|
|
1. 员工入职、离职等安全管理情况
根据《网络安全管理制度》,对员工入、离职安全进行严格规范管理,目前严格按照如下准则加强对员工入职、离职等环节进行网络安全管理。
1.1 任用前
1.1.1 网络安全岗位职责界定
在网络安全相关岗位的工作领域、工作职责及知识技能等内容中明确界定网络安全相关职责内容,以便相关岗位履行好网络安全岗位职责。
1.1.2 人员筛选
查验其个人证明材料是否真实有效,核查无误后经部门面试、专业知识考试及综合素质面试后录用合格者。
1.1.3 背景调查
人力资源中心对拟录用的新员工根据岗位的重要程度进行身份、背景、专业资格和资质等方面进行背景调查,背景调查如无问题,正式办理录用审批手续。背景调查如发现问题,立即终止面试录用程序。
1.1.4 人员考察策略
1.1.4.1 所有员工在正式录用前应进行以下方面考察:
1. 应聘者的职业素质核查:良好的性格特征,如诚实、守信等;
2. 应聘者学历证书、证件、个人简历的检查(完整性和准确性);
3. 应聘者的应聘动机;
4. 应聘者的专业和技术水准,是否符合该岗位的岗位说明书;
5. 应聘者身份的查验;
6. 应聘者是否有重大惩戒及犯罪记录。
1.1.4.2 员工从一般岗位转到网络安全重要岗位,应当对其进行能力考察及信用核查:
1. 以往业绩证明情况,是否有弄虚作假现象;
2. 以往奖惩情况,公司保密制度执行情况;
3. 个人品行道德情况,是否诚实守信。
1.1.5 内部选拔
从事关键网络安全岗位或涉及核心网络安全区域人员,优先从公司内部人员选拨,应具备认真负责的工作态度、较高的职业道德水准,并按照人员考察策略重点评估合格后给予岗位调整。
1.1.6 入职办理
人力资源中心负责办理员工的入职手续,入职资料严格审核无误后,与员工签署《劳动合同书》以及发放《员工手册》,其中均规定了员工的保密义务。对于重要网络安全岗位,根据部门评估需要还可签署《竞业限制》协议,控制离职泄密风险。临时雇用人员、客户以及合作方等第三方人员在与公司签订的合同中应约定相关人员的网络安全职责。
1.1.7 重要网络安全岗位管理
各部门应根据组织的业务要求,考虑技术性要求、保密性要求、业务依赖程度、可替代性等因素,明确本部门的关键网络安全工作岗位及任职要求。
对于重要网络安全岗位人员的聘用,人力资源中心配合用工部门,重点对工作能力、技术水平、工作业绩和道德规范进行评价,并保存存档,同时签订保密协议,规定其具有网络安全的责任。
1.2 任用中
1.2.1 网络安全教育与培训
1.2.1.1 网络安全教育培训目的:
1. 满足客户和法律法规要求的重要性;
2. 违反相关要求所造成的后果;
3. 自己从事的工作与网络安全的相关性;
4. 鼓励员工参与网络安全管理,为实现网络安全目标做出贡献。
1.2.1.2 网络安全教育培训内容:
1. 网络安全基础知识、网络系统使用规范;
2. 公司网络安全方针、策略与网络安全目标的宣贯培训;
3. 网络安全专题培训;
4. 岗位网络安全责任、操作技能及相关技术;
5. 违反违背网络安全管理规定的惩戒措施。
1.2.1.3 网络安全教育培训记录及考核
新员工需在入职两周内完成由公司组织的网络安全培训,签订网络安全承诺书,并通过考核。未参加学习,未签订网络安全承诺书或未通过考核的员工不允许转正。
根据业务需要,营销、创新、制造等部门员工需参加由培训发展部每年度组织的网络安全培训;未参加学习或未通过考核的员工暂停从事与网络安全相关的工作,直至通过考核为止。
培训发展部对各部门网络安全培训执行情况进行监督,对于执行不到位的部门在公司范围内通报。
1.2.2 任用变更
