惩戒性措施管理控制程序

標題

惩戒性措施管理控制程序

文件

編號

PG-RS-EICC-03

版

本

1

版

次

制(修)日期2015/01/01 實施日期2015/01/01 頁次第 1 頁/ 共 1 頁

一、目的

建立和維護適應社會責任和符合法規的勞動制度，保護員工的合法權益。

二、範圍

涉及本公司各部門對員工在勞動時間內或非作業時間內的懲罰行為。

三、程式

3.1公司尊重員工的人格和尊嚴，嚴禁以暴力、威脅或其他手段限制員員工身自由並強

制勞動。

3.2嚴禁侮辱、體罰、毆打、非法搜查和拘禁勞動者的行為。公司採用一種公開公正的、

旨在教育員工的懲罰程式。懲罰規定應對員工公開，對於違反廠規的員工採取諸如

口頭警告、書面警告、嚴重警告、解除勞動合同等方式教育員工認識到自己的錯誤，

儘快糾正不良行為。

3.3按廠紀廠規來管理員工，員工違反廠規廠紀時，按規定處理。由行政人事部負責做

好《獎懲提報單》。

3.4各部門對所有員工不准因其工作中的差錯而對其進行肉體上或精神上的懲罰，給其

造成心理壓力。

3.5公司為違規員工提供申訴的管道，員工代表可以參與實行懲罰程式。

3.6員工可以用書面（採用意見箱）或口頭形式對懲戒措施（紀律處分）向公司管理層

代表投訴，管理層代表調查後在15天內向有關員工作出答復。

3.7公司嚴禁採用扣減工資的方法來處罰員工。

3.8懲戒性措施由人事部做好記錄。

四、參考檔

4.1《勞動法》第96條

4.2《員工手冊》

五、記錄

5.1《獎懲提報單》

编制：鄢圣輝审核：黃尚新核准：林茂生

社会责任管理体系BSCI程序文件39(禁止强迫和强制性劳动控制程序 )

1.0目的 为保障员工人身自由，确保本公司所雇用之员工均属自愿受雇和人道待遇。2.0适用范围 本程序适用于公司劳动管理。 3.0职责 3.1行政部负责制定劳动人事相关制度，并负责传达、实施、监督执行。 3.2各生产部门负责执行公司劳动人事相关制度，确保员工自愿从事劳动，防止强迫劳动行 为发生。 3.3总经理负责确保本公司劳动人事制度符合法律法规、国际公约、劳动人事主管部门以及 客户要求；负责批准并确保公司劳动人事制度得到有效执行。 4.0 工作程序 4.1自由选择职业 4.1.1在公司《员工招聘管理程序》等相关文件中声明自由选择职业的政策。行政部负责对 员工进行入职教育时应向员工宣传公司就业政策和人事管理制度，并保留培训记录。 4.1.2所有员工都需受到人道待遇并自愿被雇用，不得使用任何类型的被迫、强制监禁、受 契约约束或受束缚（包括债务束缚）、拐卖或奴役的劳工。 4.1.3公司禁止向劳动者收取就业介绍费等任何手续费及保证金，任何部门、任何人不得向 进厂员工收取货币﹑实物等作为“入厂押金”。任何分包商/承包商/代理商、劳务 中介公司禁止向员工收取手续费、保证金/押金及其他费用。 4.1.4若员工离职遵循正常途径（即提前30天书面申请），公司任何部门不得以任何方式惩 罚。 4.2身份证件的使用和保管 4.2.1公司禁止扣留或者抵押员工的居民身份证﹑暂住证和其他个人身份证明文件和个人数 据的原件，例如：护照、工作签证/许可证、国籍、住所、身份证、社会保障/保险 卡/证明文件、出生证、银行证明文件等。 4.2.2公司不保管政府签发的身份证或个人证明文件原件，确需人事管理需要时，公司可以 向劳动者征求相关文件的复印件。

信息安全管理方案计划经过流程

信息安全管理流程说明书 （S-I）

信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动，保证信息安全管理目标的实现，满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全； 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题，识别并跟 踪组织内任何信息安全授权访问； 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求； 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定，以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产（Asset）：任何对组织有价值的事物。 2) 可用性（Availability）：需要时，授权实体可以访问和使用的特性。 3) 保密性（Confidentiality）：信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性（Integrity）：保护资产的正确和完整的特性。

