XX公司人力资源安全管理程序.docx

XXXX公司 ISMS版 本A密 级秘密*3年XX人力资源安全管理程序文件编号ISMSP-06-A1目的为了降低人员的任用风险，确保公司的信息安全，人员正确理解其责任，并 具备从事其所对应的涉及信息安全工作的资格、能力和意识，特制定此程序。本程序适用于应聘负有信息安全职责岗位的人员、目前正在公司从事信息安 全工作的人员、曾负有信息安全职责解聘后还在公司保密协议规定的保密期限内 的人员的信息安全考察、信息安全培训及违反信息安全规定（如方针和程序等） 的惩戒。3职责1）人力资源部负责对应聘软件服务部岗位及其它岗位的人员进行考察、培 训。2）各部门应在岗位描述中明确规定每个员工在信息安全方面应履行的职责， 负责对在岗信息安全人员进行考察。3）人力资源部负责全公司泄密事件、事故以及人员出入公司的奖惩管理。4）信息安全管理委员会负责重大信息安全事故的处罚。4定义5程序聘用前的考察5.1.1 在招聘与筛选过程中，人力资源部应对负有信息安全职责的人员进行考 察。用人部门在提出招聘申请的同时、需对招聘岗位的信息安全职责进行明确。5. 1.2考察的内容与程序一般包括业务能力和道德信用两方面。5. 1.2. 1初选。人力资源部对所有应聘材料通览后，挑选初步合格者，发面试通 知。面试人员须填写应聘人员登记表，人力资源部对面试人员进行证件、 应聘材料、工作经历、学术和职业资质等进行考查，对于重要岗位，应聘者须提 供有效的证明人。面试可按情况采用笔试、面试、电话面试等形式。面试时，用人部门具 体考核专业技能，并在面试过程中确保应聘人员充分了解其将要负起的安全任务 和责任，并与工作候选人进行明确的沟通。5. 1.2. 4面试后，由人力资源部填写面试评价审核记录表，并对是否进一步 面试给出意见。总经理根据人力资源部与用人部门的意见进行最后一轮面试，对 是否录用做出最后决定。5. 1.2.5 录用工作候选人报到时须到人力资源部填写员工基本情况登记表，与公司签 订劳动合同和保密协议，对于负有特殊信息安全责任的人员，可以在其 劳动合同中增加竞业禁止条款。保密协议中明确规定保密的义务及违约 的责任。工作候选人须按公司的要求提供相关证件的复印件存档。5.2聘用期间的考察. 2.1新员工入职后，由人力资源部根据公司规定培训的相关要求，对其进行包 含信息安全意识、公司的信息安全方针和目标、程序等内容的入职培训。（具体 要求参见5. 4）5 .2.2与ISMS （信息安全管理体系）有关的所有员工，人力资源部通过组织实 施有效培训，确保员工安全意识的提高并且有能力胜任所承担的信息安全工作。（具体要求参见5.5）5. 2.3违背公司信息安全方针和程序的员工，公司将根据违反程度及造成的影 响，按照信息安全惩戒相应管理规定进行处罚。（具体要求参见5. 65. 9）5.3聘用终止或变化3. 1聘用变化（岗位/工作变动）5.3. 1.1员工的内部调整可以由员工自行提出，也可以由公司提出。对由此产生 的聘用岗位的变化，首先要由拟转出部门和拟接收部门对各自岗位的信息安全职 责进行分析和确认，在岗位异动申请审批表中明确员工的信息安全岗位职责。 人力资源部将该员工的拟转出部门的评价和拟接收部门的用人要求，结合拟转出 部门和拟接收部门提出的信息安全要求，考察该员工是否适合调动到该岗位。如 果不满足信息安全的要求，要组织相关培训，考核通过后方可调动。接收部门在做出调动命令之前，需与该员工进行安全意识方面的沟通， 明确新部门、新岗位的安全职责；并明确要求他对在转出部门所从事的、需要保 密的信息安全方面的内容不得泄露。在必要时，对其访问安全区域的权限进行重 新设置。软件部负责在该员工调动后，对其所使用的访问口令的解除，避免未经 授权的访问。5. 