等保测评流程

目录 (1)

一、等级保护流程 (2)

1.1 基本流程 (2)

1.2 详细流程说明 (2)

1.2.1 定级和备案 (2)

1.2.1.1 定级标准 (3)

1.2.1.2 定级方法 (4)

1.2.1.3 医院定级参考 (5)

1.2.2 信息安全等级保护整改 (6)

1.2.2.1 信息系统安全建设整改总体框架 (7)

1.2.2.2 信息系统安全建设整改工作基本流程 (8)

1.2.2.3 安全管理制度建设 (9)

1.2.2.4 安全技术措施建设 (12)

1.2.3 信息安全等级保护测评 (14)

1.2.4 公安机关检查 (15)

1.2.4.1 检查内容 (16)

二、医院信息安全等级保护工作建议 (17)

一、等级保护流程

1.1基本流程

定级

备案

信息安全等级保护整改

信息安全等级保护测评（测评机构每年）

公安机关检查（网监）

1.2详细流程说明

1.2.1定级和备案

相关国家政策文件——关于开展全国重要信息系统安全等级保护定级工作的通知（公安部）

相关部门指导文件——卫生行业信息安全等级保护工作的指导意见（卫生部）

定级及等保指南文件——卫办发〔2011〕85号（卫生部）

摘要：

1、各信息系统主管部门和运营使用单位要按照《管理办法》和《信息系统安全等级保护定级指南》，初步确定定级对象的安全保护等级，起草定级报告。

说明：由运营使用单位（即医院）起草报告提交网监。

2、当专家评审意见与信息系统运营使用单位或其主管部门意见不一致时，由运营使用单位或主管部门自主决定信息系统安全保护等级。信息系统运营使用单位有上级行业主管部门的，所确定的信息系统安全保护等级应当报经上级行业主管部门审批同意。

说明：定级由医院自主决定，但是有主管单位的需要由主管部门同意，医院需按照卫生主管部门意见。《信息系统安全等级保护定级报告》模版在《关于开展全国重要信息系统安全等级保护定级工作的通知》内。

3、信息系统安全保护等级为第二级以上的信息系统运营使用单位或主管部门到公安部网站下载《信息系统安全等级保护备案表》和辅助备案工具，持填写的备案表和利用辅助备案工具生成的备案电子数据，到公安机关办理备案手续，提交有关备案材料及电子数据文件。

说明：备案由医院提交备案表给网监。信息系统安全等级保护备案表模版在《关于开展全国重要信息系统安全等级保护定级工作的通知》内。

4、三级甲等医院的核心业务信息系统信息系统安全保护等级原则上不低于第三级。

说明：此定级标准为卫生部印发《卫生行业信息安全等级保护工作的指导意见（卫办发〔2011〕85号）》文件中第四条明确要求。

1.2.1.1 定级标准

信息系统定级标准（《信息安全等级保护工作的实施意见》）：

针对信息的保密性、完整性和可用性要求及信息系统必须要达到的基本的安全保护水平等因素，信息和信息系统的安全保护等级共分五级：

1. 第一级为自主保护级，适用于一般的信息和信息系统，其受到破坏后，会对公民、法人和其他组织的权益有一定影响，但不危害国家安全、社会秩序、经济建设和公共利益。

2. 第二级为指导保护级，适用于一定程度上涉及国家安全、社会秩序、经济建设和公共利益的一般信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成一定损害。

3. 第三级为监督保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成较大损害。

4. 第四级为强制保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成严重损害。

5.第五级为专控保护级，适用于涉及国家安全、社会秩序、经济建设和公共利益的重要信息和信息系统的核心子系统，其受到破坏后，会对国家安全、社会秩序、经济建设和公共利益造成特别严重损害。

定级参考模型：（参考《计算机信息系统安全保护等级划分准则》（GB17859-1999）、《信息系统安全等级保护定级指南》）

1.2.1.2 定级方法

信息系统安全包括业务信息安全和系统服务安全，与之相关的受侵害客体和对客体的侵害程度可能不同，因此，信息系统定级可以分别确定业务信息安全保护等级和系统服务安全保护等级，并取二者中的较高者为信息系统的安全保护等级。具体定级方法如下图所示：

