SA8000:2014防止惩戒性管理程序
SAP024防止惩戒性管理程序
l目的
制定政策和程序,明确厂纪和惩戒办法,禁止从事及不支持对员工实行非法或不人道的惩戒性措施,有效执行各项规章制度。.
2范围
公司管理与实务,以及可能的对供应商/承包商的要求
3.程序
3. 1制定政策和程序并传达给所有员工和其他利益相关者,对所有人员予于尊严及尊重;禁止从事及不支持对员工实行体罚、精神或肉体胁迫以及言语侮辱,也不得以粗暴、非人道的方式对待工人。
3.2根据《劳动合同法》等法规,结合木公司实际,制订相应的《公司管理制度》。
3.3按《公司管理制度》和相应的规章制度来管理员工,以精神上的鼓励和批评教育为主,辅之以奖惩3.4各部门不准因员工工作或生活上的失误或差错而对其进行肉体上的惩罚或当众语言上的凌辱。严禁以暴力、威胁或者非法限制人身自由的手段强迫劳动,也不得侮辱、体罚、殴打、非法搜查和拘禁员工,违者将移交公安机关处理厂
3.5公司不应使用保安人员向员工采取纪律措施,保安人员只能维持工厂里的正常秩序,不能使用武力威
胁员工.
3.6如果出现严重的违纪甚至违法行为或者蓄意造成重大经济损失的,将依法送交上级劳动行政部门或公安机关处理.
3.7公司不应当反对或压制员工对管理层的不满,员工可以口头或书面形式直接向行政部、总经理投诉或将投诉书投递到意见箱,也可通过工人代表参与实行惩戒程序。.公司行政部将在一周内对员工意见或投诉进行调查,做出答复厂。
3.8本程序及惩戒措施对工人公开,包括口头警告、书面警告、严重警告等方式教育工人认识到自己的错误,尽快纠正不良行为
3.9行政部负责本程序的制订、审查、修订。
4.0参考文件
4.1《劳动合同法》
5支持文件
5.1《公司管理制度》
社会责任管理体系BSCI程序文件39(禁止强迫和强制性劳动控制程序 )
1.0目的 为保障员工人身自由,确保本公司所雇用之员工均属自愿受雇和人道待遇。2.0适用范围 本程序适用于公司劳动管理。 3.0职责 3.1行政部负责制定劳动人事相关制度,并负责传达、实施、监督执行。 3.2各生产部门负责执行公司劳动人事相关制度,确保员工自愿从事劳动,防止强迫劳动行 为发生。 3.3总经理负责确保本公司劳动人事制度符合法律法规、国际公约、劳动人事主管部门以及 客户要求;负责批准并确保公司劳动人事制度得到有效执行。 4.0 工作程序 4.1自由选择职业 4.1.1在公司《员工招聘管理程序》等相关文件中声明自由选择职业的政策。行政部负责对 员工进行入职教育时应向员工宣传公司就业政策和人事管理制度,并保留培训记录。 4.1.2所有员工都需受到人道待遇并自愿被雇用,不得使用任何类型的被迫、强制监禁、受 契约约束或受束缚(包括债务束缚)、拐卖或奴役的劳工。 4.1.3公司禁止向劳动者收取就业介绍费等任何手续费及保证金,任何部门、任何人不得向 进厂员工收取货币﹑实物等作为“入厂押金”。任何分包商/承包商/代理商、劳务 中介公司禁止向员工收取手续费、保证金/押金及其他费用。 4.1.4若员工离职遵循正常途径(即提前30天书面申请),公司任何部门不得以任何方式惩 罚。 4.2身份证件的使用和保管 4.2.1公司禁止扣留或者抵押员工的居民身份证﹑暂住证和其他个人身份证明文件和个人数 据的原件,例如:护照、工作签证/许可证、国籍、住所、身份证、社会保障/保险 卡/证明文件、出生证、银行证明文件等。 4.2.2公司不保管政府签发的身份证或个人证明文件原件,确需人事管理需要时,公司可以 向劳动者征求相关文件的复印件。
2018最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
最新ISO27001信息安全管理体系全套文件(手册+程序文件+作业规范)
信息安全管理体系程序文件目录
信息安全管理体系作业文件目录
