1、 信息安全培訓(xùn)及教育管理辦法第一章 總則第一條 為了加強(qiáng)公司信息安全保障能力，建立健全公司的安全管理體系，提高整體的信息安全水平，保證網(wǎng)絡(luò)通信暢通和業(yè)務(wù)系統(tǒng)的正常運(yùn)營(yíng)，提高網(wǎng)絡(luò)服務(wù)質(zhì)量，在公司安全體系框架下，本策略主要明確公司信息安全培訓(xùn)及教育工作的內(nèi)容及相關(guān)人員的職責(zé)。對(duì)公司人員進(jìn)行有關(guān)信息安全管理的理論培訓(xùn)、安全管理制度教育、安全防范意識(shí)宣傳和專門(mén)安全技術(shù)訓(xùn)練；確保公司信息安全策略、規(guī)章制度和技術(shù)規(guī)范的順利執(zhí)行，從而最大限度地降低和消除安全風(fēng)險(xiǎn)。第二條 本策略適用于公司所有部門(mén)和人員。第二章 信息安全培訓(xùn)的要求第三條 信息安全培訓(xùn)工作需要分層次、分階段、循序漸進(jìn)地進(jìn)行，而且必須是能夠覆蓋全

2、員的培訓(xùn)。第四條 分層次培訓(xùn)是指對(duì)不同層次的人員，如對(duì)管理層（包括決策層）、信息安全管理人員，系統(tǒng)管理員和公司人員開(kāi)展有針對(duì)性和不同側(cè)重點(diǎn)的培訓(xùn)。第五條 分階段是指在信息安全管理體系的建立、實(shí)施和保持的不同階段，培訓(xùn)工作要有計(jì)劃地分步實(shí)施；信息安全培訓(xùn)要采用內(nèi)部和外部結(jié)合的方式進(jìn)行。一、 管理層（決策層）第六條 管理層培訓(xùn)目標(biāo)是明確建立公司信息安全體系的迫切性和重要性，獲得公司管理層（決策層）有形的支持和承諾。第七條 管理層培訓(xùn)方式可以采用聘請(qǐng)外部信息安全培訓(xùn)、專業(yè)公司的技術(shù)專家和咨詢顧問(wèn)以專題講座、研討會(huì)等形式。二、 信息安全管理人員第八條 信息安全管理人員培訓(xùn)目標(biāo)是理解及掌握信息安全原理和

3、相關(guān)技術(shù)、強(qiáng)化信息安全意識(shí)、支撐公司信息安全體系的建立、實(shí)施和保持。第九條 信息安全管理人員培訓(xùn)方式可以采用聘請(qǐng)外部信息安全專業(yè)資格授證培訓(xùn)、參加信息安全專業(yè)培訓(xùn)、自學(xué)信息安全管理理論及技術(shù)和公司內(nèi)部學(xué)習(xí)研討的方式。三、 公司系統(tǒng)管理員第十條 公司系統(tǒng)管理員培訓(xùn)目標(biāo)是掌握各系統(tǒng)相關(guān)專業(yè)安全技術(shù)，協(xié)助公司和各部門(mén)信息安全管理人員維護(hù)和保障系統(tǒng)正常、安全運(yùn)行。第十一條 公司系統(tǒng)管理員培訓(xùn)方式可以采用外部和內(nèi)部相結(jié)合的培訓(xùn)以及自學(xué)的方式。四、 公司人員第十二條 公司人員培訓(xùn)目標(biāo)是了解公司相關(guān)信息安全制度和技術(shù)規(guī)范，有安全意識(shí)，并安全、高效地使用公司信息系統(tǒng)。第十三條 公司人員培訓(xùn)方式應(yīng)主要采取內(nèi)部培

4、訓(xùn)的方式。第三章 信息安全培訓(xùn)的內(nèi)容一、 安全體系及安全職責(zé)分工第十四條 公司各級(jí)領(lǐng)導(dǎo)及人員明確了解公司信息安全體系，并明確各自在的安全職責(zé)，明確自身對(duì)維護(hù)保障公司系統(tǒng)正常、安全運(yùn)行所需承擔(dān)的相關(guān)責(zé)任和義務(wù)。第十五條 培訓(xùn)應(yīng)采用長(zhǎng)期，并覆蓋公司全員。二、 新人員入職安全培訓(xùn)第十六條 新人員在正式上崗前，應(yīng)進(jìn)行信息安全方面的培訓(xùn)，明確崗位所要求遵守的公司信息安全制度和技術(shù)規(guī)范。三、 公司人員安全技術(shù)教育第十七條 針對(duì)公司系統(tǒng)的維護(hù)人員和管理員應(yīng)定期開(kāi)展安全技術(shù)教育培訓(xùn)（每年至少一次），明確如何安全使用有關(guān)系統(tǒng)，包括各業(yè)務(wù)系統(tǒng)、主機(jī)操作系統(tǒng)、電子郵件系統(tǒng)、內(nèi)部網(wǎng)站以及普通計(jì)算機(jī)周邊硬件設(shè)備。四、

