信息人员安全管理制度

信息人员安全管理制度（共8篇）

篇1：信息人员安全管理制度

信息人员安全管理制度

第一条为规范本单位计算机信息安全计算机运维，保证中心内部计算机与网络信息安全，适应信息安全等方面的需要阻止计算机网络失密泄密事件发生，特制定本制度。

第二条计算机运维人员离岗离职时，办公室应即时取消其计算机涉密信息系统访问授权。计算机运维人员离岗离职之后仍对其在任职期间接触、知悉的属于我中心或者虽属于第三方但本单位承诺或负有保密保密义务的秘密信息承担如同任职期间一样的保密义务和不擅自使用的义务，直至该秘密信息成为公开信息，而无论离职人员因何种原因离职。

第三条离职人员因职务上的需要所持有或保管的一切记录这本单位秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁盘、仪器以及其他任何形式的载体均归我中心所有，而无论这些秘密信息有无商业上的价值。

第四条离职人员应当于离职时或者于我中心提出请求时，返还全部属于我中心的财物包括记载着我中心秘密信息的一切载体。若记录着秘密信息的载体是由离职人员自备的则视为离职人员已同意将这些载体物的所有权转让给本单位。我中心应当在离职人员返还这些载体时，给予离职人员相当于载体本身价值的经济补偿，但秘密信息可以从载体上消除或复制出来时可以由我中心将信息复制到本单位享有所有权的其他载体上，并把原有载体上的秘密信息消除。此种情

况下离职人员无须将载体返还，我中心也无须给予离职人员经济补偿。

第五条离职人员离职时，应将计算机运维时使用的电脑、U盘及其他一切存储设备中关于计算机运维相关或与我中心会有利益关系的信息、文件等内容交接给本领导，不得在离职后以任何形式带走相关信息。

篇2：信息人员安全管理制度

信息化人员安全管理制度

第一章总则

第一条为规范xxxx的人员信息安全管理，提高人员信息安全意识，承担并切实履行各岗位相应的信息安全职责，特制定本规定。

第二条

本制度适用于xxxx人员信息安全管理的相关活动。第三条

本制度中所指“内部人员”包括编制内的正式人员，借调、轮岗、派遣的内部人员，以及从事常设岗位的非编制人员。“外部人员”是为指xxxx提供服务的供应商或合作方的临时人员，以及其他临时使用的非编制人员。

第二章职责与权限

第四条 xxxx信息科为信息化人员安全管理主管部门，xxxx信息科为本单位信息化人员安全管理主管部门。并应负责以下工作：

（一）负责本规定的制订和修订更新。

（二）负责组织开展本单位的人员信息安全培训。

（三）在日常工作中对各部门人员信息安全管理要求的执行情况进行监督检查。

（四）负责所有人员信息系统的准入离岗审批管理。第五条 xxxx为xxxx人员主管部门，xxxx人事科为本单位人员管理部门。

（一）负责参与本规定的制定和更新，并协助信息科做好

信息系统人员安全管理。

（二）协助信息科在人员管理的全过程中应落实对信息安全管理的各项要求，包括对人员的背景调查、签订保密协议、技术考核、离职审核、考核等。

第六条各部门负责人为本部门人员信息安全管理的责任人。

（一）落实人员信息安全管理制度的各项要求。

（二）确保本部门人员参加各项信息安全培训。

（三）负责本部门人员信息系统准入和离岗的审核。

第三章人员准入

第七条人员上岗前，信息科应会同人事部门根据信息安全的要求负责对其人员身份、背景和专业资格等进行审查，签订保密协议。对于重要关键岗位信息科应对其所具有的技术能力进行考核。

第八条上岗人员明确其承担信息安全责任。内部人员上岗前应安排参加信息安全培训，包括信息安全制度的学习、信息安全意识教育等相关内容。外部人员上岗前可根据工作需要，接受信息安全教育或培训。

第九条人员上岗前应填写《xxxx信息系统人员调整申请表》，外部人员由其所在的部门责任人填写，填写包括工作内容、岗位、权限等内容。信息科审核通过后发放信息化设备，开通网络、账号、权限、邮箱等。

第十条外部人员访问受控区域（如机房、办公场所、系统、设备、信息等）前先提出书面申请，对申请人、申请原因、申请访问的范围、申请时间等进行说明，将申请书提交有关部门负责人进行审批并在申请书上签字确认。

第十一条人员所在部门应依照该人员岗位情况签署的《保密承诺书》，明确告知其在在职和离职后的信息安全保密责任。承诺内容包括保密范围、违约责任、协议的有效期限和责任人签字等。

第四章人员在职管理

第十二条人员在职期间，必须遵守xxxx信息安全相关管理规定，履行保密协议所规定的信息安全职责，保证敏感重要的数据文件不得与外界进行传输，发现信息安全事件应及时向本单位信息科报告，并配合相关部门和人员进行事件的处理。

第十三条应保护好自己的帐号密码、数字证书、信息资料等，不得泄露或借他人使用；禁止多人共用账号，信息科定期进行权限复核。

第十四条不应在有信息系统敏感信息的办公区域接待来访人员，应统一在接待区域接待来访人员。来访人员以及外部人员在访问控制区域（如机房等）前得到相关部门领导的授权和审批，批准后由专人全程陪同或监督，并登记备案。

第十五条不在办公计算机前时，应对桌面进行锁屏操作，并设置密码；与信息系统相关的敏感信息和资料应放在文件柜或抽屉中

妥善保存，避免信息的泄露和窃取。

第十六条人员岗位调整时，人员所在部门应及时与本单位信息科联系，将人员岗位调整所涉及的信息系统内的账号、权限、邮箱以及信息化设备等变化情况及时报信息科。信息科按照新岗位要求进行调整，并对原岗位的账号、权限等进行清理。

第五章人员离岗

第十七条人员离职时，离职人员应填写《xxxx信息系统人员调整申请表》。信息科及时清理相关账户和访问权限。

第十八条人员离职时应列出信息资产交接清单，清单内容应包括其使用的账号名、密码、权限、各种身份证件、钥匙等以及其他相关信息资料、资产和软硬件设备，信息科和归还资产的接收部门进行审核和确认。