1 适用 本程序适用于公司信息安全事故、薄弱点、故障和风险处置的管理。 2 目的 为建立一个适当信息安全事故、薄弱点、故障风险处置的报告、反应与处理机制,减少信息安全事故和故障所造成的损失,采取有效的纠正与预防措施,正确处置已经评价出的风险,特制定本程序。 3 职责 3.1 各系统归口管理部门主管相关的安全风险的调查、处理及纠正措施管理。 3.2 各系统使用人员负责相关系统安全事故、薄弱点、故障和风险的评价、处置报告。 4 程序 4.1 信息安全事故定义与分类: 4.1.1 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,均为信息安全事故: a) 企业秘密、机密及国家秘密泄露或丢失; b) 服务器停运4 小时以上; c) 造成信息资产损失的火灾、洪水、雷击等灾害; d) 损失在十万元以上的故障/事件。 4.1.2 信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接造成下列影响(后果)之一,属于重大信息安全事故: a) 企业机密及国家秘密泄露; b) 服务器停运8 小时以上; c) 造成机房设备毁灭的火灾、洪水、雷击等灾害; d) 损失在一百万元以上的故障/事件。 4.1.3 信息安全事件包括: a) 未产生恶劣影响的服务、设备或者实施的遗失; b) 未产生事故的系统故障或超载; c) 未产生不良结果的人为误操作; d) 未产生恶劣影响的物理进入的违规
信息安全管理方案计划经过流程
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
网络信息安全管理程序
历史修订记录
1 目的 为了防止信息的泄密,避免严重灾难的发生,特制定此程序。 2 适用范围 包括但不限于计算机网络、个人计算机、互联网、邮件、电子文件和其他电子服务等相关设备、设施或资源。 3 术语和定义 ePHI:电子受保护健康信息。 IIHI:个人可识别健康信息。 4 职责与权限 4.1信息安全负责人 i.负责批准《系统/软件账号申请单》; ii.负责安全事件的确认和处理。 4.2客服部 i.负责医数聚系统的管理。 4.3人力资源部 i.负责硬件和移动设备的管理; ii.负责钉钉、钉邮和微信的管理。 4.4质量管理部 i.负责监督网络信息安全管理的执行。 4.5各部门 i.负责按照网络信息安全管理要求执行。 5 程序 5.1个人ePHI不论存储媒介,包括但不限于:姓名、年龄、性别、病例、医疗数据; 均需要采取措施,防止泄露。 5.1.1员工获得IIHI的程度应基于员工的工作性质及其相关的职责,员工可以访问他 们完成工作所需的所有IIHI,但不能获得更多的访问权限。 5.1.2任何员工都不可获得比其清除水平更高的IIHI水平。 5.2硬件和移动设备的管理控制 5.2.1硬件和移动设备包括但不限于:计算机、笔记本电脑、移动硬盘、U盘、光碟。 5.2.2硬件和移动设备的领用
5.2.2.1员工办公用到的硬件和移动设备采取实名登记制,由人力资源部通过《硬件 和移动设备领用登记表》做好登录管理,并每年梳理一次,以保证信息的正确性。 5.2.2.2当员工领用新的硬件或移动设备后,应第一时间设置使用密码,密码设置不 可过于简单,避免使用姓名、生日、简单数字等,使用密码只可自己知悉,不可告知其他同事,更不可记录下存放在显眼易获取位置,当员工察觉密码存在泄漏、丢失、被获取的可能时,一小时内上报信息安全责任人知悉,由信息安全责任人按照《安全事件管理程序》执行。为了防止密码被获知,人力资源部需监督员工每半年更换一次使用密码。 5.2.2.3员工离岗超过五分钟需对工位的硬件和移动设备进行保密操作,如拔出移动 硬盘存放在带锁抽屉,启动计算机的屏保功能等。保密操作如可以由设备自动执行,人力资源部应监督员工提前设置好。 5.2.2.4因员工离职、调岗等原因需要退回或变更硬件或移动设备时,退回或变更的 硬件和移动设备,在使用前,由人力资源部对其进行使用痕迹的清除工作,并填写记录《硬件和移动设备使用痕迹清除记录表》,质量管理部监督执行情况。 5.2.3硬件和移动设备损坏需要维修时,以防信息的泄露不可将设备带出公司维修, 需请专业人士上门维修,且全程需要有人员陪同在监控覆盖区域进行,对维修单位或个人按照《业务伙伴的管理程序》执行。 5.3系统/软件管理控制 5.3.1我司现有涉及PHI传输的系统/软件:医数聚系统、钉钉、钉邮、微信。 