员工岗位调动后,须办理严格的调动手续(包含调岗移交程序),相关负责人必须确认办理岗位调动的工作人员,交接其所管理和使用的资产,以及变更相关信息系统的访问权限。
调岗人员的资产调整,以及对IT网络系统如要开通、重置密码、变更权限、注销,需严格按照相关管理部门要求提交申请,审批完成后方可进行相关操作,并接受相关信息安全责任及职责。
1.3 离职后
员工办理离职,须办理严格的离职手续,相关负责人必须确认办理离职的工作人员归还其所管理和使用的所有资产以及撤销各信息系统的访问权限。
重要岗位人员离职前应承诺保密义务,必要时办理延续保密手续或签订《竞业限制》协议。
2. 内部网络安全责任部门、责任人设置情况
为指导公司网络安全工作整体规划,设立网络安全工作组。
责任人:
小组成员:
3. 员工出国(境)安全保密教育管理情况
近年来,我国公民出国(境)旅游、经商、留学等人员日益增多,面对国(境)外复杂的社会环境和安全状况,出国(境)人员要从思想上增强保密防范意识,加强保密防范知识的了解掌握,才能更自觉地保守国家秘密,维护国家安全。
公司要求所有因公出国境人员需接受《出国(境)保密防范知识》课程的学习,确保出国(境)期间保证遵守保密纪律,自觉履行保守国家秘密的义务。
附《出国(境)保密防范知识》课程内容摘录如下:
准备出国(境)期间所需要的行装时,应认真检查一下需专人保管、携带的内部文件、资料等东西是否裹入了行李。同时,注意不要将内部发行的刊物、记有内部情况的笔记本、通讯本、工作证件携带出境。
出国(境)人员确因工作需要,确须携带内部秘密文件和资料时,要严格履行报批手续;经主管部门批准后,需配备保密文件箱,并指定专人保管、随身携带,严防丢失或被外国警察秘密搜查。
秘密文件资料及贵重物品,绝对不能放在托运的旅行箱内,防止锁被秘密撬开。如果发现托运的行李物品受损或被盗,要及时向航空公司索取有关证明。
抵达目的地后,如因故没有与接待方接上头,可及时用电话与接待方取得联系,以免人生地不熟出现差错。办妥入境手续后,不可产生松懈情绪,随时警惕大厅里的行李箱、皮包被人顺手牵羊,一旦发生失窃,应马上通知机场内的警察,检查现场时要让懂得中文的航空公司职员在旁作证。护照、旅行支票被偷时,必须取得被盗证明书。
进入饭店,在柜台上登记时,不要把注意力都集中在询问、登记、拿钥匙等方面,这时小偷最容易钻空子。也不可随便的将行李、皮包、照相机等物品放在桌上、沙发上,自己却走开办其他事情。一旦发生被窃,要尽快报警。
一些国家的情报机关,为了达到监控外国人的目的,在一些饭店房间内装有监控设备。即使在房内没有光线的情况下,也可以监视你的行动,除通常的传声器、电话窃听器、微型录音机以外,还有红外线照相机、红外线夜望镜、光学镜头闭路电视和其他尖端仪器。如发现房内这些仪器,也不要惊慌失措,不要声张。最好的防范措施就是在房间里不要谈秘密事项,可说一些轻松或无关的话题。
在国(境)外,常有一些外国人有意无意的问及我国内部或我国与所在国及他国的一些敏感事项,其目的是有意识地刺探我国的情报,以研究相应的对策。因此,在对外接触交往中,不要主动、随意谈及内部情况,或征求对方对彼此间与他国间敏感事项的意见和看法。如对方主动问及上述情况,应按中央的对外宣传口径回答,切不可夹带自己的主观臆断或结论。如果发现对方有意深谈或故意刺探、套问上述情况,应设法避开话题或婉言拒谈。
国(境)外的一些机构、团体或有关人员为了了解我国内部情况和动态,往往以某些理由或借口向出国(境)人员分发一些已经印好的调查提纲或表格,要求当时填写。遇到上述情况时,应以“不了解情况,无法填写”等理由拒绝填写。此外,出国(境)人员在对外接触交往中,应尽量避免使用“据调查、据统计、据掌握”等词语或引用有关的调查数据。交谈的内容不可涉及太广、太深,交谈的态度不要过于直率,以免让有关机构或人员误以为你掌握的情况多而长时间纠缠。
