《信息安全之人力资源安全管理制度》由会员分享,可在线阅读,更多相关《信息安全之人力资源安全管理制度(9页珍藏版)》请在金锄头文库上搜索。
1、信息安全之人力资源安全管理制度目录1目的22范用23术语和定义23.1人员安全23.2第三方人员23.3安全教育和培训24机构和职责34.1信息安全工作小组34.2信息安全体系负责人34.3信息所有者及信息使用者44.4 A力资源部35人员安全管理5.1任用前员选拔背景调査内部选拔入职办理55.2任用中5信息安全教育与培训55.3任用变更65.4任用终止66第三方人员管理67信息安全违规的处理68相关记录71目的为规范公司信息安全管理,保障公司信息安全,根据信息安全等级保护管 理办法、信息技术安全技术信息安全管理体系要求(GB/T 22080-2016/ISO/IEC 27001:2013)以
2、及公司相关规章制度,制订本制度。2范围本制度规定了本企业内部人员、第三方人员等人力资源安全管理的相关内容, 包括人员选拔、人员录用、人力调动、人员离职、人员考核、安全意识教育和培 训、第三方人员安全等。本标准适用于本企业内部人员及第三方人员的管理与考 核。3术语和定义3.1人员安全是指通过管理和控制,确保单位内部人员和第三方人员在安全意识、能力和 素质等方面都满足工作岗位的要求。3.2第三方人员第三方人员是指除本公司员工以外所有的组织和人员。第三方人员分为临时 来访的第三方人员和非临时来访的第三方人员。临时来访的第三方人员是指因某些临时需求来访公司的人员,如:面试人员、 客户以及其他来访人员等
3、。非临时来访的第三方是指来自外单位的专业服务机构,为本单位提供设备、 网络、系统、软件、信息安全、保洁等外包服务的工作人员,如:项目人员、保 洁人员、设备维护人员等。3.3安全教育和培训是通过宣传和教育的手段,确保相关工作人员和信息系统管理维护人员充分 认识信息安全的重要性,具备符合要求的安全意识、知识和技能,提高其进行信 息安全防护的主动性、自觉性和能力。4机构和职责 4.1信息安全工作小组负责指导公司及信息系统操作人员安全管理工作;负责以季为单位执行公司信息安全的检查及管理工作,并及时向相关负责 人提交执行情况的报告,反馈问题给执行方并限期解决。负责研究国家和行业的信息安全政策法规,组织有
4、关部门讨论来保证其符 合性。4.2信息安全体系负责人负责工作岗位风险状态分级及划分信息系统安全职责和权限;负责普及信息安全防范意识,并针对信息安全违规事件向公司提出处理建 议。负责完成系统建设、建立口录结构与U录安全策略、部署服务器与建立服 务器安全策略、完成备份策略等。4.3人力资源部根据企业的发展现状和未来需要,参与并制定出切合实际的人力资源战略;制定人力资源规划,根据企业的发展需要审核各部门的人员编制,编写人 力资源支出预算,进行成本控制;拟定、修订、废止、发放、解释人力资源相关的管理制度,进行各部门职 责权限划分;各部门人事问题的解决处理和人事关系协调;负责人事档案的汇集整理、存档保管
5、、统计分析和劳动合同书以及知 识产权及保密协议的签订;负责公司级组织结构的设计和各职位的岗位说明书的组织编写;进行人员招聘与录用、转正、员工升调、辞退管理以及相关记录的存档备 案管理;薪酬和福利管理;部门层面、员工层面的绩效管理;(10) 负责员工信息安全教育的培训及考核;(11) 协助公司开展建立流程型组织,并监控其执行。(12) 负责第三方人员信息安全管理工作;4.4其他部门负责接受信息安全教育和培训、以及配合定期的信息安全抽查工作;负责部门人员在岗时的信息安全管理;5人员安全管理5.1任用前员选拔人力资源部应严格按照各岗位的岗位说明书对应聘人员进行认真筛选, 应聘人员面试时需携带简历并填
6、写应聘登记表,面试官应填写相应的面试 评估表。5.12背景调査人力资源部对拟录用的新员工根据岗位的重要程度进行身份、背景、专业资 格和资质等方面进行背景调查,详见背景调查管理规定。背景调查如无问题, 正式办理录用审批,详见新员工录用审批表。录用审批完成,给拟录用的新 员工发送录用邀请函。内部选拔从事关键岗位或负责核心系统、机房等重要区域的人员,优先从公司内部人员选拨,应具备认真负责的工作态度、较高的职业道德水准;5.1.4 .入职办理人力资源部负责办理员工的入职手续,参见新员工入职手续办理清单, 并签署劳动合同书以及知识产权及保密协议。知识产权及保密协议的 保密条款的要求应根据公司业务的变更山
