(完整版)信息安全管理制度汇编

1、内部资料注意保存XXXXXXXXXX信息安全制度汇编XXXXXXXXXX二一六年一月目录、总贝U . 6二、 .安全管理制度 7第一章管理制度 .71安全组织结构.71.1信息安全领导小组职责 .71.2信息安全工作组职责 .81.3信息安全岗位 .92. .安全管理制度 .112.1安全管理制度体系 .112.2安全方针和主策略 .122.3安全管理制度和规范 . 122.4安全流程和操作规程 .142.5安全记录单 .14第二章 制定和发布 .15第三章评审和修订 .16三、 .安全管理机构 17第一章岗位设置 .171. 组织机构 .172. 关键岗位.19第二章人员配备 .21第三章授

2、权和审批 .22第四章沟通和合作 .24第五章审核和检查 .26四、 .人员安全管理28第一章人员录用 .281. 组织编制 .282. 招聘原则.283. 招聘时机.284. 录用人员基本要求 .295. 招聘人员岗位要求.296. 招聘种类.296.1外招 .296.2内招 .307. 招聘程序.307.1人事需求申请 .307.2甄选 .307.3录用 .32II第二章保密协议 .33第三章人员离岗 .35第三章 人员考核 .371 制定安全管理目标 .372目标考核.373奖惩措施.38第四章安全意识教育和培训 .391安全教育培训制度.39第一章总则 .39第二章安全教育的含义和方式

3、 .39第三章安全教育制度实施 .39第四章 三级安全教育及其他教育内容 .41第五章附则 .43第五章外部人员访问管理制度 .441总则.442来访登记控制.443进出门禁系统控制 .454.携带物品控制 .46五、系统建设管理 .47第一章安全方案设计 .471. .概述 .472 设计要求和分析 .4821安全计算环境设计 . 4822安全区域边界设计.4923安全通信网络设计 .5024安全管理中心设计 . 503. .针对本单位的具体实践 . 5131安全计算环境建设 . 5132安全区域边界建设 .5233安全通信网络建设 .5234安全管理中心建设 .5335安全管理规范制定 .

4、543.6系统整体分析 .54第二章产品采购和使用 .55第三章自行软件开发 .581. 申报 .58III2. 安全性论证和审批 . 583. 复议.584. 项目安全立项.585项目管理.595.1概要 .595.2正文 .60第四章工程实施 .621. 信息化项目实施阶段 .622. 概要设计子阶段的安全要求 .623. 详细设计子阶段的安全要求 .634. 项目实施子阶段的安全要求 .63第五章测试验收 .651. 文档准备.652. 确认签字.653. 专人负责.654. 测试方案.65第六章 系统交付 .681. 试运行.682. 组织验收.68第七章系统备案 .701. 系统备案

5、.702. 设备管理.703. 投产后的监控与跟踪 .72第八章安全服务商选择 .74六、系统运维管理 .75第一章环境管理 .751. 机房环境、设备.752. 办公环境管理.76第二章资产管理 .811. 总则.812. 资产管理制度 .81第三章介质管理 .851.1.介质安全管理制度 .851.1计算机及软件备案管理制度 .851.2计算机安全使用与保密管理制度 .851.3用户密码安全保密管理制度 .86IV1.4涉密移动存储设备的使用管理制度 .861.5数据复制操作管理制度 .871.6计算机、存储介质、及相关设备维修、维护、报废、销毁管理制度 87第四章设备管理 .891. 主

6、机、存储系统运维管理 .892. 应用服务系统运维管理 .893数据系统运维管理.904信息保密管理.915日常维护.916附件：安全检查表 . 92第五章监控管理和安全管理中心 .941监控管理.942安全管理中心.95第六章网络安全管理 .96第七章系统安全管理 .981总则.982系统安全策略 . 983. .系统日志管理 .994个人操作管理 .1005. .惩处 .100第八章恶意代码防范管理 .1011. 恶意代码三级防范机制.10111恶意代码初级安全设置与防范 .10112恶意代码中级安全设置与防范 .10113恶意代码高级安全设置与防范 .1022. 防御恶意代码技术管理人员

7、职责 .1023. 防御恶意代码员工日常行为规范 .103第九章密码管理 .104第十章变更管理 .1061. 变更.1062. 变更程序.10621变更申请.1062.2变更审批 .10623变更实施.1062.4变更验收 . 106附件一变更申请表 . 107附件二变更验收表 .108第十一章备份与恢复管理 .1091. 总则.1092. 设备备份.1103. . 应用系统、程序和数据备份 .1114. 备份介质和介质库管理.1145. 系统恢复.1156. 人员备份.116第十二章 安全事件处置 . 117IVV1工作原则.1172组织指挥机构与职责 . 1173先期处置.1184. .

8、应急处置 .1194.1应急指挥 .1194.2应急支援 .1194.3信息处理 .1194.4应急结束 .1205后期处置 .1205.1善后处置 .1205.2调查和评估 .121第十三章应急预案管理.1221. 应急处理和灾难恢复 .1222. 应急计划.1233. 应急计划的实施保障 .1244. 应急演练.125、总则为规范XXXXXXXXXXXXXXXXXX信息安全工作，确保全体员工理解信息安全 工作与职责，并落实到日常工作中，推动信息安全保障工作的顺利进 行，结合XXXXXXXXXXXXXXXXXX的实际情况，特制定本制度。本管理制度所称信息系统安全，包括计算机网络和应用系统（以

9、 下简称信息系统）的硬件、软件、数据及环境受到有效保护，信息系 统的连续、稳定、安全运行得到可靠保障。信息系统安全管理坚持“谁主管谁负责”的原则，公司的所有部 门和员工都应各自履行相关的信息系统安全建设和管理的义务与责 任。信息系统安全工作的总体目标是：实施信息系统安全等级保护， 建立健全先进实用、完整可靠的信息系统安全体系，保证系统和信息 的完整性、真实性、可用性、保密性和可控性，保障信息化建设和应 用，支撑公司业务持续、稳定、健康发展。信息系统安全体系建设必须坚持“统一标准、保障应用、符合法 规、综合防范、集成共享”的原则。本制度适用于公司所有部门和个人1、安全管理制度第一章管理制度1.