1.2.1.3 医院定级参考

医疗卫生信息系统重要的系统通常有如下系统：

1.HIS系统：Hospital Information System，医院信息系统。是指利用计算机软硬件技

术、网络通信技术等现代化手段，对医院及其所属各部门的人流、物流、财流进行综合管理，对在医疗活动各阶段产生的数据进行采集、储存、处理、提取、传输、汇总、加工生成各种信息，从而为医院的整体运行提供全面的、自动化的管理及各种服务的信息系统。

2.HMIS系统：Hospital Management Information System，医院管理信息系统。是支持

医院的行政管理与事务处理业务，减轻事务处理人员劳动强度，辅助医院管理，辅助高层领导决策，提高医院工作效率，从而使医院能够以少的投入获得更好的社会效益与经济效益，像财务管理系统、人事管理系统、住院病人管理系统、药品库存管理系统等均属于HMIS的范围。

3.CIS系统：Clinical Information System，临床信息系统。是支持医院医护人员的临床

活动，收集和处理病人的临床医疗信息，丰富和积累临床医学知识，并提供临床咨询、辅助诊疗、辅助临床决策，提高医护人员工作效率和诊疗质量，为病人提供更多、更快、更好的服务，像医嘱处理系统、病人床边系统、重症监护系统、移动输液系统、合理用药监测系统、医生工作站系统、实验室检验信息系统、药物咨询系统等均属于CIS范围。

4.LIS系统：Laboratory Information System，实验室信息系统。将实验仪器与计算机组

成网络，使病人样品登录、实验数据存取、报告审核、打印分发，实验数据统计分析等繁杂的操作过程实现了智能化、自动化和规范化管理。

5.PACS系统：Picture Archiving and Communication Systems，影像归档和通信系统。是

把日常产生的各种医学影像（包括核磁，CT，超声，各种X光机，各种红外仪、显微仪等设备产生的图像）通过各种接口（模拟，DICOM，网络）以数字化的方式海量保存起来，当需要的时候在一定的授权下能够很快的调回使用，同时增加一些辅助诊断管理功能。

6.EMR系统：Electronic Medical Record，电子病历。是病人在医院诊断治疗全过程的

原始记录，它包含有首页、病程记录、检查检验结果、医嘱、手术记录、护理记录等等。

注：医院门户网站上无在线挂号系统等公共服务系统加载，暂时可定级为2级，后期如加载相关公共服务系统时需考虑将门户网站也纳入安全保护体系中。

1.2.2信息安全等级保护整改

相关国家政策文件——关于开展信息安全等级保护安全建设整改工作的指导意见（公安部）

相关国家指导文件——信息系统安全等级保护基本要求：GB/T 22239—2008（公安部）

摘要：

1、一是信息安全责任制，明确信息安全工作的主管领导、责任部门、人员及有关岗位的信息安全责任；二是人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容；三是系统建设管理制度，明确系统定级备案、方案设计、产品采购使用、密码使用、软件开发、工程实施、验收交付、等级测评、安全服务等管理内容；四是系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处置、应急预案等管理内容。

说明：《关于开展信息安全等级保护安全建设整改工作的指导意见》

根据文件要求，运营使用单位（即医院）需做以下工作：

●确认信息安全工作的主管领导、责任部门、人员

●制定人员安全管理制度，明确人员录用、离岗、考核、教育培训等管理内容

●制定信息系统运维管理制度，明确机房环境安全、存储介质安全、设备设施安全、

安全监控、网络安全、系统安全、恶意代码防范、密码保护、备份与恢复、事件处

置、应急预案等管理内容

●购置相应软、硬件设备加强信息系统的安全防护

●制定相应的人员培训计划对信息系统的管理使用人员进行培训

2、要按照“谁运营、谁负责，谁主管、谁负责”的原则，切实加强对信息安全等级保护安全建设整改工作的组织领导，完善工作机制。

说明：按照“谁运营、谁负责，谁主管、谁负责”的原则执行，那么一旦出现信息安全事件，造成国家、医院利益影响或社会公共事件，则首先追究的是运营使用单位（即医院）和主管领导的责任。

