第六章 人员组织管理
第三十五条 市政府办公业务专网各节点单位应当指定专门的机构或人员负责系统的设备管理维护、数据的更新维护和完全工作。
第三十六条 安全的人员组织管理原则。
(一)多人负责
每一项与安全有关的活动,都必须有两人或多人在场。这些人由系统主管领导指派,须认真可靠,能胜任此项工作;活动完毕应签署工作情况记录以证明安全工作已得到保障。负责的安全活动范围包括:
1、访问控制使用证件的发放与回收;
2、信息处理系统使用的媒介发放与回收;
3、处理保密信息;
4、硬件和软件的维护;
5、重要程序和数据的删除和销毁等。
(二)任期有限
遵循任期有限原则,工作人员应不定期循环任职,不得长期担任与安全有关的职务,并规定对工作人员进行轮流培训,以使任期有限制度切实可行。
(三)职责明确
非系统主管领导批准,信息处理系统工作人员不得打听、了解或参与职责以外的任何与安全有关的事项。
出于安全需要,下面每组内的两项信息处理工作应尽可能分开:
1、系统管理与计算机编程;
2、机密资料的接收和传送;
3、安全管理和系统管理;
4、访问证件的管理与其它工作;
5、计算机操作与信息处理系统使用媒介的保管等。
第三十七条 安全的人事组织管理的实现信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应的规范。具体工作是:
(一)根据工作的重要程度,确定该系统的安全等级。
(二)根据确定的安全等级,确定安全管理的范围。
(三)制订相应的机房出入管理制度。对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记和管理。
(四)制订严格的操作规程。根据职责明确和多人负责的原则,各负其责,不得超越自己的管辖范围;对工作调动和离职人员要及时调整相应的授权。
(五)制订完备的系统维护制度。对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录。
(六)制订应急措施。要制订系统在紧急情况下,如何尽快恢复的应急措施,使损失减少至最小。