10、安全组织结构XXXXXXXXXXXXXXXXXXXX 安全管理组织应形成由主管领导牵头的信息安全领导小组、具体信息安全职能部门负责日常工作的组织模式，组织结构图如下所示：组织机构图1.1信息安全领导小组职责信息安全领导小组是由XXXXXXXXXXXXXXXXXXXX 主管领导牵头，各部门的负责人为组成成员的组织机构，主要负责批准 XXXXXXXXXXXXXXXXXXXX 安全策略、分配安全责任并协调安全策略能够实施，确保安全管理工作8有一个明确的方向，从管理和决策层角度对信息安全管理提供支持。信息安全领导小组的主要责任如下：（一） 确定网络与信息安全工作的总体方向、目标、总体原则和安全工作方法

11、；（二） 审查并批准政府的信息安全策略和安全责任；（三） 分配和指导安全管理总体职责与工作；（四） 在网络与信息面临重大安全风险时，监督控制可能发生的重大变化；（五） 对安全管理的重大更改事项（例如：组织机构调整、关键人事变动、信 息系统更改等）进行决策；（六） 指挥、协调、督促并审查重大安全事件的处理，并协调改进措施；（七） 审核网络安全建设和管理的重要活动，如重要安全项目建设、重要的安 全管理措施出台等；（八） 定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定。1.2信息安全工作组职责信息安全工作组是信息安全工作的日常执行机构， 内设专职的安全管理组织和岗位，负责日常具

12、体安全工作的落实、组织和协调。信息安全工作组的主要职责如下：9（一）贯彻执行和解释信息安全领导小组的决议；（二） 贯彻执行和解释国家主管机构下发的信息安全策略；（三） 负责组织和协调各类信息安全规划、方案、实施、测试和验 收评审会议；（四） 负责落实和执行各类信息安全具体工作，并对具体落实情况 进行总结和汇报；（五） 负责内外部组织和机构的沟通、协调和合作工作；（六） 负责制定所有信息安全相关的管理制度和规范；（七） 负责针对信息安全相关的管理制度和规范具体落实工作进行 监督、检查、考核、指导及审批，例如现有安全技术措施的有效性、 安全配置与安全策略的一致性、安全管理制度的执行情况等。以上组织

13、结构和职责通过信息安全组织职责体系加以说明。1.3信息安全岗位为了有效落实信息安全各项工作，XXXXXXXXXXXXXXXXXXXX 应设立以下 专职的安全岗位，负责安全工作的落实和执行：1.3.11.3.1信息安全工作组主管1 1）负责网络与信息安全的日常整体协调、管理工作；2 2）负责组织人员制定信息安全管理制度，并对管理制度进行推广、 培训和指导；3 3）负责重大安全事件的具体协调和沟通工作。101.3.21.3.2安全管理员岗位1 1）负责执行网络与信息安全工作的日常协调、管理工作；2 2）负责日常的安全监控管理，并对上报和发现的各类安全事件进行 响应；3 3）负责系统、网络和应用安全

14、管理的协调和技术指导；4 4）负责安全管理平台安全策略制定，访问控制策略审核；5 5）负责组织安全管理制度的推广和培训工作；6 6）负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞 和数据备份等情况。133133安全审计员岗位1 1）负责安全管理制度落实情况的检查、监督和指导；2 2）负责安全策略执行情况的审核。1.3.41.3.4系统管理员1 1）负责系统安全稳定运行的日常管理工作；2 2）负责保持系统的防病毒系统、补丁等保持最新，定期对系统进行 安全加固，保持系统漏洞最小化。1.3.51.3.5网络管理员1 1）负责网络设备安全稳定运行的日常管理工作；2 2）负责保持网络设备的漏洞

15、最小化，定期对系统进行安全加固;113)3) 负责保持网络路由和交换策略与业务需求保护一致。4)4) XXXXXXXXXXXXXXXXXXXX 应根据日常的运行维护和管理工作， 设置物理环 境管理、数据库管理、应用管理以及资产管理等岗位，这些岗位也应当包括安全职责，这些安全职责的具体内容通过 信息安全管理岗位说明书落实。2. 安全管理制度2.1安全管理制度体系XXXXXXXXXXXXXXXXXXXX 安全管理制度应建立信息安全方针、安全策略、安全管理制度、安全技术规范以及流程的一套信息安全管理制度体规范和标准妥全方针122.2安全方针和主策略最高方针，纲领性的安全策略主文档，陈述本策略的目的、

16、适用 范围、信息安全的管理意图、支持目标以及指导原则，信息安全各个 方面所应遵守的原则方法和指导性策略。2.3安全管理制度和规范各类管理规定、管理办法和暂行规定。从安全策略主文档中规定 的安全各个方面所应遵守的原则方法和指导性策略引出的具体管理 规定、管理办法和实施办法，是必须具有可操作性，而且必须得到有 效推行和实施的。技术标准和规范，包括各个安全等级区域网络设备、主机操作系统和主要应用程序的应遵守的安全配置和管理的技术标准和规范。技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安 装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准， 不允许发生违背和冲突。本项目将为 X

