第一章  总则

第一条 为加强我院网络安全和教育信息化水平，实现智慧校园建设目标，打造一支梯度合理、竞争力强的校园信息化建设技术队伍，特制定本管理办法。

第二条 本管理办法适用于全校范围内的信息技术人员，包括学院网络管理中心信息技术人员，各部门分管本部门信息化工作负责人和兼职信息技术人员，外包、外聘、临时参与我院信息化建设的技术人员等。

第三条 全校信息技术人员应以高度负责任的态度，为学校信息化建设凝神聚力，坚守岗位，认真履行职责，努力完成各项信息化建设任务。

第二章 关键信息技术岗位人员管理

第四条 关键信息技术岗位人员，是指与重要信息系统或个人信息数据直接相关的负责人、系统（网络）管理员、安全员、审计员、重要应用开发人员、系统维护人员、重要业务操作人员等岗位人员。

第五条 重要信息系统，是指在内蒙古交通职业技术学院运行的门户网站、办公OA、学生、教学系统筹核心业务或有保密要求的信息系统。

第六条 关键岗位人员上岗前必须经本部门进行政治素质审查，业务技能考核，工作经历和工作经验考查等，合格者方可上岗。

第七条 关键岗位人员有责任保护信息系统的秘密，并以签署保密协议的方式作出安全承诺。

第八条 关键岗位人员上岗必须实行“权限分散、不得交叉覆盖”的原则。系统管理人员、网络管理人员、系统开发人员、系统维护人员不得兼任业务操作员，系统开发人员原则上不应兼任系统管理员。

第三章 人员离岗离职管理

第九条 信息技术岗位人员离岗离职时，涉及下列资料全部上交，包括：

一、信息系统管理软件、服务器、交换机、路由器的用户名和密码口令、实体秘钥等。

二、服务器、网络通信设备、信息系统的说明书、操作手册、技术参数等各种重要资料。

三、所持有或保管的记录本部门秘密信息的文件、存储介质、仪器等任何形式的载体。

四、其它涉及岗位职责的重要资料。

第十条 涉及学院关键信息技术和涉密信息岗位人员调离部门填写《离岗人员保密承诺书》（附件1）并进行离岗审计，在规定的脱密期后，方可调离。

第十一条 工作人员离岗离职时，应立即取消或更改其计算机涉密信息系统访问权限。

第四章 外部人员访问管理制度

第十二条 所有到访校园网受控区域的外来人员必须依据来访登记表进行登记预约，未经本部门相关人员确定的访客一律谢绝进入受控区域。登记表必须记录时间、姓名、证件名称、事由、离开时间和陪同人员等相关信息，并在备注中说明其他需要明确或记录的事项。

第十三条 若外部人员因业务需要接入受控网络访问系统，应先提出书面申请，经上级批准后由专人开设账户、分配权限，并登记备案，在外部人员离开后应及时清除其所有的访问权限。

第十四条 系统访问授权的外部人员应签署保密协议，不得进行非授权操作，不得复制和泄露任何敏感信息。

第十五条 未按规定进入者，如造成损失和泄密等不安全后果的，追究相关负责人和当事人责任。情节严重的，触犯国家有关法律、法规者，移交公安机关处理。

第五章 信息化服务外包运维人员管理

第十六条 信息化服务外包运维人员（以下简称“外包运维人员”）主要包括学校各部门以签订合同的方式或者以直接购买服务的方式，委托非我校所属的专业机构提供的信息技术服务人员。

第十七条 外包运维信息化服务主要包括网络安全和信息系统技术开发、系统运维、等保测评、应急处置、信息技术咨询、技术培训等相关信息化建设服务。

第十八条 按照“谁主管谁负责，谁运维谁负责，谁使用谁负责”的原则，各部门为本部门信息化服务外包工作负主体责任。

第十九条 外包运维人员应当是运维服务提供部门的正式工作人员或者是与运维服务部门签订一年以上劳动合同且实际工作满一年的人员，常驻外包运维人员应当为技术骨干。各部门应与信息化服务外包运维人员及其所属部门签订三方保密协议，并积极开展保密教育，引导外包运维人员按规定做好保密工作。

第二十条 各部门要加强运维工作现场管理，按照最小化原则授予外包运维人员必要的管理权限，严格控制其接触涉密信息的范围，防止其违规访问涉密信息系统及数据，并对运维记录进行留痕管理。

第二十一条 各部门应加强对常驻外包运维人员的监督管理，对不常驻的外包运维人员，要督促指导运维部门做好日常监督管理工作。

第二十二条 外包运维人员应具有良好的工作作风和严谨的工作态度，遵规守纪，服从管理。必须妥善保管所持有的涉密文件资料，未经授权或批准不得对外提供任何涉及学校的文件、技术、业务资料、业务数据以及其他未经公开的信息；不得利用学院信息资源为个人牟利或进行违法行为；不得以学校名义对外宣传。违者予以开除或退回原部门，涉及违法行为的，交由公安机关处理。

第二十三条 外包运维人员离职离岗时，应签订《离岗人员保密承诺书》（附件1），清退文件资料、涉密载体、存储介质、出入证、门禁卡等，注销相关工作账号。属于涉密人员的，要按照有关规定完成脱密期管理。

第二十四条 学院重要信息系统的运维部门应当具备相应的保密资质，信息系统的安全保密管理员和安全审计员岗位，不得使用外包运维人员。

第五章 人员安全培训

第二十五条 人员正式上岗前，应进行信息安全方面的培训，明确岗位所要求遵守的信息安全制度、技术规范以及操作流程。

第二十六条 针对信息系统的维护人员和管理人员应定期开展安全技术教育培训（每月一次），明确如何安全使用有关系统，包括各业务系统、主机操作系统、以及计算机周边硬件设备等安全技术知识。

第二十七条 应开展由供应商或厂家提供的专业技术培训，帮助相关管理人员和技术人员了解掌握正确、安全地安装、配置、维护系统。

第二十八条 日常的信息技术培训应以内部培训为主，对于暂时没有条件实施内部培训的，可邀请网络管理中心或厂商、专业的培训机构实施培训。

第二十九条 学院网络管理中心定期组织进行网络安全宣传教育活动以及技术培训。