5.3.2医数聚系统由客服部负责管理,钉钉、钉邮、微信由人力资源部负责管理。 5.3.3我司系统/软件实行一人一账号的原则,个人账号不得相互借用,员工因工作需 要需要登录系统/软件时,需填写《系统/软件账号申请单》,交部门负责人审核,信息安全责任人批准后,交给管理部门开通账号及相关权限,管理部门需建立系统/软件《用户管理一览表》,管理系统/软件的使用人员及其权限相关信息,当员工离职、调岗时,管理部门需在收到信息的第一时间对该账户状态或权限做变更处理。管理部门应不定期的对《用户管理一览表》进行信息确认,以确保其准确无误。 5.3.4员工获得系统/软件的账号及初始密码后,需更改初始密码,密码的管理参见 5.2.2.2。 5.3.5为了确保信息传输在监控下进行,相关部门和人员对外联络应使用公司提供的系 统或软件账号进行。 5.3.6与ePHI相关的信息传输,尽可能在医数聚系统中完成,如必须使用钉钉、钉邮、 微信等,应遵循文件的加密规定。 5.3.7医数聚系统操作控制 5.3.7.1医数聚系统中对每个订单的处理都会形成“订单操作记录”,客服部需每季度
信息安全系统管理系统要求规范
信息安全管理规范公司
版本信息 当前版本: 最新更新日期: 最新更新作者: 作者: 创建日期: 审批人: 审批日期: 修订历史 版本号更新日期修订作者主要修订摘要
Table of Contents(目录) 1. 公司信息安全要求 (5) 1.1信息安全方针 (5) 1.2信息安全工作准则 (5) 1.3职责 (6) 1.4信息资产的分类规定 (6) 1.5信息资产的分级(保密级别)规定 (7) 1.6现行保密级别与原有保密级别对照表 (7) 1.7信息标识与处置中的角色与职责 (8) 1.8信息资产标注管理规定 (9) 1.9允许的信息交换方式 (9) 1.10信息资产处理和保护要求对应表 (9) 1.11口令使用策略 (11) 1.12桌面、屏幕清空策略 (11) 1.13远程工作安全策略 (12) 1.14移动办公策略 (12) 1.15介质的申请、使用、挂失、报废要求 (13) 1.16信息安全事件管理流程 (14) 1.17电子邮件安全使用规范 (16) 1.18设备报废信息安全要求 (17) 1.19用户注册与权限管理策略 (17) 1.20用户口令管理 (18) 1.21终端网络接入准则 (18) 1.22终端使用安全准则 (18) 1.23出口防火墙的日常管理规定 (19) 1.24局域网的日常管理规定 (19) 1.25集线器、交换机、无线AP的日常管理规定 (19) 1.26网络专线的日常管理规定 (20) 1.27信息安全惩戒 (20) 2. 信息安全知识 (21) 2.1什么是信息? (21) 2.2什么是信息安全? (21)
信息安全事件管理程序.docx
信息安全事件管理程序 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制,减少信息安全事件和故障所造成的损失,采取有效的纠正与预防措施,特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针; ? 确定信息安全管理组织架构、角色和职责划分; ? 负责信息安全小组之间的协调,内部和外部的沟通; ? 负责信息安全评审的相关事宜; 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略; ? 组织安全管理技术责任人进行风险评估; ? 组织安全管理技术责任人制定信息安全改进建议和控制措施; ? 编写风险改进计划; 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控; ? 信息安全风险评估;