17、XXXXXXXXXXXXXXXXXXX 编制如下安全 管理制度和规范：安全方针安全策略安全管理组织体系职责内部人员安全管理规定外部人员安全管理规定 等级保护安全管理规范风险评估管理规范 软件开发管理规定13ITIT外包管理规定工程安全管理规定产品采购安全管理规定服务商安全管理规定机房管理制度办公环境安全管理规定资产安全管理制度设备安全管理规定介质安全管理规定运行维护安全管理规范网络安全管理规定系统安全管理规定防病毒安全管理规定密码使用管理制度变更管理制度备份与恢复管理规定安全事件管理制度应急预案安全流程和操作规程，详细规定主要业务应用和事件处理的流程、步骤和相关注意事项。作为具体工作时的具体依

18、照，此部分必须具有 可操作性，而且必须得到有效推行和实施的。142.4安全流程和操作规程安全流程和操作规程，详细规定主要业务应用和事件处理的流程 和步骤，和相关注意事项。作为具体工作时的具体依照，此部分必须 具有可操作性，而且必须得到有效推行和实施的。2.5安全记录单安全记录单，落实安全流程和操作规程的具体表单，根据不同等 级信息系统的要求可以通过不同方式的安全记录单落实并在日常工 作中具体执行。主要包括日常操作的记录、工作记录、流转记录以及 审批记录等。第二章制定和发布安全策略系列文档制定后，必须有效发布和执行。发布和执行过程中除了要得到管理层的大力支持和推动外，还必须要有合适的、可行的发布

19、和推动手段，同时在发布和执行前对每个人员都要做与其相 关部分的充分培训，保证每个人员都知道和了解与其相关部分的内 容。安全策略在制定和发布过程中，应当实施以下安全管理：（一） 安全管理制度应具有统一的格式，并进行版本控制；（二） 由信息安全工作小组负责安全管理制度的制定（三） 安全管理职能部门应组织相关人员对制定的安全管理制度进行 论证和审定；（四） 安全管理制度应通过文件形式下发通知；（五） 安全管理制度应注明发布范围，并对收发文进行登记。必须要 注意到这是一个长期、艰苦的工作，需要付出艰苦的努力，而且由于 牵扯到许多部门和绝大多数员工， 可能需要改变工作方式和流程，所 以推行起来的阻力会相

20、当大；同时安全策略本身存在的缺陷，包括不 切实可行，太过复杂和繁琐，部分规定有缺欠等，都会导致整体策略 难以落实。第三章评审和修订信息安全领导小组应组织相关人员对于信息安全策略体系文件进行评审，并确定其有效执行期限。同时应指定信息安全职能部门每年 审视安全策略系列文档，具体检查内容包括：（一） 信息安全策略中的主要更新；（二） 信息安全标准中的主要更新。信息安全标准不需要全部更新，可以仅对 因变更而受影响的部分进行更新；如果必要，可以使用年度审视/更新流程对信息安全标准做一次全面更新。（三） 安全管理组织机构和人员的安全职责的主要更新；（四） 操作流程的主要更新；（五） 各类管理规定、管理办法

21、和暂行规定的主要更新；（六） 用户协议的主要更新；等等。 通过信息安全策略管理规定 落实以上相关内容三、安全管理机构第一章岗位设置健全的岗位设置、职责分配及技能要求等是安全组织建设的重点 内容，对于以后安全管理工作的顺利开展具有巨大的意义。缺乏健全的岗位设置、职责分配及技能要求将导致无人负责、 难 以落实责权利，难以胜任安全管理工作等严重问题。1.1.组织机构1 1）XXXXXXXXXXXXXXXXXXXX成立信息安全领导小组，是信息安全的最高决策机构，下设办公室，负责信息安全领导小组的日常事务。2 2）信息安全工作领导小组，其最高领导由单位主管领导委任或授权。3 3）信息安全领导小组负责研究

22、重大事件，落实方针政策和制定总体策略等。职责主要包括：a a）根据国家和行业有关信息安全的政策、法律和法规，批准公司 信息安全总体策略规划、管理规范和技术标准；b b）确定公司信息安全各有关部门工作职责，指导、监督信息安全 工作。c c）信息安全领导小组下设两个工作组：信息安全工作组、应急处 理工作组。组长均由公司负责人担任。4 4）信息安全工作组的主要职责包括：a a）贯彻执行公司信息安全领导小组的决议，协调和规范公司信息18安全工作；b b）根据信息安全领导小组的工作部署，对信息安全工作进行具体 安排、落实；c c） 组织对重大的信息安全工作制度和技术操作策略进行审查，拟订信息安全总体策略

23、规划，并监督执行；d d）负责协调、督促各职能部门和有关单位的信息安全工作，参与 信息系统工程建设中的安全规划，监督安全措施的执行；e e）组织信息安全工作检查，分析信息安全总体状况，提出分析报 告和安全风险的防范对策；f f） 负责接受各单位的紧急信息安全事件报告，组织进行事件调查，分析原因、涉及范围，并评估安全事件的严重程度，提出 信息安全事件防范措施；g g）及时向信息安全工作领导小组和上级有关部门、 单位报告信息 安全事件。h h）跟踪先进的信息安全技术，组织信息安全知识的培训和宣传工 作。5 5）应急处理工作组的主要职责包括：a a） 审定公司网络与信息系统的安全应急策略及应急预案；

