1引言

　　為加強(qiáng)海南電網(wǎng)信息通信分公司（以下簡稱“公司”）對信息安全人員的規(guī)范化管理，完善信息安全人員的管理制度，促進(jìn)公司信息安全事業(yè)的發(fā)展。特制度本標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)闡述了公司信息安全人員管理方面的基本要求和管理原則，明確定公司在信息安全人員管理方面的人員錄用、人員離崗、人員考核、安全意識教育和培訓(xùn)、外部人員訪問控制管理中應(yīng)遵守的原則與工作流程。

　　2規(guī)范性引用文件

　　下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡注明日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)（不包括勘誤、通知單），然而，鼓勵根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡未注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)

　　《信息安全技術(shù)信息系統(tǒng)安全保障評估框架》（GB/T202741-2006）

　　《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T20269-2006）

　　《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》（GBT22239-2008）

　　本標(biāo)準(zhǔn)未涉及的管理內(nèi)容，參照國家、電力行業(yè)、南方電網(wǎng)公司的有關(guān)標(biāo)準(zhǔn)和規(guī)定執(zhí)行。

　　3目標(biāo)

　　為充分發(fā)揮公司各信息系統(tǒng)業(yè)務(wù)支撐作用，不斷提高各信息系統(tǒng)服務(wù)質(zhì)量和水平，確保各信息系統(tǒng)安全、優(yōu)質(zhì)、經(jīng)濟(jì)運(yùn)行，都需要信息人員的支持。為使公司人員安全管理制度規(guī)范化、程序化、制度化，保障網(wǎng)絡(luò)與信息系統(tǒng)的正常運(yùn)行，依據(jù)有關(guān)法律、法規(guī)及信息安全標(biāo)準(zhǔn)，結(jié)合省電網(wǎng)工作實(shí)際，特制定本制度。

　　4人員錄用

　　人員的錄用有公司人力資源部負(fù)責(zé)人員的錄用

　　所錄人員和專（兼）職信息安全技術(shù)人員應(yīng)當(dāng)政治可靠、業(yè)務(wù)素質(zhì)高、遵紀(jì)守法、恪盡職守；信息安全管理人員及專職和兼職信息安全技術(shù)人員應(yīng)有計(jì)算機(jī)專業(yè)工作三年以上經(jīng)歷，具備專科以上學(xué)歷；違反國家法律、法規(guī)和行業(yè)規(guī)章受到處罰的人員，不得從事信息安全管理與技術(shù)工作，同時以下職位要求具備相關(guān)的能力。

