文档信息
文档名称
|
安全教育和培训管理制度
|
文档编号
|
|
文档类别
|
策略方针 □管理制度 ■工作流程 □操作指南 □运维记录 □其他 □
|
当前版本
|
1.0
|
创建日期
|
2020-10-18
|
文档编辑部门
|
信息中心
|
文档作者
|
|
联系方式
|
|
修订记录
文档版本
|
日期
|
修改人员
|
审阅人员
|
修订摘要
|
V1.0
|
2020-10-18
|
|
|
建立文档
|
|
|
|
|
|
审批发布
序号
|
审核记录
|
日期
|
审阅人员
|
1
|
审阅
|
2020-10-18
|
|
2
|
正式核准发布
|
2020-10-18
|
|
3
|
|
|
|
一总则
目的。为加强信息安全教育培训的管理,提高培训质量,同时提高整体信息安全水平及工作人员信息安全意识和信息安全技能,依据《信息安全管理办法》制定本管理制度。
对象。本管理制度的对象针对信息系统安全相关人员以及普通职工用户。
范围。本管理制度适用于对信息安全教育培训的管理、实施工作。
要求。信息系统的安全教育和培训安全管理要求统一遵循《GB/T 22239-2019信息安全技术 信息系统安全等级保护基本要求》。
二基本要求
1.应对信息管理部门信息安全员定期开展信息安全相关培训。
2.信息安全培训内容包括安全意识培训、安全技能培训和安全专业技术培训。
3.信息安全培训可采用内部培训或外部培训的方式进行,内部培训方式包括举办信息安全知识讲座、内部学习研讨班、信息安全知识竞赛、发放宣传手册和简报等形式;外部培训方式包括参加第三方信息安全专业机构组织的培训班,或由学校聘请信息安全专家以及其他专业人员对人员进行培训。
4.信息安全意识培训原则上要求全学校工作人员共同参与,或根据实际需求组织和确定参加培训的对象,在某些情况下可以要求有合作关系的外联单位参加。
5.应对在职人员进行必要的信息安全意识教育和培训,让工作人员了解和掌握基本的信息安全法律法规,加强全体工作人员的信息安全意识。
6.信息安全技能培训主要针对信息处理设备使用者或管理人员进行,如系统安全配置、设备操作等安全技术相关内容。
7.信息安全专业技术培训是专门针对信息安全工作需要开展的,如ISO 27001、CISP等专业安全培训。
8.为强化培训效果,应结合实际需要组织不同形式的培训考核(如提交培训心得体会、组织笔试等形式),培训及考核相关材料由信息中心安全管理员存档登记。
三信息安全意识培训
1.信息安全意识培训工作应由信息中心负责组织和准备,在人事部门和业务部门的配合下开展。
2.全体人员应参加关于信息安全意识方面的培训,新进人员在入职后3个月内参加信息安全培训,关键/敏感岗位人员的变动应开展相关的岗位培训。
3.对信息安全政策、制度、标准的重大调整或更新必须组织相关培训,保证所有人员及时了解、掌握变更内容。
4.用户在使用任何信息技术设施前(包括软件和硬件),必须接受完整的培训,特别是应包括关于学校各项使用规定。
四信息安全技能培训
信息中心负责组织培训工作,安全技能培训的教材、课程应由信息中心安全管理员负责,保证所有需要参加培训的人员都能及时的参加必要的安全技能培训。
当系统的新建、升级对用户使用产生影响时,须事先开展针对用户的培训。
五专业技术培训
1.专业技术培训主要针对技术人员的,可以由经验丰富的高级技术人员传授知识,也可以请相关第三方提供专业的培训,外包培训应避免接触学校敏感信息。
2.信息中心应派遣技术人员参加外部举办的安全相关培训、研讨会或产品展示会,及时掌握最新的安全技术。
3.参加专业技术培训的人员应提出申请,由相关部门审批后方可参加。
六附则
对违反本制度的人员,将按照有关规定进行处罚。
本制度由信息安全工作小组负责制定、解释和修改。
本制度自发布之日起执行。
信息安全工作小组
2020年10月18日