第一章   总则

第一条  为了保障甘肃医学院信息系统人员管理的安全性和规范性，特制定本规定。

第二条  人员安全管理包括人员录用、岗位人选、人员转岗和离岗、人员考核、人员惩戒、人员教育和培训的安全管理。

第三条  本规定适用于信息中心。

第二章  人员录用

第四条  对人员录用实施管理，并注意以下安全要求：

（一）应明确被录用人员的安全技能要求，在录用过程中依据技能要求进行考察，并对技能考核结果进行记录；

（二）规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查；

（三）对于可接触较多机密或更高级别信息资产或特殊工种的人员，需要签订保密协议；

（四）应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议，明确应尽的信息安全保护义务，保证其在岗工作期间和离岗后按照保密协议所规定的时期内，不得违反岗位安全协议。

第三章  岗位人选

第五条  所有信息安全岗位人员应明确其在信息系统中信息安全保护的职责和权限，其工作、活动范围应当被限制在完成其任务的最小范围内。

第六条  安全管理员、安全审计员和数据库管理员等信息安全关键岗位人员，必须经过严格的审查并考核其业务能力。

第四章  人员转岗和离岗

第七条  转岗和离岗人员，应及时通知行政部，只有签署过保密承诺文档后才能办理转岗和离岗手续。

第八条  行政部应通知系统建设和运维人员在24小时内终止离岗人员的所有访问权限，及时变更转岗人员的访问权限。

第九条  对离岗人员，要理清离职交接单的各项交接内容，及时收回各种身份证件、钥匙、以及机构为其提供的软硬件设备等，对设备上保留的数据进行安全处理，包括备份需要留存的数据以及删除不必要的数据。

第十条  对关键岗位转岗和离岗人员需要向其重申调离后的保密义务，应在保密承诺文档上签字，承诺相关保密义务后方可离开。

第十一条  应注意转岗人员的岗位变化，根据岗位需要，重新签署保密协议。

第五章  人员考核

第十二条  技术研发部每年对所有技术人员进行一次安全考核，并注意以下安全要求：

（一）应对所有人员进行安全意识考核；

（二）对涉及信息安全管理、检查和执行的岗位人员，应每年进行一次安全技能的考核，包括安全管理知识的掌握程度、所管理业务系统中安全产品的操作技能、所管理业务系统中使用的操作系统和应用软件的安全使用等；

（三）应将发生的安全事故、安全检查结果和安全审计结果纳入考核内容。

第十三条  安全考核结果应进行存档，以便查询，每次考核后，都应与上次考核进行对比。

第十四条  对于考核中发现有违反信息安全法规行为的人员或发现不适于承担信息安全关键岗位的人员要及时调离岗位。

第六章  人员惩戒

第十五条  人员违反安全策略和规定，依照其违规程度及影响，适度进行惩戒，情节严重的可与其解除劳动合同。

第十六条  如该安全违规涉及法律层面，则可追究该人员的刑事责任。

第七章  人员教育和培训

第十七条  新员工在正式上岗前，应进行信息安全方面的培训，明确岗位所要求遵守的信息安全制度、技术规范以及操作流程。

第十八条  针对信息系统的维护人员和管理人员应定期开展安全技术教育培训（每月一次），明确如何安全使用有关系统，包括各业务系统、主机操作系统、以及计算机周边硬件设备等安全技术知识。

第十九条  应开展由供应商或厂家提供的专业安全技术培训，帮助相关安全管理人员和技术人员了解掌握正确、安全地安装、配置、维护系统。

第二十条  应在信息安全教育和培训后实行书面的考核，确认教育和培训的效果。对安全教育和培训的情况和结果进行记录并归档保存。

第二十一条  日常的信息安全教育和培训应以内部培训为主，对于暂时没有条件实施内部培训的，可根据需要，邀请厂商、合作伙伴或者专业的培训机构实施培训。

第八章  附则

第二十二条  本规定的解释权归信息中心。