5) 信息安全（Information security）：保护信息的保密性、完整性、可用性及其他属 性，如：真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系（Information security management system ISMS）：整体管理 体系的一部分，基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注：管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析（Risk analysis）：系统地使用信息以识别来源和估计风险。 9) 风险评价（Risk evaluation）：将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估（Risk assessment）：风险分析和风险评价的全流程。 11) 风险处置（Risk treatment）：选择和实施措施以改变风险的流程。 12) 风险管理（Risk management）：指导和控制一个组织的风险的协调的活动。 13) 残余风险（Residual risk）：实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件（document）：信息和存储信息的媒体； 注1：本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据； 注2：文件的例子，如策略声明、计划、程序、服务级别协议和合同； 2) 记录（record）：描述完成结果的文件或执行活动的证据； 注1：在本标准中，应区分记录与文件，记录是活动的证据，文件是目标的证据； 注2：记录的例子，如审核报告、变更请求、事故响应、人员培训记录； 3) KPI：Key Performance Indicators 即关键绩绩效指标；也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析，衡量流程绩效的一种目标式量化管理指标，流程绩效管理的基础。

网络信息安全管理程序

历史修订记录

1 目的 为了防止信息的泄密，避免严重灾难的发生，特制定此程序。 2 适用范围 包括但不限于计算机网络、个人计算机、互联网、邮件、电子文件和其他电子服务等相关设备、设施或资源。 3 术语和定义 ePHI：电子受保护健康信息。 IIHI：个人可识别健康信息。 4 职责与权限 4.1信息安全负责人 i.负责批准《系统/软件账号申请单》； ii.负责安全事件的确认和处理。 4.2客服部 i.负责医数聚系统的管理。 4.3人力资源部 i.负责硬件和移动设备的管理； ii.负责钉钉、钉邮和微信的管理。 4.4质量管理部 i.负责监督网络信息安全管理的执行。 4.5各部门 i.负责按照网络信息安全管理要求执行。 5 程序 5.1个人ePHI不论存储媒介，包括但不限于：姓名、年龄、性别、病例、医疗数据； 均需要采取措施，防止泄露。 5.1.1员工获得IIHI的程度应基于员工的工作性质及其相关的职责，员工可以访问他 们完成工作所需的所有IIHI，但不能获得更多的访问权限。 5.1.2任何员工都不可获得比其清除水平更高的IIHI水平。 5.2硬件和移动设备的管理控制 5.2.1硬件和移动设备包括但不限于：计算机、笔记本电脑、移动硬盘、U盘、光碟。 5.2.2硬件和移动设备的领用

5.2.2.1员工办公用到的硬件和移动设备采取实名登记制，由人力资源部通过《硬件 和移动设备领用登记表》做好登录管理，并每年梳理一次，以保证信息的正确性。 5.2.2.2当员工领用新的硬件或移动设备后，应第一时间设置使用密码，密码设置不 可过于简单，避免使用姓名、生日、简单数字等，使用密码只可自己知悉，不可告知其他同事，更不可记录下存放在显眼易获取位置，当员工察觉密码存在泄漏、丢失、被获取的可能时，一小时内上报信息安全责任人知悉，由信息安全责任人按照《安全事件管理程序》执行。为了防止密码被获知，人力资源部需监督员工每半年更换一次使用密码。 5.2.2.3员工离岗超过五分钟需对工位的硬件和移动设备进行保密操作，如拔出移动 硬盘存放在带锁抽屉，启动计算机的屏保功能等。保密操作如可以由设备自动执行，人力资源部应监督员工提前设置好。 5.2.2.4因员工离职、调岗等原因需要退回或变更硬件或移动设备时，退回或变更的 硬件和移动设备，在使用前，由人力资源部对其进行使用痕迹的清除工作，并填写记录《硬件和移动设备使用痕迹清除记录表》，质量管理部监督执行情况。 5.2.3硬件和移动设备损坏需要维修时，以防信息的泄露不可将设备带出公司维修， 需请专业人士上门维修，且全程需要有人员陪同在监控覆盖区域进行，对维修单位或个人按照《业务伙伴的管理程序》执行。 5.3系统/软件管理控制 5.3.1我司现有涉及PHI传输的系统/软件：医数聚系统、钉钉、钉邮、微信。 5.3.2医数聚系统由客服部负责管理，钉钉、钉邮、微信由人力资源部负责管理。 5.3.3我司系统/软件实行一人一账号的原则，个人账号不得相互借用，员工因工作需 要需要登录系统/软件时，需填写《系统/软件账号申请单》，交部门负责人审核，信息安全责任人批准后，交给管理部门开通账号及相关权限，管理部门需建立系统/软件《用户管理一览表》，管理系统/软件的使用人员及其权限相关信息，当员工离职、调岗时，管理部门需在收到信息的第一时间对该账户状态或权限做变更处理。管理部门应不定期的对《用户管理一览表》进行信息确认，以确保其准确无误。 5.3.4员工获得系统/软件的账号及初始密码后，需更改初始密码，密码的管理参见 5.2.2.2。 5.3.5为了确保信息传输在监控下进行，相关部门和人员对外联络应使用公司提供的系 统或软件账号进行。 5.3.6与ePHI相关的信息传输，尽可能在医数聚系统中完成，如必须使用钉钉、钉邮、 微信等，应遵循文件的加密规定。 5.3.7医数聚系统操作控制 5.3.7.1医数聚系统中对每个订单的处理都会形成“订单操作记录”，客服部需每季度

