人员安全管理的基本内容

4.4.1　人员安全管理的基本内容

1.人员安全管理原则

（1）多人负责原则，即每一项与安全有关的活动，都必须有2人或多人在场；

（2）任期有限原则，任何人最好不要长期担任与安全有关的职务，以保持该职务具有竞争性和流动性；

（3）职责分离原则，出于对安全的考虑，科技开发、生产运行和业务操作都应当职责分离。

2.人员安全管理措施

组织内人员安全管理措施可以从以下方面考虑：

（1）领导者安全意识

·定期制订安全培训计划，组织安全学习活动，责成各级高层管理人员经常关注和强化计算机安全技术和保密措施；

·组织计算机安全任务小组来评定整个系统的安全性，安全小组应及时向高层管理层报告发现的问题并提出关键性建议，领导者可授权安全小组制定各种安全监督措施；

·对违反安全规则的人员，管理层应进行惩罚；

·领导者应严于律己，不得将内部机密轻易泄露给他人，尤其注意收发电子邮件时，不将组织专有信息放在网络服务器和FTP服务器上。

（2）系统管理员意识

·保证系统管理员个人的登录安全；

·给账号和文件系统分配访问权限；

·经常检查系统配置的安全性，如线路连接及设备安全、磁盘备份是否安全等；

·注意软件版本的升级，安装系统最新的补丁程序，尽量减少入侵者窃取到口令文件的可能性，关掉不必要的服务，减少入侵者入侵途径。

（3）一般用户安全意识

·经常参加计算机安全技术培训，学习最新安全防护知识；

·以合法用户身份进入应用系统，享受授权访问信息；

·不与他人共享口令，并经常更换口令；

·不将一些私人信息，如公司计划或个人审查资料存入计算机文件；

·注意将自己的主机设为拒绝未授权远程计算机的访问要求；

·保证组织的原始记录，如发票、凭证、出库和入库单等不被泄露；

·自觉遵守公司制定的安全保密规章制度，不制作、复制和传播违法违纪内容，不进行危害系统安全的活动。

（4）外部人员

·组织应监视和分析系统维护前后源代码及信息系统运行情况，防止开发维护人员的破坏行为；

·将特殊身份人员（如警察、记者等）的权限限制在最小范围；

·密切注视竞争对手的近况，防止商业间谍偷袭。