信息系统用户管理制度

信息系统用户管理制度

第一章范围及职责

第一条本制度适用于信息系统用户的管理，包括：岗位配置原则、人员录用及调（离）岗、授权管理、安全培训教育、第三方人员管理。

第二条某某单位办公室（以下简称：办公室）负责信息系统用户管理制度的制定和修订。

第二章岗位配置原则

第三条根据信息系统职能要求，结合信息部门实际情况进行人员配备，权限、职能不同的角色必须分离，避免权责不清、责任不明确的现象发生。其中，系统管理员不能兼任安全审计员。

第四条重要岗位实施角色备份制度，在合理设置工作岗位、完善工作职责的基础上，在相近岗位之间，实行顶岗或互为备岗制，以便能及时处理紧急任务。

第五条各岗位工作人员安排

为确保信息安全工作的顺利开展，保障信息系统的正常运行，须设置安全管理员、系统管理员、网络管理员、机房

管理员、安全审计员和信息审查员并明确其工作职责。

第三章人员录用及调离

第六条相关信息安全职责在岗位说明书中予以明确，各部门负责人根据已批准的岗位说明书和部门人员配置要求，填写相关申请，统一招调。

第七条所有信息系统相关岗位均要签署保密协议，关键岗位人员必须从内部人员中选拔。

第八条对被录用人的身份、背景、专业资格和资质等进行审查，当人员处理涉密信息或涉及高敏感性的信息或担负重要岗位时，应进行更严格的政审。

第九条人员调离时必须更换或归还之前发放的身份证件、钥匙、单位提供的软硬件设备及文档资料等资产，并办理详尽的交接手续。

第十条人员调离时必须终止其所有的访问权限，涉及相关信息系统账号、口令时，先采取更换密码或冻结账号的措施，避免直接删除账号。

第十一条人员调（离）岗时必须签署保密承诺书，承诺在调（离）岗后根据保密承诺书的内容履行相关的保密责任和义务，涉密人员实行脱密期管理制度。

第十二条对未办理正常交接手续离岗的人员，及时进

行信息安全风险评估并由专人跟进处理，保证信息系统的安全和业务连续性。

第十三条建立完善的奖惩机制，对违反信息安全策略或规定的人员，给予正式纪律处理，对信息安全工作表现突优异的人员，给予适当激励。

第十四条与上级信息安全管理部门、信息系统服务商和宽带提供商（如电信、网通等）保持适当联系，确保在发生信息安全事故和查处危害内部信息安全的违法犯罪行为时能够得到及时响应和必要帮助。

第四章授权管理

第十五条权限的分级应遵循以下原则。

1．符合业务安全需求；

2. 遵循最小权限原则；

3. 系统管理员分配超级权限，一般用户则分配普通权限；

第十六条所有账号注册都必须通过申请才能开放。申请人提出权限申请，提交《用户权限审批和修改表》给办公室审批，审批同意后才能开通相应的权限。每个用户必须被分配唯一的账号，账号名不能透露用户的权限信息，不允许共享账号。

第十七条所有系统都应该建立应急账号，应急账号数据必须放在密封的信封内妥善收藏，并控制好信封的存取。在使用后必须立刻修改，然后把新的密码装到信封里。

第十八条人员调职、离职时，亦需提交《用户权限审批和修改表》办公室审批，该员工的所有账号必须在最后上班日之前注销或修改。当注销账号时，必须确保已取消其相关的系统权限。

第五章安全培训教育

第十九条各岗位人员必须清楚自己的安全职责，了解各自的工作职能范围和责任义务。

第二十条制定安全教育和培训计划、记录培训具体内容和培训结果以及参加培训人员，在培训结束后把培训相关记录材料整理归档。

第二十一条根据各个岗位的业务应用、安全意识和保密意识需求制定培训计划，定期组织安全教育和培训。

第二十二条各岗位人员要积极参与单位组织的内、外部信息安全交流和培训，提升信息安全意识和专业水平。

第二十三条定期对各岗位人员进行安全理论知识和安全技能水平的考察。

第六章第三方人员管理

第二十四条为加强与信息安全公司、产品供应商、业界专家、安全组织的沟通与合作或应急响应，应建立详细的外联单位联系表（内容至少包括外联单位的名称、联系人、地址、联系方式等）。

第二十五条第三方人员对敏感信息资产进行访问前，必须签订正式的合同及保密协议；在合同和保密协议中明确第三方人员的安全责任、必须遵守的安全要求以及违反要求的处罚等条款，对其允许访问的区域、系统、设备、信息等内容应有明确的规定。

第二十六条需要访问信息系统的第三方人员必须得到有关部门和领导的许可、授权，其访问权限必须得到严格的限制。第三方人员使用的工具需经过相关部门的安全检查。

第二十七条与第三方人员共同协定现场工作规范并按照既定规范实施管理、落实运维人员或终端责任人全程陪同的策略以降低风险。

第三十八在第三方人员进行远程访问之前，要严格鉴定访问者的身份，确保访问者为已授权人员。

第二十九条负责第三方人员接待和管理的部门在第三方人员访问结束之后，要及时收回相关物品、资料并且终止其访问权限。

第三十条负责接待第三方人员的工作人员须有相应信息安全教育培训经验，并且具备良好的安全意识和风险识别能力。

第三十一条应选择具有公安部门、保密部门、密码管理部门资质认证的第三方公司进行信息安全合作，保障系统安全。

第七章附则

第三十二条本制度由某某单位负责解释。

第三十三条本制度自发布之日起生效执行。