1、人力资源管理程序文件编号:ISMS-20071 适用本规定适用于本公司的正式员工和借用员工聘用、任职期间及离职的培训、安全考察与保密控制以及其他相关人员(第三方、承包方、合同方、临时员工)的安全考察与控制。2 目的为防止品质不良或不具备一定技能的人员进入本公司,或不具备一定资格条件的员工被安排在关键或重要岗位,降低员工所带来人为差错、盗窃、欺诈及滥用设施的风险,防止人员对于信息安全保密性、完整性、可用性的影响,特制定本程序。3 职责3.1 公司综合部负责人力资源管理,负责员工聘用、在职期间及离职的安全考察管理及保密协议的签订及其他相关人员(合同方、临时员工)的安全考察与控制。3.2 综合部负责
2、第三方、承包方、合同方在合同存续期间的进入本公司(物理及逻辑)访问人员的资质审查。3.3 各部门负责本部门员工的日常考察管理工作。4 员工录用4.1 人员考察策略4.1.1 所有员工在正式录用(借用)前应进行以下方面考察:a) 良好的性格特征,如诚实、守信等;b) 应聘者学历、个人简历的检查(完整性和准确性) ;c) 学术或专业资格的确认;d) 身份的查验。4.1.2 员工从一般岗位转到信息安全重要岗位,应当对其进行信用及能力考察。4.1.3 必要时,对合同方人员和临时工进行同样的考察。ISMS-2007第 2 页 共 5 页4.2 对录用(借用)人员的考察4.2.1 综合部对拟录用(借用)人
3、员重点进行以下方面考察:a) 根据应聘资料及面试情况初判应聘者的职业素质;b) 根据应聘者人事经历的记载,了解是否有重大惩戒及犯罪记录;c) 通过与应聘者沟通,并了解其应聘动机,判断其诚信度;4.2.2 在考察中发现应聘者存在不良倾向的,将不予录用(借用) 。4.2.3 考察的结果记录在应聘人员面试登记表中。4.3 录用审批程序4.3.1 对经历考察初步合格者,按照本规定审批。4.3.2 经审批批准后,由综合部办理正式录用手续。4.3.3 对正式录用员工应在与劳动合同同时签订保密协议。4.4 从普通工作岗位调整到重要信息安全岗位前,综合部应对其进行业务能力和职业道德的考察,员工并在 OA 系统
4、提交人员调动流程,报相关部门领导审批,综合部备案。4.5 综合部根据需要,对临时工作人员或外来服务人员进行必要的资格认定和监控。4.6 各部门负责人应当意识到员工的个人现状会影响他们的工作。如果发现员工个人或财政问题、行为或生活方式的更改,重复的缺勤、压力或压抑迹象可能导致欺诈、盗窃、差错或其它安全隐患,应及时采取必要的防范措施。5 员工任职管理依据公司的方针、目标及有关法律法规和岗位职责说明书以及整体人力资源情况,制订培训计划,会同有关部门组织实施。通过对相关人员的培训,使其了解自身职责及岗位的能力要求,认识到执行信息安全方针和相关程序的重要性。同时要有相应的评价培训效果的考试、考核、取证等
5、方法及对培训进行管理,确保达到相应的岗位标准和要求。各部门主管根据方针、目标和部门职责,制定本部门各岗位的职责并报综合部备案,由综合部负责组织对人员进行考核、培训选择聘用和调配。5.1 年度培训计划5.1.1 各部门根据实际需要及信息安全方面的要求,提出全年培训需求,由综合部汇总并根据公司的整体人才培养策略,编制公司培训计划,经主管领导批准后组织实施培训。培训计划每年制定一次,于 12 月 15 日前制定。对决策管理层进行信息安全管理的发展现状和趋势、有关法律、法规和其他要求、管理手册的教育。5.1.2 年度培训计划在实施过程中,可根据实际情况进行必要的调整。公司年度计划的调ISMS-2007
6、第 3 页 共 5 页整须报主管领导审批。各部门培训计划调整须在调整前报综合部审批备案。5.2 培训实施5.2.1 管理人员培训依据公司方针、目标、 管理手册、相关的程序文件、有关的法律法规及其管理职责,对其进行培训,加强其信息安全意识,达到相关体系文件的职责和活动的要求,提高管理能力,提高对信息安全管理战略重要性的认识。4.2.2 特殊工种培训由综合部按有关规定,统一组织特殊工种操作人员的岗位取证和年审换证培训工作,负责记录培训台帐、保管培训记录和岗位证书复印件。同时应识别出对公司信息安全可能产生重大影响的人员,并对其进行适当培训。提高其完成任务所需的技能,使其明确个人工作职责和重要性,明确