基础设施和过程运行环境控制程序

1. 目的 对基础设施和运行环境进行有效控制，确保基础设施和运行环境满足制造使用的要求，并保持有效的过程能力。 2. 适用范围 2.1.适用于为实现产品符合性所需要的设施，如工作场所、硬件和软件、工具和设备、支持性服务如 通讯设施、运输设施等的控制； 2.2.本程序适用于基础设施和运行环境。 3. 职责 3.1.公司管理层负责组织经营计划的正确制定和执行过程的跟踪。 3.2.各部门负责提供经营计划的相关数据，并执行与自身范围相关的经营计划要求 4. 定义（略） 基础设施：指生产设备、模具和工装夹具、组织运行所必需的设施、包括服务软件的体系。 运行环境：工作时所处的一组条件或使用场所 5. 作业内容 5.1 设施的管理 5.1.1.设施的选购、验收; a)当需购置设备或附件时，由采购课负责采购，必要时，生产部协助采购。 b)设备购置进厂，生产部负责依据设备说明书或合同规定的技术条件进行验收，并验收合格准予 进厂；若验收不合格，则采购课办理退换或维修事宜，直到验收合格。 c)厂房设施购置进厂，由采购课负责依据设施使用说明书或合同规定的技术条件进行验收，并验 收合格准予进厂；若验收不合格，则采购课办理或维修事宜，直到验收合格设施应包括：工作 场所（车间、办公场所等）、设备和工具（包括工、卡、量具）、软件（计算机网络）、支持性服 务（水、电、气供应）、通讯设施、运输设施等。 d) 采购或自制完成的设施，生产部组织使用部门安装调试，确认满足要求后，由生产部 和使用部门在《设施验收单》上签字验收，并记录设施名称、型号规格、技术参数、 单价、数量、随机附件及资料等内容。《设施验收单》由文控中心保管。低值易耗的工、卡、量 具等使用部门自行验收。 e) 验收不合格的设施，生产部与供方协商解决，并在《设施验收单》上记录处理结果。 f) 生产部对验收合格的设备进行编号，并在《公司主要生产设施一览表》上登记。 g) 生产部根据合格的《设施验收单》办理登记和建档手续；低值易耗的工、卡、量具等由仓库凭 设施验收单办理入库手续。

信息安全事件管理程序.docx

信息安全事件管理程序 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制，减少信息安全事件和故障所造成的损失，采取有效的纠正与预防措施，特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 ? 确定信息安全目标和方针； ? 确定信息安全管理组织架构、角色和职责划分； ? 负责信息安全小组之间的协调，内部和外部的沟通； ? 负责信息安全评审的相关事宜； 3.2 信息安全日常管理员 ? 负责制定组织中的安全策略； ? 组织安全管理技术责任人进行风险评估； ? 组织安全管理技术责任人制定信息安全改进建议和控制措施； ? 编写风险改进计划； 3.3 信息安全管理技术责任人 ? 负责信息安全日常监控； ? 信息安全风险评估；

? 确定信息安全控制措施； ? 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。 造成下列影响（后果）之一的，均为一般信息安全事件。 a) XXX秘密泄露； b) 导致业务中断两小时以上； c) 造成信息资产损失的火灾； d) 损失在一万元人民币（含）以上的故障/事件。 造成下列影响（后果）之一的，属于重大信息安全事件。 a) 组织机密泄露； b) 导致业务中断十小时以上； c) 造成机房设备毁灭的火灾； d) 损失在十万元人民币（含）以上的故障/事件。 4.2 信息安全事件管理流程 ? 由信息安全管理负责人组织相关的运维技术人员根据XXX对信息安全的要求，确认代码管理相关信息系统的安全需求； ? 对代码管理相关信息系统进行信息安全风险评估，预测风险类型、

信息管理与信息安全管理程序.docx

. . 1目的 明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制 造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应， 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策， 定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况， 协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门，主要职责： a) 负责制定并组织实施本程序及配套规章制度，对各部门( 单位 ) 信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施； c) 负责统一规划、组织、整合和管理公司信息资源系统，为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持；对Internet用户、电子邮箱进行设置管理；统一管理分公司互联网出口； d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算

