《人力资源安全管理办法》由会员分享,可在线阅读,更多相关《人力资源安全管理办法(7页珍藏版)》请在金锄头文库上搜索。
1、XXXX 人力资源安全管理办法 文文件件名名称称版版本本号号 文文件件编编号号机机密密等等级级 发发布布日日期期生生效效日日期期 拟拟制制日日期期 审审核核日日期期 批批准准日日期期 变化状态:新建,增加,修改,删除 文文件件修修订订履履历历 创建/变更人 变化状 态 变更摘要(章节/内 容) 版本 创建/变更时 间 批准人 目录 1 目 目的的4 2 适适用用范范围围 4 3 术术语语和和定定义义.4 4 雇雇用用前前管管理理.4 4.1 信信息息安安全全职职责责4 4.2 员员工工选选拔拔.5 4.3 第第三三方方人人员员筛筛选选5 4.4 任任用用条条款款和和条条件件5 5 雇雇用用中中
2、管管理理.5 5.1 职职责责和和权权限限5 5.2 信信息息安安全全意意识识、教教育育和和培培训训.6 5.3 惩惩戒戒教教育育.6 6 雇雇用用终终止止和和变变更更管管理理6 6.1 任任用用变变更更或或终终止止时时的的安安全全职职责责6 6.2 归归还还资资产产.6 6.3 撤 撤销销访访问问权权限限7 7 策策略略的的审审批批和和修修订订. 7 8 附附则则7 XXXX 人力资源安全管理办法 1 目目的的 为了规范XXXX(以下简称“XXXX”)人力资源的安全管理,提高人力资源安全管理 的水平,特制订本文件。 2 适适用用范范围围 本策略适用于本单位所有部门、全体员工以及第三方人员等。
3、 3 术术语语和和定定义义 1.信息系统:由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户 和规章制度组成的以处理信息流为目的的人机一体化系统。 2.信息资源:一个组织在生产及管理过程中所涉及到的一切文件、资料、图表和数 据等信息的总称。它涉及到生产和经营活动过程中所产生、获取、处理、存储、传输和 使用的一切信息资源,贯穿于组织管理的全过程。 3.信息资产是由组织拥有或者控制的能够为组织带来未来经济利益的信息资源。 4.数据:在信息系统中,各种字母、数字符号的组合、语音、图形、图像等统称为 数据,数据经过加工后就成为信息。 5.安全策略:有关管理、保护和发布敏感信息的法律、规定和实
4、施细则。 6.资产:对组织具有价值的信息或资源,是安全策略保护的对象。 7.脆弱性:包括可能会被威胁所利用的资产或若干资产的弱点。 8.信息安全事件:指系统、服务或网络的一种可识别状态的发生,它可能是对信息 安全策略的违反或防护措施的失效,或未预知的不安全状况。 4 雇雇用用前前管管理理 人事科需确保XXXX 正式员工在任用前,在适当的岗位描述、任用条款和条件中明 确说明其应履行的信息安全职责, 确保人员理解其信息安全职责, 确保其承担的角色符 合XXXX 的信息安全要求。 4.1 信信息息安安全全职职责责 1.对于XXXX正式员工, 必须通过书面的岗位职责说明对其信息安全职责进行描述。 2.
5、对于第三方人员的信息安全职责,应按照XXXX 信息安全相关文件进行定义,清 晰地传达给相关人员,并要求其签署书面承诺。 3.信息安全职责应包括但不限于: 遵守XXXX信息安全策略和信息安全守则; 保护XXXX信息资产免受非授权访问、泄露、修改和破坏; 配合或执行特定的信息安全过程或活动; 及时向XXXX相关人员报告安全事件、潜在威胁、以及其他可能引发安全风险的 事件。 4.2 员员工工选选拔拔 1.人事科负责对 XXXX 各个职位的应聘人员进行筛选, 按照人事科的程序对应聘人 员进行面试和背景调查。 2.对应聘人员的背景调查应在申请职位时进行。背景调查应包括但不限于以下内 容: 要有适当的推荐
6、人,以对应聘人员的业务能力和个人品德进行证明; 检查应聘人员的简历是否完整及准确; 确认应聘人员声明的学历和职业资格是否真实; 对应聘人员进行独立的身份证明(包括身份证、护照或其它文件)检 查; 检查应聘人员档案记录是否完整; 符合关于交通行业员工背景调查的要求。 3.各部门相关负责人可根据本部门对上岗员工的特殊要求, 提出必要的附加调查内 容,并反馈给人事科,以便选拔出合适的人员。 4.3 第第三三方方人人员员筛筛选选 如果第三方人员是通过代理机构提供,与代理机构的合同要清晰地规定代理机构进 行人员审查的职责, 以 及未完成审查或审查结果引起怀疑时, 代理机构需要遵守的通知程 序。同样,与第