24、b b） 决定相应应急预案的启动，负责现场指挥，并组织相关人员排除故障，恢复系统；c c） 每年组织对信息安全应急策略和应急预案进行测试和演练。6 6）公司应指定分管信息的领导负责本单位信息安全管理，并配备信息安全技术人员，有条件的 应设置信息安全工作小组或办公室， 19对公司信息安全领导小组和工作小组负责，落实本单位信息安全 工作和应急处理工作。2.2.关键岗位设置信息系统的关键岗位并加强管理，配备系统管理员、网络管 理员、应用开发管理员、安全审计员、安全保密管理员，要求五人各 自独立。要害岗位人员必须严格遵守保密法规和有关信息安全管理规 定。1 1） 系统管理员主要职责有：a a）负责系统

25、的运行管理，实施系统安全运行细则；b b）严格用户权限管理，维护系统安全正常运行；c c）认真记录系统安全事项，及时向信息安全人员报告安全事件；d d）对进行系统操作的其他人员予以安全监督。2 2） 网络管理员主要职责有：a a）负责网络的运行管理，实施网络安全策略和安全运行细则；b b）安全配置网络参数，严格控制网络用户访问权限，维护网络安 全正常运行；c c）监控网络关键设备、网络端口、网络物理线路，防范黑客入侵, 及时向信息安全人员报告安全事件；d d）对操作网络管理功能的其他人员进行安全监督。3 3）应用开发管理员主要职责有:a a）负责在系统开发建设中，严格执行系统安全策略，保证系统

26、安 全功能的准确实现；20b b） 系统投产运行前，完整移交系统相关的安全策略等资料；c c） 不得对系统设置“后门”；d d） 对系统核心技术保密等。4 4）安全审计员负责对涉及系统安全的事件和各类操作人员的行为进 行审计和监督，主要职能包括：a a） 按操作员证书号进行审计；b b） 按操作时间审计；c c） 按操作类型审计；d d） 事件类型进行审计；e e） 日志管理等。5 5） 安全保密管理员负责日常安全保密管理活动，主要职责有：a a） 监视全网运行和安全告警信息b b） 网络审计信息的常规分析c c） 安全设备的常规设置和维护d d） 执行应急中心制定的具体安全策略e e） 向应

27、急管理机构和领导机构报告重大的网络安全事件等。第二章人员配备配备足够数量的系统管理员、网络管理员、安全管理员对顺利完 成安全管理工作是非常重要的，可以有效避免人力不足带来的问题。 配备专职的安全管理员可以让管理工作落实到专人上，可以更高效的 开展安全管理工作。关键事务岗位配备多人进行共同管理可以防止出 现疏忽，并且有利于互相约束和监督机制的建立。如果没有配备足够数量的系统管理员、 网络管理员、安全管理员, 则可能由于工作过度繁忙而出现安全事件。如果安全管理人员都是兼 职，则很可能出现只顾其他业务而忽视安全的情况。 关键事务岗位人 员不足会导致疏忽大意。11按照实际工作需要配备足够数量的系统管理

28、员、网络管理员、安全 管理员；22在安全管理部配备专职的安全管理员；3.3.识别出关键事务岗位，对这些关键岗位配备多人进行共同管理，以 防止疏忽，并且建立起约束和监督机制。岗位名称人员数量人员名称系统管理员网络管理员应用开发管理员安全审计员安全保密管理员第三章授权和审批授权和审批可以保证安全有关工作得到认可和控制，排除盲目性和不一致性，使安全工作更加权威和科学，有利于增强责任感。如果授权和审批工作做得不够完善，可能会带来执行难等问题， 安全工作得不到控制，因安全带来的问题长期得不到解决， 安全问题 日积月累，最终导致严重安全事件的发生。应按照以下规范进行授权和审批流程建设：11明确审批授权事项

29、、审批授权部门；22建立系统变更、重要操作、物理访问和系统接入等事项的审批程序， 对重要活动实施逐级审批；33按照审批程序执行审批过程，记入文档并进行审计；4.4.定期审查审批事项，及时更新需授权和审批的项目、审批部门和审 批人等信息；修改标记修改处数修改日期受控状态制度名称信息系统管理授权审批制度文件编号执行部门监督部门考证部门第1条 为了提高企业信息系统的可靠性、稳定性、安全性，特制定本制度。第2条 本制度适用于信息部与各用户部门使用企业信息系统的相关人员。第3条 企业中涉及到信息系统方面的工作统一由信息部负责。第4条信息系统管理授权的方式。企业信息系统的授权以职位说明书和授权书为基准，逐

30、级授权，其他授权方式或越级授权视为无效。 第5条 企业信息系统管理授权程序。1 总裁授权运营总监全面负责企业信息系统的开发、管理、修改等工作。2 运营总裁授权信息部经理负责信息系统的开发、管理、修改等具体工作。3 信息部经理授权给下属员工，完成相应工作。第6条 企业信息系统管理中的文件审批程序，如下图所示。信息系统管理的文件审批程序示意图第7条 企业中的各用户部门对信息系统只有根据其职级的使用权与建议权，而无修改权，否则造成 的全部后果由当事人承担。第8条 本制度由信息部制定，解释权、修改权归属信息部。第9条 本制度自总裁审批之日起实施，修订时亦同。编制日期审核日期批准日期第四章沟通和合作安全

31、管理问题涉及到各个层次的人员及技术，需要大家密切配合 才能做好，任何一方出现问题都会影响整个安全管理工作的顺利开 展，因此对各种安全问题进行定期沟通和合作是非常必要的。如果与安全管理有关的沟通和合作推进不顺利， 出现的安全问题 得不到反馈和支持，则安全问题会变得越来越严重， 直到出现严重安 全事件。应按照以下规范进行沟通与合作：11由安全管理部提出，每半年召开一次安全协调专题会议，为期一天, 各有关部门包括外部顾问机构及人员都要参加，及时提出问题和解决 问题；会议记录时间地点主持人记录员时间调度参加人员：会议议题发言人会议内容执行人监督人完成时间2.2. 每年与与兄弟单位、公安机关、电信公司等

