HYK-MS-206 人力安全管理程序.docVIP

第PAGE\*Arabic9页共14页

深圳市企启信息科技有限公司

人力资源安全管理程序

文档编号：HYK-MS-206

版本信息：V1.0

创建人：信息安全与隐私安全小组

审核者：周静

批准人：黄伟

编制日期：2022年5月10日

批准日期：2022年5月10日

文件变更记录

版本

变更描述

日期

修订人

批准日期

批准人

V1.0

初始版本，文档建立

2022年5月10日

周静

2022年5月10日

黄伟

目录

TOC\o1-2\h\u1.目的 4

2.范围 4

3.职责 4

3.1行政部 4

3.2各部门 4

4.相关文件 4

5.人力资源安全 4

5.1任用前： 4

5.2任用中 5

5.3 任用的终止或变更 7

6.相关文件记录 7

7.记录 7

1.目的

为实现人事的合理配置，在岗人员均能达到岗位能力要求，为管理体系的良好运行提供保障，特制定本程序。

2.范围

本程序适用于公司ISMS与PIMS范围内的人事管理，包括人员招聘、人员配置、人员经历、教育程度、技能和能力的考核管理。

3.职责

3.1行政部

3.1.1负责对公司整体人事开发、岗位设置做出规划；

3.1.2负责人员的招聘，人事的计划及配置

3.2各部门

有义务支持和配合行政部实施人事配置计划和各项人事工作。

4.相关文件

《HYK-MS-206-S01岗位说明书》

5.人力资源安全

5.1任用前：

行政部负责员工在任用前的信息安全和隐私安全事宜，确保员工理解其责任，并适合其角色。

5.1.1审查

照相关法律法规和道德规范，对所有任用候选者的背景进行验证核查，并与业务要求、访问信息的等级和察觉的风险相适宜。

在合规的范围下，考虑应聘者所有相关的隐私、个人身份信息，包括以下内容：

独立的个人身份验证（护照或类似文件）；

完整的履历的资料；

完整的学历、专业资质的资料；

信用核查或犯罪记录；

当组织聘用人员担任一个特定的信息安全角色时，组织应确认该候选人，是否：

具有执行该安全角色所必须的能力；

可被信任担任该角色，特别是当该角色对组织是十分重要的。

建立《Taiwinds-MS-206-S01人力资源招聘制度》规定招聘、入职的具体流程和对于入职人员资格审查的具体要求。

5.1.2任用条款和条件

入职员工签订的劳动合同应包括的信息安全策略，包括：

a)所有访问保密信息的员工在给予访问信息处理设施权限之前签署保密或不泄露协议；

b)员工的法律责任和权利，例如关于版权法、数据保护法（见《HYK-MS-210信息安全法律法规管理程序》；

c)信息分级的责任，以及对与由员工或合同方处理的信息、信息处理设施和信息服务有关的其他资产进行管理的责任（见《HYK-MS-220信息分类管理程序》）；

d)雇员处理来自其他公司或外部方的信息的责任；

e)雇员漠视组织的安全要求所要采取的措施（见《HYK-MS-206-S02信息安全奖惩办法》）。

在任用之前，行政部负责与候选入职人员沟通信息安全角色和责任相关信息，并确保员工同意与信息安全相关的条款和条件。

5.2任用中

5.2.1管理职责

行政部负责确保在职员工：

a)在被允许访问保密信息或信息系统前，充分了解自身的信息安全角色和责任；

b)了解本公司的信息安全管理体系；

c)了解本公司的信息安全管理奖惩办法；

d)具备与自身角色和责任相关的信息安全意识；

e)遵守任用的条款和条件；

f)保持满足自身工作要求的能力，并积极参与培训教育；

g)向员工提供违反信息安全策略或规程的匿名报告通道。

5.2.2信息安全意识、教育和培训

行政部负责信息安全意识培训，使在职的员工了解自身的信息安全责任以及免责的方法。

行政部负责制定信息安全意识方案，意识方案宜包括一些意识提升活动，像组织宣传活动、发布宣传册或制作简报等。信息安全意识方案应不定期开展，以便活动可以重复并覆盖新员工。意识方案宜根据组织的策略和规程定期更新，并宜汲取信息安全事件的经验教训，同时要确保相关员工关注危害隐私或安全规程和制度，特别是那些危害处理PII的方法对组织可能后果（例如：违法后果、业务损失、品牌和声誉损害）；对员工可能后果（例如：惩戒的后果）；对PII主体可能后果（例如：身体的、物质的和情感的后果）。

行政部负责按照组织的信息安全意识培训方案来组织相关培训，可使用不同的交付媒介，包括课堂教学、远程学习、网络教学、自学及其他，见《HY