第一章 总则
第一条 为加强青岛酒店管理职业技术学院教育信息中心(以下简称教育信息中心)计算机信息系统和信息安全管理工作,保障教育信息中心计算机信息系统安全、保密、可靠、稳定、连续、高效运行,结合教育信息中心实际,特制定本办法。
第二条 本办法适用于教育信息中心所属部门,同时适用于涉及教育信息中心关键、涉密业务信息的各主管业务部门。
第二章 关键岗位管理
第三条 信息系统关键岗位指从事信息系统设计、建设、运行维护,并直接接触教育信息中心关键、涉密业务信息的系统分析员、系统管理员、数据库管理员、程序设计员和其他有关的信息技术人员岗位;以及直接使用信息系统并接触教育信息中心关键、涉密业务信息的业务人员岗位。
第四条 涉及信息系统安全的关键岗位由教育信息中心确定,涉及业务信息安全的关键岗位由主管业务部门确定,报本单位信息安全领导小组批准,并在人力资源部门备案。
第五条 教育信息中心和业务管理部门对涉及信息系统和信息安全关键岗位进行动态管理,根据信息系统建设和业务需要,及时调整关键岗位并对其加强管理。
第三章 关键岗位人员管理
第六条 教育信息中心对关键岗位人员实行“谁主管、谁负责”的原则。信息系统安全的关键岗位人员管理由教育信息中心负责,主要开展制度落地指导、培训组织等相关工作;涉及业务信息安全的关键业务岗位人员由各业务部门负责。
第七条 关键岗位的工作人员要与所在单位签署信息系统关键岗位安全责任书(格式参见附件1《信息系统关键岗位安全责任书》)。
第八条 关键岗位工作人员所在单位领导应根据最小特权原则,建立明确的岗位责任制度和授权许可制度,明确关键岗位有关人员安全职责和权限。
第九条 关键岗位人员原则上必须是本单位正式员工(软硬件开发除外)。软硬件开发等例外岗位人员,需签订专项保密协议并按规定办理审批手续。教育信息中心及相关用人部门在选聘关键岗位人员时,应对被选聘者进行相关的背景和资历审查。
第十条 教育信息中心负责定期对关键岗位人员进行安全技术培训,逐步实现持证上岗,确保关键岗位工作人员达到相应的资质要求。
第十一条 教育信息中心联合质量控制与绩效考核办公室、各业务部门建立相关关键岗位人员考核制度,定期对关键岗位人员从思想、业务水平、工作表现、安全意识、循章守纪等方面进行考核。
第十二条 关键岗位相关工作人员变动时,应按照教育信息中心信息系统安全管理制度要求,办理相关交接和责任变更手续。由所在部门、教育信息中心、人力资源部门共同监交,完成交接后签署交接确认单;管理部门应及时更换系统口令,注销其所有账号,撤销其出入安全区域、接触敏感信息的权限,删除其个人有关文件和信息,交接其负责管理和使用的有关设备和文件,确保密码、设备、技术资料及相关敏感信息的安全。关键岗位人员离岗后,需额外签订离岗保密承诺书,明确离岗后的保密义务及违约责任。
第十三条 与外单位合作涉及关键、涉密业务信息时,教育信息中心相关责任人应与合作单位在合同书中明确保密有关条款。当合作单位人员的工作涉及到信息系统关键岗位业务时,应到教育信息中心办理审批手续并签订安全责任书,教育信息中心相关责任人负责对其履约情况进行监督、考核和管理。
第四章 附则
第十四条 本办法由教育信息中心负责解释。
第十五条 本办法自发布之日起执行。
附件1 信息系统关键岗位安全责任书
根据《信息系统关键岗位安全管理办法》的相关规定,__________同志为信息系统关键岗位__________(填写具体岗位名称,如:信息化管理员、数据库管理员)的责任人,承担本岗位涉及的信息安全、保密责任如下:
一、严格执行学校《信息系统关键岗位安全管理办法》《青岛酒店管理职业技术学院网络与信息安全管理办法》及其它有关规定,认真负责并保证相关信息和系统的安全。
二、定期接受信息安全技术培训,不断提高职业道德水准、安全意识和技能,规范操作行为,不得擅自超越权限,严禁违规操作。
三、严格遵守青岛酒店管理职业技术学院及教育信息中心的各项保密规定、制度,履行本人应承担的保密职责。
四、在关键岗位工作期间及离岗后,对所涉及的单位重要发展规划和经营信息、关键经济和技术指标信息、客户档案信息等内容和介质,必须严格保密,不得泄露。因所从事的本职工作需要,要向第三方提供相关信息内容的,须报经本单位领导同意。
五、在解除与单位的劳动关系之前,责任人须将所持有的技术资料(包括各种文本资料、技术图纸、程序软件等)及经营管理资料的原件和复制件全部交还单位,并办理好交接手续。保证不保留记录上述信息的任何书面、电子或其他形式的载体。
六、对关键岗位所使用的用户名和口令,以及所掌握的其他用户的用户名和口令,严禁以任何形式向其他人泄露,在关键岗位上工作的人员要定期修改保密口令。
七、对信息系统、网络设备的配置信息、配置参数、安全机制、安全策略、访问途径、访问控制机制、系统补丁等信息,要保守秘密,严禁向其他人员泄露。
八、严禁在不加保密措施的情况下,通过互联网传输、发布和接收关键业务信息,对涉密信息要严格按照国家有关规定进行涉密信息的处理。
九、对可能发生(或已发生)的信息安全事件,有责任及时向主管领导汇报,并注意保密,避免产生不良影响。
十、对本人负责管理的信息系统用户,履行安全教育、权限核查职责,规范用户操作行为,保障用户层面信息安全。
十一、责任人如果违反上述规定,所有法律责任、经济责任等由个人承担。
十二、本责任书一式两份,由责任人与教育信息中心分别保存,自签字盖章之日起生效。
教育信息中心(盖章):__________
负责人(签字):__________
关键岗位责任人(签字):__________
日期:______年____月____日