32、召开一次安全总结会， 平时则通过邮件等及时合作与沟通；3.3. 通过邮件、电话等与供应商、业界专家、专业的安全公司、安全组 织进行及时合作与沟通；4 4建立外联单位联系列表，包括外联单位名称、合作内容、联系人和 联系方式等信息；5.5.聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与 安全规划和安全评审等。第五章审核和检查对安全工作的开展情况进行定级审核和检查可以及时、有效的督 促安全制度和安全技术的执行、运作情况，减少安全疏忽，及时发现 并解决问题，使安全工作日常化、制度化。安全工作如果不能保证及时的审核和检查，则容易导致各项工作 大打折扣，并且由此带来的问题会积累起来最终导致严重

33、安全事件发 生，如补丁长期得不到更新使系统长期暴露于黑客攻击威胁之下。11由安全管理员每周进行安全检查，检查内容包括系统日常运行、系 统漏洞和数据备份等情况；22由内部人员或上级单位每季度进行全面安全检查，检查内容包括现 有安全技术措施的有效性、安全配置与安全策略的一致性、 安全管理 制度的执行情况等；33每次检查都要制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报；44将上述工作要求写入安全审核和检查管理制度，用以规范安全 审核和安全检查工作的频率等重要内容。安全检查记录表检查类型：定期安全检查单位名称XXXXXXXXXX工程名称检查时间检杳单位检查

34、项目或部位参见检察人 员检查记录检查结论及意见填表人:四、人员安全管理第一章人员录用1. 组织编制各部门根据实际工作之需，进行工作分析，设定工作岗位，明确 各岗位职责，任职条件、需要人数等。根据权责分工及不同职位的相互关系， 建立组织架构，并根据各 职位人员配备数，确定组织编制，各部门负责制订本部门组织编制， 人事行政部汇总制订全公司组织编制。每年 1111月份制订下年编制， 如因公司经营决策有重大调整或重大形势变化，经总经理同意可在需 要时修订。2. 招聘原则人员招聘根据人事编制安排，一般不得超出批准的编制（确须超出原编制招员的，应先按规定修订编制）人员招聘应遵循公开、公平、公正原则，平等竞

35、争，择优录取。3. 招聘时机原有人员异动或离职，需补缺。工作业务量扩大，现有人力不能满足工作需求，需扩招。294. 录用人员基本要求4.14.1具备应聘岗位所需的文化和技能要求，并通过考试或考核合格。4.24.2具备应聘岗位所要求的年龄和身体条件。4.34.3身份正当，具有有效身份证及国家规定的其它证明。4.44.4思想品德好，认同公司的文化，能够自觉遵守公司的规章制度、 自觉维护公司的权益和形象并愿意 为公司服务。4.54.5服从公司的工作安排，努力做好本职工作。4.64.6患有精神性、传染性及其它有可能影响正常工作、危害公众健康 的疾病的人员不得录用。4.74.7隐瞒、伪造、冒用个人证件、

36、履历的人员不得录用。4.84.8受过刑罚或正被追究刑事责任的人员不得录用。4.94.9被公司辞退、开除或自动离职的原公司员工不得再行录用。5. 招聘人员岗位要求各部门应根据不同职位要求，对性别、年龄、教育程度、相关工作 年限、专业知识、技能及其它适职条件做出明确说明；便于人事行政部遴选初试。6. 招聘种类6.1外招外招适用于公司现有人力不能满足实际工作需要时（数量不足、任职 资格不足）。306.2内招621621内招适用于选拔同一职级但不同职位或更高职级之职位人员， 在公司现有人力资源可以满足 的情况下，应优先采用内招形式。6.2.26.2.2内招报名人员需填写好内招人员报名表，经部门主管人员

37、 批准后，送交人事行政部。7. 招聘程序7.1人事需求申请7.1.17.1.1需求部门根据生产经营和发展需要至人事行政部处领取人员 需求申请表提出人事需求申请，注明是内招还是外招，由部门主管 人员审核，人事行政部根据各部门的定编定岗情况确认后，呈总经理核准。7.1.27.1.2需求部门应于实际需求日前提出人事需求申请， 生产作业人员 提前7 7天申请，办公室普通职员 提前1515天申请，部门主管（含）及以 上中层管理人员提前3030天申请，以便于人事行政部统筹安排招聘。7.1.37.1.3人事行政部应按部门需求及时组织招聘，如到需求时间未招到 合适人员，人事行政部应向需求 部门说明原因，并与需

38、求部门协调， 再行确认预计时间，并视需要重新确认需求条件。7.2甄选7.2.17.2.1人事行政部根据经批准的需求申请制订招聘计划，组织招聘, 选择招聘渠道，主要形式有：31a a）、厂区门口就地招聘、职介机构、劳务所推介（主要用于招聘生产作 业人员）。b b） 、参加人才招聘会、网络招聘（主要用于招聘办公室普通职员和中 层管理人员）。c c） 、与院校合作，由校方推介（主要用于招聘实习生）。d d） 、猎头公司推荐。（主要用于招聘高层管理人员）。722722人事行政部对应聘资料进行收集、分类、归档，按照所需岗位 的职位描述做初步筛选。7.2.37.2.3拟选人员一般需经过两次面谈和测试，面试