? 确定信息安全控制措施; ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。 造成下列影响(后果)之一的,均为一般信息安全事件。 a) XXX秘密泄露; b) 导致业务中断两小时以上; c) 造成信息资产损失的火灾; d) 损失在一万元人民币(含)以上的故障/事件。 造成下列影响(后果)之一的,属于重大信息安全事件。 a) 组织机密泄露; b) 导致业务中断十小时以上; c) 造成机房设备毁灭的火灾; d) 损失在十万元人民币(含)以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求,确认代码管理相关信息系统的安全需求; ? 对代码管理相关信息系统进行信息安全风险评估,预测风险类型、
信息管理与信息安全管理程序.docx
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
ISO27001信息安全惩戒管理规定
ISO27001信息安全惩戒管理规定 1 目的 为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖惩,并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑,强化全体员工的信息安全意识,有效防止信息安全事故的发生,特制定本规定。 2 范围 本程序适用于DXC对违反信息安全方针、体系文件要求、法律法规、合同要求的员工的奖惩及对信息安全做出贡献员工的奖励。 3 相关文件 4 职责 4.1 各副总经理负责自己区域内的奖惩。 4.2 管理者代表负责对IT方面信息安全事故的奖惩管理。 4.3 信息安全管理委员会负责决定重大信息安全和事故的处罚。 4.4 综合管理员负责DXC内部泄密或信息泄漏的调查。 5 程序 5.1 计算机信息系统的安保 5.1.1在计算机信息系统安全保护工作中成绩显著的单位和个人,由市行、市行
所辖各单位或公安机关给予表彰、奖励。 5.1.2 存在计算机信息系统安全隐患的市行所辖单位,由市行或公安机关发出整改通知,限期整改。因不及时整改而发生重大事故和案件的,由市行对该单位的主管负责人和直接负责人予以行政处分;构成违反治安管理或者违反计算机管理监察行为的,由公安机关依法予以处罚;构成犯罪的,由司法机关依法追究刑事责任。 注:以上条款由DXC计算机信息系统安全保护小组负责解释。 5.2 计算机应用与管理违规行为处罚规定 5.2.1 计算机应用、维护及操作人员违反规定对账务、信息进行处理的,给予经济处罚或者警告至降级处分;造成严重后果的,给予撤职至开除处分。 5.2.2 违反规定,擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的,给予主管人员和其他责任人员记过至撤职处分;造成严重后果的,给予主管人员和其他责任人员留用察看至开除处分。 5.2.3 利用计算机进行违法违规活动或者为违法违规活动提供条件的,给予主管人员和其他责任人员记过撤职处分;造成严重后果的,给予留用至开除处分。 5.2.4 违反规定,有下列危害网络安全行为之一的,给予有关责任人员经济处罚或者警告至记过处分;造成严重后果的,给予记大过至开除处分:(a)在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和网络的(含从的一个业务系统进入另一个业务系统,从以外的系统和设备侵入业务网络系统,以及从的业务网络系统进入以外的网络系统); (b)未经审批,私自使用内部网络上的计算机拨号上国际互联网的; (c)将非计算机设备接入网络系统的; (d)私自卸载或屏蔽计算机安全软件的; (e)私自修改计算机操作系统、网络系统安全设置的; (f)未经审批,私自在网络系统内开设游戏网站、论坛、聊天室等与工作无关的网络服务的; (g)利用邮件系统传播损害形象的邮件的。
重大事件期间网络与信息安全管理规定
