为避免信息遭受人为过失、窃取、欺骗、滥用的风险,应当识别系统内部每项工作的信息安全职责并补充相关的程序文件。对信息和信息系统的访问进行授权和取消应依据“必须知道”的原则。全体工作人员都应该了解河南职业技术学院各应用系统的网络与信息安全需求,必须为工作人员提供足够的培训以达到该安全需求,并为他们提供报告安全事件和威胁的渠道。
一、工作定义及资源的安全
工作人员从事或离开岗位时必须进行信息安全考虑,相关的安全事项必须包括在工作描述和合同中。
1.对涉及访问秘密或关键信息,或者访问处理这些信息的系统的工作人员应进行严格审查和挑选。
2.应该根据安全角色和职责来描述工作。
3.对信息系统具有特殊访问权限的工作人员应该签署承诺,保证不会滥用权限。
4.当工作人员离开信息系统时应该移交信息系统的访问权限,或工作人员仅在信息系统内部更换工作时也应该重新检查调整其访问权限。
二、用户培训
工作人员应了解信息系统整体的安全需求,并对如何安全地使用信息以及相关的系统和工具进行培训。必须对工作人员就系统信息安全策略和相关管理规定进行培训,使他们熟悉信息安全的实施并加强安全意识。
管理人员应该保证工作人员知道他们与系统信息安全策略相关的职责,在开始执行策略时向他们介绍相关安全需求。
在对工作人员授权对某项信息技术服务进行访问前,必须对他们进行培训,确保他们可正确使用相关的信息工具和设备。
三、事件报告
建立有效的信息反馈渠道,以便于工作人员一旦发现安全威胁、事件和故障,能及时向有关领导报告。
高级管理层的职责之一就是确保该渠道的合理性,确保能够及时报告安全事件。
四、外部访问
应该控制外部访问者访问信息系统的权限。外部访问者不能对我院各应用系统工作区、信息或信息系统进行未经授权的访问。对那些希望访问机密、关键信息或处理信息的系统的访问者,应考虑与他们签署保密协议。
五、人员转调和解聘
1.业务单位应将本单位内部工作人员、用户职责或聘用状况的变更及时通知相关的系统安全管理人员。
2.在解聘或调离各应用系统工作人员的岗位之前,业务单位应:
1)为即将离职的工作人员重新分配职责和信息资产责任权限;
2)确保指定的继任者能够从该工作人员处获得与该岗位相关的资料和信息;
3)收回所有有关应用系统文档、分发的钥匙和借走的IT设备(例如笔记本、数据媒体、文件);
4)必须取消即将离任工作人员进入敏感信息处理区域的权力,删除其访问权限。
六、信息处理设备使用要求
1.业务和职能单位应向所有应用系统工作人员、合同工和临时工提供足够的警告信息,禁止滥用各应用系统计算资源。
2.应禁止使用学院各应用系统资源访问含有非法信息或内容的网站。业务和职能单位应确保所有对各应用系统网络和计算资源的使用(包括访问互联网)都必须遵守学院各应用系统的安全策略和标准及所有适用的本地法律。
3.禁止用户连接到某些非业务网站。严禁工作人员使用网络系统连接到包含有色情、种族歧视及其他不良内容的网站。禁止保留、拷贝或传播任何违反规章或法律条例的信息、数据或材料。学院信息中心信息安全管理部门保留审计其设备并删除发现的这类非法材料的权力。
4.严禁学院各应用系统工作人员未经授权采取技术手段实施可对信息系统造成影响的行为。进行尝试欺骗任何主机、网络或帐号的验证或其他安全措施的行为;严禁工作人员试图干扰任何用户、主机或网络的服务;严禁工作人员使用任何程序、脚本或命令干扰任何其他用户的终端或登录对话。