公司信息安全人员考察与保密管理程序模版.doc

信息安全人员考察与保密管理程序 １ 适用 本规定适用于本公司的正式员工和借用员工聘用、任职期间及离职的安全考察与保密控制以 及其他相关人员(合同方、临时员工)的安全考察与控制。　 2　 目的　为防止品质不良或不具备一定技能的人员进入本公司,或不具备一定资格条件的员工被安排 在关键或重要岗位，降低员工所带来人为差错、盗窃、欺诈及滥用设施的风险,防止人员对于信息安全保密性、完整性、可用性的影响,特制定本程序。 3 职责 3．1　行政部负责员工聘用、任职期间及离职的安全考察管理及保密协议的签订及其他相关人员(合同方、临时员工)的安全考察与控制。 ３.2 各部门负责本部门员工的日常考察管理工作。 4　　员工录用 4.1 人员考察策略 4．1.1 所有员工在正式录用（借用)前应进行以下方面考察: a) 良好的性格特征,如诚实、守信等； ｂ) 应聘者学历、个人简历的检查(完整性和准确性）; c) 　学术或专业资格的确认; ｄ)　　身份的查验。 4.１.2 员工从一般岗位转到信息安全重要岗位，应当对其进行信用及能力考察。 ４．1.3 必要时,对承包商和临时工进行同样的考察。 4.2 对录用(借用)人员的考察 4.2.1 行政部对拟录用（借用)人员重点进行以下方面考察： a) 根据应聘资料及面试情况初判应聘者的职业素质; b) 根据应聘者人事经历的记载,了解是否有重大惩戒及犯罪记录； c） 通过与应聘者沟通,并了解其应聘动机; d) 了解其从事的专业和具备的技术水准，是否符合该岗位的岗位说明书。 ４.2.2 考察的结果应记入 ＩSMS－4371《应聘申请表》。 4.2.3 在考察中发现应聘者存在不良倾向的，将不予录用（借用)。 5 离职措施 5．１ 　员工离职涉及 ISMS-２032《秘密管理规程》的保密事项,应按要求采取相应的保密措施。 5.2 　部门要加强员工离职时的涉密资料、口令等的交接工作。 5．3 　部门在员工离职后要采取相应的技术防范措施（如变更口令、程序等）,必要时应与信 息科技部协调。 ５.4 　公司和部门要做好员工离职的教育工作,告知其离职后,不得向第三方泄露其在任职期内所获得的公司的商业和技术秘密。 6 离职程序 6.1　 员工必须在离职日前 ３0天向本部门部长提出书面离职报告。 6.2 部门长接到员工离职报告后,填写 ISMS－4373《员工特别事项处理意见表》,签署意见 后送行政部。 ６.３ 行政部在《员工特别事项处理意见表》上签署意见后,报行政部部部长、分管副总和总经理审批。 6.４ 　员工离职得到批准,由部门通知离职员工来人事科办理离职手续。离职员工在离职日前 必须把担当的部门工作移交完毕。 6.5　 办理离职手续 ６．5.1 离职员工到行政部索取　ＩSＭＳ-４37４《员工离公司手续单》。 6.5.2　 离职员工按《员工离公司手续单》的内容至公司各部门办理移交手续,各相关部门负 责按照 ISMS－2031《用户访问控制程序》取消离职员工的访问权限。 6.5.3 离职员工移交完毕后,由行政部将《市职工退工通知单》和员工的《劳动手册》交于 离职者。 6.5．4　 技术部门员工离职必须签订 ISMS-４3７5《双边保密协定》。 6.５．５ 员工离职后如发生泄密情况,应承担由此涉及的法律责任。 7　 相关/支持性文件 ７．1　ISMS－２０3１《用户访问控制程序》 7．2 ISMS－２03２《秘密管理规程》 7.3 IＳMS-20３０《人事工作审批程序》 ８ 记录 8．1　ＩＳMS-4３７１《应聘申请表》保存部门行政部、保管期限至员工使用期届满 ８.2 ISMS-4３72《岗位调整审查表》保存部门行政部、保管期限至员工使用期届满 ８.3 ＩＳＭS-437３《员工特别事项处理意见表》保存部门行政部、保管期限至员工使用期届满 8.４ ISMS-４374《员工离公司手续单》保存部门行政部、保管期限 3　年 ８.５ ＩSＭＳ-437５《双边保密协定》保存部门行政部、保管期限 3 年 ISO２700１信息安全管理标准理解及内审员培训   ISO27００1信息安全管理标准理解及内审员培训    下载报名表   内训调查表 【课程描述】 ISO/IEC2７001:2０05信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:２005/IＳO　2７00２:2005标准的每一个要求,指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 190１１:20０2为基础,教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准,并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。　 【课程帮助】 如果你想对本课程有更深入的了解，请参考 ＞>＞ 德信诚ＩSO２7００1内审员相关资料手册 【课程对象】 信息安全管理人员,欲将ＩSO27０0１导入组织的人员，在IＳＯ27０0１实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】 第一部分:IＳＯ２7001:２005信息安全概述、标准条款讲解 ◆ 信息安全概述：信息及信息安全,CIA目标，信息安全需求来源,信息安全管理。 ◆　风险评估与管理:风险管理要素,过程，定量与定性风险评估方法，风险消减。ﻫ◆ ISO/IEC　2700１简介：ISＯ２7001标准发展历史、现状和主要内容，ＩSＯ2７00１标准认证。ﻫ◆　信息安全管理实施细则:从十个方面介绍ISO2７００１的各项控制目标和控制措施。ﻫ◆ 信息安全管理体系规范:ISO／IEC27001－2005标准要求内容，PDCＡ管理模型,IＳMＳ建设方法和过程。ﻫ 第二部分：ISO27０0１:2005信息安全管理体系文件建立（IＳO27００１与ISＯ900１、IＳO140０1管理体系如何整合)ﻫ◆　ISＯ２70０1与IＳＯ９０0１、ＩSO1４001的异同ﻫ◆　IＳO2７０01与ISO９001、ISO14001可以共用的程序文件和三级文件 ◆　如何将三体系整合降低公司的体系运行成本 ◆ ＩSO9００1、ISO1４00１、IＳO２70０1体系三合一整合案例分析ﻫﻫ第三部分:信息安全管理体系内部审核技巧和认证应对案例分析 ◆　IＳＯ27001：2005标准对内审员的新要求 ◆ 信息安全管理体系认证现场审核的流程、技巧及沟通方法ﻫ◆ 如何应对认证公司的认证审核、监督审核、案例分析 ◆ 考试　>＞> 考试合格者颁发“ISＯ27００0信息安全管理体系内部审核员培训合格证书”