**集团有限公司 重大事件期间网络与信息安全管理规定(试行) 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作,建立有效的安全防护体系,进一步提高预防和控制网络与信息安全突发事件的能力和水平,减轻或消除突发事件的危害和影响,确保重大事件期间网络与信息安全,制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动,如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导,落实信息安全责任地;高度重视,强化安全防范措施;周密部署,加强各相关方协作为原则,以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响,确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括:集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下,负责本单位网络与信息安全防范和整改工作。
第五条重大事件期间在时间上分为三个阶段,分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段;从重大事件起始日期至结束日期为实施阶段;从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作,网络与信息安全采取自查和现场抽查相结合的方式,先开展各单位内部的网络与信息安全自查,在各单位自查的基础上,由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患,各单位应制定整改
信息安全管理程序
信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部:负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工:按照管理要求进行执行。 3.内容 3.1公司保密资料: 3.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料,货源情报和供货商调研资料。 3.1.3公司生产、设计数据,技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据,按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。 3.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:3.2. 4.1在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位
安全行为管理
安全行为管理综述 行为安全管理(BBS)是一个管理程序流程,通过这个程序,作业员工能够分辨、度量和改变他们的行为。该过程依据的是前因-行为-后果(ABC)行为模型原理。它假设所有的行为都有一个或者多个行为前因来激发该行为,而且有一个或者多个行为后果来激励或者阻止(不鼓励)该行为的再次发生。 要想使BBS 在一个组织内完全有效,该组织需要承诺并完全做好所有事故控制措施。从这个角度看,企业员工们应该将BBS 视作是对已有的良好的安全计划的补充,而不是取而代之。如果企业员工把BBS 看作是企业用来推卸事故责任的一种方法,BBS 是不会有效的。BBS 的根本目的是解决人的行为问题,而不是去一味地责备。企业不应该依赖BBS 去解决一切安全问题———它不是万能的。 美国杜邦公司通过对意外事件的统计分析发现,在伤害事故原因中,不安全状态只占4%,不安全行为占96%。据统计,我国的伤害事故原因中,不安全行为所占比例约为85%。因此,绝大多数伤害事故都是由于不安全行为所导致的。 那么,当企业有了规范的制度、操作规程以及其他的安全管理措施,员工为什么不能按照上述规定去做?他们为什么还有不安全行为从而导致事故发生呢?高勤安全的咨询顾问研究出一套有效的行为安全管理方法,可以有效地矫正员工的不安全行为。 行为安全管理的关键是通过现状调研和评估,分析不良表现原因和对策,建立员工行为安全模型,掌握如何消除或减少作业现场的不安全行为,减少作业伤害及事故的发生,提高企业安全绩效。 我们采用的行为管理方法有: ——杜邦的STOP管理 ——行为观察法 ——无惩戒纪律措施 1 杜邦的STOP管理: 作为行为安全管理的工具之一,杜邦的stop管理法基本步骤为:决定、停止、观察、采取行动及报告。 