7、个人行为活动可能对信息安全造成的影响以及产生的危害和风险;对关键岗位员工进行作业指导书、职业技能、信息安全职责和规程的岗位培训; 5.2.3 新员工培训由综合部组织上岗前应知应会培训,并安排管理体系培训。提高总体信息安全意识,熟知信息安全威胁和利害关系,明确其工作职责和义务;5.2.5 相关方培训按公司信息安全管理体系要求及法律法规的培训,对相关方进行信息安全责任的教育。5.3 培训方式根据公司的实际情况,采取全脱产和半脱产相结合、业余培训与自学相结合、理论培训与技能培训相结合的培训方法,灵活、有针对性的实施培训计划。各部门根据工作改进的需要,适时组织本部门人员的培训,并保存培训记录。5.5
8、培训实施5.5.1 各相关部门负责与本部门相关的年度培训计划的组织实施。5.5.2 新员工培训前应签订员工保密协议 ,培训必须经过三个阶段:第一阶段由综合部负责对新员工进行公司概况、规章制度、职业道德、信息安全、质量管理的培训;第二阶段由相关部门负责进行岗位职责、实际操作技能的培训;第三个阶段由综合部和相关部门通过书面和实际工作考核,合格后准予上岗。5.5.3 各部门应按年度培训计划按时组织实施培训。如因特殊情况不能完成培训时,应提前申请更改培训计划。5.5.5,综合部负责下达培训计划中公共培训项目的培训开班计划,各相关部门按培训开班ISMS-2007第 4 页 共 5 页计划组织实施本部门的
9、培训。对于公司年度培训计划中属于各部门的培训项目,由各相关部门负责按计划组织实施。每次培训应做好培训效果评价的记录。5.5.5 各部门如有调岗的员工,必需由员工在 OA 系统中发起员工调动流程,提交部门领导审批,要严格按所调进部门相关工作流程进行认真的培训。5.5 培训考核5.5.1 综合部负责以考核报告的形式对各部门培训情况每年进行一次考核。5.5.2 各相关部门负责本部门每次培训的考核,并做好部门培训考核记录备查。5.5.3 考核内容a)培训实施执行情况:检查考核各相关部门是否按公司及部门年度培训计划组织实施了本部门的培训。b)受训员工对培训基本内容的掌握情况。c)培训效果:通过经培训后的
10、工作绩效进行定期评估是否达到了培训目的。5.6 培训效果5.6.1 各部门年终对本部门的培训工作进行书面总结,报综合部。5.6.2 综合部年中对培训工作进行总结。通过对培训效果或存在问题的分析,针对不足,提出纠正和预防措施,拟定下年培训计划。5.7 培训记录5.7.1 外培员工在参加前,本人申请,由部门经理签署意见,综合部根据公司培训计划审核,报主管领导批准后实施。5.7.2 由公司组织的培训,在培训前由综合部确定参加人员范围并通知至各部门,参加培训人员在培训结束后,填写培训记录表 。5.7.3 由综合部统一管理公司技术人员、特殊工种操作人员的岗位证书和培训记录。按有关要求对证书定期审核确保其
11、有效性,保存证书的复印件,并建立相应的岗位证书持证情况台帐。6 离职措施6.1 员工离职涉及密级控制程序的保密事项,应按要求采取相应的保密措施。6.2 部门要加强员工离职时的涉密资料、口令等的交接工作。6.3 部门在员工离职后要采取相应的技术防范措施(如变更口令、程序等) ,必要时应与技术部协调。ISMS-2007第 5 页 共 5 页6.4 公司和部门要做好员工离职的教育工作,告知其离职后,不得向第三方泄露其在任职期内所获得的公司的商业和技术秘密。7 离职程序7.1 员工必须在离职日前 30 天向部门负责人提出离职申请流程,在 OA 系统上填写离职表单,转移到部门经理。7.2 部门经理接到员
12、工离职申请流程后,审批流程,签署审批意见。7.3 部门经理签署意见后及时告知并将流程转移到主管领导、财务部、行政办公室及综合部处理离职流程。7.4 员工离职得到批准,由部门通知离职员工来综合部办理离职手续。离职员工在离职日前必须把担当的部门工作移交完毕。7.5 办理离职手续7.5.1 离职员工到人事主管处索取员工离职流转单 。7.5.2 离职员工按员工离职流转单 的内容至公司各部门办理资产归还和移交手续,各相关部门负责按照用户访问控制程序取消离职员工的访问权限。7.5.3 离职员工移交完毕后,由人事主管将离职证明交于离职者。7.5.4 技术部门员工离职必须签订第三方保密协定 。7.5.5 员工离职后如发生泄密情况,应承担由此涉及的法律责任。8 相关/支持性文件 用户访问控制程序 密级控制程序9 记录记录名称 保存部门 保存期限应聘人员面试登记表 综合部 至员工使用期届满员工离职流转单 综合部 3 年第三方保密协定 综合部 3 年员工培训记录表 综合部 3 年年度培训计划 综合部 3 年