第六章培训与考核

第十九条信息科负责组织信息化相关的培训和考核工作，智慧办进行支持和协助。

第二十条为保证人员能够充分履行信息安全职责，应每年组织开展教育培训和考核工作，考核内容信息安全技能、安全认知、等级保护相关内容等，并由信息科会同智慧办对考核内容、考核结果等进行记录和通报。

第二十一条对发现的违反违背安全策略和规定的人员，视情节轻重，报局领导审核批准后，给予通报批评及必要的经济处罚以

及相应的责任追究。

第七章附则

第二十二条本规定由xxxx负责制定、解释和修改。第二十三条本规定自颁布之日起实行。

篇3：信息人员安全管理制度

安全意识的提高、安全技能的培训、人力资源管理措施,这些是建立成功的信息安全体系的基础。提高人员安全意识是一个复杂且漫长的过程,需要有计划地系统地建立一套针对组织机构特点的人员信息安全意识培养模式,从而实现将信息安全的“最大威胁”转变为“最可靠防线”,这样才能真正调动组织中实现长治久安的内在动力。

1 人员信息安全意识的重要性

2011年为美国政府和500强企业提供信息安全技术服务的HBGary Federal公司几乎一夜间被黑客攻击彻底击垮。攻陷这家知名安全公司防卫森严的网络堡垒,并未使用特殊的高深技术,而是其首席执行官和他领导的管理层在所有的账户中使用相同的密码。黑客只是通过攻击其企业网站所获得的外围密码,就开启了几乎所有的网络账户。这一轰动全球信息安全界的邮件泄露案,为所有人敲响警钟,“人”已经成为风险管理中最为脆弱的环节,再强大的安全防护技术,也抵不上关键人员的一次低级错误。

因此,一个投入大量人力物力财力的高技术的可靠的信息系统没有可靠的人员保障,几乎是形同虚设。云时代保障信息安全的核心问题不是技术,而是人,不是部门职能,而是安全意识!许多机构或企业乃至政府部门门户大开的原因不是没有高价的安全技术,而是缺乏一道“人力防火墙”。保证人员的高可靠性高敏感性,只能依靠有计划的科学的持久的高效的信息安全意识的培养和教育。

2 信息安全意识教育的现状

2.1 欧美国家的信息安全意识培养模式

在美国,政府设立了许多项目以支持信息安全意识的培养。例如联邦计算机服务(FCS)项目包括研究联邦各机构内的信息安全职位、对联邦雇员提供培训和认证。服务奖学金(SFS)项目资助学生们的信息安全课程学习。中小学拓广项目旨在提高中小学生和教师对信息安全的认识。联邦范围内的意识培养项目主要面向联邦雇员进行信息安全意识教育,保证所有联邦雇员都了解信息安全威胁。

早期,欧洲委员会发起了称为“为了欧洲的IT安全”的安全意识行动,他们认为欧洲成员国的政府机构、公司和个人在电脑和网络防护方面的投入太少。希望对各国在网络和信息安全方面的政策加以比较,以加强欧盟政府机构间的对话,确定最佳措施,提高终端用户的安全防护意识。

2003年,欧盟理事会通过了建立欧洲网络信息安全文化的决议。短短4年之后,在此基础上又提出建立欧盟信息安全社会的战略。例如开展宣传活动,支持培训计划和提高人们对网络和信息安全问题的一般认识,宣传网络和信息安全知识,尤其是涉及到中小企业和最终用户;加快促成和安全有关的研究和开发,并促进其产生的成果的使用和普及;在与ENISA(欧洲网络信息安全局)合作下进行有效的信息交换,加强与国家间相关组织和机构之间的合作;鼓励国家计算机应急反应机构的不断进步;为服务提供者和网络运营者营造一个良好的环境,并确保安全服务和解决方案具有恢复能力并顺应客户的选择等等。

2009年,ENISA委托普华永道做的信息安全意识调查报告,帮助大家了解欧盟信息安全意识宣传的方法与途径。这份报告调查并分析了欧盟中的组织和政府是如何看待信息安全意识和评价其影响的,并推荐了一个提高安全意识的作法、有效性的测量、指标建立和案例研究分析。

目前,欧盟正在建立一个共同的信息和预警系统,该项目使个人用户和中小企业通过欧洲信息共享和预警系统,提高安全意识。这两个群体是容易攻击的目标,并且安全问题的认知度低和缺乏所需的技术技能,因此,通过这一平台,提供及时的可行的最佳信息和警告。它将提高家庭用户和中小企业信息安全意识和技术的能力,使相关利益者进行更好的合作,并形成在欧洲范围内更好的信息安全形势。

2.2 国内——漏洞频现,人员安全意识堪忧

近期,一份《2010年中国企业员工信息安全意识调查报告》问世,调查的数据表明,我国目前各组织机构内部信息安全管理状况令人担忧,安全管理信息分散、文档版本凌乱、安全管理制度简单粗暴、新员工无从下手、离职员工信息泄露等等。

各行业企业在建设信息安全管理体系时,提高企业全体人员的信息安全意识目前还面临重重困难,虽然提高员工信息安全意识是各种信息安全管理体系标准中共同的要求,但在具体实施中信息安全意识又是一个最容易被忽视的环节。调查结果还显示,在受访者信息安全意识普遍薄弱的情况下,提高信息安全意识的培训和宣贯等工作却做的很少。接受定期培训的受访者仅占15.8%。同时,受访者在信息安全隐患的认知和有效保护信息安全面临的最大障碍的认知方面,42.8%的受访者认为所有的安全隐患中,个人信息安全意识不足是最大的安全隐患,然后依次是没有安全制度或制度未落实、投入或人员不足或缺乏信息安全知识培训、安全产品功能不足和其他。而对于目前有效保护信息安全面临的最大的障碍,受访者认为最大的障碍是普遍缺乏信息安全意识,其他依次是管理水平落后、技术不过关、法律不健全、信息安全人才不够和其他障碍。

就我国而言,很多组织机构对安全的认识已经在逐步提高,不少单位都花重金购买了大量网络安全设备和软件。然而,目前我们在人员安全意识,特别是提高全员信息安全意识和知识方面还很不够。