3、信息系统安全建设整改完成后要进行等级测评，在工程预算中应当包括等级测评费用。对第三级（含）以上信息系统每年要进行等级测评，并对测评费用做出预算。

1.2.2.1 信息系统安全建设整改总体框架

《基本要求》分为基本技术要求和基本管理要求两大类，其中技术要求又分为物理安全、网络安全、主机安全、应用安全、数据安全及其备份恢复五个方面，管理要求又分为安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运行维护管理五个方面。

技术要求主要包括身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等，以及物理环境和设施安全保护要求。

管理要求主要包括确定安全策略，落实信息安全责任制，建立安全组织机构，加强人员管理、系统建设和运行维护的安全管理。提出了机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、安全监测、备份与恢复管理、应急处置管理、密码管理、安全审计管理等基本安全管理制度要求，提出了建立岗位和人员管理制度、安全教育培训制度、安全建设整改的监理制度、自行检查制度等要求。

1.2.2.2信息系统安全建设整改工作基本流程

信息系统安全建设整改工作分五步进行。第一步：制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署；第二步：开展信息系统安全保护现状分析，从管理和技术两个方面确定信息系统安全建设整改需求；第三步：确定安全保护策略，制定信息系统安全建设整改方案；第四步：开展信息系统安全建设整改工作，建立并落实安全管理制度，落实安全责任制，建设安全设施，落实安全措施；第五步：开展安全自查和等级测评，及时发现信息系统中存在安全隐患和威胁，进一步开展安全建设整改工作。该流程如下图所示：

1.2.2.3 安全管理制度建设

按照国家有关规定，依据《基本要求》，参照《信息系统安全管理要求》等标准规范要求，开展信息系统等级保护安全管理制度建设工作。工作流程如下图所示：

1.2.2.3.1落实管理措施

落实管理措施应包含以下管理措施：人员安全管理，系统运维管理（环境和资产安全管理、设备和介质安全管理、日常运行维护、集中安全管理、事件处置与应急响应、灾难备份、安全监测、其他安全管理）。

人员安全管理

●人员安全管理主要包括人员录用、离岗、考核、教育培训等内容。规范人员录用、离岗、过程，关键岗位签署保密协议，对各类人员进行安全意识教育、岗位技能培训和相关安全技术培训，对关键岗位的人员进行全面、严格的安全审查和技能考核。对外部人员允许访问的区域、系统、设备、信息等进行控制。具体依据《基本要求》中的“人员安全管理”内容，同时可以参照《信息系统安全管理要求》等。

系统运维管理

环境和资产安全管理

●明确环境（包括主机房、辅机房、办公环境等）安全管理的责任部门或责任人，加强对人员出入、来访人员的控制，对有关物理访问、物品进出和环境安全等方面作出规定。对重要区域设置门禁控制手段，或使用视频监控等措施。明确资产（包括介质、设备、设施、数据和信息等）安全管理的责任部门或责任人，对资产进行分类、标识，编制与信息系统相关的软件资产、硬件资产等资产清单。具体依据《基本要求》中的“系统运维管理”内容，同时可以参照《信息系统安全管理要求》等。

设备和介质安全管理

●明确配套设施、软硬件设备管理、维护的责任部门或责任人，对信息系统的各种软硬件设备采购、发放、领用、维护和维修等过程进行控制，对介质的存放、使用、维护和销毁等方面作出规定，加强对涉外维修、敏感数据销毁等过程的监督控制。具体依据《基本要求》中的“系统运维管理”内容，同时可以参照《信息系统安全管理要求》等。

日常运行维护

●明确网络、系统日常运行维护的责任部门或责任人，对运行管理中的日常操作、账号管理、安全配置、日志管理、补丁升级、口令更新等过程进行控制和管理，制订相应的管理制度和操作规程并落实执行。具体依据《基本要求》中的“系统运维管理”内容，同时可以参照《信息系统安全管理要求》等。

