人员安全管理办法

-1-人员安全管理办法第一章总则第一条目标：对成都银行（以下简称“我行”）员工、承包方和第三方在任用前、任用中、任用后的相关安全职责以及行为进行管理和规范：(一)对人力资源进行有效的安全管理；(二)减少因人为原因，造成的信息资产被盗窃、误用和滥用的风险；(三)确保员工了解信息安全威胁，并在日常工作中遵守我行信息安全管理政策和制度。第二条本管理办法根据《成都银行信息安全管理策略》制订。第三条范围：本管理办法适用于我行全体部门与人员，及其他与我行IT风险管理工作相关的第三方人员。第四条本管理办法所指的员工是指我行在编正式人员等；承包方是指与我行签订合作协议的协作方，包括：IT外包人员、文秘人员等；第三方是指员工、承包方以外的其他人员。包括：临时实习人员、下属公司借用人员及返聘人员等。第二章人员任用前的管理第五条在任用前，确保员工、承包方和第三方理解其职责，保证其承担的角色符合我行信息安全要求，以降低设施被盗窃、滥用和误用的风险。信息安全职责应于人员任用前在适当的岗位描述、任用条款和条件中指出。第六条要对任用的员工、承包方和第三方的候选人员进行充分的审查，特别是对接触敏感信息的人员。第七条安全职责(一)对于员工，必须通过书面的岗位职责对其安全角色和职责进行描述和说明。(二)对于承包方和第三方的安全角色和职责，应按照组织的信息安全政策进行定义，清晰地传达给相关人员，并要求其签署书面承诺。(三)安全角色和职责应包括但不限于以下要求：-2-1)按照我行信息安全方针实施和运行；2)保护信息资产免受非授权访问、泄露、修改和破坏；3)执行特定的安全过程或活动；4)确保安全职责落实到个人；5)向组织报告安全事件或潜在事件或其他安全风险。第八条员工选拔(一)人力资源部负责对我行内各个职位的应聘人员认真筛选，按照我行人力资源部的程序对应聘人员面试并进行背景调查。背景调查时应考虑：个人和职业推荐信，身份证明，学历和/或职业资格原始文件等。(二)对员工的背景调查应在申请职位时进行，调查包括以下内容：1、要有适当的推荐人，以对申请人的业务能力和个人品德进行证明；2、检查申请人的简历是否完整及准确；3、确认其声明的学历及职业资格是否真实；4、进行独立的身份检查（身份证、护照或其它文件）；(三)各部门负责人可根据本部门对上岗员工的特殊要求，提出必要的附加调查内容，并反馈给人力资源部，以便选出合适的人员。(四)建立正式程序以确定对人员背景进行验证审查。第九条对于承包方人员和第三方人员也要执行审查过程。如果承包方人员是通过代理机构提供，与代理的合同要清晰地规定代理进行人员审查的职责，以及未完成审查或审查结果引起怀疑时，代理机构需要遵守的通知程序。同样，与第三方的协议应清晰的指定审查的所有职责和通知程序。第十条对我行考虑录用的所有候选者的信息，应按照相关法律法规来收集和处理。依据适用的法律，应将审查活动提前通知候选者。-3-第十一条任用条款和条件(一)员工应同意并签署任用合同中的条款和条件，这些条款和条件要声明相关的信息安全职责。(二)我行准备聘用的承包方和第三方人员，除了要承诺遵守我行制订的聘用条件和岗位职责外，还应当认真阅读《工作人员信息安全守则》，并与人力资源部门签署协议，承诺遵守其中的所有信息安全管理方面的规则，并以作为聘用的前提条件。(三)工作中涉及到我行敏感类信息的员工、承包方和第三方要与人力资源部门签订一份《保密协议》后才能开始工作。员工、承包方和第三方的保密协议由我行人力资源部保存；员工、承包方和第三方所在的部门根据业务的需要，也可以与员工签订专门的保密协议。第三章人员任用中的管理第十二条员工、承包方和第三方如需申请我行系统帐号，必须通过我行相关部门审批通过后，才能设立工作所需的最小权限帐号。第十三条员工、承包方和第三方的工作岗位发生变化时，需要对其访问权限进行相应调整。第十四条管理职责管理层应采取必要措施，保证员工、承包方和第三方严格遵守我行已建立的信息安全方针、策略和程序，管理职责应包括：(一)确保员工、承包方和第三方在被授权访问敏感信息或信息系统前了解其信息安全的角色和职责；(二)制定并颁布明确的安全期望的实施指南；(三)建立恰当的激励机制；(四)监督员工、承包方和第三方遵守任用条款和条件和相应的信息安全政策(五)员工、承包方和第三方提供恰当的信息安全教育与培训。-4-第十五条应当对我行的所有员工(适当时也可以包括承包方人员和第三方人员)进行与其工作职能相关的信息安全意识培训及教育。第十六条纪律处理过程(一)对于安全违规的员工，应有一个正式的纪律处理过程，纪律处理过程之前应有一个安全违规的验证过程。(二)正式的纪律处理过程应确保正确、公平、公正对待被怀疑安全违规的员工。(三)对于严重的明知故犯的情况，应立即免职、删除访问权和特殊权限，如果需要，直接护送出现场。第四章人员任用变更或终止第十七条变更与终止职责(一)员工、承包方和第三方的任用变更或任用终止的职责应清晰的定义和分配。(二)终止职责的传达应包括安全要求和法律职责，必要时还应包括任何保密协议规定的职责，并且在员工、承包方或第三方用户的任用结束后持续一段时间仍然有效的任用条款和条件。(三)必要时，在员工、承包方人员或第三方人员的合同中应包含相关职责和义务在任用终止后仍然有效的内容。(四)职责或任用的变更管理应与职责或任用的终止管理相似。人力资源的职能通常是与系统管理部门或系统运行部门一起负责总体的任用终止处理。对于承包方，终止职责的处理可以由代表承包方人员的负责人完成，其他情况下的用户可能由相关部门来处理。(五)当有我行人员和运营上安排的发生的变更时，有必要通知员工、承包方人员或第三方人员。第十八条资产归还(一)所有的员工、承包方和第三方在终止任用合同或协议时，应归还其使用的所有我行资产。建立的正式任用终止过程要包括资产归还的内容，包括但不限于所有先前-5-发放的计算机设备、软件、公司文件、信用卡、身份识别卡、文档和存储于电子介质中的信息都需要归还。(二)当员工、承包方人员或第三方人员应确保其所使用的或拥有的设备中的相关信息已转移给我行，并且已从设备中安全地进行了删除。(三)当员工、承包方人员或第三方人员在我行工作期间，利用我行信息资产产生的所有相关知识产权物品，应移交或归还给我行。第十九条撤销访问权(一)所有员工、承包方和第三方人员对信息和信息处理设施的访问权应在在岗位发生变更时进行调整或在任用终止时删除。(二)任用变更或终止时，个人对与信息系统和服务有关的资产的访问权应被重新申请。(三)应删除或改变访问权的内容包括物理访问授权、逻辑访问授权、密钥、ID卡、信息处理设施、签名等。必要时，在对信息和信息处理设施的访问权进行变更或终止前需要进行风险评估。第五章附则第二十条本管理办法由人力资源部负责解释和修订。第二十一条本办法自公布之日起实施。