国(境)外常有一些外国人、外籍人采用公开或暗示方式向出国(境)人员索要内部资料或科研成果。当遇到这种情况,要做到表面不失礼,思想不失防线,以适当名义婉言谢绝。切不可当面提供或写信给国内托人邮寄及回国后擅自邮寄。同时,更应提高警惕,采取各种措施,加倍保护好资料的安全,严防资料被窃。
为了避免被窃听,一般不宜在房间内、汽车上、酒吧间或其他公共场合谈论内部事项。最好在有保密条件的地方或公园等空旷的场所采用走动中低声交谈的形式。机密电报或文件必须在使领馆保密室草拟。一般情况,在房间内尽量避免谈论你的工作、单位和内部公务,也不要谈论其他成员的习性、脾气或弱点。
4. 对在公安机关从事网络化工作的员工安全保密管理情况
依据公司《客户现场网络安全管理制度》的要求,我公司每个驻厂运维服务项目成立时均会确定项目网络安全管理员,一般由项目负责人兼任。
1. 网络安全管理员需提前识别项目中的网络安全事项。
2. 进入客户现场的参与现场工作的临时人员,需签订《网络安全承诺书》。
3. 在分包过程开工前,项目经理需组织对分包方人员进行网络安全培训,并签订《网络安全承诺书》。
4. 项目组成员需判断各项操作是否涉及网络安全,如涉及,则需向网络安全管理员报备,获得批准后才能执行。
5. 人员进出客户现场,按要求进行登记并佩戴出入证。
6. 网络安全管理员定期(每周至少一次)检查项目中的网络安全执行情况,需做好相应记录。
5. 对员工处理、存储、传输有关公安网络化文档资料的安全管理和技术措施情况
依据公司《网络安全管理制度》的要求,公司员工在处理、存储、传输有关公安网络化文档资料时严格遵守下列要求,经自评相关要求已在项目实施中予以落实。
1. 严禁使用客户的数据从事与工作无关的活动,工作中未经客户同意不得随意使用客户数据。
2. 严禁泄露客户网络网络上的数据,如客户的录像视频、语音、文字等。
3. 不得随意将客户内部网络上的网络下载到硬盘或其他便携存储设备中。
4. 不得随意将客户系统的数据移出或安装到非客户的设备上。
5. 不得擅自在客户计算机上安装软件或者复制他人文件,如需要需征询客户同意。
6. 现场应定期进行各系统数据安全备份,并存放于客户指定的安全位置。
7. 导入导出备份数据、版本文件等,需使用客户专用U盘等移动存储介质。
6. 对掌握的有关公安机关网络、系统、数据、应用、安全等关键核心内容的安全保密管理情况
依据公司《网络安全管理制度》的要求,对掌握的有关公安机关网络、系统、数据、应用、安全等关键核心内容的安全保密管理要求如下所述,经自评相关要求已在项目实施中予以落实。
1. 严禁私自拷贝、保存、转发、发布、泄露系统账号、密码、组网拓扑等网络资料。
2. 严禁泄露客户网络网络上的数据,如客户的录像视频、语音、文字等。
3. 设备在维修期间,不得与客户网络网络以外的任何网络进行联接,不得使用无线网卡、红外、蓝牙等接口与非客户网上的计算机等设备进行数据交换,不得安装客户网络网上禁止使用的任何软件程序。
4. 出席、列席涉密会议人员名单须经主管会议的领导批准,无关人员不得进入会场;规定不准记录的内容,与会人员不准记录或录音,不得以任何形式对外泄露涉密内容。
5. 不得将手机带入重点涉密场所或在手机中谈论涉及国家秘密的事项。
6. 严禁在朋友圈、微博、微信(非项目组)、QQ(非项目组)等发布与项目有关的任何网络,项目组群中不得发布、讨论客户涉密网络。
7. 未经客户同意,不得将客户现场设备、现场工作环境等进行拍照。经客户同意后,拍照不得转发给与工作无关的人员。
8. 严格遵守公司的员工保密守则。 |
|
发表于 2023-1-5 11:50:39