重大事件期间网络与信息安全管理规定

**集团有限公司 重大事件期间网络与信息安全管理规定（试行） 第一章总则 第一条为切实做好**集团有限公司网络与信息安全防护工作，建立有效的安全防护体系，进一步提高预防和控制网络与信息安全突发事件的能力和水平，减轻或消除突发事件的危害和影响，确保重大事件期间网络与信息安全，制定本管理规定。 第二条本规定所指的重大事件是指需要保供电的国家、省政府层面的重大活动，如重大会议、重大体育赛事等。 第三条集团公司重大事件期间网络与信息安全管理要坚持以加强领导，落实信息安全责任地；高度重视，强化安全防范措施；周密部署，加强各相关方协作为原则，以确保重大事件期间不出现因网络与信息安全问题造成不良的社会影响，确保重大事件期间不出现因网络与信息安全问题造成的安全生产事故为目标。 第四条集团公司重大事件期间网络与信息安全管理工作范围包括：集团广域网、各局域网、电力二次系统、重要信息系统以及信息安全。各单位的网络与信息安全专项工作组应在集团公司网络与信息安全应急工作小组的指导下，负责本单位网络与信息安全防范和整改工作。

第五条重大事件期间在时间上分为三个阶段，分别是准备阶段、实施阶段和总结阶段。时间划分为重大事件起始日期前两个月为准备阶段；从重大事件起始日期至结束日期为实施阶段；从重大事件结束日期后半个月为总结阶段。各阶段网络与信息安全的管理工作内容有所侧重。 第六条本规定适用于集团公司总部和系统各单位。 第七条集团公司重大事件期间网络与信息安全管理工作由集团公司信息中心归口管理。 第二章准备阶段管理 第八条组织开展网络与信息安全查检工作，网络与信息安全采取自查和现场抽查相结合的方式，先开展各单位内部的网络与信息安全自查，在各单位自查的基础上，由集团公司组织相关人员对部分单位进行现场专项检查。 第九条网络与信息安全检查内容至少应包括管理制度建设、网络边界完整性检查和访问控制、电力二次系统安全分区、电力二次系统网络接口及防护、电力二次系统通用防护措施、安全审计、已采取的防范网络攻击技术措施、重要网站网页自动恢复措施、网络设备防护、系统运行日志留存及数据备份措施等。具体的检查内容见附件1《网络与信息安全检查表》。 第十条对于检查发现的安全陷患，各单位应制定整改

信息安全管理程序

信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生，特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部：负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部：负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工：按照管理要求进行执行。 3.内容 3.1公司保密资料： 3.1.1公司年度工作总结，财务预算决算报告，缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料，货源情报和供货商调研资料。 3.1.3公司生产、设计数据，技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据，按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理，必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件，当本人离开办公室外出时，须存放入文件柜或抽屉，不准随意乱放，更未经批准，不能复制抄录或携带外出。 3.2.3 未经公司领导批准，不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育，增强保密意识：3.2. 4.1在新员工入职培训中进行信息安全意识的培训，并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查，包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放，文件存放在分类目录下指定位

环境管理体系及措施

成都地铁3号线2标环境管理体系及保证措施 编制： 审核： 批准： 中铁隧道集团四处有限公司成都地铁3号线2标项目经理部 二0一二年八月

目录 目录 (2) 1.全面运行ISO13001环境保护体系 (4) 2.环境管理目标 (4) 3.识别法律、法规和环境因素 (4) 4.环境管理组织机构 (4) 5环境保护体系 (5) 6重要环境因素辨识、评价 (6) 7重要环境因素管理方案 (6) 8环境保护措施 (7) 9绩效监视和测量 (8) 10土方运输 (8) 10.1车辆情况 (8) 10.2土方装卸 (9) 10.3土方运输 (9) 10.4应急响应 (9) 11弃土处理 (9) 11.1申报 (9) 11.2运输 (9) 11.3其它管理要求 (10) 12污水及垃圾处理 (10) 12.1施工废水的控制措施 (10) 12.1.1施工排水系统 (10) 12.1.2生活污水 (11) 12.1.3运输车辆清洗废水 (11) 12.1.4其它施工废水 (11) 12.1.5排水设施维护 (11) 12.2施工垃圾的处理措施 (11) 12.3其它管理要求 (11) 13施工废气控制 (11) 13.1水泥扬尘 (11) 13.2施工扬尘 (12) 13.3车辆废气 (12) 13.4其它废气 (13) 14施工噪声与振动控制 (13) 14.1施工噪声的控制 (13) 14.2施工振动的控制 (14) 14.3施工运输车辆噪声 (14) 14.4其它噪声 (14) 14.5噪声监测 (14) 15施工环境卫生管理 (15) 15.1生活区 (15)

15.2办公室、宿舍及更衣室 (15) 15.3浴室 (15) 15.4医务室 (15) 15.5饮水卫生 (15) 15.6厕所 (15) 15.7食堂 (16) 16环境监控计划 (16)