7、法务主管及时进行评审修订。劳动合 同一式两份,员工本人及人力资源部各保存一份。临时雇用人员、客户以及合 作方等第三方人员在与公司签订的合同中应约定相关人员的信息安全职责。5.2任用中信息安全教育与培训信息安全教育培训口的:a. 满足客户和法律法规要求的重要性。b. 违反相关要求所造成的后果。c. 自己从事的工作与信息安全的相关性。d. 鼓励员工参与信息安全管理,为实现信息安全U标做出贡献。信息安全教育培训对象:人力资源部及相关部门应在在职员工(新员工、在岗员工、转岗员工)被授 予访问权限之前,依据其安全角色和职责,进行针对性的安全教育和安全培训I;人力资源部及相关部门应当确定与信息安全相关的临
8、时雇用人员、客户以及 合作方等第三方人员是否需要适当的安全培训。信息安全教育培训内容:在信息安全策略、制度和规定发生变化后,信息安全小组要保证及时传达给 的全体员工、客户和合作方等第三方人员。信息安全教育培训内容如下:a. 信息安全基础知识(安全意:识)、岗位操作规程、信息系统使用规范;b. 公司信息安全方针、策略与信息安全口标的宣贯培训;c. 信息安全专题培训(如病毒防范培训、访问控制培训、等级保护培训等);d. 岗位安全责任、操作技能及相关技术;e. 违反违背安全策略和安全规定的惩戒措施。信息安全教育培训记录及考核曲人力资源部统一记录信息安全培训的人员、时间、地点、教师、内容等信 息。对于
9、课堂培训内容可根据需要进行必要的考核,以评价员工的学习效果,同 时也作为培训记录由人力资源部统一存档备案。5.3任用变更工作人员岗位调动后,须办理严格的调动手续,相关负责人必须确认办理岗 位调动的工作人员交接他们所管理和使用的部分资产以及变更相关信息系统的 访问权限。参见人事变动申请表岗位调动交接清单;信息系统如要开通、重置密码、变更权限、注销,在职人员需填写信息系 统用户帐号申请单,审批完成后方可进行相关操作,审批文档山人力资源部进 行存档备案。5.4任用终止工作人员办理离职,须办理严格的离职手续,相关负责人必须确认办理离职 的工作人员归还他们所管理和使用的所有资产以及撤销各信息系统的访问权
10、限。 参见离职交接清单;签署解除劳动关系协议书和员工离职证明6第三方人员管理6.1为保证公司信息安全,第三方人员的管理办法详见第三方人员管理规定7信息安全违规的处理7.1违反本规定,发生信息安全事故的,按照事故造成的损失和后果,依据信 息安全奖惩管理规定进行惩处;7.2除进行处罚外,人力资源部应在全公司内就类似违规事件进行宣传教育,避 免同类问题再次发生。8相关记录序号名称保管场所保存形式期限备注1劳动合同书人力资源部纸质/电子3年2岗位说明书人力资源部纸质/电子3年3应聘登记表人力资源部纸质/电子3年4面试评估表人力资源部纸质/电子3年5背景调査管理规泄总裁办纸质/电子3年6新员工录用审批表
11、人力资源部纸质/电子3年7录用邀请函人力资源部纸质/电子3年8新员工入职手续办理淸单人力资源部纸质/电子3年9人事变动申请表人力资源部纸质/电子3年10岗位调动交接淸单人力资源部纸质/电子3年11信息系统用户账号申请单人力资源部纸质/电子3年12离职交接淸单人力资源部纸质/电子3年13解除劳动关系协议书人力资源部纸质/电子3年14员工离职证明人力资源部纸质/电子3年15知识产权及保密协议人力资源部纸质/电子3年16第三方人员管理规定总裁办纸质/电子3年17信息安全奖惩管理规左总裁办纸质/电子3年本制度相关修改及解释权属于人力资源部文档编号(由总裁办填写)F4-B-人力资源部-001-V1.0文档密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期(可选)制度执行日期文档起草人签字:文档修订人:签字:修订说明:备注:文档负责人:签字:文档审批信息安全管理者代表签字:人力资源部签字:文档审批人签字:
