信息安全人员考察与保密管理程序.doc

信息安全人员考察与保密管理程序1 适用 本规定适用于本公司的正式员工和借用员工聘用、任职期间及离职的安全考察与保密控制以 及其他相关人员（合同方、临时员工)的安全考察与控制。 2 目的 为防止品质不良或不具备一定技能的人员进入本公司，或不具备一定资格条件的员工被安排 在关键或重要岗位，降低员工所带来人为差错、盗窃、欺诈及滥用设施的风险，防止人员对于信息安全保密性、完整性、可用性的影响，特制定本程序。 3 职责3.1 行政部负责员工聘用、任职期间及离职的安全考察管理及保密协议的签订及其他相关人员（合同方、临时员工)的安全考察与控制。3.2 各部门负责本部门员工的日常考察管理工作。 4 员工录用4.1 人员考察策略4.1.1 所有员工在正式录用（借用)前应进行以下方面考察：a) 良好的性格特征，如诚实、守信等；b) 应聘者学历、个人简历的检查(完整性和准确性)；c) 学术或专业资格的确认；d) 身份的查验。4.1.2 员工从一般岗位转到信息安全重要岗位，应当对其进行信用及能力考察。4.1.3 必要时，对承包商和临时工进行同样的考察。4.2 对录用（借用)人员的考察4.2.1 行政部对拟录用（借用)人员重点进行以下方面考察：a) 根据应聘资料及面试情况初判应聘者的职业素质；b) 根据应聘者人事经历的记载，了解是否有重大惩戒及犯罪记录；c) 通过与应聘者沟通，并了解其应聘动机；d) 了解其从事的专业和具备的技术水准，是否符合该岗位的岗位说明书。4.2.2 考察的结果应记入 ISMS-4371应聘申请表。4.2.3 在考察中发现应聘者存在不良倾向的，将不予录用（借用)。5 离职措施5.1 员工离职涉及 ISMS-2032秘密管理规程的保密事项，应按要求采取相应的保密措施。5.2 部门要加强员工离职时的涉密资料、口令等的交接工作。5.3 部门在员工离职后要采取相应的技术防范措施（如变更口令、程序等)，必要时应与信 息科技部协调。5.4 公司和部门要做好员工离职的教育工作，告知其离职后，不得向第三方泄露其在任职期内所获得的公司的商业和技术秘密。 6 离职程序6.1 员工必须在离职日前 3天向本部门部长提出书面离职报告。6.2 部门长接到员工离职报告后，填写 ISMS-4373员工特别事项处理意见表，签署意见 后送行政部。6.3 行政部在员工特别事项处理意见表上签署意见后，报行政部部部长、分管副总和总经理审批。6.4 员工离职得到批准，由部门通知离职员工来人事科办理离职手续。离职员工在离职日前 必须把担当的部门工作移交完毕。6.5 办理离职手续6.5.1 离职员工到行政部索取 ISMS-4374员工离公司手续单。6.5.2 离职员工按员工离公司手续单的内容至公司各部门办理移交手续，各相关部门负 责按照 ISMS-2031用户访问控制程序取消离职员工的访问权限。6.5.3 离职员工移交完毕后，由行政部将市职工退工通知单和员工的劳动手册交于 离职者。6.5.4 技术部门员工离职必须签订 ISMS-4375双边保密协定。6.5.5 员工离职后如发生泄密情况，应承担由此涉及的法律责任。 7 相关/支持性文件7.1 ISMS-2031用户访问控制程序7.2 ISMS-2032秘密管理规程7.3 ISMS-2030人事工作审批程序 8 记录8.1 ISMS-4371应聘申请表保存部门行政部、保管期限至员工使用期届满8.2 ISMS-4372岗位调整审查表保存部门行政部、保管期限至员工使用期届满8.3 ISMS-4373员工特别事项处理意见表保存部门行政部、保管期限至员工使用期届满8.4 ISMS-4374员工离公司手续单保存部门行政部、保管期限 3 年8.5 ISMS-4375双边保密协定保存部门行政部、保管期限 3 年ISO27001信息安全管理标准理解及内审员培训 ISO27001信息安全管理标准理解及内审员培训 下载报名表 内训调查表 【课程描述】ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册【课程对象】信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】第一部分：ISO27001：2005信息安全概述、标准条款讲解 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。 ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ISO27001与ISO9001、ISO14001的异同 ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件 如何将三体系整合降低公司的体系运行成本 ISO9001、ISO14001、ISO27001体系三合一整合案例分析第三部分：信息安全管理体系内部审核技巧和认证应对案例分析 ISO27001：2005标准对内审员的新要求 信息安全管理体系认证现场审核的流程、技巧及沟通方法 如何应对认证公司的认证审核、监督审核、案例分析 考试 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”