　　系統(tǒng)管理員

　　大學(xué)專科計(jì)算機(jī)專業(yè)畢業(yè)，具有兩年以上工作經(jīng)驗(yàn)。

　　熟悉計(jì)算機(jī)硬件技術(shù)與軟件操作系統(tǒng)的原理與配置。

　　熟悉掌握操作系統(tǒng)的安裝與卸載。

　　掌握數(shù)據(jù)庫（SQL、ORACLE、Sybase等）原理以及安裝、設(shè)計(jì)與管理。

　　能夠熟悉網(wǎng)絡(luò)的構(gòu)架以及網(wǎng)絡(luò)和操作系統(tǒng)的結(jié)合。

　　能夠獨(dú)立完成IIS、DNS、DHCP、ROUTE等系統(tǒng)的設(shè)計(jì)。

　　熟悉各類操作系統(tǒng)（windows、unix、EXCHANGE等）的管理。

　　網(wǎng)絡(luò)管理員

　　計(jì)算機(jī)專業(yè)本科以上學(xué)歷。三年以上的網(wǎng)絡(luò)管理工作經(jīng)驗(yàn)。

　　熟悉網(wǎng)絡(luò)技術(shù)的原理。英文閱讀流利。

　　能夠獨(dú)立設(shè)計(jì)網(wǎng)絡(luò)，優(yōu)化網(wǎng)絡(luò)性能。

　　熟練使用交換機(jī)、路由器、網(wǎng)管軟件等網(wǎng)絡(luò)軟硬件設(shè)備。

　　熟悉WINDOWS、UNIX等應(yīng)用層操作系統(tǒng)。

　　有從事本崗位工作的高度責(zé)任感，遵紀(jì)守法，堅(jiān)持原則，嚴(yán)格管理

　　項(xiàng)目管理員

　　大學(xué)本科畢業(yè)，具有三年以上電力系統(tǒng)相關(guān)工作經(jīng)驗(yàn)。

　　熟悉計(jì)算機(jī)軟硬件及網(wǎng)絡(luò)相關(guān)知識。

　　熟悉與項(xiàng)目相關(guān)的業(yè)務(wù)部門技術(shù)和管理知識。

　　政治素質(zhì)高、思想品德好、有較強(qiáng)的組織協(xié)調(diào)能力和表達(dá)能力。

　　數(shù)據(jù)庫管理員

　　大學(xué)本科計(jì)算機(jī)專業(yè)畢業(yè)，具有五年以上工作經(jīng)驗(yàn)。

　　熟悉計(jì)算機(jī)硬件技術(shù)與軟件操作系統(tǒng)的原理。

　　熟悉掌握操作系統(tǒng)的安裝與卸載。

　　掌握數(shù)據(jù)庫（SQL、ORACLE、Sybase等）原理以及安裝、設(shè)計(jì)與管理。

　　能夠熟悉網(wǎng)絡(luò)的構(gòu)架以及網(wǎng)絡(luò)和操作系統(tǒng)的結(jié)合。

　　熟悉各類操作系統(tǒng)（NT、WIN2K、EXCHANGE等）的管理。

　　信息安全員

　　大學(xué)專科及以上計(jì)算機(jī)專業(yè)畢業(yè)，具有兩年以上工作經(jīng)驗(yàn)。

　　熟悉各類信息安全技術(shù)和設(shè)備的原理與配置。

　　熟悉各類操作系統(tǒng)（windows、unix）的管理。

　　掌握數(shù)據(jù)庫（SQL、ORACLE、Sybase等）的安全配置技術(shù)。

　　熟悉網(wǎng)絡(luò)的構(gòu)架以及網(wǎng)絡(luò)和操作系統(tǒng)。

　　硬件維護(hù)人員

　　相關(guān)專業(yè)中專以上畢業(yè)。認(rèn)真負(fù)責(zé)，遵紀(jì)守法。

　　熟悉掌握計(jì)算機(jī)軟硬件的知識及網(wǎng)絡(luò)知識，具有較高的軟件硬件維護(hù)水平

　　系統(tǒng)運(yùn)維人員

　　相關(guān)專業(yè)中專以上畢業(yè)。認(rèn)真負(fù)責(zé)，遵紀(jì)守法。

　　熟悉掌握計(jì)算機(jī)軟硬件的知識及網(wǎng)絡(luò)知識，具有較高的軟件硬件維護(hù)水平

　　人員職責(zé)

　　系統(tǒng)管理員

　　所轄工作對本部門主觀領(lǐng)導(dǎo)負(fù)責(zé)。

　　負(fù)責(zé)所管轄的應(yīng)用系統(tǒng)及設(shè)備的運(yùn)行維護(hù)。

　　負(fù)責(zé)系統(tǒng)各項(xiàng)業(yè)務(wù)參數(shù)的設(shè)置、修改、檢查。

　　負(fù)責(zé)設(shè)置和修改系統(tǒng)用戶帳號和口令（密碼）。

　　負(fù)責(zé)授權(quán)或限制操作員、網(wǎng)絡(luò)管理員的普通用戶使用系統(tǒng)的口令（密碼）。

　　負(fù)責(zé)給系統(tǒng)增、刪各類用戶。

　　網(wǎng)絡(luò)管理員

　　所轄工作對本部門主觀領(lǐng)導(dǎo)負(fù)責(zé)。

　　負(fù)責(zé)計(jì)算機(jī)網(wǎng)絡(luò)的管理工作。

　　認(rèn)真貫徹執(zhí)行網(wǎng)絡(luò)管理方面的有關(guān)規(guī)程和上級制定的有關(guān)網(wǎng)絡(luò)管理工作的各項(xiàng)規(guī)章制度

