規(guī)章制度；

（八）自覺接受等保辦的監(jiān)督、檢查和指導，對國家安全、社會秩序、公共利益不構(gòu)成威脅；

（九）不涉及信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成等業(yè)務(wù)；

（十）應(yīng)具備的其他條件。

第七條 申請時，申請單位應(yīng)向等保辦提交以下材料：

（一）《信息安全等級保護測評機構(gòu)申請表》；

（二）從事信息系統(tǒng)安全相關(guān)工作情況；

（三）檢測評估工作所需軟硬件及其他服務(wù)保障設(shè)施配備情況；

（四）有關(guān)管理制度建設(shè)情況；

（五）申請單位及其測評人員基本情況；

（六）應(yīng)提交的其他材料。

等保辦收到申請材料后，應(yīng)在10個工作日內(nèi)組織初審，并出具初審結(jié)果告知書。

第八條 通過初審的申請單位，應(yīng)及時參加指定評估機構(gòu)組織的測評人員培訓?？荚嚭细竦娜藛T，取得等級測評師證書。

等級測評師分為初級、中級和高級。申請單位應(yīng)至少有10人獲得等級測評師證書，其中高級和中級測評師均不得少于1人。

第九條 指定評估機構(gòu)應(yīng)根據(jù)標準規(guī)范對申請單位開展能力評估，出具信息安全等級保護測評機構(gòu)能力評估報告，并及時將申請單位能力評估有關(guān)情況報送等保辦。

第十條 等保辦組織專家對通過能力評估的申請單位進行審核。審核通過的，頒發(fā)《信息安全等級保護測評機構(gòu)推薦證書》。

省級等保辦應(yīng)及時將本地等級測評機構(gòu)推薦情況報國家等保辦，國家等保辦定期發(fā)布公告，在《中國信息安全等級保護網(wǎng)》發(fā)布《全國信息安全等級保護測評機構(gòu)推薦目錄》。

第十一條 下列事項發(fā)生變更時，等級測評機構(gòu)應(yīng)在變更后5個工作日內(nèi)向等保辦報告。

（一）等級測評機構(gòu)名稱、地址、測評人員和主要負責人發(fā)生變更的；

（二）等級測評機構(gòu)法人、股權(quán)結(jié)構(gòu)發(fā)生變更的；

（三）其他重大事項發(fā)生變更的。

省級等保辦應(yīng)及時將等級測評機構(gòu)變更情況報國家等保辦。

第十二條 信息安全等級保護測評機構(gòu)推薦證書有效期為三年。等級測評機構(gòu)應(yīng)在推薦證書期滿前30日內(nèi)，向等保辦申請復審。復審通過的等級測評機構(gòu)應(yīng)換發(fā)新證。復審未通過的，等保辦應(yīng)督促其限期整改。

省級等保辦應(yīng)及時將等級測評機構(gòu)期滿復審情況報國家等保辦。

第十三條 等級測評師上崗前，等級測評機構(gòu)應(yīng)組織崗前培訓。培訓合格的，由等級測評機構(gòu)配發(fā)上崗證。未取得測評師證書和上崗證的，不得參與等級測評項目。

等級測評師離職前，等級測評機構(gòu)應(yīng)與其簽訂離職保密承諾書，并收回上崗證。

第十四條 等級測評師應(yīng)妥善保管等級測評師證書、上崗證，不得涂改、出借、出租和轉(zhuǎn)讓。

第十五條 等級測評機構(gòu)應(yīng)加強對本機構(gòu)等級測評師的監(jiān)督管理，定期組織開展安全保密教育和業(yè)務(wù)培訓。

第十六條 等級測評機構(gòu)應(yīng)嚴格按照信息安全等級保護標準規(guī)范公正、獨立地開展等級測評工作，依據(jù)模板出具信息系統(tǒng)安全等級測評報告，確保測評質(zhì)量，全面、客觀地反映被測信息系統(tǒng)的安全保護狀況。

第十七條 等級測評機構(gòu)開展測評項目不受地域、行業(yè)限制。等級測評機構(gòu)應(yīng)在測評項目合同簽訂以及項目完成后5個工作日內(nèi)，向受理信息系統(tǒng)備案的公安機關(guān)報告等級測評項目有關(guān)情況。

