总则

    第一条  制度目标：为加强浙江工商大学人员安全管理，保障信息系统的安全，根据《网络安全等级保护基本要求》（GB/T22239-2019）等要求，制定本制度。

    第二条  适用范围：本制度适用于所有涉及信息系统的相关人员。

                               第一章  人员岗位设定与职责

    第三条  各部门要指定专人作为信息管理员，并在数字化办公室备案。当信息管理员发生变更时，须在十个工作日内重新向数字化办公室备案。

    第四条  信息管理员负责本单位信息系统安全的日常工作，会同具体系统管理员确保本单位数据和信息的准确性、实时性、完整性和安全性，参与学校组织的网络安全培训。

    第五条  各部门与网络安全、信息安全相关各岗位应签订保密协议。岗位变更时要重新签订或修订保密协议，并对以前约定的保密内容和期限做出承诺。

                                         第二章  人员培训

    第六条  由数字化办公室负责对相关人员进行安全技能和意识培训的工作。

    第七条  每年对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训。每年针对不同岗位制定不同的培训计划，至少包含信息安全基础知识、岗位操作规程等。

    第八条  对各类人员的安全责任和惩戒措施进行书面规定并通告，对违反规定的人员进行惩戒。对于各自岗位所需要的信息安全基础知识准备不足、安全责任不完全了解的，经领导审批后，予以调岗处理；对于安全意识不足的，予以批评并进行安全意识培训。

    第九条  培训的情况和结果归档保存，纳入个人和部门的绩效考核中。

                                         第三章  人员考核

    第十条  数字化办公室的关键岗位技术人员进行安全技能及安全认知考核，对关键岗位的人员进行全面、严格的安全审查和技能考核。结合各个部门发生的网络安全事件、上级安全通报对各部门人员进行考核。

    第十一条  对考核结果进行记录并保存为人员考核记录表。

                                         第四章  人员离岗

    第十二条  当相关人员离岗或离职时，应及时终止该员工的所有访问权限，当需要访问权限时按照审批流程重新分配权限。

    第十三条  人员离岗应按照我单位离职程序严格执行。

    第十四条  应取回各种证件、门禁卡、钥匙等以及涉及的软硬件设备并移交个人所有工作资料并清除个人计算机等设备中存储的资料等。

    第十五条  人员离岗须签订《离职保密承诺书》后方可离岗。

                                     第五章  外部人员管理

    第十六条  外部人员包括软件开发商、硬件供应商、系统集成商、服务提供商、临时工作人员等。

    第十七条  外部人员应明确受控区域，对外部人员允许访问的区域、系统、设备、信息内容等进行限定。

    第十八条  外部人员应根据需要给予最低授权访问权限。

    第十九条  外部人员在进入受控区域前须填写《外部人员访问申请表》，获得批准后由专人全程陪同监督。

    第二十条  外部人员工作时涉及机密或秘密信息内容，应要求其签署保密协议，并记录工作过程和内容。

                                             第六章  附则

    第二十一条     本制度由浙江工商大学制定，并负责解释和修订。

    第二十二条     本制度自发布之日起执行。