05两化融合人力资源管理程序

FY

FY/QP 2005-2017 版本号：A/0

两化融合人力资源管理程序

编制：

审核：

批准：

2017-08-01发布2017-08-01实施

广东XXXX股份有限公司发布

1.目的

为了对所有从事与信息安全和信息技术服务有影响的工作人员进行管理,提高其业务素质和工作能力，确保满足相应工作的规定要求,对承担信息安全和信息技术服务管理体系职责的人员规定相应岗位的能力要求，并进行培训以满足规定要求,对违反信息安全和信息技术服务的行为进行处理，特制定本程序。

2.范围

本程序适用于承担信息安全和信息技术服务管理体系规定职责的所有在职人员、临时雇用的人员、第三方外包人员，必要时还包括客户和合作方。

3.职责

3.1人事部：

1)人事部负责人力资源管理工作；

2)负责人员的招聘、奖惩、晋升、考核、调转、离职、考勤等的工作；

3)实施，拟订、解释人力资源方面的管理制度；

4)人员档案管理；

5)负责公司员工的培训；

6)负责组织对培训质量进行评估；

7)负责编制本部门员工岗位说明书和整理其他部门岗位说明书；

8)负责组织对人员进行任职资格认定。

3.2其他部门

1)配合人事部进行人力资源的管理；

2)编制本部门员工岗位说明书；

3)负责本部门员工的岗位技能培训。

4)负责人员离职和转岗时信息资产交接的具体管理。

5)负责对本部门相关第三方人员的信息安全和信息技术服务管理。

3.3总经理

批准公司培训计划，批准岗位说明书。

4.工作程序

4.1任用前

4.1.1安全角色与职责

1）人事部负责组织编制和保存【岗位说明书】，对本公司内每个职位的岗位说明书规定人员的角色和职责，人事部负责制定通用安全职责，特殊安全职责由业务部门制定。

2）人事部对员工下发【岗位说明书】模板及编写要求，由员工直接上级完成编写，并保证员工对【岗位说明书】的理解和接受，提交人事部存档。

3）员工岗位发生变化时，人事部负责跟进【岗位说明书】变更。

4.1.2人员选拔

1）人事部负责对本公司内各个职位的应聘人员认真筛选，按照本公司人事部的程序对应聘人员面试，面试时应聘人员应填写【求职申请表】。并对关键岗位人员进行背景调查。背景调查时应考虑：个人和职业推荐信，身份，学历或职业资格原始文件等。

2）对公司关键岗位人员的背景调查应在申请职位时应填写【背景调查表】调查包括且不限于以下内容： 适当的推荐人，以对申请人的业务能力和个人品德进行证明；

检查申请人的简历是否完整及准确；

确认其声明的学历及职业资格是否真实；

进行独立的身份检查（身份证、护照或其它文件）。

2）各部门负责人可根据本部门对上岗员工的特殊要求，提出必要的附加调查内容，并反馈给人事部，以便选出合适的人员。人员入职时应填写【员工入职基本信息登记表】。

4.1.3任用条款和条件

1）所有被本公司准备聘用的人员，除了在承诺遵守本公司所制订的聘用条件和岗位职责外，还应当认真阅读员工守则、《员工信息安全行为规范》，《信息安全奖惩管理规定》并与人事部门签署协议，承诺遵守其中的所有信息安全管理方面的规则，以作为聘用的前提条件。

2）工作中每一名员工要与人事部门签订一份《保密协议》后才能开始工作。员工的《保密协议》由本公司人事部保存；员工所在的部门根据业务的需要，也可以与员工签订专门的《保密协议》，此协议由员工所在部门保存。

4.1.4保密协议内容

1)保密协议应包括以下内容：

3

a)保密协议主要包括岗位所要保护的信息、协议有效期。

b)保密协议内容包括保密协议终止时应采取的措施。

c)保密协议包括签字人的职责和行为。

d)保密协议与知识产权保护、商业秘密保护的关系。

e)涉密信息的许可使用，及签字人使用信息的权力。

f)对涉密信息的活动的审核和监视。

g)涉密信息泄露或被破坏后的处理程序。

h)协议终止时信息的归档或销毁的措施。

具体内容参见【保密协议书】。

2)对于保密协议的内容，人事部与相关法务人员需不定期进行评审、更新，以保证公司对信息安全

保护的要求。

4.2任用中

4.2.1信息安全教育与培训

1）人事部应持续对新老员工进行信息安全意识与技能方面的培训，对员工的培训需要安排信息安全方面的课堂培训和自学课程，内容包括：

本公司信息安全方针、策略和安全控制措施；

本公司管理的所有系统和服务的安全设计和操作；

与员工岗位日常工作相关的安全问题与措施；

其他与信息安全相关的知识与技能；

对于课堂培训与自学的内容可根据需要，安排进行必要的考核，以评价员工的学习效果，同时也作为培训记录使用。各部门负责保存本部门员工的培训记录。

2）信息安全管理工作组及各部门的安全管理员可在不同的层面上对员工进行安全意识与技能的培训，并更新员工的培训记录。应当确定使用本公司信息处理设施的第三方是否需要适当的安全培训。在信息安全方针、策略、程序和控制发生变化后，信息安全管理工作组及各部门的信息安全管理员要保证及时传达给本公司的每位员工。

4.2.2培训计划的制定与审批

1）各部门向人事部提出培训需求申请，填写培训申请表；新入职员工培训由人事部发出入职培训通知，具体实施部门进行培训具体操作。

2）人事部进行培训需求调查,根据调查结果及公司战略发展需要，制定【年度培训计划表】。

3）教育培训计划经总经理批准后实施。

4）培训计划的内容包括培训的目的，培训的对象、内容、需求及要求，培训的形式，培训的时间安排。

5）培训结束后，对接受培训人员进行培训考核，填写培训考核记录表。

6）培训考核后，人事部进行培训质量评估。

7）人事部做培训总结，提出存在问题，由责任部门提出改进方案。

4.2.3培训的目的

通过教育和培训，使员工意识到：

a)满足客户和法律法规要求的重要性；

b)违反相关要求所造成的后果；

c)自己从事的活动与公司发展的相关性；

d)必须胜任新岗位的工作；

e)公司鼓励员工参与信息安全管理，为实现信息安全目标做出贡献。

4.2.4培训的对象及内容

1)应识别从事影响信息安全的活动的人员的能力需求，分别对新员工、在岗员工、转岗员工、各类专业人员、特殊工种人员等，根据他们的岗位责任制定并实施培训需求。

2)新员工

a)公司基础教育：包括公司简介、公司相关制度、信息安全方针和信息安全目标、信息安全、意识、相关法律法规、信息安全和信息技术服务管理体系标准基础知识等的培训。在进入公司一个月内，由人事部组织进行。

b)岗位技能培训：员工入职后，各部门负责人指定专人指导新员工进行岗前的学习，根据部门以及岗位的不同，主要包括本职岗位业务流程、软件开发语言和工具基本技能、相关操作软件的性能和使用、信息安全事项的处理及紧急情况的应变措施等内容。此项培训由各部门自行组织进行，并进行考核，合格者方可上岗。

3)在岗人员：按培训计划为在岗员工安排各类培训，包括技能类、素质类和管理类。

4.2.5培训的形式

1)内部培训：由公司内部有专长的人员就某一专题进行讲授。

5