第十八條 測評項目實施過程中，等級測評機構(gòu)應(yīng)接受等保辦的監(jiān)督、檢查和指導。測評項目完成后，等級測評機構(gòu)應(yīng)請被測評信息系統(tǒng)運營使用單位對測評服務(wù)情況進行評價，評價情況由被測單位反饋等保辦。

第十九條 等級測評機構(gòu)應(yīng)定期向等保辦報送測評工作開展情況。根據(jù)測評實踐，每年底編制并報送信息系統(tǒng)安全狀況分析報告。第二十條 等級測評機構(gòu)實行等級化管理。根據(jù)信息系統(tǒng)測評數(shù)量、機構(gòu)規(guī)模、測評技術(shù)能力和服務(wù)質(zhì)量等指標，對等級測評機構(gòu)劃分為五個星級，最低為一星級，最高為五星級。等級測評機構(gòu)星級評定標準由國家等保辦另行制定。

第二十一條 等級測評機構(gòu)應(yīng)于每年底向等保辦提交星級評定所需材料。

等保辦負責組織所推薦等級測評機構(gòu)的星級評定審核工作，并出具星級評定意見。省級等保辦應(yīng)及時將評定意見報國家等保辦審定，國家等保辦定期發(fā)布星級評定結(jié)果。

第二十二條 取得信息安全等級保護測評機構(gòu)推薦證書未滿一年的，不參加星級評定。

第二十三條 等保辦負責對所推薦等級測評機構(gòu)的日常監(jiān)督檢查、測評項目抽查和年審工作，及時掌握等級測評機構(gòu)工作情況。

第二十四條 等保辦應(yīng)于每年底對所推薦的等級測評機構(gòu)進行年審。等級測評機構(gòu)自推薦之日起未滿6個月的，當年可免予年審。年審時，等級測評機構(gòu)應(yīng)提交以下材料：

（一）《信息安全等級保護測評機構(gòu)年審表》；

（二）信息安全等級保護測評機構(gòu)推薦證書副本；

（三）測評工作總結(jié)；

（四）其他所需材料。

第二十五條

國家等保辦負責組織開展等級測評機構(gòu)能力驗證和抽查工作。

第二十六條 等級測評機構(gòu)有下列情形之一的，等保辦應(yīng)責令其限期整改；情形嚴重的，予以通報。

（一）未按照有關(guān)標準規(guī)范開展測評或未按規(guī)定出具信息系統(tǒng)安全等級測評報告的；

（二）影響被測評信息系統(tǒng)正常運行，危害被測評信息系統(tǒng)安全的；

（三）非授權(quán)占有、使用，未妥善保管等級測評相關(guān)資料及數(shù)據(jù)文件的；

（四）分包或轉(zhuǎn)包等級測評項目，以及擾亂測評市場秩序的；

（五）限定被測評單位購買、使用指定信息安全產(chǎn)品的；

（六）測評人員未取得等級測評師證書和上崗證從事等級測評活動的；

（七）未按本辦法規(guī)定向等保辦提交材料、報告情況或弄虛作假的；

（八）其他違反等級測評有關(guān)規(guī)定的行為。

第二十七條 等級測評機構(gòu)有下列情形之一的，等保辦應(yīng)取消其信息安全等級保護測評機構(gòu)推薦證書，并向社會公告。

（一）因單位股權(quán)、人員等情況發(fā)生變動，不符合等級測評機構(gòu)基本條件的；

（二）有信息安全產(chǎn)品開發(fā)、銷售或信息系統(tǒng)安全集成行為的；

（三）故意泄露被測評單位工作秘密、重要信息系統(tǒng)數(shù)據(jù)信息的；

（四）故意隱瞞測評過程中發(fā)現(xiàn)的安全問題，或者在測評過程中弄虛作假未如實出具等級測評報告的；

（五）一年內(nèi)未開展信息系統(tǒng)測評工作或自愿退出《全國信息安全等級保護測評機構(gòu)推薦目錄》的；

（六）連續(xù)兩年年審不合格或限期整改后仍未通過復審的；

（七）違反本辦法第二十六條規(guī)定，情節(jié)特別嚴重的。第二十八條 等級測評師有下列行為之一的，等保辦應(yīng)責令等級測評機構(gòu)督促其限期改正；情節(jié)嚴重的，責令等級測評機構(gòu)暫停其參與測評工作；情形特別嚴重的，應(yīng)注銷其等級測評師證書，并對其所在等級測評機構(gòu)進行通報。

