服务人员管理制度

1、服务人员管理制度1. 目的为了对所有从事与信息安全有影响的工作人员进行管理,提高其业务素质和工作能力，确保满足相应工作的规定要求，对承担信息安全管理体系职责的人员规定相应岗位的能力要求，并进行培训以满足规定要求，对违法信息安全的行为进行处理，特制定本程序。2. 范围本程序适用于承担信息安全管理体系规定职责的所有在职人员、临时雇用的人员、外借人员，必要时还包括客户和合作方。3. 职责3.1 综合部l 综合部负责服务人员管理工作；l 负责人员的招聘、奖惩、晋升、考核、调转、离职、考勤等的工作l 实施，拟订、解释服务人员方面的管理制度；l 人员档案管理；l 负责公司员工的培训；l 负责组织对培训质量

2、进行评估；l 负责编制本部门员工岗位说明书和整理其他部门岗位说明书；l 负责组织对人员进行任职资格认定。3.2 其他部门 配合综合部进行服务人员的管理；l 编制本部门员工岗位说明书；l 负责本部门员工的岗位技能培训。3.3 总经理批准公司培训计划，批准岗位说明书。4. 任用前4.1 安全角色与职责4ü.24.1.1 综合部负责组织编制和保存岗位说明书，对本公司内每个职位的岗位说明书规定人员的角色和职责，综合部负责制定通用安全职责，特殊安全职责由业务部门制定。4.1.2 综合部对员工下发岗位说明书，保证员工对责任说明的理解和接受。这个工作必须在员工上岗前完成。4.1.3 员工的职责发生

3、变化时，综合部要负责立即更新员工的岗位说明书。综合部应负责保证更新的岗位说明书确定的传达给员工。这一工作必须在员工职责发生变化起1周内完成。 4.2 人员选拔4.2.1 综合部负责对本公司内各个职位的应聘人员认真筛选，按照本公司综合部的程序对应聘人员面试，如果该职位是涉密职位，应对应聘者进行背景调查。背景调查时应考虑：个人和职业推荐信，身份，学历和/或职业资格原始文件等。4.2.2 对长期合同员工的背景调查应在申请职位时进行，调查包括以下内容：² 要有适当的推荐人，以对申请人的业务能力和个人品德进行证明；² 检查申请人的简历是否完整及准确；² 确认其声明的学历及职

4、业资格是否真实；² 独立的身份检查（身份证、护照或其它文件）。4.2.3 各部门负责人可根据本部门对上岗员工的特殊要求，提出必要的附加调查内容，并反馈给综合部，以便选出合适的人员。对于高级管理人员和系统网络管理员或其他特别重要和特殊的职位，应进行深入和细致的背景调查，填写应聘人员背景调查表。4.3 任用条款和条件工作中涉及重要的敏感业务数据的员工需要与综合部门签订员工保密协议书后才能开始工作。员工的保密协议由本公司综合部保存；员工所在的部门根据业务的需要，也可以与员工签订专门的保密协议，此协议由员工所在部门保存。5. 任用中5.1 信息安全教育与培训5.1.1 综合部应持续对新老员工

5、进行信息安全意识与技能方面的培训，对员工的培训需要安排信息安全方面的课堂培训和自学课程，内容包括：1) 本公司信息安全方针、策略和安全控制措施；2) 本公司管理的所有系统和服务的安全设计和操作；3) 与员工岗位日常工作相关的安全问题与措施；4) 信息安全奖惩规定5) 其他与信息安全相关的知识与技能。6) 对于课堂培训与自学的内容可根据需要，安排进行必要的考核，以评价员工的学习效果，同时也作为培训记录使用。综合部应负责保存员工的培训相关记录。5.1.2 信息安全管理小组及各部门的安全管理员可在不同的层面上对员工进行安全意识与技能的培训，并通知综合部更新员工的培训相关记录。应当确定使用本公司信息处