安全行为管理

安全行为管理综述 行为安全管理（BBS）是一个管理程序流程,通过这个程序,作业员工能够分辨、度量和改变他们的行为。该过程依据的是前因-行为-后果（ABC）行为模型原理。它假设所有的行为都有一个或者多个行为前因来激发该行为，而且有一个或者多个行为后果来激励或者阻止（不鼓励）该行为的再次发生。 要想使BBS 在一个组织内完全有效，该组织需要承诺并完全做好所有事故控制措施。从这个角度看，企业员工们应该将BBS 视作是对已有的良好的安全计划的补充，而不是取而代之。如果企业员工把BBS 看作是企业用来推卸事故责任的一种方法,BBS 是不会有效的。BBS 的根本目的是解决人的行为问题,而不是去一味地责备。企业不应该依赖BBS 去解决一切安全问题———它不是万能的。 美国杜邦公司通过对意外事件的统计分析发现,在伤害事故原因中,不安全状态只占4%,不安全行为占96%。据统计，我国的伤害事故原因中，不安全行为所占比例约为85%。因此,绝大多数伤害事故都是由于不安全行为所导致的。 那么，当企业有了规范的制度、操作规程以及其他的安全管理措施，员工为什么不能按照上述规定去做？他们为什么还有不安全行为从而导致事故发生呢？高勤安全的咨询顾问研究出一套有效的行为安全管理方法，可以有效地矫正员工的不安全行为。 行为安全管理的关键是通过现状调研和评估，分析不良表现原因和对策，建立员工行为安全模型，掌握如何消除或减少作业现场的不安全行为，减少作业伤害及事故的发生，提高企业安全绩效。 我们采用的行为管理方法有： ——杜邦的STOP管理 ——行为观察法 ——无惩戒纪律措施 1 杜邦的STOP管理: 作为行为安全管理的工具之一，杜邦的stop管理法基本步骤为：决定、停止、观察、采取行动及报告。 STOP卡是美国杜邦公司在HSE管理中提出新的管理方式。STOP是由以下四个单词所组成（SAFETY, TRAINING, OBSERVATION, PROGRAMME。既安全、培训、观察程序），已经被世界大部分石油公司和钻井承包商所采用。鼓励并倡导现场全体作业人员使用STOP卡，运用STOP卡纠正不安全行为，肯定和加强安全行为，以达到防止不安全行为的再发生和强化安全行为的目的。 1.1关于STOP卡的主要理论： 1.1.1 所有事故都是可以预防的，安全是每一个人的责任。 1.1.2 STOP是一种观察程序，通过观察人的行为，并且和雇员交谈关于如何安全工作的方法，以达到防止不安全行为的再发生和强化安全行为的目的。 1.1.3 因为安全或不安全行为总是由人引起的，而不是机器，所以STOP卡将注意力集中在观察人和人的行为上。 1.1.4 STOP是基于对以往事故发生原因的统计分析结果，其中：人的反应（RECATION OF PEOPLE）占14% ；劳保用品（PPE）占12%；人的位置（POSITION OF PEOPLE）占30% ；设备和工具（TOOLS AND EQUIPMENTS）占28% ；程序和整

设施和工作环境管理程序

设施和工作环境管理程序 编制 _________________________ 日期_____________________________________ 审核 _________________________ 日期_____________________________________ 批准日期

目的识别并提供和管理为实现产品的符合性所需要的设施及工作环境。 范围本管理程序适用于本公司生产部所使用的设施及工作环境。 职责生产部设备组负责对实现产品符合性所需的生产设施和环境进行控制。企管部负责对实现产品符合性所需的运输设施、软件进行控制。 操作程序 生产设施的识别、提供和管理 4.1.1设施的识别 公司为产品实现所需的设施包括：工作场所（车间、办公场所等）、设备和工具、软件、支持性服务（水、电、气供应）、通讯设施、运输设施等。 4.1.2设施的提供 4.1.2.1生产部设备组根据使用部门的要求及需要，进行前期调研，再与相关部门进行技术、经济分析，确定型号，报分管领导审核、总经理批准，由相关职能部门进行采购。 4.1.3设施的验收 4.1.3.1采购设施到公司后，由生产部设备组组织有关人员进行安装调试，确认满足要求后填写《设施验收安装移交单》进行签字验收，并保管相关记录和资料。 4.1.3.2验收不合格的设施，生产部设备组或相关采购员与供方协商解决，并在《设施验收安装移交单》上记录处理结果。 4.1.3.3生产部设备组对验收合格的设施进行编号，进入设施管理的管理。 4.1.3.4对于低值易耗工具，由仓库凭《入库单》办理入库手续。设施的管理 5.1 根据生产需要生产部设备组组织编写设施的操作规程，包括《数控剪板机运行规程》、《数控冲床运行规程》、《激光切割机运行规程》、《数控折弯机运行规程》、《数控母排冲孔机运行规程》、《数控母排折弯机运行规程》、《单梁式起重机运行规程》、《折边机安全操作规程》、《烘箱操作规程》、《开式双柱可倾压力机操作规程》、《立式钻床安全操作规程》、《切角机操作规程》、《油漆安全操作规程》、《锅炉安全操作规程》、《雕刻机操作规程》发放给使用部门。相关的操作人员由生产部设备组配合企管部进行培训、考核合格并登记后方可上岗操作。 生产部设备组设备管理员负责对固定资产设备进行统一编号入帐，做好标识，建立《设备总台帐》和《设施履历卡》；对于低值易耗品、工具等的使用，由部门负责人审核，设备组确认，填写《领料单》领取使用，并由设备组做好《工具领用卡片》记录。