（一）未經(jīng)允許擅自使用或泄露、出售等級測評工作中收集的數(shù)據(jù)信息、資料或信息系統(tǒng)安全等級測評報告的；

（二）違反本辦法第十四條規(guī)定，未妥善保管等級測評師證書、上崗證，有涂改、出借、出租和轉(zhuǎn)讓等行為的；

（三）測評行為失誤或不當，影響信息系統(tǒng)安全或造成運營使用單位利益損失的；

（四）其他違反等級測評有關(guān)規(guī)定的行為。第二十九條 等級測評機構(gòu)及其等級測評師違反本辦法的相關(guān)規(guī)定，給被測評信息系統(tǒng)運營使用單位造成嚴重危害和損失的，由相關(guān)部門依照有關(guān)法律、法規(guī)予以處理。

第三十條 任何單位和個人如發(fā)現(xiàn)等級測評機構(gòu)、等級測評師有違法、違規(guī)行為的，可向國家等保辦舉報、投訴。

第三十一條 本辦法由國家等保辦負責解釋。第三十二條 本辦法自發(fā)布之日起實施。

第四篇：上海市公共信息系統(tǒng)安全測評管理辦法（范文模版）

上海市公共信息系統(tǒng)安全測評管理辦法

（2006年5月7日上海市人民政府令第58號公布，根據(jù)2010年12月20日上海市人民政府令第52號公布的《上海市人民政府關(guān)于修改?上海市農(nóng)機事故處理暫行規(guī)定?等148件市政府規(guī)章的決定》修正并重新發(fā)布）

第一條（立法目的）

為了規(guī)范本市公共信息系統(tǒng)安全測評活動，保障公共信息系統(tǒng)正常運行，制定本辦法。

第二條（定義）

本辦法所稱的公共信息系統(tǒng)安全測評，是指依據(jù)有關(guān)信息安全標準、規(guī)范，對本市承擔公共管理職能的機構(gòu)（以下簡稱公共管理機構(gòu)）以及提供社會公共服務(wù)的單位（以下簡稱公共服務(wù)單位）的計算機信息系統(tǒng)，進行安全保障性能測試、評估的活動。

第三條（適用范圍）

本市行政區(qū)域內(nèi)的公共信息系統(tǒng)安全測評及其管理活動，適用本辦法。法律、法規(guī)另有規(guī)定的，從其規(guī)定。

第四條（管理部門）

上海市經(jīng)濟和信息化委員會（以下簡稱市經(jīng)濟信息化委）負責本市公共信息系統(tǒng)安全測評的組織協(xié)調(diào)和監(jiān)督管理工作。

第五條（責任制度）

公共管理機構(gòu)、公共服務(wù)單位的負責人應(yīng)當承擔開展公共信息系統(tǒng)安全測評的管理責任。

各有關(guān)主管部門應(yīng)當督促所屬的公共管理機構(gòu)、公共服務(wù)單位開展公共信息系統(tǒng)安全測評。

第六條（測評計劃）

市經(jīng)濟信息化委應(yīng)當會同各有關(guān)主管部門，制定公共信息系統(tǒng)安全測評計劃，組織公共管理機構(gòu)、公共服務(wù)單位實施，并進行指導、監(jiān)督。

第七條（新建系統(tǒng)的測評）

新建公共信息系統(tǒng)的，公共管理機構(gòu)、公共服務(wù)單位應(yīng)當在系統(tǒng)建設(shè)前將安全設(shè)計方案報送市經(jīng)濟信息化委審查；市經(jīng)濟信息化委應(yīng)當在15日內(nèi)提出審查意見。

