华为云首页用户手册

云采用框架-人员安全管理

时间：2025-01-21 11:51:12

云采用框架安全运营

人员安全管理

企业需要对IT部门内的员工以会接触到企业敏感数据的员工进行人员安全管理，主要包括安全意识教育、安全能力培训、重点岗位管理和安全违规问责等。

安全意识教育
为了提升全员的信息安全意识，规避信息安全违规风险，保证业务的正常运营，企业可以从意识教育普及、宣传活动开展、承诺书签署三个方面开展安全意识教育
- 意识教育普及：定期开展信息安全意识教育学习，要求员工持续学习信息安全知识，了解相关政策和制度，知道哪些行为是可以接受，哪些是不能接受的，意识到即使主观上没有恶意，也要对自己的行为负责，并承诺按要求执行。
- 宣传活动开展：面向全员开展形式多样的信息安全宣传活动，包括信息安全社区运营、信息安全典型案例宣传、信息安全活动周、信息安全动画宣传片等。
- 承诺书签署：将信息安全纳入《员工商业行为准则》，通过公司统一开展的年度例行学习、考试和签署活动来传递公司对全员在信息安全领域的要求，提高员工信息安全意识。签署信息安全承诺书，承诺遵守公司各项信息安全政策和制度要求。
安全能力培训
参考业界优秀实践，建立完备的信息安全培训体系。在员工入职、在岗、晋升等环节纳入多种形式的安全技能培训，提升员工安全技能。
- 信息安全基础培训：根据不同角色、岗位制定相应的安全基础能力培训计划。新员工转正前必须通过有关信息安全与隐私保护的上岗培训和考试；在岗员工需根据不同业务角色，选择相应课程进行学习与考试。管理者需参加信息安全必须的培训和研讨。
- 精准培训：通过大数据分析识别产品研发过程中的典型安全问题和问题关联责任人，并向其精准推送安全典型培训方案（包括案例、培训课程、练习题等），持续改进安全质量。
- 实战演练：引进业界优秀实践，开发信息安全实战演练平台，开展红蓝对抗，提供场景化的实战演练环境供员工练习和交流，提升员工的安全技能和安全响应能力。
- 安全能力任职牵引：为了让员工更加自觉、有效地进行信息安全学习，将信息安全要求融入到任职资格标准中。员工在任职晋升过程中需要学习相应的信息安全课程，通过相应的信息安全技能考试，提升自身信息安全能力。
重点岗位管理
为了内部有序管理，消减人员管理风险对业务连续性和安全性带来的潜在影响，建议您对运维工程师等重点岗位实施专项管理。具体如下：
- 上岗安全审查：针对新上岗人员，开展上岗人员安全审查，确保上岗人员背景和资历符合企业的信息安全要求。
- 在岗安全培训赋能：围绕信息安全意识、客户网络服务的业务规范、用户数据及隐私保护要求进行信息安全学习和考试，并根据业务变化定期刷新学习和考试大纲。
- 上岗资格管理：重点岗位员工必须通过信息安全上岗证的考试，并取得证书。通过证书管理平台对已通过安全上岗证考试的员工发放有效期不超过两年的电子证书，证书到期前提醒员工重新参加考试。
- 离岗安全审查：按照调动、离职安全审查清单，对内部调离、离职人员进行离岗安全审查，包括离岗权限账号的清理或修改等。
安全违规问责
企业需要建立严密的安全责任体系，贯彻违规问责机制。要求每个员工都对自己工作中的行为和结果负责，不仅要对技术和服务负责，也要承担法律的责任。安全问题一旦发生，可能会对企业带来极大影响。因此不管故意还是无意，要以行为和结果为主要依据对员工进行问责。根据安全违规的性质，以及造成的后果确定问责处理等级，分级处理。对触犯法律法规的，移送司法机关处理。直接管理者和间接管理者存在管理不力或知情不作为的，须承担管理责任。违规事件处理根据违规个人态度与调查配合情况予以加重或减轻处理。