5、各項(xiàng)安全專業(yè)技術(shù)教育第十八條 針對(duì)公司安全管理員和系統(tǒng)管理員應(yīng)定期開(kāi)展由供應(yīng)商或廠家提供的專業(yè)安全技術(shù)培訓(xùn)，幫助相關(guān)安全管理人員和系統(tǒng)管理員了解掌握正確、安全地安裝、配置、維護(hù)系統(tǒng)。五、 安全專業(yè)資格認(rèn)證第十九條 針對(duì)公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)實(shí)際情況，挑選公司信息安全管理及安全技術(shù)人員進(jìn)行相關(guān)的認(rèn)證考試培訓(xùn)，并參加認(rèn)證考試，以提高公司安全管理人員對(duì)信息安全的管理理論和技術(shù)的水平。六、 信息安全內(nèi)部考核（含培訓(xùn)）第二十條 針對(duì)公司安全管理員和系統(tǒng)管理員應(yīng)根據(jù)崗位不同，對(duì)人員進(jìn)行相關(guān)的信息安全培訓(xùn)，并在培訓(xùn)后實(shí)行書(shū)面（開(kāi)卷或閉卷）信息安全考核。第二十一條 每年至少一次對(duì)各個(gè)崗位的人員進(jìn)行安

6、全技能及安全認(rèn)知的考核。第二十二條 公司人員的安全培訓(xùn)及教育成績(jī)，作為對(duì)該人員作考核的依據(jù)之一。七、 關(guān)于信息安全的獎(jiǎng)懲措施第二十三條 公司人員安全管理由各部門(mén)專、兼職安全管理員具體進(jìn)行操作，把執(zhí)行情況向本部門(mén)安全管理組織，及公司信息安全辦公室匯報(bào)，并由公司信息安全辦公室直接呈報(bào)給公司信息安全領(lǐng)導(dǎo)小組作為公司各部門(mén)年度目標(biāo)責(zé)任制考核的內(nèi)容之一。第二十四條 對(duì)執(zhí)行制度好、信息安全工作成績(jī)顯著的部門(mén)和個(gè)人，將給與表彰和適當(dāng)獎(jiǎng)勵(lì)；對(duì)違反公司安全管理制度、信息安全工作存在不足和隱患的部門(mén)，由公司信息安全領(lǐng)導(dǎo)小組發(fā)出書(shū)面整改通知，限期整改；對(duì)刻意不執(zhí)行公司安全管理制度、漠視信息安全工作和存在安全隱患而沒(méi)

7、有及時(shí)整改的，以至造成重大安全事故和案件的，將追究其部門(mén)主要負(fù)責(zé)人和直接責(zé)任者的責(zé)任，并按公司有關(guān)考核管理辦法予以處理，構(gòu)成犯罪的，將依法追究其刑事責(zé)任。第四章 公司信息安全培訓(xùn)的管理一、 安全培訓(xùn)的發(fā)起第二十五條 公司及部門(mén)安全管理組織可根據(jù)自身安全管理的需要，發(fā)起相應(yīng)的安全培訓(xùn)計(jì)劃。第二十六條 涉及納入公司人員考核的培訓(xùn)，需要公司人事部的確實(shí)，以及公司信息安全辦公室備案考核結(jié)果。第二十七條 新人員、公司全員的安全培訓(xùn)教育，納入公司人事部的整體培訓(xùn)計(jì)劃中。第二十八條 具體操作過(guò)程遵守公司人事部的相關(guān)培訓(xùn)管理制度。二、 安全培訓(xùn)的實(shí)施第二十九條 培訓(xùn)的實(shí)施，主要由公司人事部負(fù)責(zé)。第三十條 對(duì)專業(yè)性很強(qiáng)的培訓(xùn)，培訓(xùn)發(fā)起的各級(jí)安全培訓(xùn)組織負(fù)責(zé)。第三十一條 具體操作過(guò)程遵守公司人事部的相關(guān)培訓(xùn)管理制度。安全教育和培訓(xùn)記錄表培訓(xùn)主題培訓(xùn)對(duì)象培訓(xùn)時(shí)間培訓(xùn)地點(diǎn)主講人記錄整理人培訓(xùn)內(nèi)容（包含但不限于信息安全基礎(chǔ)知識(shí)、崗位技能、安全技術(shù)培訓(xùn)、崗位操作規(guī)程等）培