STOP卡是美国杜邦公司在HSE管理中提出新的管理方式。STOP是由以下四个单词所组成(SAFETY, TRAINING, OBSERVATION, PROGRAMME。既安全、培训、观察程序),已经被世界大部分石油公司和钻井承包商所采用。鼓励并倡导现场全体作业人员使用STOP卡,运用STOP卡纠正不安全行为,肯定和加强安全行为,以达到防止不安全行为的再发生和强化安全行为的目的。 1.1关于STOP卡的主要理论: 1.1.1 所有事故都是可以预防的,安全是每一个人的责任。 1.1.2 STOP是一种观察程序,通过观察人的行为,并且和雇员交谈关于如何安全工作的方法,以达到防止不安全行为的再发生和强化安全行为的目的。 1.1.3 因为安全或不安全行为总是由人引起的,而不是机器,所以STOP卡将注意力集中在观察人和人的行为上。 1.1.4 STOP是基于对以往事故发生原因的统计分析结果,其中:人的反应(RECATION OF PEOPLE)占14% ;劳保用品(PPE)占12%;人的位置(POSITION OF PEOPLE)占30% ;设备和工具(TOOLS AND EQUIPMENTS)占28% ;程序和整
禁止惩戒性处罚管理守则.doc
禁止惩戒性处罚管理制度1 文件名称:禁止惩戒性处罚管理制度修改状态:0 页码:1 / 3 禁止惩戒性处罚管理制度 1.目的 制定政策和程序,明确厂纪和处罚办法,禁止对员工实行非法或不人道的惩戒性措施,有效执行各项规章制度。 2.范围 适用于本公司员工处罚管理,以及可能的对供应商/承包商的要求。 3.定义 惩戒性处罚:包括任何精神、肉体虐待或言语侮辱性行为。 4.职责 4.1人力资源部:负责按相关法规和行业社会道德要求制定公司纪律常规及处罚措施,并利用合适的方式进行宣传;对违纪员工作出正确的处罚;监督各部门管理人员对员工的处罚行为是否恰当并予以纠正,对责任人作出相应处罚。 4.2各部门:遵守本规定,配合人力资源部运用正确的方法对违纪员工作出处罚。
5.内容 5.1公司尊重员工的人格和尊严,采用公开公正的、旨在教育的处罚方式。严禁任何人员以暴力、威胁或其它手段对员工作出任何精神、肉体虐待或言语侮辱性行为。 5.2公司编制《员工手册》,制定厂规厂纪政策和处罚程序,并以培训等方式传达给所有员工和其他利益相关者。 5.3对员工处罚的同时应辅以适当的教育培训,旨在让其认识与改正错误行为,公司处罚措施包括: 5.3.1口头警告:是对员工较轻违规行为的处罚方式; 5.3.2书面警告:是对员工一般违规行为的处罚方式; 5.3.3严重警告:是对员工较重违规行为的处罚方式; 5.3.4解除劳动合同:是对员工严重的违规行为,对公司利益造成损害,危害公司声誉、产 文件名称:禁止惩戒性处罚管理制度修改状态:0 页码:2 / 3 品、财产或其它个人安全及利益行为的处罚方式。 5.3.5经济赔偿:因员工过错造成公司直接经济损失的,应当依法承担的赔偿责任。但应提 前书面通知且赔偿金额不得超过法律规定的限额。 5.4各部门严禁因员工过错而对其进行精神上、肉体上的惩
信息安全惩戒管理规定
信息科技部 信息安全惩戒管理规定 A版 2011年6月1日发布2011年6月1日实施
目录 1 目的 (3) 2 围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (4) 5.1 计算机信息系统的安保 (4) 5.2 计算机应用与管理违规行为处罚规定 (4) 5.3 计算机信息类违规处罚 (6) 5.4 奖惩记录 (6) 5.5 证据的收集 (6) 5.6 证据的保存及提供 (7) 6 记录 (7)
1 目的 为对违反信息安全方针、体系文件要求、法律法规、合同要求的员工实施公正有效的奖惩,并作为对可能在其它情况下有意轻视信息安全程序的员工的威慑,强化全体员工的信息安全意识,有效防止信息安全事故的发生,特制定本规定。 2 围 本程序适用于银行信息科技部对违反信息安全方针、体系文件要求、法律法规、合同要求的员工的奖惩及对信息安全做出贡献员工的奖励。 3 相关文件 4 职责 4.1 各副总经理负责自己区域的奖惩。 4.2 管理者代表负责对IT方面信息安全事故的奖惩管理。 4.3 信息安全管理委员会负责决定重大信息安全和事故的处罚。 4.4 综合管理员负责银行信息科技部部泄密或信息泄漏的调查。
