等保2.0基本要求中关于安全管理人员的要求,设置了
人员录用、人员离岗、安全意识教育与培训和外部人员访问管理等4个控制点。
人员录用
一级等保:应指定或授权专门的部门或人员负责人员录用
二级等保:
a) 应指定或授权专门的部门或人员负责人员录用
b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查
三级等保:
a) 应指定或授权专门的部门或人员负责人员录用
b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的的技术技能进行考核
c) 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议
四级等保:
a) 应指定或授权专门的部门或人员负责人员录用
b) 应对被录用人员的身份、安全背景、专业资格或资质等进行审查,对其所具有的的技术技能进行考核
c) 应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议
d) 应从内部人员中选拔从事关键岗位的人员
人员离岗
一级等保:应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章
二级等保:同一级等保
三级等保:
a) 应及时终止离岗人员的所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备
b) 应办理严格的调离手续,并承诺调离后的保密义务后方可离开
四级等保:同三级等保
安全意识教育与培训
一级等保:应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施
二级等保:同一级等保
三级等保:
a) 应对各类人员进行安全意识教育和岗位技能培训,并告知相关的安全责任和惩戒措施
b) 应针对不同岗位制定不同的培训计划,对安全基础知识、岗位操作规程等进行培训
c) 应定期对不同岗位的人员进行技能考核
四级等保:同三级等保
外部人员访问
一级等保:应保证在外部人员访问受控区域前得到授权或审批
二级等保:
a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案
b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限、并登记备案
c) 外部人员离场后应及时清除其所有的访问权限
三级等保:
a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案
b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限、并登记备案
c) 外部人员离场后应及时清除其所有的访问权限
d) 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息
四级等保:
a) 应在外部人员物理访问受控区域前先提出书面申请,批准后由专人全程陪同,并登记备案
b) 应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限、并登记备案
c) 外部人员离场后应及时清除其所有的访问权限
d) 获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,不得复制和泄露任何敏感信息
e) 对关键区域或关键系统不允许外部人员访问
以上