集中安全管理

●第三级（含）以上信息系统应按照统一的安全策略、安全管理要求，统一管理信息系统的安全运行，进行安全机制的配置与管理，对设备安全配置、恶意代码、补丁升级、安全审计等进行管理，对与安全有关的信息进行汇集与分析，对安全机制进行集中管理。具体依据《基本要求》中的“系统运维管理”内容，同时可以参照《信息系统等级保护安全设计技术要求》和《信息系统安全管理要求》等。

事件处置与应急响应

●按照国家有关标准规定，确定信息安全事件的等级。结合信息系统安全保护等级，制定信息安全事件分级应急处置预案，明确应急处置策略，落实应急指挥部门、执行部门和技术支撑部门，建立应急协调机制。落实安全事件报告制度，第三级（含）以上信息系统发生较大、重大、特别重大安全事件时，运营使用单位按照相应预案开展应急处置，并及时向受理备案的公安机关报告。组织应急技术支撑力量和专家队伍，按照应急预案定期组织开展应急演练。具体依据《基本要求》中的“系统运维管理”内容，同时可以参照《信息安全事件分类分级指南》和《信息安全事件管理指南》等。

灾难备份

●要对第三级（含）以上信息系统采取灾难备份措施，防止重大事故、事件发生。识别需要定期备份的重要业务信息、系统数据及软件系统等，制定数据的备份策略和恢复策略，建立备份与恢复管理相关的安全管理制度。具体依据《基本要求》中的“系统运维管理”内容和《信息系统灾难恢复规范》。

安全监测

●开展信息系统实时安全监测，实现对物理环境、通信线路、主机、网络设备、用户行为和业务应用等的监测和报警，及时发现设备故障、病毒入侵、黑客攻击、误用和误操作等安全事件，以便及时对安全事件进行响应与处置。具体依据《基本要求》中的“系统运维管理”。

其他安全管理

●对系统运行维护过程中的其它活动，如系统变更、密码使用等进行控制和管理。按国家密码管理部门的规定，对信息系统中密码算法和密钥的使用进行分级管理。

1.2.2.4 安全技术措施建设

按照国家有关规定，依据《基本要求》，参照《信息系统通用安全技术要求》、《信息系统等级保护安全设计技术要求》等标准规范要求，开展信息系统安全技术建设整改工作。工作流程如下图所示：

1.2.2.4.1安全技术方案详细设计

整体安全技术方案应含以下方面：物理安全设计、通信网络安全设计、区域边界安全设计、主机系统安全设计、应用系统安全设计、备份和恢复安全设计。

物理安全设计

●从安全技术设施和安全技术措施两方面对信息系统所涉及到的主机房、辅助机房和办公环境等进行物理安全设计，设计内容包括防震、防雷、防火、防水、防盗窃、防破坏、温湿度控制、电力供应、电磁防护等方面。物理安全设计是对采用的安全技术设施或安全技术措施的物理部署、物理尺寸、功能指标、性能指标等内容提出具体设计参数。具体依据《基本要求》中的“物理安全”内容，同时可以参照《信息系统物理安全技术要求》等。

通信网络安全设计

●对信息系统所涉及的通信网络，包括骨干网络、城域网络和其他通信网络（租用线路）等进行安全设计，设计内容包括通信过程数据完整性、数据保密性、保证通信可靠性的设备和线路冗余、通信网络的网络管理等方面。通信网络安全设计涉及所需采用的安全技术机制或安全技术措施的设计，对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置参数等提出具体设计细节。具体依据《基本要求》中“网络安全”内容，同时可以参照《网络基础安全技术要求》等。

区域边界安全设计

●对信息系统所涉及的区域网络边界进行安全设计，内容包括对区域网络的边界保护、区域划分、身份认证、访问控制、安全审计、入侵防范、恶意代码防范和网络设备自身保护等方面。区域边界安全设计涉及所需采用的安全技术机制或安全技术措施的设计，对技术实现机制、产品形态、具体部署形式、功能指标、性能指标和配置策略和参数等提出具体设计细节。具体依据《基本要求》中的“网络安全”内容，同时可以参照《信息系统等级保护安全设计技术要求》、《网络基础安全技术要求》等。