新建的公共信息系統(tǒng)試運行結(jié)束后30日內(nèi)，應(yīng)當進行安全測評。

第八條（測評機構(gòu)）

公共信息系統(tǒng)安全測評，應(yīng)當由國家有關(guān)部門認可的信息安全測評機構(gòu)（以下簡稱測評機構(gòu)）實施。

公共管理機構(gòu)的公共信息系統(tǒng)，由市經(jīng)濟信息化委指定的測評機構(gòu)統(tǒng)一實施安全測評；公共服務(wù)單位的公共信息系統(tǒng)，由該單位委托的測評機構(gòu)實施安全測評。

第九條（測評協(xié)議）

公共管理機構(gòu)、公共服務(wù)單位應(yīng)當與測評機構(gòu)簽訂公共信息系統(tǒng)安全測評協(xié)議，明確測評的范圍、內(nèi)容、方案、期限、費用和違約責任等事項。

公共信息系統(tǒng)安全測評協(xié)議的示范文本，由市經(jīng)濟信息化委制定。

第十條（測評要求）

測評機構(gòu)應(yīng)當依據(jù)國家和本市信息技術(shù)、信息系統(tǒng)安全的標準、規(guī)范，實施公共信息系統(tǒng)安全測評，保證測評活動的客觀、公正。

第十一條（安全事項告知與協(xié)助義務(wù)）

安全測評的實施過程可能影響公共信息系統(tǒng)正常運行的，測評機構(gòu)應(yīng)當事先告知公共管理機構(gòu)、公共服務(wù)單位，并協(xié)助其采取相應(yīng)的預(yù)防措施。

第十二條（測評報告）

測評機構(gòu)實施公共信息系統(tǒng)安全測評后，應(yīng)當出具包括以下內(nèi)容的測評報告：

（一）測評范圍、內(nèi)容；

（二）測評所依據(jù)的相關(guān)標準、規(guī)范；

（三）系統(tǒng)安全的評估結(jié)論、整改建議。

測評報告應(yīng)當由測評機構(gòu)負責人簽署。

第十三條（安全整改）

公共管理機構(gòu)、公共服務(wù)單位應(yīng)當根據(jù)測評報告的整改建議，對公共信息系統(tǒng)采取安全整改措施；測評機構(gòu)應(yīng)當給予協(xié)助和指導。

公共管理機構(gòu)完成安全整改后15日內(nèi)，應(yīng)當將整改情況報送市經(jīng)濟信息化委備案；公共服務(wù)單位完成安全整改后15日內(nèi)，應(yīng)當將整改情況報送其主管部門備案。

第十四條（測評實施情況的報告）

測評機構(gòu)應(yīng)當每季度將實施公共信息系統(tǒng)安全測評的匯總情況向市經(jīng)濟信息化委報告；發(fā)現(xiàn)公共信息系統(tǒng)存在重大安全問題時，應(yīng)當立即向市經(jīng)濟信息化委報告。

第十五條（動態(tài)復測）

公共信息系統(tǒng)安全測評后，應(yīng)當每兩年進行一次復測；系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、信息處理流程等發(fā)生重大變更的，應(yīng)當及時進行復測。

公共信息系統(tǒng)的復測應(yīng)當包括以下內(nèi)容：

（一）系統(tǒng)前次測評時發(fā)現(xiàn)的主要問題；

（二）核心網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全防護設(shè)施、應(yīng)用軟件等系統(tǒng)關(guān)鍵部分發(fā)生變更，可能出現(xiàn)的安全隱患；

（三）新的信息技術(shù)可能對系統(tǒng)安全造成的影響。

第十六條（測評機構(gòu)的保密義務(wù)）

測評機構(gòu)對公共信息系統(tǒng)安全測評過程中取得的技術(shù)數(shù)據(jù)、業(yè)務(wù)資料等信息負有保密義務(wù)，不得以任何方式將相關(guān)信息提供給第三方。