禁止惩戒性处罚管理守则.doc

禁止惩戒性处罚管理制度1 文件名称：禁止惩戒性处罚管理制度修改状态：0 页码：1 / 3 禁止惩戒性处罚管理制度 1.目的 制定政策和程序，明确厂纪和处罚办法，禁止对员工实行非法或不人道的惩戒性措施，有效执行各项规章制度。 2.范围 适用于本公司员工处罚管理，以及可能的对供应商/承包商的要求。 3.定义 惩戒性处罚：包括任何精神、肉体虐待或言语侮辱性行为。 4.职责 4.1人力资源部：负责按相关法规和行业社会道德要求制定公司纪律常规及处罚措施，并利用合适的方式进行宣传；对违纪员工作出正确的处罚；监督各部门管理人员对员工的处罚行为是否恰当并予以纠正，对责任人作出相应处罚。 4.2各部门：遵守本规定，配合人力资源部运用正确的方法对违纪员工作出处罚。

5.内容 5.1公司尊重员工的人格和尊严，采用公开公正的、旨在教育的处罚方式。严禁任何人员以暴力、威胁或其它手段对员工作出任何精神、肉体虐待或言语侮辱性行为。 5.2公司编制《员工手册》，制定厂规厂纪政策和处罚程序，并以培训等方式传达给所有员工和其他利益相关者。 5.3对员工处罚的同时应辅以适当的教育培训，旨在让其认识与改正错误行为，公司处罚措施包括： 5.3.1口头警告：是对员工较轻违规行为的处罚方式； 5.3.2书面警告：是对员工一般违规行为的处罚方式； 5.3.3严重警告：是对员工较重违规行为的处罚方式； 5.3.4解除劳动合同：是对员工严重的违规行为，对公司利益造成损害，危害公司声誉、产 文件名称：禁止惩戒性处罚管理制度修改状态：0 页码：2 / 3 品、财产或其它个人安全及利益行为的处罚方式。 5.3.5经济赔偿：因员工过错造成公司直接经济损失的，应当依法承担的赔偿责任。但应提 前书面通知且赔偿金额不得超过法律规定的限额。 5.4各部门严禁因员工过错而对其进行精神上、肉体上的惩

信息安全管理制度汇总

信息安全管理制度 为加强公司各信息系统管理，保证信息系统安全，根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》，及上级信息管理部门的相关规定和要求，结合公司实际，制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理，应当保障网络系统设备和配套设施的安全，保障信息的安全，保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动： 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施，以任何理由破坏、挪用、改动。 3、未经允许，对信息网络功能进行删除、修改或增加。 4、未经允许，对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。

6、利用公司网络，访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作，对本单位单位所属计算机网络的运行进行巡检，发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件，一经发现个人计算机由感染病毒等原因影响到整体网络安全，信息中心将立即停止该用户使用公司网络，待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务，一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网，信息中心对其提供指导，必要时可以中断其与骨干网的连接，待子网恢复正常后再恢复连接。

公司信息安全管理制度

信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台（内部网络系统及ERP、CRM、WMS、网站、企业邮箱等）、电子数据等的安全、稳定、正常，旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理，预防信息安全事故的发生，特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备（特殊情况的，经批准许可的方能使用自已的计算机），不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境，禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件，当计算机出现硬件故障时应及时向信息技术部报告，不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责，如暂时离开座位时须锁定系统，移动介质自行安全保管。未经许可，不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。

1.4因工作需要借用公司公共笔记本的，实行“谁借用、谁管理”的原则，切实做到为工作所用，使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘（含桌面），同时定期做好相应备份，以防丢失；不进行与工作无关的下载、游戏等行为，定期查杀病毒与清理垃圾文件；拷贝至公共计算机上使用的相关资料，使用完毕须注意删除；各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理；若因个人原因造成数据资料泄密、丢失的，将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件，所有人员需进行必要加密并妥善保管；若因保管不 善，导致公司信息资料的外泄及其他损失，将由其本人承担一切责任。 2.3文件移动