主机系统安全设计

●对信息系统涉及到的服务器和工作站进行主机系统安全设计，内容包括操作系统或数据库管理系统的选择、安装和安全配置，主机入侵防范、恶意代码防范、资源使用情况监控等。其中，安全配置细分为身份鉴别、访问控制、安全审计等方面的配置内容。具体依据《基本要求》中的“主机安全”内容，同时可以参照《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。

应用系统安全设计

●对信息系统涉及到的应用系统软件（含应用/中间件平台）进行安全设计，设计内容包括身份鉴别、访问控制、安全标记、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制等。具体依据《基本要求》中的“应用安全”内容，同时可以参考《信息系统等级保护安全设计技术要求》、《信息系统通用安全技术要求》等。

备份和恢复安全设计

●针对信息系统的业务数据安全和系统服务连续性进行安全设计，设计内容包括数据备份系统、备用基础设施以及相关技术设施。针对业务数据安全的数据备份系统可考虑数据备份的范围、时间间隔、实现技术与介质以及数据备份线路的速率以及相关通信设备的规格和要求；针对信息系统服务连续性的安全设计可考虑连续性保证方式（设备冗余、系统级冗余直至远程集群支持）与实现细节，包括相关的基础设施支持、冗余/集群机制的选择、硬件设备的功能/性能指标以及软硬件的部署形式与参数配置等。具体依据《基本要求》中“数据安全和备份恢复”内容，同时可以参考《信息系统灾难恢复规范》等。

1.2.3信息安全等级保护测评

相关国家政策文件——关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知（公安部）

摘要：

1、测评机构可以从事等级测评活动以及信息系统安全等级保护定级、安全建设整改、信息安全等级保护宣传教育等工作的技术支持。不得从事下列活动：

（一）影响被测评信息系统正常运行，危害被测评信息系统安全；

（二）泄露知悉的被测评单位及被测评信息系统的国家秘密和工作秘密；

（三）故意隐瞒测评过程中发现的安全问题，或者在测评过程中弄虚作假，未如实出具等级测评报告；

（四）未按规定格式出具等级测评报告；

（五）非授权占有、使用等级测评相关资料及数据文件；

（六）分包或转包等级测评项目；

（七）信息安全产品开发、销售和信息系统安全集成；

（八）限定被测评单位购买、使用其指定的信息安全产品；

（九）其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。

说明：测评机构不得限定被测评单位购买、使用其指定的信息安全产品，《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》附件一-《信息安全等级保护测评工作管理规范》第六条。

2、测评机构应按照公安部统一制订的《信息系统安全等级测评报告模版（试行）》格式出具测评报告，根据信息系统规模和所投入的成本，合理收取测评服务费用。

说明：测评机构收取费用是按照所测评系统的工作量来收取费用的，《信息安全等级保护测评工作管理规范》。运营使用单位（即医院）可以自主选择获得信息安全等级保护测评资质的测评机构。

1.2.4公安机关检查

相关国家政策文件——公安机关信息安全等级保护检查工作规范（公安部）

摘要：

1、信息安全等级保护检查工作由市（地）级以上公安机关公共信息网络安全监察部门负责实施。每年对第三级信息系统的运营使用单位信息安全等级保护工作检查一次，每半年对第四级信息系统的运营使用单位信息安全等级保护工作检查一次。

说明：检查由公安机关公共信息网络安全监察部门负责实施，信息系统第三级等保的运营使用单位信息安全等级保护工作每年检查一次。

1.2.4.1 检查内容

信息安全设施建设情况和信息安全整改情况：

1．部署和组织开展信息安全建设整改工作。

2．制定信息安全建设规划、信息系统安全建设整改方案。

3．按照国家标准或行业标准建设安全设施，落实安全措施。

信息安全管理制度建立和落实情况：

1．建立基本安全管理制度，包括机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、数据及信息安全管理、用户管理、备份与恢复、密码管理等制度。