6、理设施的第三方是否需要适当的安全培训。在信息安全方针、策略、程序和控制发生变化后，信息安全工作组及各部门的信息安全管理员要保证及时传达给本公司的每位员工。5.2 培训计划的制定与审批5.2.1 各部门向综合部提出培训需求申请；新入职员工培训由综合部发出入职培训通知，具体实施部门进行培训具体操作。5.2.2 综合部进行培训需求调查,根据调查结果，根据公司战略发展需要，制定培训计划。5.2.3 培训计划经总经理批准后实施。5.2.4 培训计划的内容包括培训的目的，培训的对象、内容、需求及要求，培训的形式，培训的时间安排。5.2.5 培训结束后，对接收培训人员进行培训考核，填写培训考核记录。5.2.

7、6 培训考核后，综合部进行培训质量评估，参加培训人员每个人填写培训质量评估表。5.2.7 综合部做培训总结，提出存在问题，由责任部门提出改进方案。5.3 培训的目的通过培训，使员工意识到：1) 满足客户和法律法规要求的重要性；2) 违反相关要求所造成的后果；3) 自己从事的活动与公司发展的相关性；4) 必须胜任新岗位的工作；5) 公司鼓励员工参与信息安全管理，为实现信息安全目标做出贡献。5.4 培训的对象及内容5.4.1 应识别从事影响信息安全的活动的人员的能力需求，分别对新员工、在岗员工、转岗员工、各类专业人员、特殊工种人员等，根据他们的岗位责任制定并实施培训需求。5.4.2 新员工1) 公

8、司基础教育：包括公司简介、公司相关制度、信息安全方针和信息安全目标、信息安全、意识、相关法律法规、信息安全管理体系标准基础知识等的培训。在进入公司一个月内，由综合部组织进行；2) 岗位技能培训：采取一帮一的方式，员工入职后，各部门负责人指定专人指导新员工进行岗前的学习，除了学习本职岗位业务流程相关的技能外，还要包括信息安全事项的处理及紧急情况的应变措施等内容。此项培训由各部门自行组织进行，并进行考核，合格者方可上岗。5.4.3 在岗人员：按培训计划为在岗员工安排各类培训，包括技能类、素质类和管理类以及信息安全的内容等；5.5 培训的形式5.5.1 培训：由公司内、外部有专长的人员就某一专题进行

9、讲授5.5.2 外部培训：由公司聘请外部专业人员到公司培训或公司员工报名去外部参加培训。5.6 培训记录5.6.1 每次培训各相关部门应记录培训人员、时间、地点、教师、内容等，培训后将有关记录、试卷或考核记录等送交综合部，由综合部将相关信息汇总保存。5.6.2 综合部负责建立、保存员工档案，员工档案应清楚的记录员工在公司的培训、考核、岗位调动的履历。5.7 纪律处理员工如果违反本公司的信息安全政策时，应按照信息安全奖惩管理规定的有关规定处理。部门负责人也可按照本公司综合部有关规定，对违反信息安全政策的员工在部门内进行奖励或惩处。6. 任用终止或变更6.1 终止职责6.1.1 综合部应清晰规定和

10、分配任用终止或变更的责任。终止职责应包括必要的安全需求和法律职责，必要时还需包括保密性协议规定的职责，以及在员工、合同方或第三方聘用期结束后，持续一段时间仍然有效的规定。6.1.2规定职责和义务在任用终止后仍然有效的内容，应当在任用前就包含在员工、合同方或第三方的合同中。6.2 资产归还所有的员工、承包方人员和第三方人员在终止任用、合同或协议时，必须同时归还他们所管理和使用的所有资产，并填写员工离职手续单。6.3 撤销访问权所有员工、承包方和第三方人员对信息和信息处理设施的访问权应在任用终止时删除，或在岗位发生变化时进行调整。离职人员所持有的所有设备、文件或数据都必须还归还给本公司相关部门或人员，离职人员对信息的访问权和对场所的使用权限必须及时注销