5.3　組織和人員管理

5.3　組織和人員管理

5.3.1　組織管理

5.3.1.1　一般要求

大數據服務提供者應：
a) 建立大數據服務安全管理組織機構，明確大數據服務安全崗位和用戶角色職責。
b) 建立大數據服務安全領導小組，指定機構最高管理者或授權代表擔任小組組長，并明確組長責任與權力。
c) 指定大數據服務平臺與應用安全規劃、安全建設、安全運營和系統維護工作的責任部門。
d) 建立機構內部監督管理職能部門，對大數據服務和各用戶操作行為進行安全監督管理。

5.3.1.2　增強要求

大數據服務提供者應：
a) 建立體系化的大數據服務安全管理機構，機構最高管理人員應作為大數據服務安全領導小組組長，且配備必要的管理人員和技術人員。

5.3.2　人員管理

5.3.2.1　一般要求

大數據服務提供者應：
a) 制定大數據服務人力資源安全策略，明確不同崗位人員在數據生命周期各階段數據服務和系統服務相關的工作范疇和安全管控措施。
b) 制定大數據服務人員招聘、錄用、上崗、調崗、離崗、考核、選拔等人員安全管理制度。
c) 在錄用重要崗位人員前對其進行背景調查，確保符合相關的法律、法規、合同和道德要求，并與所有涉及大數據服務崗位人員簽訂安全責任協議。
d) 明確大數據服務重要崗位的兼職和輪崗、權限分離、多人共管等安全管理要求。
e) 建立人員安全責任獎懲管理制度，并按照規定對造成大數據服務損失的人員給予相應的處理，記錄并保存相關信息。
f) 建立第三方人員安全管理制度，對接觸個人信息、重要數據等數據的人員進行審批和登記，并要求簽署保密協議，定期對這些人員行為進行安全審查。

5.3.2.2　增強要求

大數據服務提供者應：
a) 明確關鍵崗位人員背景調查范圍，定期對關鍵崗位人員進行背景審查。

5.3.3　角色管理

5.3.3.1　一般要求

大數據服務提供者應：
a) 建立大數據服務相關的安全角色，明確安全角色的分配策略和授權范圍。
b) 建立用戶角色及角色權限沖突的定期審查機制，及時更新用戶角色及角色權限授權信息。

5.3.3.2　增強要求

大數據服務提供者應：
a) 依照大數據服務需求和大數據系統架構建立分層的角色體系、職責分離等大數據服務安全角色管理機制。

5.3.4　人員培訓

5.3.4.1　一般要求

大數據服務提供者應：
a) 制定大數據服務安全崗位人員的安全培訓計劃，并對培訓計劃定期審核和更新。
b) 制定大數據服務關鍵崗位轉崗、崗位升級等相應的人員安全培訓計劃，并對培訓計劃定期審核和更新。

5.3.4.2　增強要求

大數據服務提供者應：