3 信息安全意识教育方式

欧盟理事会关于建立欧洲网络信息安全文化的决议给了我们深刻的启示。这是建立信息安全社会战略的基础。建立信息安全文化就意味着要每一个参与者都是保证安全的重要执行者,参与者应该与他们所起的作用相适应,为增强信息系统和网络的安全,要了解相关的安全风险和防范措施,并承担责任和采取措施。为了实现这一目标,利用各种宣传和培训手段,在全民中普及信息安全意识。

对于每一个组织机构,信息安全意识培训是信息安全管理的重要内容,是提高人员安全意识和事故风险管理技能的主要手段。安全意识培训是一个复杂的多因素、多变量、多层次的活动过程,它不单是信息安全领域研究的内容,甚至涉及社会工程学以及心理学等学科。因此,构建一个专业的、人性化的、高效的信息安全培养体系对于提高人员信息安全意识起到决定性的作用。通过生动幽默、随时随地的多媒体形式,在单位内部不断潜移默化地培养人员的信息安全意识,让其成为组织信息安全政策的忠实执行者。

3.1 制定计划

从计划阶段开始,就要从以下方面搜集和制定计划书:信息安全政策、整体的策略、可供参考的实际案件、风险评估、预算资金、所要达到的目标以及相关的法律文件。在计划阶段,关键的因素在于对制定计划的执行力、涉及面是否涵盖整个行业范畴,调查的样本是否有足够的人力物力处理好文化上的差异。成功的信息安全意识培训计划具备的三个要素:

1)需求分析

管理者应当明确员工需要学习哪些方面的内容。应让使用者了解与工作相关的安全条例。许多执行标准中都会给出一些建议学习的主题,例如:间谍软件、病毒传播、密码强度等。

2)因人施教

管理者和员工都应根据自己的职位,接受相应的训练。并且应定期向他们提供最新的安全条例和操作规范信息。训练应着眼于如何在日常工作中实施安全操作。

3)持续更新

安全意识培训课程的内容要定期复查并及时修订。同时,还应定期检查培训课程是否对受训者起到了良好的效果。相关的安全条例如有变更,应及时在课程内容中体现出来。

3.2 提升信息安全意识的主要方法

人类头脑中形成的观念和意识支配着人的行为,观念和意识的形成涉及很多因素。要改变人们的不良观念和意识首先要经过长时间的努力,其次是不同的意识活动要通过不同的培训方式来纠正。它需要遵从的原则:保持在一个持续的基础上;使用灵活广泛的交流方式;捕捉目标受众的注意力;更具创意和乐趣。主要的几种活动方式:

1)通过员工手册或者颁布通告为组织或者政府机构制定信息安全相关的政策。

2)建立独立网站指导员工如何处理信息安全问题。

3)课堂培训。

4)使用基于计算机的在线培训。

根据欧盟安全意识调查报告的统计数字,每种教育方式的有效性如图1所示。

3.3 评估提升信息安全意识所用到的方法和途径

对于大多数组织来讲这是一个具有挑战性的领域,每个组织都需要找到适当的机制和技术指标,来衡量保持成本效益和提高信息安全意识之间的平衡,来判断信息安全宣传活动的有效性。这些措施包括定性和定量的方法,一般情况下主要有四个方法,各有不同的性能指标。

3.3.1 过程改进

这种方法是在培训方案进行当中评估其有效性。过程改进措施的优点是它们很容易定义和收集,缺点是通常人们只选择简单方便的过程执行。可能的绩效指标包括:

1)安全准则的发展程度。例如,人们可以评估安全准则或技术平台涉及的主要安全风险。

2)传播方式的指导性活动进行的程度。典型的指标是散发传单的数量,Intranet站点或接受培训的访问。

3)认识过程中的效率。指标是交付成本,即培训所用的时间与人员开支的比值。

4)相关的宣传材料。指标是其更新的频率。

5)部署安全的有效性指导方针。调查询问工作人员是否了解安全准则和执行程序。

3.3.2 抗攻击能力

这种方法侧重于评估工作人员对于潜在攻击的抵抗力。这种措施的好处是,为一些工作人员的安全意识的实际状态提供直接证据,主要缺点是,在许多潜在攻击的情况下,对任何个人的评估都是一个独立的个案,模拟试验相对昂贵。基于风险的方法可以帮助克服这些问题。可能的绩效指标包括:

1)工作人员识别潜在攻击的能力。这通常需要工作人员解答具体问题或基于计算机的测试。

2)工作人员被攻击的程度。如使用隐含可执行文件的电子邮件的模拟攻击,或模拟陌生人打电话询问工作人员的密码等。

3.3.3 效率和效益

这种方法侧重于对于组织内的安全事故的实际感受。可能的性能指标包括:

1)由人类活动所产生的安全事故的严重程度。典型的指标包括这些事件的数量和成本,一些组织还使用由人类活动所产生的安全事件的比例。

2)因人类行为导致的停机时间的程度。

3)人类行为导致组织内最严重的事件的程度。由严重事故提供的数据分析其产生的根本原因。

3.3.4 内部保护

这类方法是关注个人保护以防止潜在的威胁。个人的安全意识决定了其安全的行为。这些措施的优点是,它们提供了工作人员行为的直接证据,避免假设或推断,此外反馈的数据可直接提供审计。缺点是增加了扫描工具或审计的投资。可能的绩效指标包括:

1)个人将安全纳入系统的开发和使用的程度。

2)个人保护他们的数据文件的程度。

3)个人使用的系统被感染病毒或恶意软件入侵的程度。通常情况下,防病毒软件可以提供此类统计资料。

4)个人在系统中保留不适当资料(如色情)或盗版软件的程度。使用专用扫描工具可以快速测量这类资料。

以上介绍的四种方法及指标,可以混合使用也可以单独使用。对于任何一个机构或组织,工作范畴和性质都有其独特性,因此,在建立评估机制和技术指标时同样没有“一刀切”的解决方案,只有根据自己独特的组织特征来建立效绩指标,才能真正反映本单位培训方案的实际效绩。制定过程中可以使用其他单位的成功经验,但其最终的结果必须是适合本单位的独特的效绩指标。平衡的关键绩效指标和度量的设置,可以使培训方案具有战略眼光和提高其有效性。只有具备这种洞察力的组织,才能不断完善自己的计划,从而使所有的培训活动达到的真正有利于本组织发展的目的。

