ISMS-B-22 人力资源安全管理程序-ISO27001

1、人力资源安全管理程序文件编号：ISMS-B-22版 本：A/0页 码：第5页 共5页版本更改履历制订/修订审批生效日期A/0编制审核批准日期日期日期分发栏：r 市场中心r 项目中心r 模具中心r 采购部r 品质中心r 货仓课r 财务部r 总经办r 人力资源中心r 设备课r 计划部r 生产中心1. 目的从人力资源管理的各环节树立信息安全意识，明确信息安全要求，以规范人力资源方面的信息安全管理工作，特制定本程序。2. 范围本程序适用于本公司的所有员工，包括临时雇用人员。3. 职责与权限3.1人力资源部3.1.1 负责人力资源相关信息安全管理制度文件的编写及修订。3.1.2 负责在人员的招聘、入职、

2、培训、离职、升职及调职管理等工作过程中，严把信息安全关。3.1.3 负责公司员工信息安全知识教育培训计划的制定并组织实施及定期检讨。同时对培训效果进行评估，记录。3.2各部门3.2.1 按照本程序执行人力资源信息安全管理的各项要求。3.2.2 向人力资源部提出本部员工的信息安全培训需求。4. 相关文件a) 人力资源管理相关制度5. 术语定义无 6. 控制程序6.1 人员入职管理6.1.1 背景调查6.1.1.1 在进行背景调查时，可以对应聘者进行基于素质模型的素质能力方面进行调查，也可进行关于诚信品格的背景调查，背景调查的范围及调查方式请参考人力资源部门制定的流程。6.1.1.2面试招聘：应聘

3、者在进行面试时，应提供学历证书、学位证书、身份证、职称证书以及其它方面的证书（以上证书最终只保存证书的复印件）、个人简历，并填写应聘人员登记表，应聘者需要对以上提供的材料进行签名，具体面试招聘流程请参考人力资源部门制定的流程。6.1.1.3 入职流程管理：为了规范员工入职管理，需要制定员工的入职流程，具体的员工入职流程请参考人力资源部门制定的员工入职流程；同时，员工办理入职手续正式生效后，经主管部门同意，才能为入职员工开通该岗位所涉及系统（包括：应用系统、数据库系统、主机操作系统、硬件系统等）访问账号的权限。6.1.1.4 签订保密协议或条款：保密协议中应明确规定入职员工需要保密的内容，另外再

4、根据入职员工的工作岗位是否为核心岗位工作来确定是否需要签订脱密协议，在脱密协议约定入职员工离职前的脱密事项及脱密的期限；保密协议中应规定保密期限、保密范围、保密的权利义务、违约责任等其它方面，保密协议的具体规定请参考人力资源部门制定的保密协议。6.2 人员在职管理6.2.1员工应遵守的信息安全管理条款：a) 外来人员进入办公区域或机房，相关员工必须带领其到指定地点、进行监督和陪同。b) 参加会议时遵守会前、会中、会后的保密流程。c) 员工不能在未经公司授权的情况下泄露公司机密信息，并且必须恪守公司为保护此等信息而制订的各项标准及流程。d) 对于公司机密信息必须根据公司的相关规定予以适当的标识。

5、禁止和任何未经授权的人员讨论公司视为机密或尚未公开的专有信息。e) 禁止从非正常途径获取公司或部门的涉密文档及非授权复制涉密文档。f) 将公司的机密信息存储于可移动的介质上时，必须要注意防范偷窃或未经授权的访问。在存储介质上要有公司相关的保密标识，同时当不使用这些文件时，将其锁上保管。禁止暴露在无人照看的区域。g) 如果公司内部新闻组、论坛、讨论组对公司所有员工公开，允许公司的客户或外部人员参加，必须不涉及公司的机密信息。h) 其余参见计算机管理程序、保密协议、用户访问控制程序及其他信息安全管理体系文件的安全要求。6.2.2 人员培训及考核6.2.2.1培训计划a) 每年十二月份由人力资源部进

6、行培训需求调查，根据调查结果，根据公司战略发展需要，制定下年度的培训计划。b) 年度教育培训计划经总经理批准后实施。c) 培训计划的内容包括培训的目的，培训的对象、内容、需求及要求，培训的形式，培训的时间安排。6.2.2.2培训方向a) 全体职工：提高信息安全管理意识；提高完成各项工作任务所需的专业理论知识和岗位技能，并使其明确个人工作职责的重要性，充分认识个人工作好坏带来的效益和对信息安全造成的影响。b) 各管理层：掌握现代管理知识，提高实际管理能力。c) 最高管理者和管理者代表：提高对信息安全管理重要性的认识。6.2.2.3培训对象企业新进单位人员、在岗人员、政府要求持证上岗的人员等。6.

7、2.2.4培训内容培训内容应包括但不仅限于以下方面：a) 信息安全基础知识。b) GB/T 22080-2008 IDT ISO/IEC 27001:2005管理体系标准、管理体系审核、相关程序文件和作业指导书。c) 信息安全管理的方针、目标、基本知识、基本制度和手册。d) 其他相关企业规章制度和法律法规。e) 完成各项工作任务所需的专业理论知识和岗位技能。6.2.2.5培训类别a) 上岗培训新进单位的人员上岗前必须进行上岗培训，上岗培训按归口管理的要求，由人力资源部负责组织。b) 在岗培训根据岗位要求,由人力资源部组织在岗人员进行岗位技能培训，包括岗位适应性培训、岗位技能测试、岗位资格培训、职业技能培训。6.2.2.6培训记录人力资源部负责做好各类人员培训资料的收集、整理、保管等工作，并及时、完整、准确归档。6.3人员离职管理6.3.1 离职流程管理a) 员工在合同期内辞职,必须提前通知所属部门；b) 经本部门经理及人力资源部经理批准后办理相关离职手续；c) 人员离职时，应及时收回其电脑资产、关闭该离职人员访问账号及权限。6.3.2 其他应采取适当措施，以确保不会由于人员缺失导致公司业务受到影响，如：a) 人力资源部应及时根据公司业务情况及时提出招聘计划，协调做好