2．建立安全责任制，系统管理员、网络管理员、安全管理员、安全审计员是否与本单位签订信息安全责任书。

3．建立安全审计管理制度、岗位和人员管理制度。

4．建立技术测评管理制度，信息安全产品采购、使用管理制度。

5．建立安全事件报告和处置管理制度，制定信息系统安全应急处置预案，定期组织开展应急处置演练。

6．建立教育培训制度，定期开展信息安全知识和技能培训。

信息安全产品选择和使用情况：

1．按照《管理办法》要求的条件选择使用信息安全产品。

2．要求产品研制、生产单位提供相关材料。包括营业执照，产品的版权或专利证书，提供的声明、证明材料，计算机信息系统安全专用产品销售许可证等。

3．采用国外信息安全产品的，经主管部门批准，并请有关单位对产品进行专门技术检测。

聘请测评机构开展技术测评工作情况：

1．按照《管理办法》的要求部署开展技术测评工作。对第三级信息系统每年开展一次技术测评，对第四级信息系统每半年开展一次技术测评。

2．按照《管理办法》规定的条件选择技术测评机构。

3．要求技术测评机构提供相关材料。包括营业执照、声明、证明及资质材料等。

4．与测评机构签订保密协议。

5．要求测评机构制定技术检测方案。

6．对技术检测过程进行监督，采取了哪些监督措施。

7．出具技术检测报告，检测报告是否规范、完整，检查结果是否客观、公正。

8．根据技术检测结果，对不符合安全标准要求的，进一步进行安全整改。

定期自查情况：

1．定期对信息系统安全状况、安全保护制度及安全技术措施的落实情况进行自查。第三级信息系统是否每年进行一次自查，第四级信息系统是否每半年进行一次自查。

2．经自查，信息系统安全状况未达到安全保护等级要求的，运营、使用单位进一步进行安全建设整改。

二、医院信息安全等级保护工作建议

综合第一章所述，结合相关政策文件，我们对医院信息安全等级保护工作的开展做出如下建议：

1.制定信息系统安全建设整改工作规划，对信息系统安全建设整改工作进行总体部署。明确信息安全工作的主管领导、责任部门，对医院信息安全等级保护工作做出整体规划。

2.由医院信息安全等级保护工作责任部门开展医院信息安全等级保护工作的前期定级、备案工作，并对信息安全等级保护整改提出整体规划，制作整改方案以及测评方案，确定预算。

3.医院信息安全等级保护工作责任部门在开展以上工作的同时需结合医院实际情况，进行医院安全管理制度的建设，明确管理责任，制定管理制度。

4.与四川省获得信息安全等级保护测评资质的测评机构（全省目前共5家）联系，进行信息安全等级保护测评的前期准备工作。

人才测评体系说明随着管理学、心理学的不断发展，人力资源管理应运而生，人才测评是其中的重要组成部分,已得到国内外很多大型企业的认可。以下是对本套测评体系相关事项的说明。一、人才测评体系的设计程序、结构与内容如下： 1、根据企业与学界现有管理知识与经验，收集通用胜任素质要素，进行适当整理与选择； 2、以问卷调查（问卷的填写样本见附件）为主，结合行为事件访谈法，汇集公司员工认可的胜任素质要素和行为，通过分析，整理成本公司的岗位胜任素质模型（包括通用类胜任素质模型和岗位胜任素质模型；目前公司划分的岗位类有：管理、工程技术、职能、文职、营销/投资、物业、酒店/会所）； 3、选择测评体系的方法。方法主要有四种，即智商测验、心理测验、知识测验、评价中心。每种测验方法的测评重点和角度都不同，在应用中根据实际需要进行选评价中心技术0.74 智商测验0.53 同事评价0.49 以往工作绩效评价0.49 专业知识测验0.48 个人简历0.37 背景调查0.26 面试0.14 学术成果0.11 受教育程度0.10 性格、兴趣0.10 上表可作为选择人才测评方法的参考。

