8.3人員管理

金融業機構對數據安全管理相關人員進行管理，具體要求如下：

a)在人員錄用及日常管理方面，應滿足以下要求：

1)錄用員工前，進行必要的背景調查。

2)對數據安全關鍵崗位制定統一的保密協議，并與可接觸機構3級及以上數據的員工以及從事數據安全關鍵崗位的員工簽署保密協議。

3)識別機構數據安全關鍵崗位，并與其簽署數據安全崗位責任協議，數據安全關鍵崗位包括但不限于：

–數據安全管理崗位、審計崗位；

–業務操作與信息技術操作特權賬戶所有者；

–數據各級權限審批崗位；

–重要數據處理崗位；

–信息系統開發、測試崗位人員；

–因業務需要，需高頻和(或)大批量接觸3級及以上數據的崗位人員；

–外部數據采購崗位；

–其他金融業機構識別的數據安全關鍵崗位。

4)在發生人員調離崗位時，立即完成相關人員數據訪問、使用等權限的配置調整，并明確有關人員后續的數據保護管理權限和保密責任；若有關人員調整后的崗位不涉及數據的訪問與處理的，明確其繼續履行有關信息的保密義務要求。

5)與員工終止勞動合同時，立即終止并收回其對數據的訪問權限，明確并告知其繼續履行有關信息的保密義務要求，并簽訂保密承諾書。

6)建立外部人員管理制度，對允許被外部人員訪問的系統和網絡資源建立數據存取控制機制、認證機制，列明所有外部用戶名單及其權限，加強對外部人員的數據安全要求和培訓，必要時簽署保密協議。

b)在人員培訓和教育方面，應制定數據安全相關崗位人員的安全專項培訓計劃，并至少滿足以下要求：

1)按照培訓計劃定期開展數據安全意識教育與培訓，培訓內容包括但不限于國家有關法律法規、行業規章制度、技術標準，以及金融業機構內部數據安全有關制度與管理規程等內容，并對培訓結果進行評價、記錄和歸檔。

2)對密切接觸高安全等級數據的人員定期開展數據安全意識教育和培訓，培養辦公數據定期刪除意識，并定期開展數據刪除自查工作。

3)每年至少對數據安全管理專職與關鍵崗位人員進行1次數據安全專項培訓。

4)至少每年1次或在隱私政策發生重大變化時，對數據安全關鍵崗位上的人員開展專業化培訓和考核，確保人員熟練掌握隱私政策和相關規程。

c)在數據相關人員管理及關鍵崗位設置方面，應進一步加強管理，并應對接觸高安全等級金融數據的人員及其崗位進行審批和登記，并定期對這些人員行為進行安全審查。

d)數據庫管理員、操作員及安全審計人員等崗位應設立專人專崗，并實行職責分離；必要時特權賬戶所有者、關鍵數據處理崗位等數據安全關鍵崗位應設立雙人雙崗，強化數據安全管理。