第一条 广东金融学院应根据各岗位信息安全特性和业务特点，确定各岗位信息安全角色和职责。信息安全角色及职责应包括以下内容：

一、在信息安全管理组织架构中的角色和职责；

二、在执行信息安全方针和目标方面的职责；

三、在遵守国家、地方各种信息安全相关法律法规方面的职责；

四、在保护信息资产免受未授权访问、泄露、修改、销毁或干扰方面的职责；

五、执行特定的安全过程或活动方面的职责；

六、在报告信息安全事故和弱点方面的职责。

第二条 广东金融学院应根据已确定的岗位安全角色和职责，在岗位职责或协议中通过信息安全相关条款加以明确。信息安全相关条款可以包括以下方面：

一、岗位相关的法律职责和权利；

二、信息系统相关资产的管理职责；

三、操作其他组织和机构信息的职责；

四、保护个人信息方面的安全职责，包括对个人隐私保密，不滥用个人信息等；

五、在办公区域外和正常工作时间之外的职责；

六、信息安全违规将受到的惩戒措施。

第三条 人员录用和上岗

一、指定或授权专门的部门或人员负责人员录用；

二、严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核；

三、岗位人员在任用之前应签署保密协议；

四、从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。

五、各单位（部门）应通过教育和培训活动，确保本单位（部门）员工、外来人员在上岗前，理解其岗位信息安全角色和职责。

六、各单位（部门）应确保在针对本单位员工的岗前培训中，包括信息安全管理体系和相关管理制度、岗位信息安全职责等信息安全相关的内容。

第四条 教育和培训

一、对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训；

二、对安全责任和惩戒措施进行书面规定并告知相关人员，对违反违背安全策略和规定的人员进行惩戒；

三、对定期安全教育和培训进行书面规定，针对不同岗位制定不同的培训计划，对信息安全基础知识、岗位操作规程等进行培训；

四、对安全教育和培训的情况和结果进行记录并归档保存。

第五条 撤销访问权

一、各单位（部门）在人员任用终止时，应按照离岗手续，通知相关单位（部门）对该人员使用信息和信息系统的权限进行调整；

二、各单位（部门）依照相关人员的个人权限清单和广东金融学院的要求，修改、限制或删除相关信息和信息系统的访问权限，包括物理访问、逻辑访问、密钥及ID卡等，并作相应记录；

三、各单位（部门）应立即撤销或停用离岗人员所使用的账户，或者修改离岗人员所掌握的系统帐户口令。

第六条 离职管理

一、广东金融学院应明确人员离职和转岗时的手续，明确离职和转岗管理职责。职责一般包括：

1、在归还资产方面各相关单位（部门）的职责；

2、在撤销访问权方面各相关单位（部门）的职责；

3、在岗位人员变动方面各相关单位（部门）的职责；

４、离开岗位后还应承担的责任，如保密限制等。

二、离职人员应明确其离职后仍需担负的安全责任和义务，以及违反安全责任和义务所引发的后果。

三、离岗人员在离岗时归还其使用的资产，包括所有先前发放的软件、访问卡、文件和设备等。相关单位（部门）应与离岗人员进行离岗交接，并做好记录；

四、离岗人员应就其涉及到的专利、技术文档等及时向所在单位（部门）上交；

五、人员在离岗时，应对正在实施的项目中的相关信息形成文档并提交给相关单位（部门），进行项目交接。

六、如发生有离职人员违反其应负的安全责任，泄露组织部敏感秘密，由广东金融学院按照有关规定和相关协议追究其法律责任。

第七条 保密协议

广东金融学院应根据岗位安全职责，对重要岗位制定相应的保密协议。保密协议可包括以下方面的内容：

一、岗位所要保护的信息；

二、协议有效期；

三、协议终止时所应采取的措施；

四、为避免泄密，签字人的职责和行为；

五、保密协议与知识产权保护、商业秘密保护的关系；

六、涉密信息的许可使用，及签字人使用信息的权力；

七、对涉密信息的活动的审核和监视；

八、涉密信息泄露或被破坏后的处理程序；

九、协议终止时信息的归档或销毁的措施；

十、违反协议后应采取的措施。

第八条 信息安全岗位检查

一、各单位（部门）应提高安全意识，定期对本单位（部门）岗位进行信息安全检查，确保信息安全规定得到了有效地执行；

二、广东金融学院应不定期抽查各单位（部门）的岗位信息安全职责的落实情况，确保各单位（部门）的岗位信息安全职责的落实。

第九条 信息安全岗位考核

一、对于信息安全事故和在信息安全检查中发现的违规行为，由广东金融学院根据有关考核规定对该人员进行处罚；

二、对于情节特别严重的违规行为，还应借助网络、简报等媒介向组织部其它政府机构（部门）进行普遍宣传，避免同类问题再次发生。

三、定期对各个岗位的人员进行安全技能及安全认知的考核；

四、对关键岗位的人员进行全面、严格的安全审查和技能考核；

五、对考核结果进行记录并保存。

第十条 外来人员管理

一、外来人员来组织部访问、参观时，应对其进行信息安全意识教育，确保其理解和遵守访问、参观时应注意的信息安全规定。

二、各单位（部门）在与外部方签订合同时，应按照岗位角色和职责要求，在合同中对外来人员进行约束。

三、各单位（部门）应要求外部方根据合同要求，对其人员进行安全职责的宣传和教育，确保外来人员理解其应担负的安全责任和义务。

四、各单位（部门）应按照组织部有关信息安全管理规定以及合同要求，对所有外来人员进行监督和检查，并就安全违规情况按合同条款中的要求进行处理。

五、确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案；

六、对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。