5 程序 5.1 计算机信息系统的安保 5.1.1在计算机信息系统安全保护工作中成绩显著的单位和个人,由市行、市行所辖各单位或公安机关给予表彰、奖励。 5.1.2 存在计算机信息系统安全隐患的市行所辖单位,由市行或公安机关发出整改通知,限期整改。因不及时整改而发生重大事故和案件的,由市行对该单位的主管负责人和直接负责人予以行政处分;构成违反治安管理或者违反计算机管理监察行为的,由公安机关依法予以处罚;构成犯罪的,由司法机关依法追究刑事责任。 注:以上条款由银行信息科技部计算机信息系统安全保护小组负责解释。 5.2 计算机应用与管理违规行为处罚规定 5.2.1 计算机应用、维护及操作人员违反规定对账务、信息进行处理的,给予经济处罚或者警告至降级处分;造成严重后果的,给予撤职至开除处分。 5.2.2 违反规定,擅自编制、使用、修改业务应用程序、调整系统参数和业务数据的,给予主管人员和其他责任人员记过至撤职处分;造成严重后果的,给予主管人员和其他责任人员留用察看至开除处分。 5.2.3 利用计算机进行违规活动或者为违规活动提供条件的,给予主管人员和其他责任人员记过撤职处分;造成严重后果的,给予留用至开除处分。 5.2.4 违反规定,有下列危害银行网络安全行为之一的,给予有关责任人员经济处罚或者警告至记过处分;造成严重后果的,给予记大过至开除处分:(a)在生产经营用机上使用与业务无关的软件或者利用通讯手段非法侵入其他系统和网络的(含从银行的一个业务系统进入另一个业务系统,从银行以外的系统和设备侵入银行业务网络系统,以及从银行的业务网络系统进入银行以外的网络系统); (b)未经审批,私自使用银行部网络上的计算机拨号上国际互联网的; (c)将非银行计算机设备接入银行网络系统的; (d)私自卸载或屏蔽计算机安全软件的; (e)私自修改计算机操作系统、网络系统安全设置的;
信息安全管理制度汇总
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
公司信息安全管理制度
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不 善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。 2.3文件移动
SA8000:2014防止惩戒性管理程序
SAP024防止惩戒性管理程序 l目的 制定政策和程序,明确厂纪和惩戒办法,禁止从事及不支持对员工实行非法或不人道的惩戒性措施,有效执行各项规章制度。. 2范围 公司管理与实务,以及可能的对供应商/承包商的要求 3.程序 3. 1制定政策和程序并传达给所有员工和其他利益相关者,对所有人员予于尊严及尊重;禁止从事及不支持对员工实行体罚、精神或肉体胁迫以及言语侮辱,也不得以粗暴、非人道的方式对待工人。 3.2根据《劳动合同法》等法规,结合木公司实际,制订相应的《公司管理制度》。 3.3按《公司管理制度》和相应的规章制度来管理员工,以精神上的鼓励和批评教育为主,辅之以奖惩3.4各部门不准因员工工作或生活上的失误或差错而对其进行肉体上的惩罚或当众语言上的凌辱。严禁以暴力、威胁或者非法限制人身自由的手段强迫劳动,也不得侮辱、体罚、殴打、非法搜查和拘禁员工,违者将移交公安机关处理厂 3.5公司不应使用保安人员向员工采取纪律措施,保安人员只能维持工厂里的正常秩序,不能使用武力威 胁员工. 3.6如果出现严重的违纪甚至违法行为或者蓄意造成重大经济损失的,将依法送交上级劳动行政部门或公安机关处理. 3.7公司不应当反对或压制员工对管理层的不满,员工可以口头或书面形式直接向行政部、总经理投诉或将投诉书投递到意见箱,也可通过工人代表参与实行惩戒程序。.公司行政部将在一周内对员工意见或投诉进行调查,做出答复厂。 3.8本程序及惩戒措施对工人公开,包括口头警告、书面警告、严重警告等方式教育工人认识到自己的错误,尽快纠正不良行为 3.9行政部负责本程序的制订、审查、修订。 4.0参考文件 4.1《劳动合同法》 5支持文件 5.1《公司管理制度》