已经证明下列衡量安全意识培训活动有效性的效绩指标是有效的,如图2所示。

4 结论

在信息安全的所有相关因素中,人是最活跃的因素,人的行为是信息安全保障最主要的方面。人既可以是最大的潜在威胁,也可以是最可靠的安全防线。保障信息安全决不是政府和个别企业的事情,而是关乎国计民生的大事,是全社会都应当重视的问题。我们不能仅仅把信息安全视为技术层面的概念,而应当把它深化到全民意识中去,在全社会普及“信息安全文化”。对于组织机构在提高员工信息安全意识时,需要系统地、体系化地进行学习,只有通过包括知识共享、安全培训、安全策略等多方面的,持续的、系统的、专业的信息安全管理体系建设,才能够在组织内部真正搭建起一道高枕无忧的“人力防火墙”。

摘要：该文通过介绍欧美国家以及我国近年来人员信息安全意识教育的现状,分析先进国家对于人员教育的成功经验及做法,对于涉及信息安全领域的组织机构建立科学有效的信息安全意识培养模式提供可参考的方法和途径。

关键词：信息安全,意识,教育

参考文献

[1]孙强,陈伟,王东红.信息安全管理[M].北京:清华大学出版社,2004.

[2]何泾沙,韦潜,张兴.中美信息安全意识培养模式的比较研究[J].信息安全网络,2011(6).

篇4：离退休人员信息化管理实践

关键词：离退休；信息化；管理

随着我国逐步进入老龄化，电网企业离退休人员快速增长和普遍进入“双高”期，“空巢”老人逐年增多，迫切需要科学化、精细化的管理和服务模式。运用信息化手段实现离退休人员标准化、规范化服务管理，使广大离退休人员得到更加具体、全面、细致入微的服务，是建设和谐企业、和谐社会的重要工作之一。

新形势下，离退休人员信息化管理工作的重要性愈发凸显。国网宁夏电力公司的离退休人员信息化管理系统主要分为管理层、应用层，具有统一的数据库平台、方便的多用途查询功能、完善的报表系统。根据企业信息化建设情况，进行具体分析，逐级实施。

在现有数据网络的基础上，实现投资少、实用性强的适应新时期管理模式的信息管理。

需求分析。电网企业离退休管理人员长期结构性缺员，管理的离退休人数、范围在逐年增加。离退休人员基本信息未能被全面掌握，不能及时为管理工作提供支持。离退休人员信息统计工作人工处理数据量大，造成工作效率低和错误率高等问题，人为造成数据的不一致。缺乏离退休人员信息动态分析、统计。没有建立可靠实用的信息库系统，不能满足新时期离退休人员管理需要。

技术方案。离退休人员管理信息系统由信息管理系统、智能居家系统组成。信息管理系统包括离退休人员基本信息、组织机构、人员管理等功能模块。系统用户涵盖企业管理层级、下属单位离退休管理子系统。

组织机构模块：包括对企业所属单位离退休管理部门、离退休工作领导小组、离退休党支部、老年大学等的管理，通过信息记录，自动生成统计报表。

人员管理模块：建立基础信息，进行分类管理，包括离休干部待遇管理、档案信息管理、提醒业务等。

计划管理模块：包括离退休年度工作计划、季度计划、月度计划，所属单位的工作计划管理。

标准化建设模块：包括管理标准、规章制度、老年大学标准、政策文件。

具备多用途查询功能，如新旧标准自动替换、查询等功能。

活动费用管理模块：包括年度费用计划、月度计划、使用情况汇总。

离退休党建模块：包括离退休党建情况、思想动态、支部人员、活动等。

医疗管理模块：包括年度离退休体检、健康档案管理等。

特殊群体模块：包括困难职工、特困人员、空巢家庭等情况统计管理。

老年大学管理模块：包括对日常教学管理，年度教学计划，教师、学员信息管理，满足离退休人员为社会服务的愿望。

根据离退休工作需要和本企业实际情况，分步进行实施。第一阶段主要进行数据库建设完善，建立基础库信息，进行智能居家急救一键呼叫功能建设，解决离退休人员生活困难问题。

第二阶段实现所有应用层功能，完善系统功能建设。

通过运用离退休人员信息化管理系统，可以实时从相关部门获取离退休人员的人事基本信息；通过数据转入可将其他系统的数据快速导入，保证数据的完整性、准确性。由于数据准确、完整，方便及时查询、获取有关信息，可以快速准确地产生报表，提高工作效率与质量。应用数据接口技术与“全国离退休干部信息管理系统”软件实现数據交互，减轻大量数据的录入工作，保证个人数据的完整、准确。及时准确地掌握各类信息，实现离退休人员管理系统数据的无缝连接，提高离退休人员整体信息的准确性和完整性。在数据管理基础上，通过信息整合，建立电网企业老年人才库信息，让老同志老有所为。

综上所述，离退休职工由于处于特殊时期，其身体、心理等各方面状况都不佳，需要相关部门给予高度的关注，除了要完善离退休职工管理制度体系之外，还要为老同志做好医疗卫生服务工作，加强对其思想上的教育和心理方面的疏导，保持他们身心愉悦，不会因思想落后而产生消极心理，鼓励老职工发挥群体的余热，为社会发展贡献力量，实现自身价值，也让离退休职工管理工作取得良好的效果。

参考文献：

[1]宋学田.倾情关爱情注温暖——记天津拖拉机制造有限公司退管会[J].天津社会保险，2012（01）.

[2]王雅军.如何做好离退休职工的管理工作[J].黑龙江科技信息，2011（36）.

[3]徐瑾.企业离退休职工管理方法和途径探讨[J].现代营销（学苑版），2011（07）.

[4]龙江.浅谈如何做好新时期企业的离退休管理工作[J].中国城市经济，2011（24）.

[5]李亚玲.做好企业离退休服务管理工作[J].东方企业文化，2011（21）.

