人力资源安全管理办法

XXXX人力资源安全管理办法文件名称版本号文件编号机密等级发布日期生效日期拟制日期审核日期批准日期变化状态：新建，增加，修改,删除文件修订履历创建/变更人变化状态变更摘要(章节/内容)版本创建/变更时间批准人目录1目的.........................................................................................................................................................42适用范围..................................................................................................................................................43术语和定义..............................................................................................................................................44雇用前管理..............................................................................................................................................44.1信息安全职责................................................................................................................................44.2员工选拔.......................................................................................................................................54.3第三方人员筛选............................................................................................................................54.4任用条款和条件............................................................................................................................55雇用中管理..............................................................................................................................................55.1职责和权限...................................................................................................................................55.2信息安全意识、教育和培训.........................................................................................................65.3惩戒教育.......................................................................................................................................66雇用终止和变更管理...............................................................................................................................66.1任用变更或终止时的安全职责......................................................................................................66.2归还资产.......................................................................................................................................66.3撤销访问权限................................................................................................................................77策略的审批和修订...................................................................................................................................78附则.........................................................................................................................................................7XXXX人力资源安全管理办法1目的为了规范XXXX（以下简称“XXXX”）人力资源的安全管理，提高人力资源安全管理的水平，特制订本文件。2适用范围本策略适用于本单位所有部门、全体员工以及第三方人员等。3术语和定义1.信息系统：由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。2.信息资源：一个组织在生产及管理过程中所涉及到的一切文件、资料、图表和数据等信息的总称。它涉及到生产和经营活动过程中所产生、获取、处理、存储、传输和使用的一切信息资源，贯穿于组织管理的全过程。3.信息资产是由组织拥有或者控制的能够为组织带来未来经济利益的信息资源。4.数据：在信息系统中，各种字母、数字符号的组合、语音、图形、图像等统称为数据，数据经过加工后就成为信息。5.安全策略：有关管理、保护和发布敏感信息的法律、规定和实施细则。6.资产：对组织具有价值的信息或资源，是安全策略保护的对象。7.脆弱性：包括可能会被威胁所利用的资产或若干资产的弱点。8.信息安全事件：指系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或未预知的不安全状况。4雇用前管理人事科需确保XXXX正式员工在任用前，在适当的岗位描述、任用条款和条件中明确说明其应履行的信息安全职责，确保人员理解其信息安全职责，确保其承担的角色符合XXXX的信息安全要求。4.1信息安全职责1.对于XXXX正式员工，必须通过书面的岗位职责说明对其信息安全职责进行描述。2.对于第三方人员的信息安全职责，应按照XXXX信息安全相关文件进行定义，清晰地传达给相关人员，并要求其签署书面承诺。3.信息安全职责应包括但不限于：遵守XXXX信息安全策略和信息安全守则；保护XXXX信息资产免受非授权访问、泄露、修改和破坏；配合或执行特定的信息安全过程或活动；及时向XXXX相关人员报告安全事件、潜在威胁、以及其他可能引发安全风险的事件。4.2员工选拔1.人事科负责对XXXX各个职位的应聘人员进行筛选，按照人事科的程序对应聘人员进行面试和背景调查。2.对应聘人员的背景调查应在申请职位时进行。背景调查应包括但不限于以下内容：要有适当的推荐人，以对应聘人员的业务能力和个人品德进行证明；检查应聘人员的简历是否完整及准确；确认应聘人员声明的学历和职业资格是否真实；对应聘人员进行独立的身份证明（包括身份证、护照或其它文件）检查；检查应聘人员档案记录是否完整；符合关于交通行业员工背景调查的要求。3.各部门相关负责人可根据本部门对上岗员工的特殊要求，提出必要的附加调查内容，并反馈给人事科，以便选拔出合适的人员。4.3第三方人员筛选如果第三方人员是通过代理机构提供，与代理机构的合同要清晰地规定代理机构进行人员审查的职责，以及未完成审查或审查结果引起怀疑时，代理机构需要遵守的通知程序。同样，与第三方的协议应清晰的指定所有的审查职责和通知程序。4.4任用条款和条件1.候选者应同意并签署任用合同中的条款和条件，这些条款和条件要声明相关的信息安全职责。2.准备聘用的第三方人员，除了要承诺遵守XXXX制订的聘用条件和岗位职责外，还应当与XXXX签署协议，承诺遵守其中的所有规则，并以此作为聘用的前提条件。3.工作中涉及到XXXX敏感信息的员工和第三方人员要与XXXX签订《保密协议》后才能开始工作。XXXX员工和第三方人员所在的部门根据业务需要，也可以与其签订专门的保密协议；4.必要时，在XXXX员工和第三方人员的合同中应包含相关职责和义务在任用终止后仍然有效的内容。5雇用中管理5.1职责和权限各部门根据实际工作的岗位特点、人员和重要性要求等方面发布正式文件规定各个岗位的信息安全职责和相关访问权限，确保各方人员在被授权访问敏感信息、信息系统或信息处理设备前了解所承担的信息安全角色的职责和权限；对于员工和第三方人员如需申请信息系统的帐号，必须获得相关部门审批通过后，才能设立其工作所需的最小权限帐号；对于员工和第三方人员的工作岗位发生变化时，必须通过相关部门审批，对其访问权限进行相应的调整。5.2信息安全意识、教育和培训分配适当的信息安全培训经费，保证员工在聘用期间，根据其岗位特点和职责要求，对其进行相应的信息安全意识教育与培训，使其持续拥有适用于工作的信息安全意识、技能和资质。具体培训内容与方式等请参见《信息安全培训管理规范》。5.3惩戒教育对违反信息安全规定的各方人员，须按照有关规定给予惩戒教育。对于信息安全违规的XXXX员工，应有一个正式的纪律处理程序，在进入纪律处理程序前应经过信息安全违规验证；正式的纪律处理程序应确保被怀疑信息安全违规的XXXX员工得到正确、公平、公正的对待；对于严重的明知故犯的情况，应立即免职，同时删除其访问权限和特殊权限；如有需要，可立即强制离开现场。6雇用终止和变更管理6.1任用变更或终止时的安全职责应清晰的定义和分配XXXX员工和第三方人员的任用变更或任用终止的职责；终止职责的传达应包括信息安全要求和法律职责，必要时还应包括任何保密协议规定的职责，及在XXXX员工和第三方人员的任用结束后持续一段时间仍然有效的任用条款和条件；职责或任用的变更管理应与职责或任用的终止管理相似。人事科、系统部及员工所属部门一起负责总体的任用终止处理，系统部及员工所属部门系统管理员主要负责IT设备回收与帐号、系统访问权限的终止处理。6.2归还资产所有XXXX员工和第三方人员在终止任用合同或协议时，应归还其使用的所有XXXX资产。需要归还内容包括但不限于所有先前发放的：XXXX文件，包括纸质和电子文件