1 管理評審計劃

信息安全體系負責人負責在管理評審實施前編制《管理評審計劃》，并得到信息安全管理小組的批準。

管理評審計劃主要內(nèi)容包括：

1) 評審范圍、內(nèi)容及時間安排;

2) 參加評審的單位和人員;

3) 評審會議議程。

2評審實施

信息安全管理體系負責人負責主持管理評審活動。

1) 評審：與會人員在“會議簽到表”上簽字后，由體系負責人主持并介紹體系運行情況和內(nèi)審情況：

2) 內(nèi)審的充分性、有效性，內(nèi)部審核關(guān)于信息安全管理體系的符合性、有效性的結(jié)論;

a) 信息安全管理體系文件的充分性和適宜性;

b) 事故事件情況;

c) 對重大危害因素和重要環(huán)境因素的控制情況;

d) 目標、指標和管理方案的實現(xiàn)情況;

e) 信息安全方針的適宜性;

f) 整個信息安全管理體系的符合性、有效性和適宜性;

g) 持續(xù)改進的意見。

信息安全管理小組對所匯報的內(nèi)容進行評審并做出改進決定，并對評審結(jié)果及決策進行記錄。

3) 管理評審的輸出應(yīng)包括為實現(xiàn)持續(xù)改進的承諾而做出的，與信息安全方針、目標、指標以及其他信息安全管理體系要素的修改有關(guān)的決策和行動。如：

h) 信息安全管理體系有效性的改進;

i) 與顧客要求有關(guān)的服務(wù)的改進;

j) 資源需求等。

1 目的

為規(guī)范公司信息安全管理，**公司信息安全，根據(jù)《信息安全等級保護管理辦法》、《信息技術(shù)安全技術(shù)信息安全管理體系要求》(GB/T 22080-2016/ISO/IEC 27001:2013)以及公司相關(guān)規(guī)章制度，制訂本制度。

2 范圍

本制度規(guī)定了本企業(yè)內(nèi)部人員、第三方人員等人力資源安全管理的相關(guān)內(nèi)容，包括人員選拔、人員錄用、人力調(diào)動、人員離職、人員考核、安全意識教育和培訓、第三方人員安全等。本標準適用于本企業(yè)內(nèi)部人員及第三方人員的管理與考核。

3術(shù)語和定義

3.1 人員安全

是指通過管理和控制，確保單位內(nèi)部人員和第三方人員在安全意識、能力和素質(zhì)等方面都滿足工作崗位的要求。

3.2 第三方人員

第三方人員是指除本公司員工以外所有的組織和人員。第三方人員分為臨時來訪的第三方人員和非臨時來訪的第三方人員。

臨時來訪的第三方人員是指因某些臨時需求來訪公司的人員，如：面試人員、客戶以及其他來訪人員等。

非臨時來訪的第三方是指來自外單位的*服務(wù)機構(gòu)，為本單位提供設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件、信息安全、保潔等外包服務(wù)的工作人員，如：項目人員、保潔人員、設(shè)備維護人員等。

3.3 安全教育和培訓

是通過宣傳和教育的手段，確保相關(guān)工作人員和信息系統(tǒng)管理維護人員充分認識信息安全的重要性，具備符合要求的安全意識、知識和技能，提高其進行信息安全防護的主動性、自覺性和能力。

1.信息安全教育與培訓

⑴信息安全教育培訓目的：

a.滿足客戶和法律法規(guī)要求的重要性。

b.違反相關(guān)要求所造成的后果。

c.自己從事的工作與信息安全的相關(guān)性。

d.鼓勵員工參與信息安全管理，為實現(xiàn)信息安全目標做出貢獻。

⑵信息安全教育培訓對象：

人力資源部及相關(guān)部門應(yīng)在在職員工(新員工、在崗員工、轉(zhuǎn)崗員工)被授予訪問權(quán)限之前，依據(jù)其安全角色和職責，進行針對性的安全教育和安全培訓;

人力資源部及相關(guān)部門應(yīng)當確定與信息安全相關(guān)的臨時雇用人員、客戶以及合作方等第三方人員是否需要適當?shù)陌踩嘤枴?/p>

⑶信息安全教育培訓內(nèi)容：

在信息安全策略、制度和規(guī)定發(fā)生變化后，信息安全小組要*及時傳達給的全體員工、客戶和合作方等第三方人員。

信息安全教育培訓內(nèi)容如下：

a.信息安全基礎(chǔ)知識(安全意識)、崗位操作規(guī)程、信息系統(tǒng)使用規(guī)范;

b.公司信息安全方針、策略與信息安全目標的宣貫培訓;

c.信息安全專題培訓(如病毒防范培訓、訪問控制培訓、等級保護培訓等);

d.崗位安全責任、操作技能及相關(guān)技術(shù);

e.違反違背安全策略和安全規(guī)定的懲戒措施。

⑷信息安全教育培訓記錄及考核

由人力資源部統(tǒng)一記錄信息安全培訓的人員、時間、地點、教師、內(nèi)容等信息。對于課堂培訓內(nèi)容可根據(jù)需要進行必要的考核，以評價員工的學習效果，同時也作為培訓記錄由人力資源部統(tǒng)一存檔備案。

內(nèi)部組織及溝通

1) 信息安全工作小組組織各個部門通過公告、內(nèi)部網(wǎng)絡(luò)、宣傳物品、活動、通告、會議及培訓把有關(guān)信息安全方面的政策及其它事項傳達予各員工;

2) 員工對公司信息安全管理體系有任何意見可向其部門主管或其所在部門信息安全員建議、投訴;部門主管或信息安全員將員工的意見分類后向信息安全工作小組反映并填寫《信息安全管理體系意見表》，信息安全工作小組聯(lián)同各部門按此表格進行跟進并進行有關(guān)調(diào)查;

3) 信息安全工作小組負責收集和匯總《監(jiān)管機構(gòu)及特定利益團體聯(lián)系表》的信息。

4) 信息安全管理體系的管理評審結(jié)果應(yīng)由信息安全工作小組向各部門負責人員講解及監(jiān)察其執(zhí)行情況;

5) 信息安全工作小組聯(lián)同各部門建立及維護信息安全管理體系的文件控制制度;

6) 每月召開安全例會，傳達公司安全精神和公司內(nèi)部信息安全相關(guān)工作;

7) 員工有關(guān)于信息安全管理體系方面的建議和問題可以通過email直接發(fā)郵件

中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢，檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu)，儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商，法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊，包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息，中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導等知識。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心

免責聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請跟我們聯(lián)系刪除并致歉！

本文來源： http://bqlw.net/zs/202303/ccaa_48215.html