信息安全人员管理的原则

1）人员录用的原则

（1）应指定或授权专门的部门或人员负责人员录用。

（2）应严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核。

（3）应与员工签署保密协议。

（4）凡是因违反国家法律法规和金融机构有关规定受到过处罚或处分的人员，不得从事信息安全管理工作。

2）人员离岗的控制原则

（1）应严格规范人员离岗过程，及时终止离岗员工的所有访问权限。

（2）应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备。

（3）应办理严格的调离手续，关键岗位人员离岗须承诺调离后的保密义务后方可离开，并保证离岗人员负责的信息技术系统的口令立即更换。

3）人员考核的原则

（1）应定期对各个岗位的人员进行安全技能及安全认知的考核。

（2）应对关键岗位的人员进行全面、严格的安全审查和技能考核。

（3）应对考核结果进行记录并保存。

4）安全意识教育和培训的原则

（1）应对定期安全教育和培训进行书面规定，针对不同岗位制订不同的培训计划。

（2）应对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，普及信息安全基础知识、规范岗位操作、提高安全技能。

（3）每年至少对信息安全管理人员进行一次信息安全培训。

（4）应对安全责任和惩戒措施进行书面规定并告知相关人员，对违反安全策略和规定的人员进行惩戒。

（5）应对安全教育和培训的情况和结果进行记录并归档保存。

5）人员权限管理的原则

（1）用户应被授予完成所承担任务所需的最小权限，重要岗位的员工之间应形成相互制约的关系。

（2）权限变更应执行相关审批流程，并有完整的变更记录。

（3）应建立系统用户及权限清单，定期对员工权限进行检查核对，发现越权用户要查明原因并及时调整，同时清理过期用户权限，做好记录归档。

银联数据非常重视内部人员的信息安全管理，参考以上人员管理的原则制订了适合本公司实际情况的人员管理要求规范。银联数据要求每一位员工上岗前均需接受信息安全培训，并与公司签订保密协议。银联数据各部门负责人根据员工的学历、培训、技能和经验，安排员工从事适宜的工作，确保其能胜任工作，不影响公司服务质量的要求。