篇5：信息人员安全管理制度

第一章总则

第一条为规范公司信息系统安全人员管理，保障公司信息安全，根据公司相关规章制度汇编整理，制订本制度。

第二条公司所有涉及信息系统安全人员（简称信息安全人员），适用本制度。

第二章录用与入职

第三条信息安全人员招聘、录用一般流程参考《人才引进与任用管理暂行办法》

第四条对拟录用信息安全人员应进行详细的背景调查，对其经历背景确认无误后才可办理录用手续。

第五条信息安全人员在签订《劳动合同》同时应签订《劳动合同补充协议》约定纪律、保密及其他方面条款。

第六条对信息安全人员进行入职培训时，应加强信息安全规章制度的教育培训，将制度掌握及执行情况纳入试用期考核。

第三章信息安全规范

第七条公司信息安全管理应严格遵照《信息安全管理责任制度》及《公司保密制度》执行。

第八条未经公司同意，信息安全人员不得复制公司资料，不得将公司机密资料向公众展示、发行，不得向第三方出售公司机密资料或产品。

第九条信息安全人员接受外部邀请进行演讲、交流或授课，应事先

征得公司批准，并就可能涉及的有关公司业务的重要内容征求领导意见。

第十条信息安全人员不得利用职务之便，以盗窃、欺诈、胁迫等不正当手段窃取公司的技术秘密或商业秘密、人事秘密、财务（税）秘密。未经公司许可，不得擅自允许第三方使用公司的技术成果。第十一条信息安全人员应对各种工作密码保密，不对外提供和泄露。严禁盗用他人密码。

第十二条信息安全人员在传阅文件时不得擅自扩大传阅范围，不得与无关人员或在公共场所谈论，不得擅自翻印、复制、抄袭或在公开发表的文章中引用。

第十三条需销毁的文件资料由综合办公室统一集中处理。

第十四条从事核心技术岗位的员工，如中途离开公司，自离开之日起两年之内，不得从事与本行业及本岗位相关的活动。

第十五条信息安全人员在公司工作中接触到公司的技术秘密、关键技术及其他机密信息的，在离职后不得向第三方泄漏其所熟知有关公司机密的信息。

第十六条信息安全人员时刻注意保密性。暂时离开办公桌时，一定要把正在办理的文件翻转过来，离开办公桌时一定要将印章及机密文件锁起来。工作中不得翻阅不属于自己的文件、复印件、报告等。第十七条如发现违反公司保密规定，造成或可能造成失密、泄密后果时，要及时向公司领导汇报并采取补救措施，对责任人必须严肃处理,后果严重时，公司将依法最追究其法律责任。

第十八条公司有权要求泄密员工赔偿相应的经济损失，公司有权选择按下列情形计算赔偿标准：

1、泄密员工及第三方的侵权行为给甲方造成的直接及间接经济损失。

2、泄密员工及其有侵权行为的第三方因使用甲方的技术成果而获取的全部收益。

第四章工作卡管理

第十九条对公司各类门禁卡的管理严格按照《员工作证件管理暂行规定》执行。

第二十条门禁卡的发放严格按照使用者的不同开放使用权限。第二十一条门禁卡仅限本人使用，不得外借他人使用：

（1）出入门禁卡仅限持卡者本人出入公司使用，不得外借他人使用，未经允许不得带无关人等进入公司。因他人冒用或带无关人等出入公司而造成公司或第三方损失的，持卡人应承担相应责任。

（2）机房门禁卡仅限有出入系统机房权限人持有使用，严禁借给他人使用，不得带领他人进入系统机房。因他人冒用或带领他人出入系统机房的，一律视作违纪行为，根据《员工违纪行为处罚管理暂行条例》给予相应处罚，如造成损失的，持卡人承担相应责任。第二十二条持卡人离开公司，需到人力资源管理部门办理门禁卡退卡手续。

第五章外来人员管理

第二十三条外来人员来访严格按照遵守公司各项规章制度。

第二十四条公司办公区域由保安人员24小时负责监控，尽职检查来往车辆及人员，实行进出登记制度；

第二十五条系统机房重地24小时有专业工程师值班，外人未经允许不得进入机房重地，进出必须登记，实行交接班制度，并做好记录。第二十六条与工作无关的物品不得带入机房重地，携带工作必需品进入机房必须登记，并接受检查。

第二十七条外来人员不得进入工作区域，参观、学习和办事者必须经领导批准，由接待人员安排接待。

第二十八条外部人员接触公司信息时，遵照《信息安全管理责任制度》执行。

第六章调动与离职

第二十九条信息安全人员内部调动至其他岗位时，在接到岗位调动通知后，应于规定的日期内依据调动程序办理好工作及资料的移交手续后才能前往新岗报到。

第三十条信息安全人员离职时，人力资源管理部门安排离职员工与指定同事进行工作移交，并填写《工作交接单》，所有移交工作须有详细的书面记录，确保资料移交全面、移交后的工作能够顺利进行。第三十一条离职人员持有公司所发工作证件的，应退还至人力资源管理部门。

第三十二条信息安全人员离职后应严格执行《劳动合同》及《劳动合同补充协议》所约定的保密条款。

第七章违纪处理

第三十三条对违反信息安全管理的行为视作违纪，处理办法详见《员工违纪处罚管理暂行条例》。

第三十四条

第三十五条

篇6：信息人员安全管理制度

第一章总则

第1条为加强本公司信息安全管理工作，保障网络与信息系统的正常运行，依据有关法律、法规及信息安全标准，特制定本办法。第2条本办法适用于本公司的信息安全组织机构和人员职责的管理。第二章信息安全领导小组