第十七條（測評機構(gòu)的行為禁止）

禁止測評機構(gòu)從事下列活動：

（一）信息安全產(chǎn)品開發(fā)、營銷和信息系統(tǒng)集成活動；

（二）限定公共管理機構(gòu)、公共服務(wù)單位購買、使用其指定的信息安全產(chǎn)品；

（三）其他可能影響測評客觀、公正的活動。

第十八條（未進行測評或者整改的處理）

公共管理機構(gòu)、公共服務(wù)單位未按照本辦法的規(guī)定開展公共信息系統(tǒng)安全測評或者采取安全整改措施的，由市經(jīng)濟信息化委或者相關(guān)主管部門責令其改正；因未開展公共信息系統(tǒng)安全測評或者采取安全整改措施，導致系統(tǒng)發(fā)生安全故障的，依法追究有關(guān)負責人的行政責任。

第十九條（對測評機構(gòu)違法行為的處理）

對測評機構(gòu)違反本辦法的行為，由市經(jīng)濟信息化委按照下列規(guī)定進行處理：

（一）違反本辦法第十四條規(guī)定，未報告公共信息系統(tǒng)安全測評情況或者重大安全問題的，責令改正，并處1萬元以下罰款；

（二）違反本辦法第十六條規(guī)定，向第三方提供公共信息系統(tǒng)安全測評相關(guān)信息的，或者違反本辦法第十七條規(guī)定，從事可能影響測評客觀、公正的活動的，責令改正，并處3萬元以下罰款。

第二十條（施行日期）

本辦法自2006年7月1日起施行。

第五篇：信息安全管理組織機構(gòu)和人員安全管理辦法

信息安全管理組織機構(gòu)和人員安全管理辦法

第一章 總則

第1條 為加強本公司信息安全管理工作，保障網(wǎng)絡(luò)與信息系統(tǒng)的正常運行，依據(jù)有關(guān)法律、法規(guī)及信息安全標準，特制定本辦法。第2條 本辦法適用于本公司的信息安全組織機構(gòu)和人員職責的管理。第二章 信息安全領(lǐng)導小組

第1條 公司成立信息安全領(lǐng)導小組。領(lǐng)導小組是信息安全的最高決策機構(gòu)，下設(shè)辦公室掛靠在公司技術(shù)部，負責信息安全領(lǐng)導小組的日常事務(wù)。

第2條 信息安全領(lǐng)導小組下設(shè)兩個工作組：

信息安全工作組 應(yīng)急處理工作組

第3條 信息安全領(lǐng)導小組的職責主要包括：

根據(jù)國家和行業(yè)有關(guān)信息安全的政策、法律和法規(guī)，批準公司信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標準；

確定公司信息安全各有關(guān)部門工作職責，指導、監(jiān)督信息安全工作。

第三章 信息安全工作組

第1條 信息安全工作組組長由公司技術(shù)部的負責人擔任。第2條 信息安全工作組的主要職責包括：

貫徹執(zhí)行公司信息安全領(lǐng)導小組的決議，協(xié)調(diào)和規(guī)范公司信息安全工作； 根據(jù)信息安全領(lǐng)導小組的工作部署，對信息安全工作進行具體安排、落實；

組織對重大的信息安全工作制度和技術(shù)操作策略進行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；

負責協(xié)調(diào)、督促各職能部門和有關(guān)單位的信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行；

組織信息安全工作檢查，分析信息安全總體狀況，提出分析報告和安全風險的防范對策；

負責接受各單位的緊急信息安全事件報告，組織進行事件調(diào)查，分析原因、涉及范圍，并評估安全事件的嚴重程度，提出信息安全事件防范措施；

及時向信息安全工作領(lǐng)導小組和上級有關(guān)部門、單位報告信息安全事件。跟蹤先進的信息安全技術(shù)，組織信息安全知識的培訓和宣傳工作。

第四章 應(yīng)急處理工作組

第1條 應(yīng)急處理工作組組長由公司技術(shù)部的主要負責人擔任。第2條 應(yīng)急處理工作組的主要職責包括：

審定公司網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案； 決定相應(yīng)應(yīng)急預(yù)案的啟動，負責現(xiàn)場指揮，并組織相關(guān)人員排除故障，恢復系統(tǒng)；

