2024年4月23日发(作者：)

信息系统安全人员及培训管理规定

第一章 总则

第一条 为了进一步规范信息系统安全人员及培训的管理工作，根据《信息

安全等级保护管理办法》、《信息系统安全管理要求》（GBT 20269-2006）和其他

有关法律法规的规定，结合实际，特制定本规定。

第二条 本规定适用于信息系统安全人员及培训管理工作，包括人员录用、

人员离岗、人员考核与审查、教育和培训、第三方人员的管理工作。

第三条 信息系统安全工作人员包括安全管理员、管理中心安全主管、技术

管理人员、重要业务应用操作人员；其中技术管理人员属于关键岗位人员，包括

系统管理员、数据库管理员、网络管理员、系统开发人员和系统维护人员。

第二章 人员录用

第四条 信息安全领导小组秘书长负责指导人事部门对安全工作人员的录用

工作。应对拟录用人员进行身份、背景、专业资格和资质等方面的审查，并进行

技能考核，合格者需签署保密协议方可上岗。

第五条 人员录用前的审查标准为：具有基本的专业技术水平，接受过安全

意识教育和培训，能够掌握安全管理基本知识；对信息系统关键岗位的人员还应

具备较好的思想品质；安全管理员应具有基本的系统安全风险分析和评估能力。

第六条 重要区域或部位的安全管理员一般可从内部符合条件的人员中选拔，

应具备认真负责的工作态度、能够保守工作秘密。

第三章 人员离岗

第七条 人事部门应及时把被解雇的、退休的、辞职的或其他原因离开的人

员情况书面函告信息系统安全管理中心，非紧急离开人员应提前2个工作日函告；

1

管理中心接到函告后应立即停止其对信息系统的所有访问权限、更改其使用的超

级用户密码；应收回其所有相关证件、密钥、访问控制标记等，并收回机构提供

的设备等。

第八条 管理层和信息系统关键岗位人员调离岗位，必须签署书面保密承诺

书，承诺其调离后对原来工作中涉及信息的保密要求；必须进行离岗安全审查，

在规定的脱密期限后，方可调离；必须经人事部门严格按照人事管理规定办理调

离手续。

第九条 涉密人员的脱密期限遵照有关保密规定；非涉密人员的脱密期限一

般为30天。

第四章 人员考核与审查

第十条 应每半年组织一次针对信息系统安全工作人员的定期考核，对各个

岗位的人员进行不同侧重的安全认知和安全技能的考核，作为人员是否适合当前

岗位的参考；考核方式包括书面考题、实际操作。

第十一条 应每半年组织一次针对关键岗位人员的定期审查，审查依据记录

表格和操作日志，如发现其违反安全规定，应查明原因，令其做出整改承诺；严

重者不得继续从事关键岗位工作。

第十二条 对关键岗位人员的工作，每年终进行安全考核，年终考核通过对

定期考核、定期审查的结果进行审查，考核结果存档保留，以保证安全管理的有

效性。

第五章 教育和培训

第十三条 应每半年组织一次针对信息系统安全工作人员的信息安全教育和

培训，包括信息安全意识的培养教育和安全技术培训。

第十四条 教育和培训应让安全工作人员知晓信息的敏感性和信息安全的重

要性，培养安全意识，认识其自身的责任和安全违例会受到纪律惩罚，以及应掌

握的信息安全基本知识和技能。

2

第十五条 针对不同岗位，制定不同的专业培训计划，包括信息安全基础知

识、安全政策、岗位操作规程、安全技术、安全标准、安全要求、法律责任和业

务控制措施等。

第十六条 应制定并实施安全教育和培训计划，计划由安全管理员组织制定

并牵头实施，列入年度计划和考核工作之中。教育和培训的情况和结果进行记录

并归档保存。

第六章 第三方人员管理

第十七条 第三方人员是指外包项目的承接、供货公司等外的硬件和软件开

发维护人员，咨询人员，临时性的短期职位人员，以及辅助人员和外部服务人员

等。第三方人员非因工作需要不得进入计算机房，不得对重要信息系统进行维护

性逻辑访问。

第十八条 第三方人员进入计算机房需要得到安全管理员的书面批准，并有

专人负责全程陪同、有书面申请、批准和过程记录，应划定范围并有专人全程监

督或陪同；进行逻辑访问应使用专门设置的临时账户，并进行审计。

第十九条 计算机房中的在关键区域，一般不允许第三方人员进入；已经正

式运行的重要信息系统，一般不允许第三方人员进行逻辑访问。

第七章 沟通和合作

第二十条 应加强各类管理人员之间、内部机构之间以及信息安全职能部门

内部的合作与沟通，对于重大问题应及时召开协调会议，共同协作处理信息安全

问题。

第二十一条 应加强与外单位的合作与沟通，及时获取最新安全动态与保护

技术。

第二十二条 应在必要时邀请或聘用信息安全专家，对的信息系统安全方面

提出建议；也可组织专家参与安全威胁的评估，提供安全控制措施的建议，进行

信息安全有效性评判，对安全事件给予专业指导和原因调查。

3

第二十三条 对外沟通和合作过程中可以提供必要的内部信息，但事先应经

过安全管理员的书面批准，在提供内部信息的同时应告知这些信息的敏感性和保

密性，并应采取必要的安全措施，保证提供的信息在安全可控的范围内。

第八章 附则

第二十四条 本规定由技术部负责解释。

第二十五条 违反本规定，发生信息安全事件的，按照事件造成的损失和后

果，依据国家有关法律法规进行处罚。

第二十六条 本规定自发布之日起施行。

4