第1条公司成立信息安全领导小组。领导小组是信息安全的最高决策机构，下设办公室挂靠在公司技术部，负责信息安全领导小组的日常事务。

第2条信息安全领导小组下设两个工作组：

信息安全工作组应急处理工作组

第3条信息安全领导小组的职责主要包括：

根据国家和行业有关信息安全的政策、法律和法规，批准公司信息安全总体策略规划、管理规范和技术标准；

确定公司信息安全各有关部门工作职责，指导、监督信息安全工作。

第三章信息安全工作组

第1条信息安全工作组组长由公司技术部的负责人担任。第2条信息安全工作组的主要职责包括：

贯彻执行公司信息安全领导小组的决议，协调和规范公司信息安全工作；根据信息安全领导小组的工作部署，对信息安全工作进行具体安排、落实；

组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略规划，并监督执行；

负责协调、督促各职能部门和有关单位的信息安全工作，参与信息系统工程建设中的安全规划，监督安全措施的执行；

组织信息安全工作检查，分析信息安全总体状况，提出分析报告和安全风险的防范对策；

负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出信息安全事件防范措施；

及时向信息安全工作领导小组和上级有关部门、单位报告信息安全事件。跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工作。

第四章应急处理工作组

第1条应急处理工作组组长由公司技术部的主要负责人担任。第2条应急处理工作组的主要职责包括：

审定公司网络与信息系统的安全应急策略及应急预案；决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；

每年组织对信息安全应急策略和应急预案进行测试和演练。第五章信息安全人员基本要求第1条信息安全管理人员和专（兼）职信息安全技术人员应当政治可靠、业务素质高、遵纪守法、恪尽职守。

第2条信息安全管理人员及专职和兼职信息安全技术人员应有计算机专业工作三年以上经历，具备专科以上学历。

第3条违反国家法律、法规和行业规章受到处罚的人员，不得从事信息安全管理与技术工作。第六章信息安全人员管理

第1条信息安全人员的配备和变更情况，应向总经理报告、备案。第2条信息安全人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。

第七章信息安全人员职责范围

第1条信息安全人员应履行以下职责：

负责信息安全管理的日常工作；

开展信息安全检查工作，对要害岗位人员安全工作进行指导和监督；

负责维护和审查有关安全审计记录，及时发现存在问题，提出安全风险防范对策；

开展信息安全知识的培训和宣传工作；

监控信息安全总体状况，提出信息安全分析报告；

及时向信息安全工作领导小组和有关部门、单位报告信息安全事件。第2条信息安全人员在行使职责时，确因工作需要，经批准，可了解涉及经营与管理有关的信息系统的机密信息。

第3条信息安全人员发现本单位重大信息安全隐患，有权向公司总经理报告。

第4条信息安全人员发现信息系统要害岗位人员使用不当，应及时建议公司进行调整。

第5条信息安全人员必须严格遵守国家有关法律、法规和公司有关规章制度，严守公司商业秘密。第八章要害岗位人员管理

第1条信息系统要害岗位人员，是指与重要信息系统直接相关的系统管理人员、网络管理人员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。

第2条重要信息系统，是指涉及公司生产、建设与经营、管理等核心业务且有保密要求的信息系统。

第3条要害岗位人员上岗前必须经单位人事部门进行政治素质审查，技术部门进行业务技能考核，工作经历和工作经验考查等，合格者方可上岗。

第4条要害岗位人员有责任保护信息系统的秘密，并以签署保密协议的方式作出安全承诺。

第5条要害岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员；系统开发人员原则上不应兼任系统管理员。第6条对要害岗位人员应实行定期考查制度，要害岗位人员应定期接受安全培训，加强自身安全意识和风险防范意识。

第7条要害岗位人员调离岗位，必须严格办理调离手续，承诺其调离后的保密义务。涉及公司业务保密信息的要害岗位人员调离单位，必须进行离岗审计，在规定的脱密期后，方可调离。

第8条要害岗位人员离岗后，必须即刻更换操作密码或注销用户。第九章要害岗位安全责任

第1条系统管理员安全责任

负责系统的运行管理，实施系统安全运行细则；严格用户权限管理，维护系统安全正常运行；

认真记录系统安全事项，及时向信息安全人员报告安全事件；对进行系统操作的其他人员予以安全监督。第2条网络管理员安全责任

负责网络的运行管理，实施网络安全策略和安全运行细则；安全配置网络参数，严格控制网络用户访问权限，维护网络安全正常运行；

监控网络关键设备、网络端口、网络物理线路，防范黑客入侵，及时向信息安全人员报告安全事件；

对操作网络管理功能的其他人员进行安全监督。第3条系统开发员安全责任

系统开发建设中，应严格执行系统安全策略，保证系统安全功能的准确实现；系统投产运行前，应完整移交系统源代码和相关涉密资料；不得对系统设置“后门”；对系统核心技术保密。第4条系统维护员安全责任

负责系统维护，及时解除系统故障，确保系统正常运行；不得擅自改变系统功能；

不得安装与系统无关的其他计算机程序；

维护过程中，发现安全漏洞应及时报告信息安全人员。第5条业务操作员安全责任

严格执行系统操作规程和运行安全管理制度；不得向他人提供自己的操作密码；及时向系统管理员报告系统各种异常事件。

第6条各要害岗位人员必须严格遵守保密法规和有关信息安全管理规定。

第十章第三方人员管理

第1条第三方人员包括软件开发商，硬件供应商，系统集成商，设备维护商和服务提供商，以及实习学生和临时工作人员。第2条应对第三方人员的物理访问和逻辑访问实施访问控制，根据其在系统中完成工作的时间、性质、范围、内容等方面的需要给予最低授权。

第3条第三方人员的现场工作或远程维护工作内容应在合同中明确规定，如工作涉及机密或秘密信息内容，应要求其签署保密协议。第4条一般情况下第三方人员的现场工作，如数据库、系统、漏洞扫描、入侵检测、白客渗透以及其他软件的安装等，不许接入自带的设备。

第5条第三方人员的现场工作应在本单位信息部门有关人员的陪同和监督下完成。第三方人员自带设备接入信息系统应得到特别授权，其操作应受到审计。

第6条第三方人员工作结束后，应及时清除有关账户、过程记录等信息。

第十一章培训与教育

第1条信息安全人员应定期参加下列信息安全知识和技能的培训：

信息安全法律法规及行业规章制度的培训；信息安全基本知识的培训；信息安全专门技能的培训。

信息安全人员应定期接受政治思想教育、职业道德教育和安全保密教育。

第3条应对所有使用计算机的人员定期进行基本的信息安全知识和技能的培训，并应注意培养信息安全意识。第十二章附则

第1条本办法由公司人力行政部负责解释。第2条本办法自发布之日起施行。

陕西溢诚金融服务股份有限公司

篇7：信息人员安全管理制度

所在栏目：法规制度加入时间：2009-3-15 8:59:36 发布者：网络信息部访问量：250

吉林华桥外国语学院为加强计算机校园网和信息管理，落实全国人民代表大会、国务院和国家公安部及省、市公安部门有关计算机网络安全条例和有关制度，做好学院计算机信息人员和计算机用户安全教育培训工作，制定以下制度：