7、三方的协议应清晰的指定所有的审查职责和通知程序。 4.4 任任用用条条款款和和条条件件 1.候选者应同意并签署任用合同中的条款和条件, 这些条款和条件要声明相关的信 息安全职责。 2.准备聘用的第三方人员,除了要承诺遵守 XXXX 制订的聘用条件和岗位职责外, 还应当与XXXX 签署协议,承诺遵守其中的所有规则,并以此作为聘用的前提条件。 3.工作中涉及到XXXX 敏感信息的员工和第三方人员要与XXXX 签订保密协议后 才能开始工作。XXXX 员工和第三方人员所在的部门根据业务需要,也可以与其签订专门 的保密协议; 4.必要时, 在XXXX 员工和第三方人员的合同中应包含相关职责和义务在任用终
8、止后 仍然有效的内容。 5 雇雇用用中中管管理理 5.1 职职责责和和权权限限 各部门根据实际工作的岗位特点、人员和重要性要求等方面发布正式文件规定各个 岗位的信息安全职责和相关访问权限,确保各方人员在被授权访问敏感信息、信息系统 或信息处理设备前了解所承担的信息安全角色的职责和权限; 对 于员工和第三方人员如需 申请信息系统的帐号,必须获得相关部门审批通过后,才能设立其工作所需的最小权限 帐号;对于员工和第三方人员的工作岗位发生变化时,必须通过相关部门审批,对其访问 权限进行相应的调整。 5.2 信信息息安安全全意意识识、教教育育和和培培训训 分配适当的信息安全培训经费, 保证员工在聘用期间
9、, 根据其岗位特点和职责要求, 对其进行相应的信息安全意识教育与培训,使其持续拥有适用于工作的信息安全意识、 技能和资质。具体培训内容与方式等请参见信息安全培训管理规范 。 5.3 惩惩戒戒教教育育 对违反信息安全规定的各方人员,须按照有关规定给予惩戒教育。 对于信息安全违规的XXXX 员工,应有一个正式的纪律处理程序,在进入纪律 处理程序前应经过信息安全违规验证; 正式的纪律处理程序应确保被怀疑信息安全违规的XXXX 员工得到正确、 公平、 公正的对待; 对于严重的明知故犯的情况,应立即免职,同时删除其访问权限和特殊权限; 如有需要,可立即强制离开现场。 6 雇雇用用终终止止和和变变更更管管
10、理理 6.1 任任用用变变更更或或终终止止时时的的安安全全职职责责 应清晰的定义和分配XXXX 员工和第三方人员的任用变更或任用终止的职责; 终止职责的传达应包括信息安全要求和法律职责, 必要时还应包括任何保密协议 规定的职责,及在XXXX 员工和第三方人员的任用结束后持续一段时间仍然有效的任用 条款和条件; 职责或任用的变更管理应与职责或任用的终止管理相似。人事科、系统部及员 工所属部门一起负责总体的任用终止处理,系统部及员工所属部门系统管理员主要负责 IT 设备回收与帐号、系统访问权限的终止处理。 6.2 归归还还资资产产 所有XXXX 员工和第三方人员在终止任用合同或协议时,应归还其使用
11、的所有XXXX 资产。需要归还内容包括但不限于所有先前发放的: XXXX 文件,包括纸质和电子文件; 各种手册和书籍,包括电子版和纸质版; 工作成果及相关文档; 计算机及外设,包括打印机、扫描仪等; 已发放的软件; 移动存储设备; 工卡、门禁卡等身份标识物; 用于工作的信用卡; 其他属于XXXX的资产。 所有XXXX 员工和第三方人员应确保其所使用的或拥有的设备中的相关信息已转移给 XXXX,并且已从设备中安全地进行了删除。XXXX 员工和第三方人员在XXXX 工作期间,利 用XXXX 信息资产所产生的所有具有知识产权的产物,应及时移交或归还给XXXX。 6.3 撤撤销销访访问问权权限 限 当
12、雇佣终止时,应撤销相关人员对信息、信息处理设施和物理环境的访问权限;雇 佣发生变更的人员在撤销原有的访问权限后,还要根据新的角色和岗位授予新的职责和 权限。应撤销或改变的权限包括但不限于: 物理环境的访问权限; 信息系统的访问权限; 信息处理设备访问权限; 内部网络的访问权限。 7 策策略略的的审审批批和和修修订订 此文件需要在12个月内通过管理评审会议等方式进行一次评审,当信息安全管理体 系发生重大变化时或中国国家信息安全方面的法律发生了变化时,也应评审并根据评审 结果适时更新,以维持其连续适用性。 8 附附则则 1. 本制度由IT中心、信息安全部负责制定、修订和解释。 2.本制度自发布之日起实施。