4、以胜任素质要素为线，把每种测评方法与手段汇集起来。即，把测评某项素质要素的方法与手段都汇集在一起； 5、以岗位任职要求为线，把测评某岗位胜任素质的方法与手段都汇集起来。即，编制出测评某岗位应聘者的整套流程与工具。人才测评体系结构如下图：整个结构中，胜任素质模型是最关键的，因为下面的测评方法、岗位测评都是围绕胜任素质展开的。二、胜任素质模型结构与内容说明： 1、胜任素质模型包括四部分，即1、素质要素， 2、素质要素定义， 3、要素的等级描述（一般为4级）， 4、各等级的行为描述（不同岗位的工作内容不一样，所以行为描述都不一样）。如下图所示：

培训效果评估的工作流程培训效果评估主要由7 个步骤组成： 1、作出评估决定； 2、制定评估方案； 3、收集评估信息； 4、数据整理和分析； 5、撰写评估报告； 6、评估结果沟通； 7、决定项目未来。（一）作出评估决定在作出评估决定之前，必须开展以下工作：（1）进行评估可行性分析如果评估本身的成本高于培训项目的成本，这就不具有经济意义，建议采取一个大概的、主观的培训评估。（2）培训需求分析培训需求分析是培训活动的第一步，它由培训管理人员采用各种方法和技术，对员工的知识、技能、工作态度等等方面进行鉴别和分析，从而确定是否需要培训以及培训的内容。它是确定培训目标、设计培训计划的前提，也是培训效果评估的基础。另一方面，培训效果评估的结果可以为培训需求分析提供反馈信息，以便对培训的相关环节作进一步改进。

（3）明确培训效果评估的目的决策者和项目管理者要向工作人员表达评估的意愿。这很大程度影响了评估方案的设计。在培训项目实施之前，必须把培训评估的目的明确下来。培训评估的实施有助于培训项目的前景作出决定，对培训系统的某些部分进行修订，或是对培训项目进行整体整改，使其更加符合实际的需要。（4）选择评估者评估者分成两类：内部评估者和外部评估者。如果企业内部缺乏评估的技术，不妨聘请外部评估者。聘请外部评估者的过程也是一个学习的过程。（5）明确参与者参与评估的人也包括培训对象、培训组织者、外部专家等等。（6）建立评估数据库培训效果的评估分为定向和定量两个方面，因此数据的收集也从这两个方面下手。定量数据如生产率、利润、事故率、设备完好率、产品合格率、产量、销售量、客户抱怨投诉的次数等等。定性数据如内外部顾客满意度、工作态度、工作氛围、工作积极性、责任心等等。（二）制订评估方案培训评估方案需要明确的项目：（1）培训评估的目的；（2）评估的培训项目；（3）培训评估的可行性分析；（4）培训评估的价值分析；（5）培训评估的时间和地点；

人才测评的基本流程1、人才测评工作流程图编号：

2、人才测评工作标准

1、预约登记单位招聘人员测评、求职人员测评、引进人员测评必须事先预约人才开发部根据预约情况填写《预约登记表》和《测评安排表》测评人员必须根据预约时间准时来中心测评人才开发部必须安排专人接待测评人员 2、选择测评项目卡特尔16种人格因素测验（45—60分钟） Y—G性格测验艾森克个性测验瑞文智力测验管理能力测验职业倾向测验企业经营者能力测评专家系统软件成功商数测量 3、测评施测人员必须严格按照标准化测评程序进行测验施测人员必须按照测评指导语指导测评人员，不得随意解释测验结果。施测人员不得随意打断测评，以免对测评结果产生影响施测人员不得在测评中间便对测评人员进行结果解释 4、结果分析测评结果必须严格按照常模提供的标准进行解释，不得随意作出结论对于测评中出现的矛盾结论需经集体讨论全面分析再作结论 5、测评报告施测人员对测评结果必须出具测评报告测评报告应根据标准格式拟写，尽量全面反映测评人员的情况测评报告