一、定期组织信息人员认真学习《中华人民共和国计算机信息网络国际互联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》及《中华人民共和国计算机信息网络国际联网管理暂行条例》，提高工作人员的维护网络安全的警惕性和自觉性。

二、负责对网络用户进行安全教育和培训，使用户自觉遵守和维护《中华人民共和国计算机信息网络国际互联网安全保护管理办法》，使他们具备基本的网络安全知识。

三、对信息源接入单位进行安全教育和培训，使他们自觉遵守和维护《中华人民共和国计算机信息网络国际互联网安全保护管理办法》，杜绝发布违犯《中华人民共和国计算机信息网络国际互联网安全保护管理办法》的信息内容。

四、不定期地邀请公安机关有关人员进行信息安全方面的培训，加强对有害信息，特别是影射性有害信息的识别能力，提高防犯能力。

五、结合实际需要，不定期召开培训班，对学院内信息人员和上网用户进行网络安全教育和有关技术培训。使其掌握计算机安全、防病毒的有关技术和知识。

六、学院网络管理教师要努力学习网络管理新技术、积极参加省、市公安网络监察管理部门的技术学习班。网络安全员和信息管理员应经过培训，取得公安部门颁发的合格证上岗。

吉林华桥外国语学院

篇8：浅论信息化管理人员的自我管理

多年前, 刚读到彼得·德鲁克的《卓有成效的管理者》这本书时, 便为其平实的文字和丰富的内涵所深深吸引, 感到如获至宝, 连夜通读。2013年, 台州市烟草专卖局 (公司) 按照省局 (公司) 经济信息中心的统一部署, 结合优秀信息中心创建活动, 鼓励全市信息管理人员多读书、读好书, 掀起了“我要精读一本书”的学习热潮。在此契机下, 我又一次对该书进行了细细品读, 很有一种常读常新的感觉。书中没有晦涩难懂的理论, 而是生动鲜活地传达作者的思想。这本书讲述的内容是关于如何提高个人修养的方法, 我想, 文中的观点必将成为或者已经成为多数管理者进行自我管理的核心法则。

《卓有成效的管理者》是德鲁克最为畅销的作品之一, 在这本书中, 德鲁克第一次把研究重点扩展到个人管理上面, 对个人自我发展进行了阐述, 正如作者所论述的那样, 管理者的工作必须卓有成效, 但卓有成效并非与生俱来的本领, 而是可以通过后天的学习和提高来掌握的。在书中, 作者全面论述了做好工作需要具备哪些条件。德鲁克认为, 任何人都可以把自己的工作做好, 工作的能力与人的智力高低、体力强弱并无关系。根据德鲁克的观点, 卓有成效的能力属于一种习惯性的能力, 一学即会, 只要养成习惯即可, 并能因此而受益终生。

掩卷而思, 我不禁扪心自问:我是个富有成效的计算机管理员吗?我能成为一位有成效的工作者吗?我是否能够像彼得·德鲁克先生所阐述的那样, 掌握时间、重视贡献、发挥长处以及要事优先, 从而切实地使得自己的工作达到卓有成效?回想从业多年来的经历和经验总结, 我认为将彼得·德鲁克先生关于提高工作成效的方法论应用到计算机管理员的工作实践当中, 可以从以下几个方面展开。

2 掌握时间, 认真落实各项工作任务

时间是一种人人皆有的资源, 但并非用之不竭的资源。每一天的工作时间毕竟有限, 而要在有限的时间内完成大量的工作任务, 就需要我们精准地把握时间、分配时间。作为计算机管理员, 在单位如同电脑“医生”, 随时需要解答上门询诊的“患者”, 及时排查各类软硬件故障。常有一种“热锅上爬蚂蚁”的感觉———急得团团转;在以往的工作当中, 也经常会出现由于时间紧、任务重而顾此失彼的情况。德鲁克告诉我们, 正确的工作方法并非每天一头扎进具体繁重的事务中, 而是要先从把握时间开始, 精确合理地安排时间并严格遵照该时间安排, 合理有序地开展工作。一方面掌握时间做好具体工作的落实;另一方面, 通过掌握时间, 减少在无用事情上浪费精力, 做好IT服务管理。将节省下来可支配的时间集中于主攻方向, 为实现单位中心工作技术服务价值的最大化而努力。

结合多年在本行业的从业经验, 笔者将自己把握时间的方法归纳为6个“必须”, 即:一是必须时刻关注本行业和本单位信息化工作的重点、热点和难点, 紧紧把握信息化工作脉搏和工作安排;二是必须深入了解各类管理信息系统使用状况, 清楚信息系统对当前中心工作的支撑情况;三是必须及时收集各线对信息化的需求, 为领导决策和系统完善提供依据和方案;四是必须认真抓好IT项目管控, 在项目推进过程中做好工作衔接和技术指导;五是必须注重做好各类变更管理和配置管理, 确保IT服务的持续性和可用性;六是必须坚持“安全第一”原则, 加强信息安全和运维管理, 确保系统安全、稳定运行。

3 重视贡献, 认真履行工作职责

“不积跬步, 无以至千里;不积小流, 无以成江海。”要想获得成果, 首先需要端正态度, 因为没有任何的成功是偶然的, 都需要一点一滴的累积。只有明白这种聚沙成塔、积少成多的道理, 才能沉下心来一门心思地为组织做贡献。与此同时, 组织也为个人扩大贡献提供了宽广的舞台。

