人力资源安全管理程序(ISO27001-2013)Word格式.docx

人力资源安全管理程序(ISO27001-2013)Word格式.docx

《人力资源安全管理程序(ISO27001-2013)Word格式.docx》由会员分享，可在线阅读，更多相关《人力资源安全管理程序(ISO27001-2013)Word格式.docx（9页珍藏版）》请在冰点文库上搜索。

5.1.3.内部选拔...........................................................................................................................................5...

5.1.4.入职办理...........................................................................................................................................5...

5.2任用中...........................................................................................................................................................6.....

5.2.1.信息安全教育与培训......................................................................................................................6....

5.3任用变更.......................................................................................................................................................7.....

5.4任用终止.......................................................................................................................................................7.....

6第三方人员管理.......................................................................................................................................................7.....

7信息安全违规的处理...............................................................................................................................................8.....

8相关记录....................................................................................................................................................................8.....

1目的

为规范公司信息安全管理，保障公司信息安全，根据《信息安全等级保护管理办法》、《信息技术安全技术信息安全管理体系要求》（GB/T22080-2016/ISO/IEC27001:

2013）以及公司相关规章制度，制订本制度。

2范围

本制度规定了本企业内部人员、第三方人员等人力资源安全管理的相关内容，包括人员选拔、人员录用、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。

本标准适用于本企业内部人员及第三方人员的管理与考核。

3术语和定义

3.1人员安全

是指通过管理和控制，确保单位内部人员和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。

3.2第三方人员

第三方人员是指除本公司员工以外所有的组织和人员。

第三方人员分为临时来访的第三方人员和非临时来访的第三方人员。

临时来访的第三方人员是指因某些临时需求来访公司的人员，如：

面试人员、客户以及其他来访人员等。

非临时来访的第三方是指来自外单位的专业服务机构，为本单位提供设备、网络、系统、软件、信息安全、保洁等外包服务的工作人员，如：

项目人员、保洁人员、设备维护人员等。

3.3安全教育和培训

是通过宣传和教育的手段，确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性，具备符合要求的安全意识、知识和技能，提高其进行信息安全防护的主动性、自觉性和能力。

