人力资源安全管理规定

人力资源安全管理规定

V 1.0

第一章总则

第一条本规定目标在于建立XXXX员工人力资源安全管理制度，用于规定对员工招聘、录用、离职等过程的信息安全控制。

第二章适用范围

第二条本规定适用于XXXX内部所有员工。

第三章入职管理

第三条信息网络中心中心将根据本单位有关规章制度和数据信息的保密性，为用户帐号设置相应权限，并进行统一管理。网站内所有注册用户（包括管理员）必须遵守此制度。

第四条信息网络中心协助人力资源部确保人员在任用前，在适当的岗位描述、任用条款和条件中明确说明其应履行的信息安全职责，确保其人员理解其信息安全职责，确保人员承担的角色符合单位的信息安全要求。

第五条信息网络中心要对任用的员工候选人员进行充分的信息安全审查，特别是对于关键岗位、关键职务人员，以及其他会大量接触敏感信息的人员，并填写《人员安全审查记录》。

第六条信息网络中心要对关键岗位人员进行技能考核，并填写《人员录用技能考核记录》。

第七条员工筛选

(一)信息网络中心协助人力资源部负责组织对省局各个职位的应聘人员进行筛选、对应聘人员涉及信息安全方面的资料核实和背景调查。

(二)对员工的背景调查应在申请职位时进行。信息安全方面的调查内容包括以下：

(1)申请人的信息安全风险认识考察；

(2)监管部门相关的信息安全要求；

(3)其它需要调查的内容。

第八条出于背景调查目的收集、处理被调查人员信息时，应在不违反相关的法律法规的前提下进行。

第九条安全职责

(一)对于员工，必须对其信息安全角色和职责进行描述和说明。

(二)安全职责应包括但不限于以下要求：

(1)遵守本单位信息安全方面的各项规章制度；

(2)按照本单位的要求实施各项安全措施控制；

(3)按照要求组织、参与或配合单位的各项信息安全检查活动；

(4)保护单位的信息资产免受非授权访问、泄露、修改和破坏；

(5)积极参加各项信息安全培训；

(6)报告安全事件、潜在安全事件、以及其他可能引发安全风险的事件。第十条任用条款和条件

(一)人力资源部组织员工签署《信息安全承诺书》，关键岗位人员需签署《关键岗位安全协议》，人员离岗时要求签署《离岗保密承诺书》。

(一)保密条款或保密协议具有法律效力，保密协议或包含保密条款的合同在签订前，应经过单位相关部门的合规性审查，以避免法律法规风险。

第四章在职管理

第十一条员工需申请使用单位网络访问权限或应用系统帐号，须有员工所在部门提出申请，信息网络中心根据工作需要，本着工作所需的最小权限原则开通相关的工作帐号。

第十二条员工工作岗位发生变化时，信息网络中心必须协助人力资源部通过相关部门审批，对其访问权限和系统帐号进行相应的调整。

第十三条信息网络中心应协助人力资源部对单位所有员工进行与工作职能相关的信息安全意识培训和教育，具体可参照《信息安全培训管理规定》。

第十四条纪律处理过程

(一)对于信息安全违规的人员，在正式纪律处理之前,信息网络中心应对信息安全违规进行评估和确认,提交人力资源部相关信息安全违规评估报告；

(二)对内部员工的具体纪律处理执行参照人力资源部相关规定。

第五章离职管理

第十五条任用终止职责

(一)信息网络中心应协助人力资源部清晰的定义员工任用终止的职责，包括收回帐号、密码更改等。

(二)安全管理员应及时关闭离职人员的访问账号及权限。

(三)安全管理员应对离职人员办理离职手续期间访问日志进行审计。

第十六条资产归还

(一)所有的员工在终止任用合同或协议时，应归还其使用的所有单位资产。需要交接的信息资产包括计算机设备、工作证、纸质文件资料和存储于电子介质中的文档、数据等。离职人员办公电脑中的数据由其所在部门决定如何处置，归还后的办公电脑操作系统盘由信息网络中心进行格式化。

(二)当员工在单位工作期间，利用单位信息资产产生信息及其知识产权，除另有约定外，属于单位所有。

第十七条撤销访问权限

(一)所有员工对信息和信息处理设施的访问权限应在任用终止时注销或删除。

(二)信息网络中心负责注销或删除访问权的内容包括物理访问授权、逻辑访问授权。必要时，在对信息和信息处理设施的访问权限终止前需要进行风险评估。

第六章附则

第十八条本规定由XXXX信息网络中心制定，信息网络中心负责解释。

第十九条本规定自发布之日起执行。