3. 1.4调动后对该员工的考察参照5. 2条款的规定。5. 3.2聘用终止5. 3. 2. 1员工离职须严格按照入职和离职的管理规定的要求进行。5. 3. 2. 2申领离职申请审批表。按照保密协议中约定的离职通知时间提 前通知公司，公司开除的人员除外。5. 3. 2. 3申领离职手续办理登记表。离职申请经相关领导批准后，到人力资 源部领取离职手续办理登记表，将公司发放的软件、公司文件、办公用品、 钥匙和其它信息资产，如移动计算机设施、访问卡、软件、手册以及存储在电子 媒介中的信息归还到相应部门；在必要时，须将其掌握的对现行业务运作具有重 要意义的信息文件化，并交接给部门指定的人员。5.3.2.4 离职面谈。人力资源部在离职人员办理完毕离职手续后，与之进行离职 面谈，重申保密协议中关于聘用结束后其所负有的信息安全职责持续一定时 期有效的规定，将面谈内容记录在离职面谈表。5.3.2.5 访问权限解除。人力资源部在该员工的门禁卡回收后，应立即将其访问 安全区域的权限解除。软件部负责该员工所使用的设备的口令的解除。1.4 人员入职培训岗前员工在进入公司伊始应参加人力资源部举办的新员工入职培训，其中 包含：“信息安全培训”内容，该内容作为必修课程，并记录在培训台帐上，未 参加培训的员工不得上岗工作。1.4.1 岗中员工要学习信息安全知识，增强安全意识，参加部门组织的有关信息 安全的培训和讲座并与公司签定保密协议。1.4.2 4. 3各部门负责人要对本部门的员工进行信息安全教育和培训，提高本部门员 工的信息安全意识和能力，并经部门经理考核合格方可上岗工作。1.5 培训、意识和能力5. 1明确培训需求人力资源部按照各岗位和各部门的信息安全的要求，以及随着业务的发展和 竞争的需要，或者是各部门提出的需求来统筹培训工作，并将这些需求转化为相 应的培训计划和培训课程，以确保各岗位的工作人员有较强的信息安全意识和能 力，胜任本职工作。5. 5. 2培训计划1）人力资源部制定信息安全年度培训计划，对岗前和岗中的员工按计划 实施并考核。2）各部门负责人要制定本部门的新进员工和在岗员工的信息安全方面培训 的培训计划，并予以实施，培训实施记录材料和培训实施结果报送人力资源 部，记录在员工培训档案表上。3）按各部门提出的新要求，制定提高性培训计划。5. 5. 3培训的实施1）选聘合适的教员，组织学员按时参加学习并进行考勤和结业考试，以确 保培训的有效性。2）外出参加培训应凭培训总结和培训合格证书等有效证明批准报销培训费5. 5. 4培训的考核对员工的信息安全的培训和意识、能力等培训都要做相应的考核,记录在员 工培训档案表上。5. 5. 5意识和能力1）增强员工对信息安全重要性的相关意识。员工应该明确公司的信息安全 方针和控制目标，保证工作安全顺利的进行。知道自己的信息安全意识强弱会给 工作带来什么样的影响和后果。2）确保员工在提高信息安全意识的基础上，加强信息安全能力的培养和提 高。5. 5. 6保存必要的记录人力资源部应保存全体员工的有关信息安全教育、经历（经验）、培训和资 格（技能）的记录。5.6 信息安全事故分类参照XX事故薄弱点与故障管理程序。5.7 违章处罚5. 7.1公司应安排一名信息安全员，负责对公司各部门内部信息安全管理活动的 执行情况进行日常监督与检查，对发现的问题及时向公司负责人汇报并进行处 理。对于员工违反信息安全方针、信息安全管理手册、程序文件、操作规程等信 息安全管理体系文件的规定，但没有造成信息安全事故的，均属于违章现象；违 章一次，由本部门负责人给予口头警告；一个月内连续两次违章，应予认定一般 违纪，罚款50元；一年内累计二次或二次以上一般违纪应认定为一次较重违纪, 责令违章者写出书面检查报告，并在部门内部进行通报。