基础设施和环境控制程序

基础设施和环境控制程序 QP-01 编制人：日期： 审核人：日期： 批准人：日期：

1.0 目的 识别并提供和维护为实现产品的符合性所需要的设施，识别并管理为实现产品符合 性所需的工作环境中人和物的因素。 2.0范围 适用于公司质量管理体系为实现产品符合性所需的设施，如工作场所、硬件和软件、工具和设备、支持性服务如通讯、运输设施的控制：对工作环境中人和物的因素进行控制。 3.0职责 3.1生产部负责对实现产品符合性所需的设施进行控制。 3.2各相关部门协助生产部对实现产品所需的工作环境进行控制。 4.0工作程序 4.1设施的识别、提供和维护 4.1.1设施的识别 本公司为实现产品符合性活动所需的设施包括：工作场所(车间、办公场所等)、设备和 工具(包括工、卡、量具)、软件(计算机网络)、支持性服务(水、电、气供应)、通讯设施、运输设施等。 4.1.2设施的提供 生产部根据使用部门的要求及本公司发展的需要，填写《设施配置申请单》，注明设施名称、用途、型号规格、技术参数等，报主管审核总经理批准后采购或自制，须采购的执 行《采购控制程序》的有关规定。 4.1.3设施的验收 a)采购或自制完成的设施，生产部组织使用部门进行安装调试，确认满足要求后由供销 部和使用部门在《设施验收单》上签字验收，并记录设施名称、型号规格、技术参数、 单价、数量、随机附件及资料等内容。《设施验收单》由生产部保管。低值易耗的工、卡、量具等由使用部门自行验收； b)验收不合格的设施，供销部与供方协商解决，并在《设施验收单》上记录处理结果； c) 办公室对验收合格的生产设备和模具进行编号，建立《设备管理台账》和档案，包括使用说明书、附带文件、随货清单、采购单、验收单、安装调试移交单以及事故记录单，档案的建立、记录的管理按《质量记录控制程序》执行。

SA8000：2014防止惩戒性管理程序

SAP024防止惩戒性管理程序 l目的 制定政策和程序，明确厂纪和惩戒办法，禁止从事及不支持对员工实行非法或不人道的惩戒性措施，有效执行各项规章制度。. 2范围 公司管理与实务，以及可能的对供应商/承包商的要求 3.程序 3. 1制定政策和程序并传达给所有员工和其他利益相关者，对所有人员予于尊严及尊重；禁止从事及不支持对员工实行体罚、精神或肉体胁迫以及言语侮辱，也不得以粗暴、非人道的方式对待工人。 3.2根据《劳动合同法》等法规，结合木公司实际，制订相应的《公司管理制度》。 3.3按《公司管理制度》和相应的规章制度来管理员工，以精神上的鼓励和批评教育为主，辅之以奖惩3.4各部门不准因员工工作或生活上的失误或差错而对其进行肉体上的惩罚或当众语言上的凌辱。严禁以暴力、威胁或者非法限制人身自由的手段强迫劳动，也不得侮辱、体罚、殴打、非法搜查和拘禁员工，违者将移交公安机关处理厂 3.5公司不应使用保安人员向员工采取纪律措施，保安人员只能维持工厂里的正常秩序，不能使用武力威 胁员工. 3.6如果出现严重的违纪甚至违法行为或者蓄意造成重大经济损失的，将依法送交上级劳动行政部门或公安机关处理. 3.7公司不应当反对或压制员工对管理层的不满，员工可以口头或书面形式直接向行政部、总经理投诉或将投诉书投递到意见箱，也可通过工人代表参与实行惩戒程序。.公司行政部将在一周内对员工意见或投诉进行调查，做出答复厂。 3.8本程序及惩戒措施对工人公开，包括口头警告、书面警告、严重警告等方式教育工人认识到自己的错误，尽快纠正不良行为 3.9行政部负责本程序的制订、审查、修订。 4.0参考文件 4.1《劳动合同法》 5支持文件 5.1《公司管理制度》

信息安全事件管理程序(正式版)

信息安全事件管理程序 Through the process agreement to achieve a unified action policy for different people, so as to coordinate action, reduce blindness, and make the work orderly. 编制：___________________ 日期：___________________

信息安全事件管理程序 温馨提示：该文件为本公司员工进行生产和各项管理工作共同的技术依据，通过对具体的工作环节进行规范、约束，以确保生产、管理活动的正常、有序、优质进行。 本文档可根据实际情况进行修改和使用。 1 目的 为建立一个适当的信息安全事件、薄弱点和故障报告、反应与处理机制, 减少信息安全事件和故障所造成的损失, 采取有效的纠正与预防措施, 特制定本程序。 2 范围 本程序适用于XXX业务信息安全事件的管理。 3 职责 3.1 信息安全管理流程负责人 确定信息安全目标和方针； 确定信息安全管理组织架构、角色和职责划分； 负责信息安全小组之间的协调, 内部和外部的沟通； 负责信息安全评审的相关事宜； 3.2 信息安全日常管理员 负责制定组织中的安全策略； 组织安全管理技术责任人进行风险评估；