39、层次及步骤如下：a a） 应聘人员填写求职人员登记表，人事行政部应向应试者了解个 人背景，进行资格审查（初试），不符合公司基本要求或需求部门基本 条件者，予以谢绝。b b） 人事行政部将初选合格的人员推荐到需求部门，由需求部门组织对 应聘人员进行专业能力及其它方面的复试。1 1） 、需求部门经复试认为合格，提请批准录用 （生产作业人员由部门 部长批准，办公室职员由总经 理批准），如认为不合格，予以谢绝。2 2） 、部门经过复试以后，无论是否预备录用应聘人员，均转由人事 行政部通知应聘者。7.2.47.2.4背景调查 人事行政部负责对通过面试的部门主管（含）级别 以上的人员进行工作经历、学历状况

40、、身份证明等进行背景调查，填 写应聘者背景资料查询表（见附件 5 5）并将调查结果进行汇总报 相关领导。725725薪资核定、审批手续办理 人力资源主管根据面试评价及背景调查情况， 对生产作业人员的薪资进行核定、审批；办公室普通职员、部门主管（含）以上人员的薪资 32核定由人事行政部审核后，交由总经理进行核准。7.3录用人事行政部根据经批准的录用意见，发放录用通知书，通知 录用人员报到有关事宜。第二章保密协议信息安全人员应签订保密协议，履行约定纪律及其他方面条 款。从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议 信息安全人员在调离岗位时要签订离岗人员保密协议 保密协议附件：甲方：XXX

41、XXXXXXX乙方：甲、乙双方根据中华人民共和国劳动法 以及国家、地方政府有关规定，在遵循平等自愿、 协商一致、诚实信用的原则下，就甲方商业秘密保密事项达成如下协议。一、 保密内容甲、乙双方确认，乙方应承担保密义务的甲方商业秘密范围包括但不限于以下内容。1技术信息：技术方案、工程设计、技术报告、检测报告、实验数据、试验结果、图纸、样品等。2经营信息：包括经营方针、投资决策意向、产品服务定价、市场分析、广告策略等。3 公司依照法律规定或者有关协议的约定对外承担保密义务的事项。二、 双方的权利和义务1甲方提供正常的工作条件，为乙方的发明、科研成果提供良好的应用和生产条件，并根据创造的经济效益给予奖

42、励。2 乙方必须按甲方的要求从事经营、生产项目和科研项目的设计与开发，并将生产、经营、设计与开发的成果、资料交甲方，甲方拥有所有权和处置权。3 乙方不得刺探非本职工作所需要的商业秘密。4未经甲方书面同意，乙方不得利用甲方的商业秘密进行新产品的设计与开发和撰写论文向第三方公布。5双方解除或终止劳动合同后，乙方不得向第三方公开甲方所拥有的未被公众知悉的商业秘密。6双方协定竞业限制的，解除或终止劳动合同后，在竞业限制期内乙方不得到生产同类或 经营同类业务且有竞争关系的其他用人单位任职，也不得自己生产与甲方有竞争关系的同类产品或经营同类业务。7.乙方必须严格遵守甲方的保密制度，防止泄露甲方的商业秘密。

43、&甲方安排乙方任职涉密岗位，并给予乙方保密津贴。三、 保密期限乙方承担保密义务的期限为下列第 _种。1无限期保密，直至甲方宣布解密或者秘密信息实际上已经公开。342 有限期保密，保密期限自离职之日起 _年。四、保密津贴甲方同意就乙方离职后承担的保密义务向其支付保密津贴，保密津贴的支付方式为:五、 违约责任1乙方如违反本合同任何条款，应一次性向甲方支付违约金XX 万元，同时，甲方有权一次性收回已向乙方发放的所有保密费。2.如果因为乙方的违约行为造成了甲方损失，乙方除支付违约金外，还应承担相应的责任。六、 劳动争议处理当事人因本合同产生的一切纠纷由双方友好、平等地协商解决，协商不成，任何一方均有权

44、向本合同签订地的人民法院提起诉讼。七、 其他1乙方确认，在签署本合同前已仔细审阅过合同内容，完全了解合同各条款的法律含义， 并知悉和认可公司保密管理制度。2本协议如与双方以前的口头或书面协议有抵触，以本协议为准。本协议的修改必须采用 双方同意的书面形式。3本协议未尽事宜，按照国家法律或政府主管部门的有关规章、制度执行。八、本合同一式两份，双方各执一份，具有同等法律效力。自双方授权代表签字并盖公章之 日起生效。甲方（盖章）乙方（签名或盖早）法定代表人签名：年 月曰年 月曰编制日期审核日期批准日期第二章人员离岗11工作人员离岗离职时，有关部门应即时取消其计算机涉密信息 系统访问授权。工作人员离岗离

45、职之后，仍对其在任职期间接触、知 悉的属于我局或者虽属于第三方但本单位承诺或负有保密义务的秘 密信息，承担如同任职期间一样的保密义务和不擅自使用的义务，直至该秘密信息成为公开信息，而无论离职人员因何种原因离职。22离职人员因职务上的需要所持有或保管的一切记录着本单位 秘密信息的文件、资料、图表、笔记、报告、信件、传真、磁带、磁 盘、仪器以及其他任何形式的载体，均归我公司所有，而无论这些秘 密信息有无商业上的价值。33离职人员应当于离职时，或者于我公司提出请求时，返还全部 属于我公司的财物，包括记载着我公司秘密信息的一切载体。 若记录 着秘密信息的载体是由离职人员自备的，则视为离职人员已同意将这

