ISO27001-2022全套文件_22信息安全之人力资源安全管理制度.docx

《ISO27001-2022全套文件_22信息安全之人力资源安全管理制度.docx》由会员分享，可在线阅读，更多相关《ISO27001-2022全套文件_22信息安全之人力资源安全管理制度.docx（10页珍藏版）》请在第一文库网上搜索。

1、信息安全之人力资源安全管理制度目录1目的22范围23术语和定义23.1 人员安全23.2 第三方人员23.3 安全教育和培训34机构和职责34.1 信息总工作小组34.2 信息安全体系负责人343信息所有者及信息使用者44.4 人力资源部45人员安全管理55.1任用前55.11.人颗拔55.12背景调查55.1.3.内部选拔55.1.4.入职办理55.2任用中6521.信息安全教育与剧I165.3 任用变更75.4 任用终止76第三方人员管理77信息安全违规的处理88相关记录81目的为规范公司信息安全管理，保障公司信息安全，根据信息安全等级保护管理办法、信息技术安全技术信息安全管理体系要求(G

2、B/T22080-2016/ISO/IEC27001:2013)以及公司相关规章制度，制订本制度。2范围本制度规定了本企业内部人员、第三方人员等人力资源安全管理的相关内容,包括人员选拔、人员录用、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。本标准适用于本企业内部人员及第三方人员的管理与考核。3术语和定义3.1 人员安全是指通过管理和控制，确保单位内部人员和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。3.2 第三方人员第三方人员是指除本公司员工以外所有的组织和人员。第三方人员分为临时来访的第三方人员和非临时来访的第三方人员。临时来访的第三方人员是指因某些临

3、时需求来访公司的人员,如:面试人员、客户以及其他来访人员等。非临时来访的第三方是指来自外单位的专业服务机构，为本单位提供设备、网络、系统、软件、信息安全、保洁等外包服务的工作人员，如：项目人员、保洁人员、设备维护人员等。3.3 安全教育和培训是通过宣传和教育的手段,确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性，具备符合要求的安全意识、知识和技能，提高其进行信息安全防护的主动性、自觉性和能力。4机构和职责4.1 信息安全工作小组负责指导公司及信息系统操作人员安全管理工作；负责以季为单位执行公司信息安全的检查及管理工作,并及时向相关负责人提交执行情况的报告，反馈问题给执行方并限期

4、解决。负责研究国家和行业的信息安全政策法规,组织有关部门讨论来保证其符合性。4.2 信息安全体系负责人负责工作岗位风险状态分级及划分信息系统安全职责和权限；负责普及信息安全防范意识,并针对信息安全违规事件向公司提出处理建议。负责完成系统建设、建立目录结构与目录安全策略、部署服务器与建立服务器安全策略、完成备份策略等。4.3 人力资源部根据企业的发展现状和未来需要，参与并制定出切合实际的人力资源战略；制定人力资源规划，根据企业的发展需要审核各部门的人员编制，编写人力资源支出预算，进行成本控制；拟定、修订、废止、发放、解释人力资源相关的管理制度，进行各部门职责权限划分；各部门人事问题的解决处理和人

5、事关系协调；负责人事档案的汇集整理、存档保管、统计分析和劳动合同书以及知识产权及保密协议的签订；负责公司级组织结构的设计和各职位的岗位说明书的组织编写；进行人员招聘与录用、转正、员工升调、辞退管理以及相关记录的存档备案管理；薪酬和福利管理；部门层面、员工层面的绩效管理；(K)负责员工信息安全教育的培训及考核；协助公司开展建立流程型组织，并监控其执行。(12)负责第三方人员信息安全管理工作；4.4 其他部门负责接受信息安全教育和培训、以及配合定期的信息安全抽查工作；负责部门人员在岗时的信息安全管理；5人员安全管理5.1 任用前51.1.人员选拔人力资源部应严格按照各岗位的岗位说明书对应聘人员进行

6、认真筛选,应聘人员面试时需携带简历并填写应聘登记表，面试官应填写相应的面试评估表。5.1.2. 背景调查人力资源部对拟录用的新员工根据岗位的重要程度进行身份、背景、专业资格和资质等方面进行背景调查，详见背景调查管理规定。背景调查如无问题，正式办理录用审批，详见新员工录用审批表。录用审批完成，给拟录用的新员工发送录用邀请函。5.1.3. .内部选拔从事关键岗位或负责核心系统、机房等重要区域的人员，优先从公司内部人员选拨，应具备认真负责的工作态度、较高的职业道德水准；5.1.4. 入职办理人力资源部负责办理员工的入职手续，参见新员工入职手续办理清单，并签署劳动合同书以及知识产权及保密协议。知识产权