　　參與網(wǎng)絡(luò)規(guī)劃,包括網(wǎng)絡(luò)拓樸結(jié)構(gòu)的制定，ip地址的規(guī)劃，網(wǎng)絡(luò)設(shè)備的選型等。

　　負(fù)責(zé)網(wǎng)絡(luò)日常維護(hù)和故障排除。

　　負(fù)責(zé)網(wǎng)絡(luò)安全，制定安全策略。

　　負(fù)責(zé)網(wǎng)絡(luò)固定資產(chǎn)的管理及裝置的報廢、淘汰工作。

　　項(xiàng)目管理員

　　對本項(xiàng)目領(lǐng)導(dǎo)小組和本人所在部門的直接領(lǐng)導(dǎo)負(fù)責(zé)。

　　負(fù)責(zé)所轄項(xiàng)目的全過程的組織、溝通、總結(jié)整理工作，直至工程結(jié)束后的總結(jié)驗(yàn)收、鑒定或評審結(jié)束，保證項(xiàng)目的按時按質(zhì)完成

　　數(shù)據(jù)庫管理員

　　所轄工作對本部門主管領(lǐng)導(dǎo)負(fù)責(zé)。

　　負(fù)責(zé)所轄所有業(yè)務(wù)數(shù)據(jù)安全管理。

　　負(fù)責(zé)存儲備份系統(tǒng)的運(yùn)行、維護(hù)及升級等工作。

　　參與各系統(tǒng)數(shù)據(jù)庫的設(shè)計(jì)、數(shù)據(jù)編碼編制和數(shù)據(jù)結(jié)構(gòu)規(guī)劃等工作。

　　信息安全員

　　負(fù)責(zé)數(shù)據(jù)接口管理以及數(shù)據(jù)倉庫的建設(shè)。

　　所轄工作對本部門主管領(lǐng)導(dǎo)負(fù)責(zé)。

　　負(fù)責(zé)所管轄的信息系統(tǒng)及網(wǎng)絡(luò)的安全管理，確保不發(fā)生重大信息安全事故。

　　組織或參與公司或上級單位的信息安全檢查。

　　負(fù)責(zé)信息安全的信息發(fā)布、宣傳和培訓(xùn)。

　　協(xié)助其他信息技術(shù)管理工作。

　　硬件維護(hù)人員

　　負(fù)責(zé)公司本部及本所部門電腦安裝、調(diào)試和日常維護(hù)。

　　負(fù)責(zé)公司本部及本所各部門打印機(jī)的日常維護(hù)。

　　負(fù)責(zé)公司本部及本所各部門工作人員使用電腦技術(shù)指導(dǎo)。

　　負(fù)責(zé)協(xié)助公司本部及本所各部門工作人員做好數(shù)據(jù)安全與備份。

　　分公司系統(tǒng)運(yùn)維人員

　　遵守所在單位的各項(xiàng)規(guī)章制度、服從所在單位領(lǐng)導(dǎo)關(guān)于信息化工作的安排并作好信息化建設(shè)的參謀。

　　接受省公司信息中心的工作安排，配合省公司信息中心作好全省網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的建設(shè)和運(yùn)行維護(hù)工作，及時反映所在單位信息化工作方面的情況。

　　負(fù)責(zé)分公司及各部門電腦、打印機(jī)的安裝、調(diào)試和日常維護(hù)。

　　負(fù)責(zé)分公司局域網(wǎng)的運(yùn)行與維護(hù)，保證網(wǎng)絡(luò)安全運(yùn)行。

　　負(fù)責(zé)分公司及各部門工作人員使用電腦及應(yīng)用系統(tǒng)的技術(shù)指導(dǎo)。

　　負(fù)責(zé)分公司應(yīng)用系統(tǒng)日常運(yùn)行及數(shù)據(jù)備份

　　人員考核

　　按工作標(biāo)準(zhǔn)，應(yīng)定期對各個崗位的人員進(jìn)行安全技能及安全認(rèn)知的考核。

　　對關(guān)鍵崗位的人員須進(jìn)行全面、嚴(yán)格的考核，必須經(jīng)過政審并要考核其業(yè)務(wù)能力。

　　考核結(jié)果進(jìn)行記錄并保存。

　　按省公司有關(guān)規(guī)定進(jìn)行檢查與考核

　　人員離崗

　　對調(diào)離人員，特別是因不適合安全管理要求被調(diào)離的人員，必須嚴(yán)格辦理調(diào)離手續(xù)，進(jìn)行調(diào)離談話、承諾其調(diào)離后的保密義務(wù)，交回所有鑰匙及證件，退還全部技術(shù)手冊、軟件及有關(guān)資料，更換系統(tǒng)口令和機(jī)要鎖。涉及電網(wǎng)業(yè)務(wù)核心技術(shù)的信息安全人員調(diào)離單位，必須進(jìn)行離崗審計(jì)，并在規(guī)定的脫密期后，方可調(diào)離。

　　立即終止由于各種原因即將離崗的員工的所有訪問權(quán)限；取回各種身份證件、鑰匙、徽章等以及機(jī)構(gòu)提供的軟硬件設(shè)備；經(jīng)機(jī)構(gòu)人事部門辦理嚴(yán)格的調(diào)離手續(xù)，并承諾調(diào)離后的保密義務(wù)后方可離開。

　　安全意識教育和培訓(xùn)

　　信息安全人員應(yīng)負(fù)責(zé)對公司所有使用計(jì)算機(jī)的人員進(jìn)行安全意識教育、崗位技能培訓(xùn)和相關(guān)安全技術(shù)培訓(xùn)工作。

　　信息安全人員應(yīng)書面形式告知相關(guān)人員相應(yīng)的安全責(zé)任和懲戒措施，并對違反違背安全策略和規(guī)定的人員進(jìn)行懲戒。

　　信息安全人員應(yīng)定期接受政治思想教育、職業(yè)道德教育和安全保密教育。

　　信息安全人員應(yīng)定期參加下列信息安全知識和技能的培訓(xùn)：

　　信息安全法律法規(guī)及行業(yè)規(guī)章制度的培訓(xùn)；

　　信息安全基本知識的培訓(xùn)；

　　信息安全專門技能的培訓(xùn)。

　　第三方人員管理

　　第三方人員包括軟件開發(fā)商，硬件供應(yīng)商，系統(tǒng)集成商，設(shè)備維護(hù)商和服務(wù)提供商，以及實(shí)習(xí)學(xué)生和臨時工作人員。

　　應(yīng)對第三方人員的物理訪問和邏輯訪問實(shí)施訪問控制，根據(jù)其在系統(tǒng)中完成工作的時間、性質(zhì)、范圍、內(nèi)容等方面的需要給予最低授權(quán)。

　　第三方人員的現(xiàn)場工作或遠(yuǎn)程維護(hù)工作內(nèi)容應(yīng)在合同中明確規(guī)定，如工作涉及機(jī)密或秘密信息內(nèi)容，應(yīng)要求其簽署保密協(xié)議。

　　一般情況下第三方人員的現(xiàn)場工作，如數(shù)據(jù)庫、系統(tǒng)、漏洞掃描、入侵檢測、白客滲透以及其他軟件的安裝等，不許接入自帶的設(shè)備。

　　第三方人員的現(xiàn)場工作應(yīng)在本單位信息部門有關(guān)人員的陪同和監(jiān)督下完成。第三方人員自帶設(shè)備接入信息系統(tǒng)應(yīng)得到特別授權(quán)，其操作應(yīng)受到審計(jì)。

　　第三方人員工作結(jié)束后，應(yīng)及時清除有關(guān)賬戶、過程記錄等信息。

　　5附則

　　1)本標(biāo)準(zhǔn)由海南電網(wǎng)公司信息通信分公司負(fù)責(zé)解釋。

　　2)本標(biāo)準(zhǔn)自頒布之日起實(shí)行。