版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
信息安全管理规范公司
版本信息当前版本:最新更新日期:最新更新作者:作者:创建日期:审批人:审批日期:修订历史版本号更新日期修订作者主要修订摘要TableofContents(目录)TOC\o"1-2"\h\z\t"ApdxHd1,1,AdpxHd2,2,AdpxHd3,2,Apdx1,1"1. 公司信息安全要求 51.1 信息安全方针 51.2 信息安全工作准则 51.3 职责 61.4 信息资产的分类规定 61.5 信息资产的分级(保密级别)规定 71.6 现行保密级别与原有保密级别对照表 81.7 信息标识与处置中的角色与职责 81.8 信息资产标注管理规定 91.9 允许的信息交换方式 101.10 信息资产处理和保护要求对应表 101.11 口令使用策略 121.12 桌面、屏幕清空策略 131.13 远程工作安全策略 141.14 移动办公策略 141.15 介质的申请、使用、挂失、报废要求 151.16 信息安全事件管理流程 171.17 电子邮件安全使用规范 191.18 设备报废信息安全要求 201.19 用户注册与权限管理策略 201.20 用户口令管理 211.21 终端网络接入准则 211.22 终端使用安全准则 221.23 出口防火墙的日常管理规定 231.24 局域网的日常管理规定 231.25 集线器、交换机、无线AP的日常管理规定 231.26 网络专线的日常管理规定 241.27 信息安全惩戒 242. 信息安全知识 252.1 什么是信息? 252.2 什么是信息安全? 252.3 信息安全的三要素 252.4 什么是信息安全管理体系? 262.5 建立信息安全管理体系的目的 272.6 信息安全管理的PDCA模式 282.7 安全管理-风险评估过程 282.8 信息安全管理体系标准(ISO27001标准家族) 292.9 信息安全控制目标与控制措施 30
公司信息安全要求信息安全方针拥有信息资产,积累、共享并保护信息资产是我们共同的责任。管理与技术并重,确保公司信息资产的安全,保障公司持续正常运营。履行对客户知识产权的保护承诺,保障客户信息资产的安全,满足并超越客户信息安全需求。信息安全工作准则保护信息的机密性、完整性和可用性,即确保信息仅供给那些获得授权的人员使用、保护信息及信息处理方法的准确性和完整性、确保获得授权的人员能及时可靠地使用信息及信息系统;公司通过建立有效的信息安全管理体系和必要的技术手段,保障信息资产的安全,降低信息安全风险;各级信息安全责任者负责所辖区域的信息安全,通过建立相关制度及有效的保护措施,确保公司的信息安全方针得到可靠实施;全体员工应只访问或使用获得授权的信息系统及其它信息资产,应按要求选择和保护口令;未经授权,任何人不得对公司信息资产进行复制、利用或用于其它目的;应及时检测病毒,防止恶意软件的攻击;公司拥有为保护信息安全而使用监控手段的权力,任何违反信息安全政策的员工都将受到相应处理;通过建立有效和高效的信息安全管理体系,定期评估信息安全风险,持续改进信息安全管理体系。职责全体员工应保护公司信息资产的安全。每个员工必须认识到信息资产的价值,负责保护好自己生成、管理或可触及的涉及的数据和信息。员工必须遵守《信息标识与处理程序》,了解信息的保密级别。对于不能确定是否为涉密信息的内容,必须征得相关管理部门的确认才可对外披露。员工必须遵守信息安全相关的各项制度和规定,保证的系统、网络、数据仅用于的各项工作相关的用途,不得滥用。信息资产的分类规定公司的信息资产分为电子数据、软件、硬件、实体信息、服务五大类。类别说明电子数据存在信息媒介上的各种数据资料,包括源代码、数据库数据等各种电子化的数据资料、项目文档、管理文档、运行管理规程、计划、报告、用户手册、作业指导书等各种电子化的数据资料。软件包括系统软件、应用软件、共享软件系统软件:操作系统、语言包、工具软件、各种库等;应用软件:外部购买的应用软件,办公软件等;共享软件:各种共享源代码、共享可执行程序等。硬件网络设备:路由器、网关、交换机等计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列、工控机等移动存储设备:磁带、光盘、软盘、U盘、移动硬盘等传输线路:光纤、双绞线等基础保障设备:(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等,如对基础设施使用属于租用形式,请将其识别到服务类别中。安全保障设备:硬件防火墙、入侵检测系统、身份验证等其他电子设备:打印机、复印机、扫描仪、传真机等实体信息纸制的各种文件、合同、传真、会议纪要、财务报表、证书、电报、发展计划以及各类其他材质的证书奖牌等。服务通过各种协议方式固化下来的服务活动、如物业、第三方、供应商、提供检修服务的提供方等。信息资产的分级(保密级别)规定信息资产分为:一般、内部公开、企业秘密、企业机密4个保密级别。保密级别名称说明1一般一般性信息,可以公开的信息、信息处理设备和系统资源。2内部公开非敏感但仅限公司内部使用的信息、信息处理设备和系统资源。3企业秘密敏感的信息、信息处理设备和系统资源,只给必须知道者。4企业机密敏感的信息、信息处理设备和系统资源,仅适用极少数必须知道的人。现行保密级别与原有保密级别对照表保密级别与公司原有的保密级别的对照表如下:现行的保密级别与之相当的原有保密级别一般一般内部公开秘密企业秘密机密企业机密绝密信息标识与处置中的角色与职责角色职责责任人:信息资产的创建者,或者主要用户所在组织、单位或部门的负责人。信息资产责任人对所属信息资产负直接责任。理解和各种信息访问活动相关的安全风险;根据公司信息密级划分标准来确定所属信息资产的级别;根据公司相关策略确定并检查信息访问权限;针对所属信息资产提出恰当的保护措施。保管者:受信息资产责任人委托,对信息资产进行日常的管理,维护已经建立的保护措施。资产保管者通常是公司或部门的IT管理者或者代表(例如系统管理员)。根据公司相关策略和信息资产责任人的要求,负责信息资产的维护操作和日常管理事务;负责具体设置信息访问权限;负责所管理的信息资产的安全控制;部署恰当的安全机制,进行备份和恢复操作;按照信息资产责任人的要求实施其他控制。用户:信息资产的使用者,除了公司内部员工,也可能是因为业务需要而访问公司信息的客户或第三方组织。向信息责任人申请信息访问;按照公司信息安全策略要求正当访问信息,禁止非授权访问;向相关组织报告隐患、故障或者违规事件。信息资产标注管理规定公司所属的各类信息资产,无论其存在形式是电子、纸质还是磁盘等,都应在显著位置标注其保密级别。一般电子或纸质文档应在该文档页眉的右上角或页脚上标注其保密级别或在文件封面打上保密章,磁盘等介质应在其表面非数据区予以标注其保密级别。如果某存储介质中包含各个级别的信息,作为整体考虑,该存储介质的保密级别标注应以最高为准。如果没有明显的保密级别标注,该信息资产以“一般”级别看待。对于对外公开的信息,需要得到相关责任人的核准,并由对外信息发布部门统一处理。如需在信息资产上表述保密声明,可采用以下两种表述方式:表述方式一:“保密声明:公司资产,注意保密。”表述方式二:“保密声明:本文档受国家相关法律和公司制度保护,不得擅自复制或扩散。”允许的信息交换方式公司允许的信息交换方式有:邮件、视频、电话、网站内容发布、文件共享、传真、光盘、磁盘、磁带和纸张。信息资产处理和保护要求对应表企业机密企业秘密内部公开一般授权需得到责任人和公司管理层批准需得到相关责任人及部门领导批准需得到责任人批准无特别要求访问只能被得到授权的公司极少数核心人员访问只能被公司内部或外部得到明确授权的人员访问,访问者应该签署保密协议可以被公司内部或外部因为业务需要的人员访问任何公司员工或外部人员都可以访问存储电子类的应该加密存储在安全的计算机系统内;硬拷贝应该锁在安全的保险柜内;禁止以其他形式存储或显示电子类的应该妥善保存在设有安全控制的计算机系统内(建议进行信息加密);硬拷贝应该妥善保管,严禁摆放在桌面;使用白板展示后应立即擦除电子类的应该妥善保管,可以进行加密;纸质不应放在桌面以恰当方式保存,避免被非授权人员看到;存储有信息的介质避免丢失复制得到相关责任人及公司管理层批准;需要登记须经相关责任人批准,并让专人操作或监督实施,需要登记经相关责任人批准内部复制无限制打印禁止打印(或在授权情况下专人负责打印,不得打印到无人值守机)须经相关责任人许可,打印件标注密级并妥善管理,不得打印到无人值守机经相关责任人许可,打印件标注密级并妥善管理无限制,打印件标注密级邮件禁止邮件直接发送,经授权后做电子签名和加密控制,经安全的途径发送,保留记录须经相关责任人许可,邮件发送应做加密控制,保留记录经相关责任人许可无限制传真禁止传真须经相关责任人许可后专人负责传真经相关责任人许可无限制快递经授权后采取妥善的保护措施,由专人快递经授权后,由签署了特定安全协议的专门的快递公司快递经授权后,由签署了特定安全协议的专门的快递公司快递无限制内部分发经相关责任人和公司管理层批准后,密封分发,或以允许的电子分发形式进行安全的分发经相关责任人批准后,密封分发,或以允许的电子分发形式进行安全的分发经授权后,以内部邮件形式发放,或直接进行硬拷贝分发无限制对外分发经相关责任人和公司管理层批准后分发,需要签署特定的保密协议,需要进行登记经相关责任人批准后分发,需签署保密协议,需要进行登记经授权后,以邮件或者快递方式分发,建议签署保密协议经授权后,以允许的分发方式分发处理碎纸机;彻底销毁介质;电子记录定期消除;进行检查确认碎纸机;彻底销毁介质;电子记录定期消除;进行检查确认保存件标明作废;电子记录定期消除;介质销毁电子记录定期消除,介质销毁记录跟踪直接责任人应有收件人、复制者、保存者、浏览者、销毁者的日志记录跟踪文件复制、保存、浏览、销毁过程,应有记录无要求不建议跟踪口令使用策略全体员工在挑选和使用口令时,应:保证口令的机密。除非能安全保存,避免将口令记录在纸上。只要有迹象表明系统或口令可能遭到破坏,应立即更改口令。选用高质量的口令,最少要有6个字符,另外:口令应由字母加数字组成;口令不应采用如姓名、电话号码、生日等容易猜出或破解的信息。每三个月更改或根据访问次数更改口令(特别是特权用户),避免再次使用或循环使用旧口令。首次登录时,应立即更改临时口令。不得共享个人用户口令。桌面、屏幕清空策略为了降低在正常工作时间以外对信息进行未经授权访问所带来的风险、损失和损害,员工应:在闲置或工作时间之外将纸张或计算机存储介质储存在合适的柜子或其它形式的安全设备中。当办公室无人时将关键业务信息放置到安全地点(比如防火的保险箱或柜子中)。在无人使用时,将个人计算机、计算机终端和打印机、复印机设为锁定状态。为个人计算机、计算机终端设定密码,同时设定屏保时间(<=15分钟)。在打印保密级别为企业机密、企业秘密的信息后,应立刻从打印机中清除相关痕迹,并有效保护打印出来的信息内容。远程工作安全策略必须保护好远程工作场所防止盗窃设备和信息、未经授权公开信息、对公司内部系统进行远程非法访问或滥用设备等行为。员工应:保障物理安全。对家人和客人使用设备进行限制。如果必须要使用,应在旁边进行监督和控制,确保关键业务信息的安全。远程工作活动结束时,权限以及设备及时收回。网络远程登录终端的拨号密码即VPN帐号仅限本人使用,不允许他人使用。进入公司或客户的信息系统工作完毕后,必须立即退出系统。移动办公策略使用移动办公设备(如笔记本电脑)时,员工尤其应该注意保证业务信息不受损坏、非法访问或泄密:移动办公设备需要带出公司工作场所时,应进行登记。在公共场所使用移动办公设备时,必须注意防范被未经授权的人员窥视。应实时更新用于防范恶意软件的程序。应对信息进行方便快捷的备份。备份的信息应该予以适当的保护以防信息被盗或丢失。使用移动办公设备通过公共网对公司商务信息进行远程访问时必须进行身份识别和VPN访问控制。防止移动办公设备被盗。防止保密级别为企业秘密级以上的信息所在的移动办公设备无人看管。介质的申请、使用、挂失、报废要求介质的申请:序号责任者任务相关文件或记录1资产管理员按照公司的固定资产或消耗资材申领方式向公司申领介质。《固定资产管理制度》《计算机维护消耗资材管理办法》2资产管理员从公司领取介质并登记到《介质登记表》中。《介质登记表》3资产管理员如通过设备管理,需通过usb使用的移动存储介质在中注册。参见使用说明4资产管理员在《介质登记表》中登记发放时间,使用人等信息后发放介质。《介质登记表》介质的使用:如安装了设备,所有工作中使用的USB存储介质都应在中进行注册。如果确认介质中的内容不再需要,应立即将其以可靠方式清除。如果数据需要保存,则使用人应该保存在有良好安全措施的个人计算机和服务器上,而不应该放在计算机活动介质中。所有的备份介质都应存放在安全可靠的地方,并符合生产厂家说明书的安全要求。介质的挂失:序号责任者任务相关文件或记录1使用者使用人立即向资产管理员申报挂失2资产管理员如果是通过usb使用的移动存储介质被挂失且在上注册过,则应在上进行注销。3资产管理员在介质登记表中登记挂失《介质登记表》介质的报废:序号责任者任务相关文件或记录1使用者1)、书面文件用碎纸机粉碎2)、其他介质报废,使用人向资产管理员申请介质报废。2资产管理员如果是通过usb使用的移动存储介质且在上注册过,则应在上进行注销。3资产管理员按照公司的固定资产和消耗资材的报废流程实施。《固定资产管理制度》《计算机维护消耗资材管理办法》4资产管理员在介质清单中登记已报废《1介质登记表》信息安全事件管理流程发现公司全体员工都有责任和义务将已发现的或可疑的事件、故障和薄弱点及时报告给相关部门或人员。任何企图阻拦、干扰、报复事件报告者的行为都被视为违反公司策略。报告对于部门范围内的信息安全事件,当事人可直接向部门负责人报告,并按照本部门规范进行处理。事件处理者需填写附录中的《信息安全事件报告处理记录单》,每月将相关记录上交过程管理部。除部门内可以自行处理的信息安全事件外,其余信息安全事件必须统一上报给客服记录。响应客服对信息安全事件做出最初响应,将技术方面的信息安全事件交给系统服务部组织处理,将管理方面的信息安全事件交给过程管理部组织相关部门进行处理。需要做进一步调查的信息安全事件,当其影响范围涉及整个公司或影响程度严重妨碍了公司的正常运营时,报告给信息安全管理委员会。事件响应及处理者在处理安全事件时应考虑以下优先次序:保护人员的生命与安全保护敏感的设备和资料保护重要的数据资源防止系统被损坏将公司遭受的损失降至最小如果发生违法事件,事件相关涉及部门要采集并保存有效证据,上交过程管理部报告给公司最高管理者决策,由法务部向外部法律机构报告。必要时,法务部可以寻求外部专家的支持。评价/调查安全事件或故障发生之后,事件处理者要对事件或故障的类型、严重程度、发生的原因、性质、产生的损失、责任人进行调查确认,形成事件或故障评价资料。惩戒要根据事件的严重程度、造成的损失、产生的原因对违规者进行教育或者处罚。惩戒手段可包括通报批评、行政警告、经济处罚、调离岗位、依据合同给予辞退,对于触犯刑律者可交司法机关处理。具体处罚标准参见《信息安全管理职责程序》。公告事件的调查结果要反馈给当事部门领导。当事部门可组织相关的人员进行学习和培训。电子邮件安全使用规范公司电子邮件系统禁止用于创建与分发任何含有破坏性、歧视性的信息,包括对种族、性别、残疾人、年龄、职业、性取向、宗教信仰、政治信念、国籍等方面的攻击性语言。公司的员工如果接收到任何含有此类信息的邮件,应立即向主管领导进行汇报。禁止使用公司帐号发送连锁信。禁止使用公司电子邮件帐号发送病毒或恶意代码警告邮件。这些规则也适用于当公司员工接收到这类电子邮件并进行转发的情况。使用的邮件软件客户端要及时升级,减少由于软件的漏洞而受到外部攻击,避免因此而导致的邮件丢失和系统中毒。邮件必须有标题,尽量以文本方式浏览邮件。陌生人的邮件附件尽量不要打开,禁止撰写、发送、转发各种垃圾邮件,禁止在未经授权的情况下利用他人的计算机系统发送互联网电子邮件。禁止使用工作邮箱从事任何非法活动及其与工作无关的邮件。为了保证邮件安全禁止使用自动转发功能。公司业务信息邮件必须使用公司规定的业务专用邮箱发送,除了业务相关邮件禁止使用业务邮箱发送其他邮件。邮件必须主题明确,能够通过邮件主题判断业务类别。做好邮件的病毒防护工作。发送邮件应该注意邮件的保密,避免泄漏公司机密。所有员工都要严格遵守《电子邮件安全使用规范》的相关规定,员工之间应互相监督,及时制止违反规定的人员,对于使用公司邮箱传播反动言论、从事任何与法律或公司制度相违活动的人员将禁用或者注销其邮箱,并根据情节严重给予相应处罚或提交司法机关处理。设备报废信息安全要求报废设备上交前,使用者自己负责将设备介质中的信息进行备份,机电一体化产品事业部负责将设备介质中的所有信息清除掉,以防信息泄漏。用户注册与权限管理策略对任何多用户使用的信息系统和服务设施进行访问,应:使用唯一的用户名,以便将用户与其操作联系起来,使用户对其操作负责。只有因工作需要才允许使用组用户名。添加新用户或用户权限变更时应有书面申请并经过审批。系统管理员对新注册用户进行授权。应记录所有注册用户。用户因工作变更或离开组织时,应立即取消其访问权限。系统权限管理的责任人应定期组织检查并删除多余的用户名和账户,并对用户的访问权限进行定期评审或在变动后进行评审。系统权限管理的责任人需要严格控制特权的分配和使用,要对特权的分配和使用情况进行评审,确保没有非法授予用户特权,以保证对数据和信息服务的访问进行了有效的控制。用户口令管理在进行信息系统的口令管理,应:用户需要自己维护口令,系统仅在开始时提供一个安全的临时口令,用户需要立即更改临时口令。用户忘记口令时,必须在对该用户进行适当的身份核实后才能向其提供临时口令。在向用户提供临时口令时必须确保其安全,避免使用第三方或无保护的(明文)电子邮件,用户应对收到的口令予以确认。不允许在计算机系统上以无保护的形式存储口令。保证个人口令安全,确保工作组口令仅在本组成员间共享。终端网络接入准则公司网络覆盖范围内使用的每台计算机,员工均应安装公司规定的防毒软件,不得私自使用其他防毒软件。终端使用安全准则每台计算机应开启实时监控功能,定期进行计算机病毒检测,并及时对防毒软件或病毒特征库进行升级更新。每台计算机应定期连接公司网络并从病毒服务器获得防病毒软件的最新定义码及扫描引擎。为防止计算机使用人员私自卸载客户端及信息安全客户端,卸载密码和工具由系统服务事业部统一管理。公司不定期组织相关部门对客户端及信息安全客户端安装情况进行抽查。抽查情况将通报各相关部门并列入年度的绩效考核。计算机使用人员在安装、使用客户端及信息安全客户端中遇到技术问题,可通过拨打客户服务热线寻求技术支持。为防止恶意代码的侵扰,每台计算机必须按《访问控制管理程序》第5.2.1节的要求设置管理员口令;网络共享文件必须设置密码和只读权限。任何部门和个人不得制作、复制、传播计算机病毒,任何部门和个人负有清除或防治计算机病毒的义务。不使用来路不明或含有盗版软件的软盘与光盘,不随意安装执行从网络上下载的各种程序。当需要从计算机信息网络上下载程序、数据或者购置、维修、借入计算机设备时,应当进行计算机病毒检测。使用电子邮件,对来路不明的邮件(特别是含有附件的邮件),收到后不要打开,直接删除并清空废件箱。出口防火墙的日常管理规定为公司的出口防火墙设置只读权限,便于监视进出本公司的所有访问。对防火墙的接口IP地址、用户名、口令及配置文件信息进行严格管理。除授权人员外,禁止任何人员物理接触防火墙;对防火墙的远程管理仅限于指定IP地址、指定管理方式、指定用户、指定用户的管理权限。严禁连接公司网络的任何单位和人员以任何形式对防火墙进行攻击。集中收集、存储防火墙报警日志,定期检查防火墙安全记录,优化防火墙访问规则,杜绝安全漏洞。定期使用安全评估系统检查防火墙的各项服务是否有漏洞。部门如有公司出口防火墙的变更需求,必须通过公司审批,备案在册,由系统服务部统一操作。局域网的日常管理规定各部门不得将私自构建的局域网接入公司网络。如需接入必须通过公司审批,备案在册,由系统服务部统一操作。员工在办公区域只能通过公司内网联入互联网。集线器、交换机、无线AP的日常管理规定各部门不得私自使用网络访问设备。禁止使用路由器及无线路由设备。如需使用集线器、交换机、无线AP,必须通过公司审批,备案在册。无线AP必须设置符合安全要求的密码(具体要求参见管理文件《访问控制管理程序》中5.2.1的要求),只有被授权人员方可使用无线网络。公司定期检查集线器、交换机、无线AP的登记和使用情况。网络专线的日常管理规定各部门不得私自搭建网络专线。如需使用网络专线必须通过公司审批,备案在册。公司定期检查网络专线的登记和使用情况。信息安全惩戒全体员工(含临时员工、派遣员工、实习员工、常驻外包员工)均应遵守所有与信息安全相关的管理规定,不允许任何部门或人员有损害公司信息安全的行为。对违反信息安全管理规定,并造成严重后果的部门或员工,由公司信息安全管理委员会授权实施惩戒。惩戒手段包括通告、行政警告、经济处罚、调离岗位、依据合同予以辞退,对于触犯刑律者移交司法机关处理。对于的合同承包商和外部用户,如果违反了信息安全管理规定,公司信息安全委员会有权建议公司中止与他们的合同和协议。信息安全知识什么是信息?是来自任何来源的知识。在ISO27001的标准里:信息是一种资产,就象其它重要的企业资产一样,信息资产对组织具有价值,因而需要受到妥善的保护。信息是有生命周期的。安全保护应兼顾到从其创建或诞生,到被使用或操作,到存储,再到被传递,直至其生命期结束而被销毁或丢弃。什么是信息安全?信息安全的目的是,保护信息不受各种威胁,以确保业务连续,将企业损失降至最低,将投资收益与商业机会最大化。信息安全的任务是,要采取措施(技术手段及有效管理)让这些信息资产免遭威胁,或者将威胁带来的后果降到最低程度,以此维护组织的正常运作。信息安全的三要素机密性完整性可用性注:1)、机密性:信息不可用或不被泄漏给未授权的个人、实体或过程的特性,确保只有获得授权的使用者才能使用信息。2)、完整性:保护资产的精确与完整的特性,确保信息在存储、使用、传输的过程中不会被未授权用户篡改,同时还要防止授权用户对系统及信息进行不恰当的篡改,保持信息内、外部表示的一致性。3)、可用性:需要时,授权实体可以访问和使用的特性,确保授权用户或实体对信息及资源的正常使用不会被异常拒绝,允许其可靠而及时地访问信息及资源。什么是信息安全管理体系?信息安全管理体系是协调的活动以指挥和控制:一组被分配职责和权限及关系的人和设备;保护信息的机密性、完整性和可用性;此外,其他的特性,如可鉴别性、可归责性、不可抵赖性和可靠性也可以考虑。建立信息安全管理体系的目的增强各种类型的组织机构内部管理的信心。为各种类型的组织机构开发、实施、衡量安全管理实践的有效性提供了一个基础、依据。为投资活动提供保障,防止各种安全事故的发生。方针与流程方针与流程管理和审核数据隐私和完整性授权身份识别与鉴定启动方案实施原则,要干什么你是谁,如何证明谁有权使用、查看、编辑创建、删除、复制数据谁发送的、谁可以阅读谁何时干了什么信息安全管理的PDCA模式安全管理-风险评估过程AssetIdentificationandValuationAssetIdentificationandValuation资产鉴别与评价Identificationofvulnerabilities
脆弱性的鉴别IdentificationofThreats
威胁的鉴别EvaluationofImpacts
冲击的评估ReviewofExistingSecurityControls
现有的安全控制措施审查IdentificationofnewSecurityControls
新安全控制措施的鉴别PolicyandProcedures
政策与程序ImplementationandRiskReduction
实施与风险降低RiskAcceptance(ResidualRisk)
风险可接受度(残余风险)RiskAssessment
风险评估BusinessRisk
营运风险RiskManagementRating/rankingofRisks
风险的分级信息安全管理体系标准(ISO27001标准家族)ISO/IEC27000—基础和术语。ISO/IEC27001—信息安全管理体系要求,已于2005年10月15日正式发布(ISO/IEC27001:2005)。ISO/IEC27002—信息安全管理体系最佳实践由ISO/IEC17799:2005转换而来。ISO/IEC27003—信息安全管理体系实施指南,正在开发。ISO/IEC27004—信息安全管理度量和改进,正在开发。ISO/IEC27005—信息安全风险管理指南以2006年推出的BS7799-3(基于ISO/IEC13335-2)为蓝本。信息安全控制目标与控制措施安全方针信息安全组织资产管理人力资源安全管理物理与环境安全通讯及操作安全信息系统的获取、开发和维护访问控制信息安全事故管理业务连续性管理符合性
试用工转正(定岗)考核制度1目的为规范公司用工,提高员工素质技能水平,加强对试用期内员工的管理,特制订本规定。2适用范围适用于我公司所有试用期内员工考核管理。3职责3.1人力资源部负责组织试用期内员工的考核。3.2车间(部室)负责对相关的项目进行考核。3.3人力资源部负责监督车间的考核工作。4工作程序4.1员工进入公司,与公司签订劳动合同,试用期为6个月。不与公司签订劳动合同,不予录用。4.2员工试用期满转正前,要经过考核,由人力资源部出具试用工转正(定岗)考核表。表一由员工本人和车间(部室)负责人填写;表二中考勤和劳动纪律部分由车间负责填写,人力资源部负责审核;表二中业务技能部分,理论考试成绩由人力资源部填写,现场操作考试成绩由车间填写。员工经考核合格后,由试用工转为正式工,若考核不合格,解除劳动关系。4.3在试用期内,第一个月至第三个月,用人车间(部室)应根据试用工的工作能力、职业倾向等,并根据工作所需安排、调整工作岗位,三个月以后要进行定向培养,不得再做调整。4.4试用期员工的考核指标分为三部分:考勤、劳动纪律、业务技能。项目考核细则考勤此项为否决项,即此项不及格视为考核不合格,直接解除劳动关系劳动纪律(权重20%)每出现一次轻微违纪行为扣2分,迟到、早退纳入轻微违纪行为每出现一次一般违纪行为扣4分旷工:0<连续旷工≤1天扣20分,1<连续旷工≤2天扣40分,连续旷工3天及以上解除劳动关系;不连续旷工每旷工一次扣20分,累计旷工6次或累计满3天解除劳动关系满分100分,考核得分=100-违纪扣分,最终得分由车间给出若出现严重违纪行为视为考核不合格,直接解除劳动关系业务技能(权重80%)理论考试成绩,满分100分,权重40%,最终得分由人力资源给出现场操作考试成绩,满分100分,权重60%,最终得分由车间给出业务技能得分=理论考试成绩×40%+现场操作考试成绩×60%综合成绩劳动纪律得分×20%+业务技能得分×80%,考试成绩≥80分为合格4.4.1考勤4.4.1.1员工须严格遵守《员工手册》中《考勤管理制度》,按公司规定的时间上下班,不得迟到、早退,有迟到、早退的按轻微违纪行为扣分;4.4.1.2员工在试用期内出勤率必须达到80%以上(含80%),达不到的视为考核不合格,予以解除劳动关系;4.4.1.3不得旷工,试用期内连续旷工满3天或累计旷工满3天或累计旷工满6次均视为考核不合格,予以解除劳动关系;出现旷工行为达不到解除劳动关系标准的从劳动纪律得分中依据考核细则扣除相应分数。4.4.2劳动纪律:员工须严格遵守《员工手册》中《劳动纪律管理制度》,每出现一次违纪行为都要扣减相应的分数:轻微违纪行为扣2分;一般违纪行为扣4分;劳动纪律得分满分为100分,占综合成绩权重20%,扣分超过100分按负分累计;员工出现严重违纪行为视为考核不合格,予以解除劳动关系。4.4.3业务技能:业务技能考核总分100分,占综合成绩权重80%,由理论考试(满分100分,权重40%)和现场操作(满分100分,权重60%)两项组成。4.5业务技能考试分为理论考试和现场操作。理论考试题库(含答案)由车间负责制定,提前一个月上报人力资源部,理论考试试题由人力资源部从各车间(部门)上报的考试题库中抽取,理论考试由人力资源部统一组织并给出考试成绩。现场操作考试由人力资源部参入、相关车间(部室)组织执行并给出考试成绩。5相关文件《员工手册》6记录《试用工转正(定岗)考核表一》《试用工转正(定岗)考核表二》7更改记录序号更改号文件更改章节、条款号更改人更改日期试用工转正(定岗)考核表一姓名:合同起始时间身份证号:学历:车间(部室):期满定岗:试用期工作总结及自我评价年月日不得低于150字车间部门领导点评签字:年月日注:领导点评应涉及员工的日常行为表现、工作态度、工作能力、思想认识等试用工转正(定岗)考核表二姓名:合同起始时间身份证号:学历:车间(部室):期满定岗:考勤试用期内出勤率()80%以上()80%以下项目第一个月第二个月第三个月第四个月第五个月第六个月合计应出勤实际出勤考勤起始日为合同起始时间,第六个月截止到20号,出勤率=总实际出勤/总应出勤X100%应出勤和实际出勤按班计算;该员工出勤率=/X100%=是否有旷工行为(连续3天或累计6天既为不合格)()无()有次时长天劳动纪律是否有轻微违纪行为()无()有次,合计扣分是否有一般违纪行为()无()有次,合计扣分是否有旷工行为()无()有合计扣分是否有严重违纪行为()无()有此项为否决项,有即视为不合格劳动纪律得分=(100-)X20%=分业务技能理论考试成绩分,乘以权重后(40%)得分现场操作考试成绩分,乘以权重后(60%)得分业务技能得分=(理论考试成绩+现场考试成绩)X80%=分综合成绩分考勤()及格()不及格劳动纪律分(乘以权重后得分)业务技能分(乘以权重后得分)员工签字确认:车间(部室)负责人:年月日人力资源部(章):年月日本考核表作为员工试用期考核合格转正、定岗依据
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 酒吧餐具运营方案
- 城市宣传乌镇方案
- 辽宁省葫芦岛市长江卫生中等职业技术学校2024-2025学年高一上学期11月期中英语试题-(含答案)
- 福建公务员面试模拟67
- 2021潍坊市中考生物试题(学生版)
- 辽宁行政职业能力2015年
- 文创公司企划书
- 化工公司商业计划书
- 海南省公务员面试真题汇编5
- 2020年08月29日上午山东省公务员面试真题
- 2024年消防月全员消防安全知识专题培训-附20起典型火灾案例
- GB/T 44592-2024红树林生态保护修复技术规程
- GB/T 44413-2024城市轨道交通分类
- 门窗加工生产项目智能制造方案
- 2024年甘肃庆阳市林业和草原局招聘专职聘用制护林员57人历年高频考题难、易错点模拟试题(共500题)附带答案详解
- (正式版)JBT 14449-2024 起重机械焊接工艺评定
- 华北电力大学(保定)
- 少先队员代表大会提案登记表
- 9天干地支与十神的对照表
- 古代官职变动用词(完整版).ppt
- 新教科版(2017版)五年级上册科学全册单元测试卷
评论
0/150
提交评论