4.3　制度管理

4.3　制度管理

4.3.1　管理制度

管理制度要求如下：
a) 應對管理活動中的各類管理內容建立安全管理制度，覆蓋物理、網絡、主機系統、數據、應用、建設和管理等層面的各類管理內容；
b) 應對要求管理人員或操作人員執行的日常管理操作建立操作規程，如系統維護手冊和用戶操作規程等；
c) 應指定或授權專門的部門或人員負責管理制度的制定；
d) 應組織相關人員對制定的管理制度進行論證和審定，并保存評審記錄、評審意見；
e) 應將管理制度以某種方式發布到相關人員手中，并進行登記；

4.3.2　管理機構

管理機構要求如下：
a) 應設立負責人崗位，并定義負責人的職責；
b) 應設立專門的管理員崗位，包括系統管理員、網絡管理員、安全管理員等崗位，并定義各個工作崗位的職責；
c) 應根據各個部門和崗位的職責明確授權審批部門及批準人，對系統投入運行、網絡系統接入和重要資源的訪問等關鍵活動進行審批，并保存關鍵活動的審批過程記錄；
d) 應加強與辦公信息系統供應方、第三方測試機構等的合作與溝通；
e) 應建立外聯單位聯系列表，包括單位名稱、合作內容、聯系人、聯系方式等內容；

4.3.3　人員管理

4.3.3.1　人員錄用

人員錄用要求如下：
a) 應指定或授權專門的部門或人員負責人員錄用；
b) 應與被錄用人員簽署保密協議；

4.3.3.2　人員離崗

人員離崗要求如下：
a) 應規范人員離崗過程，及時終止離崗員工的所有訪問權限，并保存相關記錄；
b) 應取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備，并保存相關記錄；

4.3.3.3　人員考核

應定期對各個管理崗位的人員進行技術知識、安全技能的考核，并對考核內容和考核結果等內容進行記錄。

4.3.3.4　人員培訓

應對各類人員進行崗位技能培訓和相關技術培訓，并對培訓周期、培訓方式、培訓內容等內容進行記錄。

4.3.3.5　外部支持人員

外部支持人員要求如下：
a) 外部專業技術支持人員應取得相關信息系統集成商或基礎軟硬件廠商頒發的技能認證證書；
b) 應確保在外部支持人員訪問受控區域前得到授權或審批，并保存授權或審批記錄；