46、 些载体物的所有权转让给本单位，我公司应当在离职人员返还这些载 体时，给予离职人员相当于载体本身价值的经济补偿； 但秘密信息可 以从载体上消除或复制出来时，可以由我公司将秘密信息复制到本单 位享有所有权的其他载体上，并把原载体上的秘密信息消除，此种情 况下离职人员无须将载体返还，我公司也无须给予离职人员经济补 偿。44离职人员离职时，应将工作时使用的电脑、u u盘及其他一切存储设备中关于工作相关或与我局会有利益关系的信息、文件等内容交36接给本部门领导，不得在离职后以任何形式带走相关信息员工辞/ /离职交接单姓名部门职务工作起止 日期交接内容所在工作交接（ 个人业务文档相关文件）部门经理签字：

47、部门（注：在办、已办、未办工作另附表二）日期：人1.普通用品（口办公用品口胸卡钥匙其他：）经办人签字：2.特殊物品（口 U盘电脑 其他：)日期：事计算机设备使用交回密码清除经办人签字：行帐号清除政网络管理情况日期：保险保险上到:年月部经办人签字：日期：1借款(经办支票 口汇票 口现金无相关借款）财务2.其他(应清算款项口无）部3.工资截止日期：年月日经办人签字：4.违约金元日期：注：1、严格遵守本人与公司签订的保密合同，保守公司的商业秘密;2、该原件交公司总办存档。如有未交物品，各部门负责人应将物品名称及价钱注明，以便财务部在核发本人工资时扣除。上列事项未交接完毕或主管领导未批准离职申请的，财

48、务部不予办理财务交接手续，未领薪资不予发放，并依公司损失情况要求赔偿；离职员工有违法行为的，公司保留追究其法律责任的权利；当事人签字： _ 日期：_年 月 日第三章人员考核为了加强安全生产监督管理，防止和减少生产安全事故，保障 企 业员工生命和财产安全，切实贯彻落实”安全第一、预防为主、综合 治理”的方针，促进企业经济发展，根据中华人民共和国安全生产 法等法律法规，特指定本制度。1.制定安全管理目标a a）本单位每年一号文件必须针对企业上年度生产工作状况及本年度 企业发展规模、整体安全生产具体情况及新形势下的规定要求， 制定全年安全生产管理目标及管理措施。b b）各项目部每年年初在本单位统一制

49、定的安全生产目标管理的前提 下，根据本工程施工特点在年度安全生产计划中制定安全生产管 理目标及实现目标的管理措施。c c）各工程开工前，项目部必须制定工程从开工到竣工的生产施工过 程中整体安全生产管理目标，并应详细制定各施工阶段且有针对 性的安全生产管理目标和措施，同时要把安全生产管理目标层层 分解到各管理人员和各班组。d d）各级在制定安全生产管理目标时，应紧密结合企业管理手册中环 境管理目标和职业健康安全管理目标。2. 目标考核a a）本单位对各直属单位的目标管理考核各季度抽检考核和年度考核 38结合，季度考核的情况将纳入年度考核。b b）各项目部对所属工程项目的考核应做到每月一次，并有记

50、录和相 关的安全检查、整改情况记录。3. 奖惩措施a a）本单位按照当年安全生产一号文件中所规定的执行。b b）各项目部应根据项目工程具体实际情况制定奖罚制度。第四章安全意识教育和培训1. 安全教育培训制度第一章总则第一条为规范公司广大员工安全意识，降低和避免因安全事故给公司运营管理带来的风险制定本制度。第二条 本制度适用于公司总部、个分公司办事处，由行政中心负责 制定和解释，总裁审批后颁布实施。第三条 公司内所有员工违反本制度规定而引起的安全事故责任均依 据本制度追究相关当事人责任。第二章安全教育的含义和方式第四条 本制度所指安全教育培训内容包括公司的网络信息安全、客 户资料安全、公司财产安

51、全、人员生命安全、消防安全、交通安全、 设备安全、保密安全等事项。第五条 公司员工安全教育采取集体培训、各专业对口部门针对各自业务特点制定相关规定并组织学习教育、 行政中心定期检查督导并考 核的方式进行。第三章安全教育制度实施第六条 一级教育，全体员工由公司教育中心制作课件和计划，由行 政中心召集人员教育中心具体负责组织授课， 重点岗位和人员由所在40部门会同几哦按语中心共同组织教育培训工作。第七条 二、三级安全教育，新入公司员工由所在部门主管负责组织 进行教育。第八条日常安全会议一、公司安全例会每季一次由行政中心主持，公司安全主管、有关部 门负责人、各分公司安全责任人参加。总结一季度的安全生

52、产及内部 运营中安全方面综合情况，分析存在的问题，对下季度的安全工作重 点作出布置。二、公司每年末召开一次安全工作会议，总结一年来安全生产上取得的成绩和不足，对本年度的安全生产先进集体和个人进行表彰，并布置下一年度的安全工作任务。三、各部门每月召开安全例会，由其安全责任人主持，安全分管领导、 有关部门（岗位）负责人参加。内容：传达上级安全管理文件、信息; 对上月安全工作进行总结，提出存在问题；对当月安全工作重点进行 布置，提出相应的预防措施。推广安全管理的典型经验和先进事迹， 在社会中已发生的重大安全事故中吸取教育。 由行政中心做好会议记 录并存档。四、各部门在日常会上要对安全工作进行分析总结

53、， 预想当前不安全 因素，研究落实可行的安全控制措施。五、安全会议和培训工作要做到有领导、有计划、有内容、有记录， 防止走过场。第四章 三级安全教育及其他教育内容第九条 新进公司职工（包括新调入人员、实习生、代培人员等）必须进行三级安全教育，并经考试合格后方可上岗。第十条一级（公司级）安全教育时间不少于 1515小时，其教育内容：41一、国家有关安全生产法令、法规和规定。二、本公司的性质、经营特点及安全管理（特种信息处理及设施设备 安全方面）规章制度。三、安全生产基本知识、消防知识及气体防护常识。四、职业安全卫生有关知识。五、本公司同类型企业的典型事故及教训及有可能产生安全隐患的基础知识。第十