德鲁克认为, 要重视贡献, 直接贡献应该是最重要的。一方面, 作为IT工作者, 注重贡献, 就需要在本职工作之余, 密切地关心社会的进步, 关注科技的发展, 重视同事们对信息化技术的渴求, 了解整体工作的发展方向。只有这样, 才能持久有效地发挥个人主观能动性, 满足不断变化的工作环境所提出的需求, 提升个人的技术价值。另一方面, 重视贡献, 还应当对自己高标准、严要求。正如他在书中指出:“无论是对人对己, 只有坚持了高标准、严要求, 那么无需付出太大的努力, 同样也可以使我们成为了不起的巨人”。这正是我们信息化战线对工作的一贯要求。

结合计算机管理员的工作实践和《卓有成效的管理者》中对于奉献的理解, 笔者将对个人贡献的理解延伸到以下4个方面。

首先, 认真履行工作职责, 是开展个人贡献的奠基石。因为在个人的职业发展当中, 做好本职工作是开展一切工作的前提和基础, 其地位永远是重中之重。并且在履职过程中, 坚持高标准、严要求, 精进自己的技术, 提供规范、可靠的技术支持和保障, 才能确保个人贡献的持久性。

其次, 和谐的人际关系, 是开展个人贡献的润滑剂。尤其是对于计算机管理员来说, 通过加强各部门的沟通, 做好团队合作, 有利于日常工作的开展。例如:可以通过精心组织各类计算机应用培训, 开展技术交流, 普及计算机新技术、新工具的使用, 达到提升员工的工作技能和效率的目的。

再次, 加强换位思考, 是开展个人贡献的指南针。在服务管理过程中, 首先想到的是同事们和客户的需求和期盼、组织的要求以及集体的荣誉, 要常常问自己是否已经尽了最大的努力, 是否取得了最好的效果, 客户是否得到了最好的服务。这样才能为日常工作的开展指明正确方向。

最后, 总结经验心得, 是开展个人贡献的金刚钻。一个人的职业生涯固然是向前不断延展的, 但是也需要定期地回头看, 即认真总结回顾自己的工作历程, 并从中提炼出经验, 从而拓展自己的工作视野, 提升工作业绩, 实现个人贡献的持久性。

4 发挥长处, 主动提供技术服务

认识并加强自己的强项, 在工作中要扬长避短, 而不要舍长就短———这是德鲁克对个人发展的另一个要求。有效的管理者都知道, 要说到人的能力, 就必须具体到能不能完成任务。他们往往不喜欢笼统地说某人是个“能人”, 而只会说某人在完成任务方面是个“能人”。这些管理者总是结合具体任务来寻找别人的长处, 以达到用人之所的目的。

正因为如此, 成为一位有成效的计算机管理员, 更需要清楚认识自己的强项, 注重自己特长的发挥。要发挥自己的专长, 首先要了解自己的个性和做事方式, 清楚自己的学习方法, 避免“没有按照自己认识到的学习方式学习”;同时, 重视和始终坚持虚心向他人求教, 广泛收集对自己评价的反馈信息, 清楚什么事情是自己不要做的, 懂得摒弃不切实际的想法, 要通过坚持不懈地提高工作技能, 积极承办IT项目, 锻炼管理能力, 还需要主动提供技术服务, 不遗余力地打响个人品牌。在笔者的身边就有一个最好的例子:小潘, 他是笔者的一个同事, 天资聪慧, 对摄影技术颇有研究, 堪称摄影“发烧友”, 他利用业余时间, 发挥自己专长, 几年下来, 已经是台州某知名网站摄影栏目版主, 常常主持摄影沙龙活动, 指导他人学习摄影技能, 还自主编写摄影培训资料, 传播摄影知识, 深受大家喜欢。

5 要事优先, 主动推进工作创新

卓有成效的秘诀在于善于集中精力, 总是把重要的情况放在最前面先做, 而且一次只做好一件事情。如同这世界上没有两片相同的树叶, 也没有两个人的人生是完全相同的。人生中自有高低起伏, 谁不想拥有灿烂辉煌的人生故事和一帆风顺的工作旅程呢?成功的故事固然无法复制, 而前人的经验法则却在时代的推进当中历久弥新———要事优先首先是一个判断的过程, 即哪些事情重要、哪些事情次之;并且, 更加重要的是, 在工作的过程中, 不断推出陈新, 提出更加富有新意的理论和见解———可以说, 创新是要事优先的一个重要体现。德鲁克也在书中指出, 在决定哪些事情优先、哪些问题可以延缓这个问题上, 最重要的并不是分析, 而是拿出应有的勇气, 去创新重要的、淘汰陈旧的。他还列出了几条可以帮助确定优先次序的重要原则进行指导。

要让信息化工作富有成效, 要想推旧出新, 需要遵循以下4条原则:一是“重将来而不是重过去”, 我们要深入学习和掌握全省“十二五”信息化规划, 让规划引路, 结合企业实际, 不断推进先进管理思想和工作流程的完美融合, 更好发挥信息化对QC活动、创新等工作的支持力度;二是“重视机会, 不能只看到困难”, 机会往往稍纵即逝, 没有抓住机会就会被竞争者抛在后面, 信息技术尤为明显, 在推进企业信息化进程中, 更应把握机会, 时刻站在科技的最前沿, 主动探索创新, 大力推进新技术的应用, 提高工作效率, 节约社会资源;三是“选择自己的方向, 而不盲从”, 通过分析个人的技术专长, 很好结合行业和企业提供的机会, 朝着既定的目标, 矢志不渝, 一定能做出一番业绩;四是“目标要高, 创意要新, 不能只求安全和方便”, 可以通过加强管理制度和操作规程的学习, 加大制度的执行力度, 在工作中不断注入创意和激情, 主动献计献策, 贡献聪明才智, 为组织的进步和发展助力, 为企业增辉。

“工作着是美丽的”, 忠于自己的事业, 珍惜时间, 坚持高标准、严要求, 不畏惧艰难险阻, 积极贡献, 发挥个人长处是分内的事, 更是个人使命所在。知易行难, 德鲁克教导我们的还有很多, 我们将恪守工作职责, 发挥个人特长, 热爱自己的本职工作, 认认真真做好每一件事。

参考文献

本文来自古文书网(www.gwbook.cn)，转载请保留网址和出处