第一条 本办法适用于网络安全管理人员的岗位配置、录用及调(离)岗、授权、安全教育培训和第三方人员的管理。依据《中华人民共和国网络安全法》等法规以及《丽水学院数据安全和个人信息保护管理办法》等精神,制定本办法。
第二条 为保障信息系统的正常运行,须设置安全管理员、系统管理员、网络管理员、机房管理员、安全审计员和信息审查员岗位,并明确各岗位职责。其中,系统管理员不能兼任安全审计员。
第三条 权限、职能不同的岗位必须分离,避免权责不清、责任不明确的现象发生。
第四条 重要岗位实行角色备份,在合理设置工作岗位、完善工作职责的基础上,相近岗位之间实行顶岗或互为备岗制,以便能及时处理紧急任务。
第五条 网络安全管理人员的录用依据丽水学院相关人才招聘政策统一招调,关键岗位人员必须从内部人员中选拔。
第六条 相关部门对应聘人的身份、背景、专业资格和资质等进行审查,涉及高敏感性信息或担负重要岗位的,应进行严格政审。
第七条 信息系统相关岗位均要签署安全保密责任书。
第八条 网络安全管理人员调离时,必须归还钥匙、软硬件设备及文档资料等资产,并办理详尽的交接手续。
第九条 网络安全管理人员调离时,必须终止其所有的访问权限,涉及相关信息系统账号、口令时,须采取更换密码或冻结账号的措施,避免直接删除账号。
第十条 对未办理正常交接手续离岗的人员,及时进行信息安全风险评估并由专人跟进处理,保证信息系统的安全和业务连续性。
第十一条 与上级信息安全管理部门、信息系统服务商和宽带提供商保持适度联系,确保在发生信息安全事故和查处危害内部信息安全的违法犯罪行为时,能够得到及时响应和必要帮助。
第十二条 账号密码授权管理参照《丽水学院数据安全和个人信息保护管理办法》执行。
第十三条 各岗位人员必须清楚自己的安全职责,了解各自工作职能范围和责任义务。
第十四条 各岗位人员要积极参与信息安全交流和培训,提升信息安全意识和专业水平。
第十五条 根据各岗位的业务应用、安全意识和保密意识需求制定培训计划,定期组织开展安全教育和培训。培训具体内容和培训结果以及参加培训人员的记录,在培训结束后须整理归档。
第十六条 对各岗位人员的安全理论知识和安全技能水平须定期考察。
第十七条 为加强与第三方人员(信息安全公司、产品供应商、业界专家、安全组织等)的沟通与合作或应急响应,应建立详细的外联单位联系表(包括外联单位的名称、联系人、地址、联系方式等)。
第十八条 第三方人员对敏感或涉密信息进行访问前,必须签订正式网络安全与保密责任承诺书(附件1);保密协议中明确第三方人员的安全责任、必须遵守的安全要求以及违反要求的处罚条款,对其允许访问的区域、系统、设备、信息等内容应有明确的规定。
第十九条 业务部门系统管理员与第三方人员共同协定现场工作规范并按规范实施,或全程陪同以降低安全风险。
第二十条 业务部门系统管理员在第三方人员访问结束后,及时收回相关物品、资料并且终止其访问权限。
第二十一条 业务部门系统管理员须具备良好的安全意识和风险识别能力。
第二十二条 第三方信息安全合作公司应具有公安、保密、密码管理等部门的认证资质。
第二十三条 本办法由丽水学院网络安全工作领导小组办公室负责解释。
第二十四条 本办法自发布之日起施行。