组织安全管理技术责任人制定信息安全改进建议和控制措施； 编写风险改进计划； 3.3 信息安全管理技术责任人 负责信息安全日常监控； 信息安全风险评估； 确定信息安全控制措施； 响应并处理安全事件。 4 工作程序 4.1 信息安全事件定义与分类 信息安全事件是指信息设备故障、线路故障、软件故障、恶意软件危害、人员故意破坏或工作失职等原因直接影响（后果）的。 造成下列影响（后果）之一的, 均为一般信息安全事件。 a) XXX秘密泄露； b) 导致业务中断两小时以上； c) 造成信息资产损失的火灾； d) 损失在一万元人民币（含）以上的故障/事件。 造成下列影响（后果）之一的, 属于重大信息安全事件。 a) 组织机密泄露；

信息管理与信息安全管理程序DOC

金陵石化公司一体化管理体系 信息管理与信息安全管理程序 文件编号JLSH-T20.32.00.027.2011 版本/修改A/0 第 1 页共16页1 目的 明确公司信息化及信息资源管理要求，对内外部信息及信息系统进行有效管理，以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念，应用先进的计算机网络技术，整合、提升企业现有的生产、经营、设计、制造、管理方式，及时为企业各级人员的决策提供准确而有效的数据信息，以便对需求做出迅速的反应，其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式，向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查，对重大问题进行决策，定期听取有关信息化管理的工作汇报，协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理，每月召开ERP例会，分析总结系统运行情况，协调处理有关问题，及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门，主要职责： a)负责制定并组织实施本程序及配套规章制度，对各部门(单位)信息化工作进行业务指导和督促； b)负责信息化建设管理，组织进行信息技术项目前期管理，编制信息建设专业发展规划并组织实施；

信息安全事件报告和处置管理制度

安全事件报告和处置管理制度 文号：版本号： 编制：审核：批准： 一、目的 提高处置网络与信息安全突发公共事件的能力，形成科学、有效、反应迅速的应急工作机制，确保重要计算机信息系统的实体安全、运行安全和数据安全，最大限度地减轻网络与信息安全突发公共事件的危害，保障国家和人民生命财产的安全，保护公众利益，维护正常的政治、经济和社会秩序。 二、适用范围 本预案适用于本局发生的网络与信息安全突发公共事件和可能导致网络与信息安全突发公共事件的应对工作。 本预案启动后，本局其它网络与信息安全应急预案与本预案相冲突的，按照本预案执行；法律、法规和规章另有规定的从其规定。 三、职责 本预案由局信中心制订，报局领导批准后实施。局有关部门应根据本预案, 制定部门网络与信息安全应急预案，并报局信息中心备案。 结合信息网络快速发展和我局经济社会发展状况，配合相关法律法规的制定、修改和完善，适时修订本预案。 本预案自印发之日起实施。 四、要求 1.工作原则 预防为主：立足安全防护，加强预警，重点保护基础信息网络和关系国家安全、经济命脉、社会稳定的重要信息系统，从预防、监控、应急处理、应急保障和打击犯罪等环节，在法律、管理、技术、人才等方面，采取多种措施，充分发挥各方面的作用，共

同构筑网络与信息安全保障体系。 快速反应：在网络与信息安全突发公共事件发生时，按照快速反应机制，及时获取充分而准确的信息，跟踪研判，果断决策，迅速处置，最大程度地减少危害和影响。 以人为本：把保障公共利益以及公民、法人和其他组织的合法权益的安全作为首要任务，及时采取措施，最大限度地避免公民财产遭受损失。 分级负责：按照谁主管谁负责、谁运营谁负责、谁使用谁负责”以及条块结合，以条为主”的原则，建立和完善安全责任制及联动工作机制。根据部门职能，各司其职，加强部门间、地局间的协调与配合，形成合力，共同履行应急处置工作的管理职责。 常备不懈：加强技术储备，规范应急处置措施与操作流程，定期进行预案演练，确保应急预案切实有效，实现网络与信息安全突发公共事件应急处置的科学化、程序化与规范化。 2组织指挥机构与职责 发生网络与信息安全突发公共事件后，应成立局网络与信息安全应急协调小组（以下简称局协调小组），为本局网络与信息安全应急处置的组织协调机构，负责领导、协调全局网络与信息安全突发公共事件的应急处置工作。局网络与信息安全协调小组下设办公室（以下简称局协调小组办公室），负责日常工作和综合协调，并与公安网监部门进行联系。 3先期处置 （1）当发生网络与信息安全突发公共事件时，事发部门应做好先期应急处置工作，立即采取措施控制事态，同时向相关局级主管部门通报。 （2）网络与信息安全事件分为四级：特别重大（I级）、重大（H级）、较大（皿级）、一般（W级）。 (3)局级主管部门在接到本系统网络与信息安全突发公共事件发生或可能发生的信息后，应加强与有关方面的联系，掌握最新发展态势。对皿级或W级的网络与信息安全突发公共事件，由该局级主管部门自行负责应急处置工作。对有可能演变为H级或I