信息安全奖惩管理办法
信息安全奖惩管理办法 1.目的 明确信息安全奖励与违规行为处罚的操作原则,强化执行,促进员工信息安全意识提升。 2.适用范围 本规范适用于深圳市XX公司 (后续简称为公司)。 3.定义 4.职责与权限
5.内容 5.1奖励、违规行为处罚原则 5.1.1及时激励原则 对长期妥善保护公司信息资产,有效避免信息资产的遗失、滥用、盗用等,或对于促进信息安全合理共享表现突出的个人或者集体,将及时奖励。 5.1.2举报保密原则 对于举报信息安全违规行为的人员,将对其进行奖励并严格保护其个人资料不公开。 5.1.3违规行为处罚原则 5.1.3.1法律追究原则 公司所有保密信息均为公司合法资产,受国家法律法规保护。任何损害公司保密信息的行为,公司均有权追究行为人法律责任。 5.1.3.2违规分级原则 根据违规行为的性质、造成的损失和影响的严重程度、违规人员是否有意对违规行为分级。涉及关键信息资产的,违规等级要升级;一次违反多条信息安全规定的人员按最高违规等级从重处罚;对多次违反信息安全规定的人员再次违规时要从重处罚。 5.1.3.3主动从宽原则 产生违规行为后主动报告,积极采取补救措施以减少影响和损失的人员,可减轻处罚;对问题隐瞒不报或者不及时上报而导致违规影响扩大的人员,加重处罚。
5.1.3.4过度防卫处罚原则 对阻碍信息合理流动与共享的人员要给予处罚。 5.1.3.5及时处理原则 对重大信息安全违规事件,要及时处理。任何拖延、推诿不处理的责任人,要给予问责。 5.2奖励等级与责任部门 5.2.1奖励等级与措施 5.2.2奖励责任部门 1)对于满足信息安全奖励标准的集体或者个人,IT部信息安全组可根据具体事迹定期进行申报,审批通过后由人力资源部根据公司财务制度进行发放奖金;
信息安全事件管理程序(正式版)
信息安全事件管理程序 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制:___________________ 日期:___________________
信息安全事件管理程序 温馨提示:该文件为本公司员工进行生产和各项管理工作共同的技术依据,通过对具体的工作环节进行规范、约束,以确保生产、管理活动的正常、有序、优质进行。 本文档可根据实际情况进行修改和使用。 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制, 减少信息安全事件和故障所造成的损失, 采取有效的纠正与预防措施, 特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 确定信息安全目标和方针; 确定信息安全管理组织架构、角色和职责划分; 负责信息安全小组之间的协调, 内部和外部的沟通; 负责信息安全评审的相关事宜; 3.2 信息安全日常管理员 负责制定组织中的安全策略; 组织安全管理技术责任人进行风险评估;
组织安全管理技术责任人制定信息安全改进建议和控制措施; 编写风险改进计划; 3.3 信息安全管理技术责任人 负责信息安全日常监控; 信息安全风险评估; 确定信息安全控制措施; 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响(后果)的。 造成下列影响(后果)之一的, 均为一般信息安全事件。 a) XXX秘密泄露; b) 导致业务中断两小时以上; c) 造成信息资产损失的火灾; d) 损失在一万元人民币(含)以上的故障/事件。 造成下列影响(后果)之一的, 属于重大信息安全事件。 a) 组织机密泄露;
信息管理与信息安全管理程序DOC
金陵石化公司一体化管理体系 信息管理与信息安全管理程序 文件编号JLSH-T20.32.00.027.2011 版本/修改A/0 第 1 页共16页1 目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施;