第一条 系统管理员、网络管理员、安全管理员、机房管理员等信息安全有关的岗位人员,必须经过严格的审查并考核其业务能力。
第二条 明确所有信息安全岗位人员在信息系统安全保护中的职责和权限,其工作、活动范围应当被限制在完成其任务的最小范围内。
第三条 对可接触较多机密或更高级别安全信息的人员,需要签订保密协议。
第四条 信息安全岗位人员确定以后,不能随意进行更换,如确需进行人员变动的话,必须提前向信息中心信息安全工作领导小组审批。
第五条 信息安全岗位人员更换的时候,必须做好交接工作,在新的管理员可以独立工作之前,老的管理员不得离岗,必须给予新管理员充分的技术指导,协助其尽快熟悉工作。
第六条 信息中心信息安全工作领导小组每年对信息安全岗位人员进行信息安全考察,结果将进行存档。
第七条 对于考核中发现有违反信息安全法规行为的人员或发现不适宜承担信息安全关键岗位的人员要依据有关规定处理。
第八条 信息中心信息安全工作领导小组每年将根据需要对系统管理员、网络管理员、安全管理员、机房管理员等岗位人员进行一次工作督察。
第九条 安全管理员应定期进行安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况,并汇总安全检查数据,形成安全检查报告,并对安全检查结果进行通报。
第十条 信息中心信息安全工作领导小组负责对系统变更、重要操作、物理访问和系统接入等事项进行审批,审批通过后可对信息系统进行关键活动的具体操作。
第十一条 加强安全管理工作,全面落实安全管理岗位责任制,实行奖惩策略。
第十二条 奖励策略
(1)全面完成上级下达的安全管理方针,落实安全管理岗位责任制,认真贯彻执行安全管理总体方针、政策及规章制度的。
(2)对在工作中发现的重大事故隐患及时采取措施加以整改和预防及发现违章操作及时制止的。
(3)安全管理更新记录准确的。
(4)在安全教育培训中工作突出的。
(5)一年中未发生重大信息网络安全事故的单位。
(6)在信息网络安全管理工作中做出突出贡献的个人及部门,将视情节予以奖励。
第十三条 处罚策略
(1)安全管理记录不健全或丢失的,视情节予以批评。
(2)出现各类信息网络安全事故未按规定时间上报或故意隐瞒不报的,视情节予以通报。
(3)对出现信息网络安全事故的责任人,按责任大小、情节轻重予以通报直至追究刑事责任。