7、及保密协议的保密条款的要求应根据公司业务的变更由法务主管及时进行评审修订。劳动合同一式两份，员工本人及人力资源部各保存一份。临时雇用人员、客户以及合作方等第三方人员在与公司签订的合同中应约定相关人员的信息安全职责。5.2 任用中5.3 .1信息安全教育与培训信息安全教育培训目的：a.满足客户和法律法规要求的重要性。b.违反相关要求所造成的后果。c.自己从事的工作与信息安全的相关性。d.鼓励员工参与信息安全管理，为实现信息安全目标做出贡献。信息安全教育培训对象：人力资源部及相关部门应在在职员工（新员工、在岗员工、转岗员工）被授予访问权限之前，依据其安全角色和职责，进行针对性的安全教育和安全培训；

8、人力资源部及相关部门应当确定与信息安全相关的临时雇用人员、客户以及合作方等第三方人员是否需要适当的安全培训。信息安全教育培训内容：在信息安全策略、制度和规定发生变化后，信息安全小组要保证及时传达给的全体员工、客户和合作方等第三方人员。信息安全教育培训I内容如下：a.信息安全基础知识（安全意识岗位操作规程、信息系统使用规范；b.公司信息安全方针、策略与信息安全目标的宣贯培训；c.信息安全专题培训1（如病毒防范培训、访问控制培训、等级保护培训等）;d.岗位安全责任、操作技能及相关技术；e.违反违背安全策略和安全规定的惩戒措施。信息安全教育培训记录及考核由人力资源部统一记录信息安全培训的人员、时间、

9、地点、教师、内容等信息。对于课堂培训内容可根据需要进行必要的考核，以评价员工的学习效果，同时也作为培训记录由人力资源部统一存档备案。5.4 任用变更工作人员岗位调动后，须办理严格的调动手续，相关负责人必须确认办理岗位调动的工作人员交接他们所管理和使用的部分资产以及变更相关信息系统的访问权限。参见人事变动申请表岗位调动交接清单；信息系统如要开通、重置密码、变更权限、注销，在职人员需填写信息系统用户帐号申请单，审批完成后方可进行相关操作，审批文档由人力资源部进行存档备案。5.5 任用终止工作人员办理离职，须办理严格的离职手续，相关负责人必须确认办理离职的工作人员归还他们所管理和使用的所有资产以及撤

10、销各信息系统的访问权限。参见离职交接清单；签署解除劳动关系协议书和员工离职证明6第三方人员管理6.1为保证公司信息安全，第三方人员的管理办法详见第三方人员管理规定7信息安全违规的处理7.1 违反本规定，发生信息安全事故的，按照事故造成的损失和后果，依据信息安全奖惩管理规定进行惩处；7.2 除进行处罚外，人力资源部应在全公司内就类似违规事件进行宣传教育，避免同类问题再次发生。8.相关记录序号名称保管场所保存形式期限备注1劳动合同书人力资源部纸质/电子3年2岗位说明书人力资源部纸质/电子3年3应聘登记表人力资源部纸质/电子3年4面试评估表人力资源部纸质/电子3年5背景调查管理规定总裁办纸质/电子3

11、年6新员工录用审批表人力资源部纸质/电子3年7录用邀请函人力资源部纸质/电子3年8新员工入职手续办理清单人力资源部纸质/电子3年9人事变动申请表人力资源部纸质/电子3年10岗位调动交接清单人力资源部纸质/电子3年11信息系统用户账号申请单人力资源部纸质/电子3年12离职交接清单人力资源部纸质/电子3年13解除劳动关系协议书人力资源部纸质/电子3年14员工离职证明人力资源部纸质/电子3年15知识产权及保密协议人力资源部纸质/电子3年16第三方人员管理规定总裁办纸质/电子3年17信息安全奖惩管理规定总裁办纸质/电子3年本制度相关修改及解释权属于人力资源部文档编号（由总裁办填写）F4-B-人力资源部-OO1-V1.0文档密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期2016/07/01文档起草人潘娟签字：日期:2016/07/01文档修订人：签字：日期：修订说明：备注：文档负责人：潘娟签字：日期:2016/07/01文档审批信息安全管理者代表陈俊祥签字：日期:2016/07/01人力资源部黄初凤签字：日期:2016/07/01文档审批人吴益民签字：日期:2016/07/01