54、一条 二级安全教育时间不少于1515小时，其教育内容：一、本单位概况，施工生产或工作特点，主要设施、设备的危险源和相应的安全措施和注意事项二、本单位安全生产实施细则及安全技术操作规程。三、安全设施、工具、个人防护用品、急救器材、消防器材的性能和使用方法等。四、以往的事故教训。第十二条 三级（部门级）安全教育由部门负责人负责教育，可采取讲解和实际操作相结合的方式进行，时间不少于8 8小时（技术、财务、结算、客服部门不少于1515小时），经安全教育考核合格后，方可参 与重要工作或具体任务。一、本岗位作业程序及工作特点和安全注意事项。二、本岗位安全操作规程。三、本岗位设备、工具的性能和安全装置、安全

55、设施、安全监测、设备的使用和保管方法。42四、发现紧急情况时的急救措施及报告方法。第十四条 三级安全教育、考试、考核情况，要逐级填写在三级安全 教育卡片上，建立安全教育档案。三级安全教育完毕，经公司行政中 心审核后，正常开展其他方面工作。第十五条 未经三级安全教育或考试不合格者，不得分配工作，否则 由此而发生的事故由分配及接受其工作单位的领导负责。第十六条 经常性安全生产教育形式可采用：安全活动日、班前班后 会、各种安全会议、广播、标语、简报、电视、播放录象等，结合公 司任务需要开展安全生产经常性教育，由项目部具体实施。第十七条 季节性教育由各部门结合季节特征、节假日前后，职工容 易疏忽而放松

56、安全生产的规律 ，抓住主要环节，进行安全教育。凡 是自然条件变化，大风、大雪、暴雨、冰冻或雷雨季节，应抓住气候 变化的特点，进行安全教育。第十八条 其他安全教育一、新工艺、新技术、新设备、新产品投产使用前，各主管部门要写 出新的安全操作规程和注意熟悉，对岗位和有关人员进行安全教育， 经考试合格后，方可从事新的岗位或产品的使用或管理工作；二、对脱离操作岗位（如产假、病假、学习、外借、待岗等）六个月以上重返岗位操作者，应进行岗位复工教育。三、职工在公司内调动工作岗位变动工种（岗位）时，接受单位应对 其进行二、三级安全教育，经考试合格后，方可从事新的工作。四、对严重违章违纪职工，由所在部门进行单独再

57、教育，经考察认定 后，再回岗工作。不符合工作需求的给予辞退处理。43五、参加特殊区域、高危场所作业的人员，在作业前，必须进行有针 对性安全教育。第十九条 公司和项目部有关部门应建立安全教育、培训台帐。第二十条 对外来人员的安全教育，由接待来访的部门负责，杜绝进 入公司重要区域，因此产生的一切后果由接待部门责任人全部承担。 第二十一条 技术中心、机房等重点部位非直接管理部门领导授权任 何人不得私自进入。第二十二条 安全教育工作的考核由行政中心负责，考核结果纳入公 司绩效考核范畴。第五章附则第二十三条 本制度自颁布之日起实施。第五章 外部人员访问管理制度1. 总贝y第一条 为规范公司内部管理，减少

58、外来人员访问或洽谈业务对公司 正常办公的影响，维护有序的内部管理秩序和良好公司形象制定本制 度。第二条 本制度适用于公司总部、各分公司办事处，由行政中心负责 制定和解释，总裁审批后颁布实施。2. 来访登记控制第三条所有到公司访问的外来人员必须依据来访登记表进行登记预 约，未经公司相关人员确定的访客一律谢绝进入办公区域。登记表必须明确记录时间、姓名、证件名称（号码）、受访部门或人员名称、 事由、来访值班员、离开时间和离开时值班员等相关信息，并在备注 中说明其他需要明确或记录的事项。第四条与公司业务有关但不确定具体情况的人员来访时，必须及时 询问来访客人身份、目的、需要咨询了解事项认真登记后，再与

59、相关 部门办公人员核实处理。第五条 到访公司的外来人员实行谁接待谁负责的安全控制方式，需 要进入办公区域的必须由受访部门安排人员陪同并控制范围，机房、 财务室、档案室等重点部位非检查单位人员一律禁止入内。第六条由公司副总级别以上领导带来的客户、访客一般不需要出示45证件登记，但要与受访部门确认和记录来访人数、目的、逗留时间、参观范围等相关事项以做好后勤服务保障工作。第七条 公司前台和保安是控制外来人员的第一责任人，值班时必须 按公司规定接待来访客户。第八条 前台人员负责来访客人的登记、预约和引导，来访人员到访 时先引导至贵宾室或接待室等候，电话向受访部门（人）核实确定预 约的才给予引导，没有预

60、约或意图不明确的、明显没有业务关联的对 其进行劝离处理。3. 进出门禁系统控制第九条 公司所有内部员工必须凭借内部员工门禁信息登记卡进出办公区域。第十条 公司内部各办公区域间门禁系统日常工作时必须处于锁闭状 态，内部员工均有责任有义务关闭门禁系统， 避免闲杂人员进出办公 区域。第十一条外来人员访问时由前台根据预约确定结果引导至贵宾室或 接待室后，确定受访部门方便接待时由前台或保安开启门禁引导客人 进入，将客人带给受访部门。第十二条受访部门与来访人员商谈相关业务后必须将客人送离办公 区域，并及时通知保安或前台引导客人离开， 避免访客随意走动影响 办公秩序。第十三条确定访客业务商谈完毕已离开办公区