5. 7.2负有信息安全事故处罚的各职能部门在日常检查过程中发现在其职责范 围内的违章现象，应通过适当的纠正、预防措施予以纠正和改进，并给予责任人 口头警告；一个月内连续两次违章，应予认定为较重违纪，罚款100元；一年内 累计二次一般违纪应认定为一次较重违纪，责令违章者写出书面检查报告，并在 部门内部进行通报。5. 7.3对于审核中（包括内部审核及第三方审核、第三方检查）发现的一般不符 合事项，每项给予50元罚款，应通过适当的纠正、预防措施予以纠正和改进， 并给予责任人口头警告；严重不符合事项，扣发责任人罚款200元，并在部门内 部进行通报。注释：这里的“每项”指的是不可分的小项，各项之间是累加关系, 如每个未申请安装的软件都为一个小项。5.8信息安全事故的处罚信息安全事故发生后，按照XX事故薄弱点与故障管理程序的规定对 信息安全事故进行调查，确定事故发生的原因及事故的责任者，根据事故所造成 的损失，由信息安全管理职能部门形成处理报告，提出处罚意见，报公司总经理 批准后对责任者予以处罚；对于重大信息安全事故责任者的处罚应提交公司信息 安全管理委员会决定。5. 8.2处罚方式1） 一般安全事故，根据所造成的经济损失，给予责任人罚款100-180元；2）造成重大安全事故的，将责任人调离原工作岗位并给予500-1800元罚款;3）如果属于故意行为导致信息安全事故，解除劳动合同并依法追究法律责 任。5. 8. 3对于信息安全事故责任人的处理结果由处理部门在全公司范围内予以通 报。负有信息安全事故处罚的职能部门在确定实施处罚后，应填写惩戒申 报单，交人力资源部。人力资源部与被处罚部门沟通，确认责任者及处罚方式, 并在责任人当月工资中扣除处罚金额。5.9奖励规定1对以下行为，公司将酌情予以奖励：1）及时发现非责任区信息安全隐患，该隐患足以导致信息安全事故的；2）及时发现非责任区信息安全重大隐患，该隐患足以导致信息安全重大事 故的；3）及时发现并制止系统操作问题以避免设备及人身重大损失或人员伤亡的;4）及时制止或报告泄露商业机密的事件以避免公司重大经济损失或及时中 止正在进行中的商业泄密行为的；5）其他有效避免公司信息安全事故的行为。6）在信息安全事故中采取积极有效措施，降低了损失的程度。5. 9. 2奖励方式1）防止一般安全事故发生，授予相关人员季度优秀员工的荣誉称号，并给予100元的奖励;2）防止造成重大安全事故的，授予相关人员“一之星”的荣誉称号，并给 予相关人员一次性200-800元的奖励；3）及时中止正在进行中的商业泄密行为，根据秘密等级给予相关人员一次 性500-2000元的奖励；4）信息安全事件中采取积极有效措施，降低损失程度，按照具体情况给予 相关人员200-3000元奖励；5）提出信息安全合理化建议，经公司采纳执行，给予相关人员一次性150 元的奖励。5. 9. 3发现信息安全事故、薄弱点与故障的员工应按照XX事故薄弱点与故障管 理程序进行报告。相关的职能部门进行调查后，判定是否应给予奖励，如需要 应填写奖励建议书，报人力资源部审批后，由人力资源部在其当月工资中加 发奖励金额。对于授予奖励的相关人员的奖励结果由信息安全管理委员会在全公司范 围内予以通报。6相关文件保密协议（XX事故薄弱点与故障管理程序员工入职离职管理规定7记录记录名称保存期限应聘人员登记表2年面试评价审核记录表2年员工基本情况登记表2年岗位异动申请审批表2年离职申请审批表2年离职手续办理登记表2年离职面谈表2年劳动合同2年年度培训计划2年职工培训台帐2年ISMSR-24-03-10120018本程序文件更改记录表序号条款号更改内容更改通知单号更改人/日期批准人/日期附加说明：日期:日期:日期:本程序文件编制人:本程序文件审核人:本程序文件批准人: