1、服務人員管理制度1.目的為了對所有從事與信息安全有影響的工作人員進行管理，提高其業務素質和工作能力，確保滿足相應工作的規定要求，對承擔信息安全管理體系職責的人員規定相應崗位的能力要求，并進行培訓以滿足規定要求，對違法信息安全的行為進行處理，特制定本程序。2 .范圍本程序適用于承擔信息安全管理體系規定職責的所有在職人員、臨時雇用的人員、外借人員，必要時還包括客戶和合作方。3 .職責3.1 綜合部綜合部負責服務人員管理工作；負責人員的招聘、獎懲、晉升、考核、調轉、離職、考勤等的工作實施，擬訂、解釋服務人員方面的管理制度；人員檔案管理；負責公司員工的培訓；負責組織對培訓質量進行評估；負責編制本部門員

2、工崗位說明書和整理其他部門崗位說明書；負責組織對人員進行任職資格認定。3.2 其他部門配合綜合部進行服務人員的管理；編制本部門員工崗位說明書；負責本部門員工的崗位技能培訓。3.3 總經理批準公司培訓計劃，批準崗位說明書。4 .任用前4.1 安全角色與職責4.1.1 綜合部負責組織編制和保存崗位說明書，對本公司內每個職位的崗位說明書規定人員的角色和職責，綜合部負責制定通用安全職責，特殊安全職責由業務部門制定。4.1.2 綜合部對員工下發崗位說明書，保證員工對責任說明的理解和接受。這個工作必須在員工上崗前完成。4.1.3 員工的職責發生變化時，綜合部要負責立即更新員工的崗位說明書。綜合部應負責保證

3、更新的崗位說明書確定的傳達給員工。這一工作必須在員工職責發生變化起1周內完成。4.2 人員選拔4.2.1 綜合部負責對本公司內各個職位的應聘人員認真篩選，按照本公司綜合部的程序對應聘人員面試，如果該職位是涉密職位，應對應聘者進行背景調查。背景調查時應考慮：個人和職業推薦信，身份，學歷和/或職業資格原始文件等。4.2.2 對長期合同員工的背景調查應在申請職位時進行，調查包括以下內容：要有適當的推薦人，以對申請人的業務能力和個人品德進行證明；檢查申請人的簡歷是否完整及準確；確認其聲明的學歷及職業資格是否真實；獨立的身份檢查（身份證、護照或其它文件）。4.2.3 各部門負責人可根據本部門對上崗員工的

4、特殊要求，提出必要的附加調查內容，并反饋給綜合部，以便選出合適的人員。對于高級管理人員和系統網絡管理員或其他特別重要和特殊的職位，應進行深入和細致的背景調查，填寫應聘人員背景調查表。4.3 任用條款和條件工作中涉及重要的敏感業務數據的員工需要與綜合部門簽訂員工保密協議書后才能開始工作。員工的保密協議由本公司綜合部保存；員工所在的部門根據業務的需要，也可以與員工簽訂專門的保密協議，此協議由員工所在部門保存。5 .任用中5.1 信息安全教育與培訓5.1.1 綜合部應持續對新老員工進行信息安全意識與技能方面的培訓，對員工的培訓需要安排信息安全方面的課堂培訓和自學課程，內容包括：1）本公司信息安全方針

5、、策略和安全控制措施；2）本公司管理的所有系統和服務的安全設計和操作；3）與員工崗位日常工作相關的安全問題與措施；4）信息安全獎懲規定5）其他與信息安全相關的知識與技能。6）對于課堂培訓與自學的內容可根據需要，安排進行必要的考核，以評價員工的學習效果，同時也作為培訓記錄使用。綜合部應負責保存員工的培訓相關記錄。5.1.2 信息安全管理小組及各部門的安全管理員可在不同的層面上對員工進行安全意識與技能的培訓，并通知綜合部更新員工的培訓相關記錄。應當確定使用本公司信息處理設施的第三方是否需要適當的安全培訓。在信息安全方針、策略、程序和控制發生變化后，信息安全工作組及各部門的信息安全管理員要保證及時傳

6、達給本公司的每位員工。5.2 培訓計劃的制定與審批5.2.1 各部門向綜合部提出培訓需求申請；新入職員工培訓由綜合部發出入職培訓通知，具體實施部門進行培訓具體操作。5.2.2 綜合部進行培訓需求調查，根據調查結果，根據公司戰略發展需要，制定培訓計劃。5.2.3 培訓計劃經總經理批準后實施。5.2.4 培訓計劃的內容包括培訓的目的，培訓的對象、內容、需求及要求，培訓的形式，培訓的時間安排。5.2.5 培訓結束后，對接收培訓人員進行培訓考核，填寫培訓考核記錄。5.2.6 培訓考核后，綜合部進行培訓質量評估，參加培訓人員每個人填寫培訓質量評估表。5.2.7 綜合部做培訓總結，提出存在問題，由責任部門

7、提出改進方案。5.3 培訓的目的通過培訓，使員工意識到：1）滿足客戶和法律法規要求的重要性；2）違反相關要求所造成的后果；3）自己從事的活動與公司發展的相關性；4）必須勝任新崗位的工作；5）公司鼓勵員工參與信息安全管理，為實現信息安全目標做出貢獻。5.4 培訓的對象及內容5.4.1 應識別從事影響信息安全的活動的人員的能力需求，分別對新員工、在崗員工、轉崗員工、各類專業人員、特殊工種人員等，根據他們的崗位責任制定并實施培訓需求。5.4.2 新員工1）公司基礎教育：包括公司簡介、公司相關制度、信息安全方針和信息安全目標、信息安全、意識、相關法律法規、信息安全管理體系標準基礎知識等的培訓。在進入公

8、司一個月內，由綜合部組織進行；2）崗位技能培訓：采取一幫一的方式，員工入職后，各部門負責人指定專人指導新員工進行崗前的學習，除了學習本職崗位業務流程相關的技能外，還要包括信息安全事項的處理及緊急情況的應變措施等內容。此項培訓由各部門自行組織進行，并進行考核，合格者方可上崗。5.4.3 在崗人員：按培訓計劃為在崗員工安排各類培訓，包括技能類、素質類和管理類以及信息安全的內容等；5.5 培訓的形式5.5.1 培訓：由公司內、外部有專長的人員就某一專題進行講授5.5.2 外部培訓：由公司聘請外部專業人員到公司培訓或公司員工報名去外部參加培訓I。5.6 培訓記錄5.6.1 每次培訓各相關部門應記錄培訓

9、人員、時間、地點、教師、內容等，培訓后將有關記錄、試卷或考核記錄等送交綜合部，由綜合部將相關信息匯總保存。5.6.2 綜合部負責建立、保存員工檔案，員工檔案應清楚的記錄員工在公司的培訓、考核、崗位調動的履歷。5.7 紀律處理員工如果違反本公司的信息安全政策時，應按照信息安全獎懲管理規定的有關規定處理。部門負責人也可按照本公司綜合部有關規定，對違反信息安全政策的員工在部門內進行獎勵或懲處。6 .任用終止或變更6.1 終止職責6.1.1 綜合部應清晰規定和分配任用終止或變更的責任。終止職責應包括必要的安全需求和法律職責，必要時還需包括保密性協議規定的職責，以及在員工、合同方或第三方聘用期結束后，持續一段時間仍然有效的規定。6.1.2 規定職責和義務在任用終止后仍然有效的內容，應當在任用前就包含在員工、合同方或第三方的合同中。6.2 資產歸還所有的員工、承包方人員和第三方人員在終止任用、合同或協議時，必須同時歸還他們所管理和使用的所有資產，并填寫員工離職手續單。6.3 撤銷訪問權所有員工、承包方和第三方人員對信息和信息處理設施的訪問權應在任用終止時刪除，或在崗位發生變化時進行調整。離職人員所持有的所有設備、文件或數據都必須還歸還給本公司相關部門或人員，離職人員對信息的訪問權和對場所的使用權限必須及時注銷或轉