公司人员安全教育和培训管理制度
安全意识教育与培训
为增强公司信息系统人员安全意识,确保信息系统安全稳定运行,特制订本管理制度: 1.应定期对信息系统内部人员进行安全意识教育、岗位技能培训及安全技术培训,提高员工的信息安全意识;
2.针对不同层次的人员,进行不同内容的信息安全教育与培训。内容包括信息安全法律、法规、方针政策、操作流程及信息安全基础技能训练;
3.安全教育与培训同样适用于所有接入和使用网络及信息系统的第三方人员;
4.安全教育与培训内容应具有针对性,根据业务发展和信息系统的变化,及时进行调整、修改和补充;
5.对于违反安全策略和规定的人员应及时进行惩戒,具体惩戒措施见人员安全管理制度; 6.应定期进行安全教育与培训,针对不同岗位制定不同培训计划,培训内容包括信息安全基础知识、岗位操作规程等,具体内容如下; 1) 基本安全教育:
培训对象:所有接触和使用信息系统的人员,包括内部人员和相关的第三方人员; 培训内容:
a) 信息安全的含义;
b) 明确说明限制普通人员进入和使用的重要区域和设备,以及相应的违规处罚; c) 强调业务数据对组织的重要性,任何篡改、破坏业务数据的行为必将受到严厉的法律制裁;
d) 计算机用户安全操作管理规范;
e) 普通用户在应急响应计划中的角色和作用; f) 普通用户在灾难恢复计划中的角色和作用; g) 典型的安全事件案例介绍; h) 信息安全管理的监督和检查机制。 2) 专业安全培训:
培训对象:负责信息安全基础设施运行和维护的专业技术人员,包括安全管理员,系统管理员,网络管理员和数据库管理员。 培训内容:
a) 进行职业道德培训;
b) 与岗位职能相关的信息安全技术理论培训; c) 岗位职能与操作技能培训。 3) 高级安全培训:
培训对象:负责信息安全保障体系规划和建设的专业技术人员、信息安全基础设施的设计和工程实施人员。 培训内容:
a) 国家及行业与信息安全有关的法律、法规内容;
b) 信息安全技术理论和知识培训,包括物理安全、网络安全、系统安全等; c) 信息安全管理理论培训,包括信息安全管理的国际标准、安全风险评估的理论与方法等;
d) 信息安全工程理论培训;
e) 关键岗位职能与责任培训,关键岗位包括各级信息安全管理部门的负责人等。 7.应妥善保管信息安全教育与培训的相应记录并归档保存。
