内部人员管理制度

时间：2022-10-13 百科知识版权反馈

【摘要】：为保证组织在员工雇用中的安全，组织应将安全需求列入员工职责中，确定管理职责及安全事故与安全故障反应机制来确保安全应用于组织内个人的整个雇用期。安全事故是可能导致资产丢失和损害的任何事件，或是会使组织安全程序破坏的活动。通过有效的管理渠道或程序，确保员工及时发现并报告安全事故、安全故障或安全薄弱点，以便迅速对其做出响应。

4.4.2　内部人员管理制度

内部人员管理制度主要针对以下三种情况分别制定相应管理制度：

1.员工雇佣前

目前在国内人才市场上假文凭、假履历满天飞。各种权学交易、钱学交易的博士、硕士班泛滥成灾。

据有关部门统计，全国持有假文凭者已超过60万人，在广东市场上的求职者所持有的文凭，三成是假的。假文凭的泛滥，动摇了社会的公平和信用基础。这种行为本身已经对社会与组织的道德、信用及安全造成了严重侵害。因此，在招聘新员工或员工升迁时，实施人员安全审查是非常重要的控制措施。

（1）审查对象：信息系统分析、管理人员，组织内的固定岗位人员，临时人员或参观学习人员等。

（2）审查范围：人员背景信息、安全意识、法律意识和安全技能等。

（3）人员审查标准：

·人员审查必须根据信息系统所规定的安全等级确定审查标准。

·信息系统的关键岗位人选，如安全负责人、安全管理员、系统管理员和保密员等，

必须经过严格的政审并要考核其业务能力。

·因岗挑选人，制定选人方案。遵循“先测评、后上岗，先试用、后聘用”原则。

·所有人员都应遵循“最小特权”原则，并承担保密义务和相关责任。

2.员工雇用中

为保证组织在员工雇用中的安全，组织应将安全需求列入员工职责中，确定管理职责及安全事故与安全故障反应机制来确保安全应用于组织内个人的整个雇用期。

（1）员工工作职责

组织在信息安全方针中所规定的安全角色及责任，应适度地书面化于工作职责说明书中。工作职责说明书中的责任应当包含执行、维护组织安全政策的所有一般责任及与员工相关的保护特定信息资产的特殊责任，有关执行特殊安全管理程序或者活动的责任也可以写入说明书中，并通过适宜的方式把相关安全责任要求传达到每一个员工，使其理解并遵照执行。确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险。

（2）组织管理职责

为尽可能减少安全风险，组织应对所有雇员、合同方和第三方用户提供安全程序和信息处理设施的正确使用方面的教育和培训，还应建立一个正式的处理安全违规的记录处理。管理者应要求所有的员工、合同方和第三方用户按照组织已建立的方针和程序实施安全行动。

·在被授权访问敏感信息或信息系统前知道其信息安全角色和方法；

·从组织获得声明他们角色的安全期望的指南；

·被激励以实现组织的安全方针；

·对于他们在组织内的角色和职责的相关安全问题的意识程度达到一定级别；

·遵守雇用的条款和条件，包括组织的信息安全方针和工作的合适方法；

·持续拥有适当的技能和资源。

（3）安全事故与安全故障反应机制

安全事故是可能导致资产丢失和损害的任何事件，或是会使组织安全程序破坏的活动。安全故障，如软件故障，会影响信息系统的正常功能，甚至商务活动的运作。为把安全事故和安全故障的损害降到最低程度，追踪并从事故中吸取教训，组织应明确有关事故、故障和薄弱点的管理部门，并根据安全事故和安全故障的反应过程建立一个报告、反映、评价和惩戒的机制。

①确保及时发现问题

通过有效的管理渠道或程序，确保员工及时发现并报告安全事故、安全故障或安全薄弱点，以便迅速对其做出响应。

正式的报告程序内容包括：

·明确报告的受理部门；

·报告的方式，如专用电话、书面报告；

·报告内容要求，如事故发生的时间、地点、系统名称、威胁、后果等；

·处理事故的反馈要求，以便从中吸取教训。

②对事故、故障、薄弱点做出迅速、有序、有效的响应，减少损失

·对于安全事故的响应：针对不同类型的安全事故，做出相应的应急计划，规定事故处理步骤。

·信息系统会受到软件和硬件故障的威胁，用户应记录有关故障的信息，及时报告主管部门，由有关技术人员进行故障排除，并分析故障原因，采取必要措施，防止类似故障再发生。

·员工应记录发现的安全薄弱点，无论是管理上的、技术上的，还是信息系统本身存在的，按照规定的报告方式向有关部门报告，由他们对可疑的薄弱点进行确认，从而确定相关资产的风险程度，选择相应的控制措施并实施。

③从事故中吸取教训