4机构和职责

4.1信息安全工作小组

⑴负责指导公司及信息系统操作人员安全管理工作；

⑵负责以季为单位执行公司信息安全的检查及管理工作，并及时向相关负责人提交执行情况的报告，反馈问题给执行方并限期解决。

⑶负责研究国家和行业的信息安全政策法规，组织有关部门讨论来保证其符合性。

4.2信息安全体系负责人

⑴负责工作岗位风险状态分级及划分信息系统安全职责和权限；

⑵负责普及信息安全防范意识，并针对信息安全违规事件向公司提出处理建议。

⑶负责完成系统建设、建立目录结构与目录安全策略、部署服务器与建立服

务器安全策略、完成备份策略等。

4.3人力资源部

⑴根据企业的发展现状和未来需要，参与并制定出切合实际的人力资源战略；

⑵制定人力资源规划，根据企业的发展需要审核各部门的人员编制，编写人力资源支出预算，进行成本控制；

⑶拟定、修订、废止、发放、解释人力资源相关的管理制度，进行各部门职责权限划分；

⑷各部门人事问题的解决处理和人事关系协调；

⑸负责人事档案的汇集整理、存档保管、统计分析和《劳动合同书》以及《知识产权及保密协议》的签订；

⑹负责公司级组织结构的设计和各职位的《岗位说明书》的组织编写；

⑺进行人员招聘与录用、转正、员工升调、辞退管理以及相关记录的存档备案管理；

⑻薪酬和福利管理；

⑼部门层面、员工层面的绩效管理；

⑽负责员工信息安全教育的培训及考核；

⑾协助公司开展建立流程型组织，并监控其执行。

⑿负责第三方人员信息安全管理工作；

4.4其他部门

⑴负责接受信息安全教育和培训、以及配合定期的信息安全抽查工作；

⑵负责部门人员在岗时的信息安全管理；

5人员安全管理

5.1任用前

5.1.1.人员选拔

人力资源部应严格按照各岗位的《岗位说明书》对应聘人员进行认真筛选，应聘人员面试时需携带简历并填写《应聘登记表》，面试官应填写相应的《面试评估表》。

5.1.2.背景调查

人力资源部对拟录用的新员工根据岗位的重要程度进行身份、背景、专业资格和资质等方面进行背景调查，详见《背景调查管理规定》。

背景调查如无问题，正式办理录用审批，详见《新员工录用审批表》。

录用审批完成，给拟录用的新员工发送《录用邀请函》。

5.1.3.内部选拔

从事关键岗位或负责核心系统、机房等重要区域的人员，优先从公司内部人员选拨，应具备认真负责的工作态度、较高的职业道德水准；

5.1.4.入职办理

人力资源部负责办理员工的入职手续，参见《新员工入职手续办理清单》，并签署《劳动合同书》以及《知识产权及保密协议》。

《知识产权及保密协议》的保密条款的要求应根据公司业务的变更由法务主管及时进行评审修订。

《劳动合

同》一式两份，员工本人及人力资源部各保存一份。

临时雇用人员、客户以及合作方等第三方人员在与公司签订的合同中应约定相关人员的信息安全职责。

5.2任用中

5.2.1.信息安全教育与培训

⑴信息安全教育培训目的：

a.满足客户和法律法规要求的重要性。

b.违反相关要求所造成的后果。

c.自己从事的工作与信息安全的相关性。

d.鼓励员工参与信息安全管理，为实现信息安全目标做出贡献。

⑵信息安全教育培训对象：

人力资源部及相关部门应在在职员工（新员工、在岗员工、转岗员工）被授予访问权限之前，依据其安全角色和职责，进行针对性的安全教育和安全培训；

人力资源部及相关部门应当确定与信息安全相关的临时雇用人员、客户以及

合作方等第三方人员是否需要适当的安全培训。

⑶信息安全教育培训内容：

在信息安全策略、制度和规定发生变化后，信息安全小组要保证及时传达给的全体员工、客户和合作方等第三方人员。

信息安全教育培训内容如下：

a.信息安全基础知识（安全意识）、岗位操作规程、信息系统使用规范；

b.公司信息安全方针、策略与信息安全目标的宣贯培训；

c.信息安全专题培训（如病毒防范培训、访问控制培训、等级保护培训等）；

d.岗位安全责任、操作技能及相关技术；

e.违反违背安全策略和安全规定的惩戒措施。

⑷信息安全教育培训记录及考核

由人力资源部统一记录信息安全培训的人员、时间、地点、教师、内容等信息。

对于课堂培训内容可根据需要进行必要的考核，以评价员工的学习效果，同时也作为培训记录由人力资源部统一存档备案。

5.3任用变更

工作人员岗位调动后，须办理严格的调动手续，相关负责人必须确认办理岗位调动的工作人员交接他们所管理和使用的部分资产以及变更相关信息系统的访问权限。

参见《人事变动申请表》《岗位调动交接清单》；

信息系统如要开通、重置密码、变更权限、注销，在职人员需填写《信息系统用户帐号申请单》，审批完成后方可进行相关操作，审批文档由人力资源部进行存档备案。

5.4任用终止

工作人员办理离职，须办理严格的离职手续，相关负责人必须确认办理离职的工作人员归还他们所管理和使用的所有资产以及撤销各信息系统的访问权限。

参见《离职交接清单》；

签署《解除劳动关系协议书》和《员工离职证明》

6第三方人员管理

6.1为保证公司信息安全，第三方人员的管理办法详见《第三方人员管理规定》

7信息安全违规的处理

7.1违反本规定，发生信息安全事故的，按照事故造成的损失和后果，依据《信息安全奖惩管理规定》进行惩处；

7.2除进行处罚外，人力资源部应在全公司内就类似违规事件进行宣传教育，避免同类问题再次发生。

8.相关记录

序号

1

名称劳动合同书

保管场所人力资源部

保存形式纸质/电子

期限

3年

备注

2

岗位说明书

人力资源部

纸质/电子

3

应聘登记表

4

面试评估表

5

背景调查管理规定

总经办

6

新员工录用审批表

7

录用邀请函

8

新员工入职手续办理清单

9

人事变动申请表

10

岗位调动交接清单

11

信息系统用户账号申请单

12

离职交接清单

13

解除劳动关系协议书

14

员工离职证明

15

知识产权及保密协议

16

第三方人员管理规定

17

信息安全奖惩管理规定