每年組織對信息安全應(yīng)急策略和應(yīng)急預(yù)案進行測試和演練。第五章 信息安全人員基本要求 第1條 信息安全管理人員和專（兼）職信息安全技術(shù)人員應(yīng)當政治可靠、業(yè)務(wù)素質(zhì)高、遵紀守法、恪盡職守。

第2條 信息安全管理人員及專職和兼職信息安全技術(shù)人員應(yīng)有計算機專業(yè)工作三年以上經(jīng)歷，具備?？埔陨蠈W歷。

第3條 違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全管理與技術(shù)工作。第六章 信息安全人員管理

第1條 信息安全人員的配備和變更情況，應(yīng)向總經(jīng)理報告、備案。第2條 信息安全人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。

第七章 信息安全人員職責范圍

第1條 信息安全人員應(yīng)履行以下職責：

負責信息安全管理的日常工作；

開展信息安全檢查工作，對要害崗位人員安全工作進行指導和監(jiān)督；

負責維護和審查有關(guān)安全審計記錄，及時發(fā)現(xiàn)存在問題，提出安全風險防范對策；

開展信息安全知識的培訓和宣傳工作；

監(jiān)控信息安全總體狀況，提出信息安全分析報告；

及時向信息安全工作領(lǐng)導小組和有關(guān)部門、單位報告信息安全事件。第2條 信息安全人員在行使職責時，確因工作需要，經(jīng)批準，可了解涉及經(jīng)營與管理有關(guān)的信息系統(tǒng)的機密信息。

第3條 信息安全人員發(fā)現(xiàn)本單位重大信息安全隱患，有權(quán)向公司總經(jīng)理報告。

第4條 信息安全人員發(fā)現(xiàn)信息系統(tǒng)要害崗位人員使用不當，應(yīng)及時建議公司進行調(diào)整。

第5條 信息安全人員必須嚴格遵守國家有關(guān)法律、法規(guī)和公司有關(guān)規(guī)章制度，嚴守公司商業(yè)秘密。第八章 要害崗位人員管理

第1條 信息系統(tǒng)要害崗位人員，是指與重要信息系統(tǒng)直接相關(guān)的系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、重要應(yīng)用開發(fā)人員、系統(tǒng)維護人員、重要業(yè)務(wù)操作人員等崗位人員。

第2條 重要信息系統(tǒng)，是指涉及公司生產(chǎn)、建設(shè)與經(jīng)營、管理等核心業(yè)務(wù)且有保密要求的信息系統(tǒng)。

第3條 要害崗位人員上崗前必須經(jīng)單位人事部門進行政治素質(zhì)審查，技術(shù)部門進行業(yè)務(wù)技能考核，工作經(jīng)歷和工作經(jīng)驗考查等，合格者方可上崗。

第4條 要害崗位人員有責任保護信息系統(tǒng)的秘密，并以簽署保密協(xié)議的方式作出安全承諾。

第5條 要害崗位人員上崗必須實行“權(quán)限分散、不得交叉覆蓋”的原則。系統(tǒng)管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)開發(fā)人員、系統(tǒng)維護人員不得兼任業(yè)務(wù)操作員；系統(tǒng)開發(fā)人員原則上不應(yīng)兼任系統(tǒng)管理員。第6條 對要害崗位人員應(yīng)實行定期考查制度，要害崗位人員應(yīng)定期接受安全培訓，加強自身安全意識和風險防范意識。

第7條 要害崗位人員調(diào)離崗位，必須嚴格辦理調(diào)離手續(xù)，承諾其調(diào)離后的保密義務(wù)。涉及公司業(yè)務(wù)保密信息的要害崗位人員調(diào)離單位，必須進行離崗審計，在規(guī)定的脫密期后，方可調(diào)離。

第8條 要害崗位人員離崗后，必須即刻更換操作密碼或注銷用戶。第九章 要害崗位安全責任

第1條 系統(tǒng)管理員安全責任

負責系統(tǒng)的運行管理，實施系統(tǒng)安全運行細則； 嚴格用戶權(quán)限管理，維護系統(tǒng)安全正常運行；

認真記錄系統(tǒng)安全事項，及時向信息安全人員報告安全事件； 對進行系統(tǒng)操作的其他人員予以安全監(jiān)督。第2條 網(wǎng)絡(luò)管理員安全責任

負責網(wǎng)絡(luò)的運行管理，實施網(wǎng)絡(luò)安全策略和安全運行細則； 安全配置網(wǎng)絡(luò)參數(shù)，嚴格控制網(wǎng)絡(luò)用戶訪問權(quán)限，維護網(wǎng)絡(luò)安全正常運行；

監(jiān)控網(wǎng)絡(luò)關(guān)鍵設(shè)備、網(wǎng)絡(luò)端口、網(wǎng)絡(luò)物理線路，防范黑客入侵，及時向信息安全人員報告安全事件；

對操作網(wǎng)絡(luò)管理功能的其他人員進行安全監(jiān)督。第3條 系統(tǒng)開發(fā)員安全責任

系統(tǒng)開發(fā)建設(shè)中，應(yīng)嚴格執(zhí)行系統(tǒng)安全策略，保證系統(tǒng)安全功能的準確實現(xiàn)； 系統(tǒng)投產(chǎn)運行前，應(yīng)完整移交系統(tǒng)源代碼和相關(guān)涉密資料； 不得對系統(tǒng)設(shè)置“后門”； 對系統(tǒng)核心技術(shù)保密。第4條 系統(tǒng)維護員安全責任

負責系統(tǒng)維護，及時解除系統(tǒng)故障，確保系統(tǒng)正常運行； 不得擅自改變系統(tǒng)功能；

不得安裝與系統(tǒng)無關(guān)的其他計算機程序；

維護過程中，發(fā)現(xiàn)安全漏洞應(yīng)及時報告信息安全人員。第5條 業(yè)務(wù)操作員安全責任

嚴格執(zhí)行系統(tǒng)操作規(guī)程和運行安全管理制度； 不得向他人提供自己的操作密碼； 及時向系統(tǒng)管理員報告系統(tǒng)各種異常事件。

第6條 各要害崗位人員必須嚴格遵守保密法規(guī)和有關(guān)信息安全管理規(guī)定。

第十章 第三方人員管理

第1條 第三方人員包括軟件開發(fā)商，硬件供應(yīng)商，系統(tǒng)集成商，設(shè)備維護商和服務(wù)提供商，以及實習學生和臨時工作人員。第2條 應(yīng)對第三方人員的物理訪問和邏輯訪問實施訪問控制，根據(jù)其在系統(tǒng)中完成工作的時間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。

第3條 第三方人員的現(xiàn)場工作或遠程維護工作內(nèi)容應(yīng)在合同中明確規(guī)定，如工作涉及機密或秘密信息內(nèi)容，應(yīng)要求其簽署保密協(xié)議。第4條 一般情況下第三方人員的現(xiàn)場工作，如數(shù)據(jù)庫、系統(tǒng)、漏洞掃描、入侵檢測、白客滲透以及其他軟件的安裝等，不許接入自帶的設(shè)備。

第5條 第三方人員的現(xiàn)場工作應(yīng)在本單位信息部門有關(guān)人員的陪同和監(jiān)督下完成。第三方人員自帶設(shè)備接入信息系統(tǒng)應(yīng)得到特別授權(quán)，其操作應(yīng)受到審計。

第6條 第三方人員工作結(jié)束后，應(yīng)及時清除有關(guān)賬戶、過程記錄等信息。

第十一章 培訓與教育

第1條 信息安全人員應(yīng)定期參加下列信息安全知識和技能的培訓：

信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓； 信息安全基本知識的培訓； 信息安全專門技能的培訓。

信息安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。

第3條 應(yīng)對所有使用計算機的人員定期進行基本的信息安全知識和技能的培訓，并應(yīng)注意培養(yǎng)信息安全意識。第十二章 附則

第1條 本辦法由公司人力行政部負責解釋。第2條 本辦法自發(fā)布之日起施行。

陜西溢誠金融服務(wù)股份有限公司

2017年7月1日