点对点分析CII与等级保护系列：安全管理部分（二）

CII要求

对应等保要求

运营者应：

a）对安全管理机构的负责人和关键岗位的人员进行安全背景和安全技能审查，符合要求的人员方能上岗，关键岗位包括与关键业务系统直接相关的系统管理、网络管理、安全管理等岗位。关键岗位应专人负责，并配备2人以上共同管理。

安全管理人员

人员录用

b）应对被录用人员的身份、安全背景、专业资格或资质等进行审查，对其所具有的技术技能进行考核；

CII要求

对应等保要求

b）运营者应建立网络安全教育培训制度，定期开展基于岗位的网络安全教育培训和技能考核，应规定适当的关键信息基础设施从业人员和网络安全关键岗位从业人员的年度培训时长，教育培训内容应包括网络安全相关制度和规定、网络安全保护技术、网络安全风险意识等。

安全意识教育和培训：

a）应对各类人员进行安全意识教育和岗位技能培训，并告知相关的安全责任和惩戒措施；

b）应针对不同岗位制定不同的培训计划，对安全基础知识、岗位操作规程等进行培训；

c）应定期对不同岗位的人员进行技能考核。

CII要求

对应等保要求

c）在上岗前对人员进行安全背景审查，当必要时或人员的身份、安全背景等发生变化时（例如取得非中国国籍）应根据情况重新进行安全背景审查。应在人员发生内部岗位调动时，重新评估调动人员对关键信息基础设施的逻辑和物理访问权限，修改访问权限并通知相关人员或角色。应在人员离岗时，及时终止离岗人员的所有访问权限，收回与身份认证相关的软硬件设备，进行离职面谈并通知相关人员或角色。

人员录用

b）应对被录用人员的身份、安全背景、专业资格或资质等进行审查，对其所具有的技术技能进行考核；

c）应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议。

人员离岗

a）应及时终止离岗人员的所有访问权限，取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备；

b）应办理严格的调离手续，并承诺调离后的保密义务后方可离开。

CII要求

对应等保要求

d）与从业人员签订安全保密协议，在安全保密协议中，应约定安全职责、奖惩机制，以及当离岗后的脱密期限。

人员录用

c）应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议。

人员离岗

b）应办理严格的调离手续，并承诺调离后的保密义务后方可离开。