必须文字通顺施测人员必须在报告结束时签名落款，出具报告时间测评报告一式二份，一份交有关人员，一分留人才开发部存档 6、资料存档施测人员必须将测评人员的有关资料整理装订、编号、封存施测人员有对测评结果保密的义务，不得向无关人员提供测评结果 7、跟踪反馈施测人员应于适当时机和用人单位保持联系，了解测评人员工作情况，检验测评结果对于求职测评人员，应在适当时机与其联系，了解其工作情况8、测评工作者职业道德测评工作者必须认真钻研测评业务，掌握测评理论和原理。测评工作者必须围绕工作开展测评，不得把测评工具用于与工作无关的方面。测评工作者有为测评人员保守秘密的义务，不得向无关人员提供测评人员的测验结果。测评工作者必须维护心理测评工具的信誉，不得滥用测评工具，不得随意解释测评结果，以免造成对测评方法、测评工具的误解。测评工作者必须严格按照标准化的操作程序进行测评，保证测验的公平，对测验分数必须忠于事实，不得更改测验结果，对测验分数的解释必须客观，不带任何偏见，实事求是是心理测验必须遵守的最重要的原则。测评工作者必须以良好的服务态度，敬业的精神，快速的工作效率善始善终做好测评工作。

WEB测试方法在Web工程过程中，基于Web系统的测试、确认和验收是一项重要而富有挑战性的工作。基于Web的系统测试与传统的不同，它不但需要检查和验证是否按照设计的要求运行，而且还要测试系统在不同用户的浏览器端的显示是否合适。重要的是，还要从最终用户的角度进行安全性和可用性测试。然而，Internet和Web媒体的不可预见性使测试基于Web的系统变得困难。因此，我们必须为测试和评估复杂的基于Web的系统研究新的方法和技术。本文将 web 测试分为 6 个部分： ? ? ? （包括负载/压力测试）? ? 用户界面测试? ? 兼容性测试? ? ? ? 接口测试 1

功能测试链接测试链接是Web应用系统的一个主要特征，它是在页面之间切换和指导用户去一些不知道地址的页面的主要手段。链接测试可分为三个方面。首先，测试所有链接是否按指示的那样确实链接到了该链接的页面；其次，测试所链接的页面是否存在；最后，保证Web应用系统上没有孤立的页面，所谓孤立页面是指没有链接指向该页面，只有知道正确的URL地址才能访问。? 表单测试当用户通过表单提交信息的时候，都希望表单能正常工作。如果使用表单来进行在线注册，要确保提交按钮能正常工作，当注册完成后应返回注册成功的消息。如果使用表单收集配送信息，应确保程序能够正确处理这些数据，最后能让顾客收到包裹。要测试这些程序，需要验证服务器能正确保存这些数据，而且后台运行的程序能正确解释和使用这些信息。当用户使用表单进行用户注册、登陆、信息提交等操作时，我们必须测试提交操作的完整性，以校验提交给服务器的信息的正确性。例如：用户填写的出生日期与职业是否恰当，填写的所属省份与所在城市是否匹配等。如果使用了默认值，还要检验默认值的正确性。如果表单只能接受指定的某些值，则也要进行测试。例如：只能接受某些字符，

如何组织实施管理型人才测评(803) 三、现任管理人员选拔晋升测评(804) 四、现行管理型人才测评最有效的方人才选拔方案以某电力集团项目经理为例一、项目背景：公司的发展速度明显加快，一方面加快新的生产基地以及跨国公司的建设，另一方面收购兼并一些优质的上下游企业。为了加强对收购兼并的企业实施一体化战略，同时也为了进一步提升企业的管理水平和技术创新能力，对管理类和技术类后备人才的选拔和培养提出了迫切的要求。企业战略管理型、可持续发展、一流现代电力施工企业企业铭人人努力日日创新经营理念干一项工程树一座丰碑交一批朋友拓一片市场育一批人才经营策略立足两网拓展四方胸怀江河展示特长经营作风快捷满意人文理念关心关爱关怀质量方针诚信守约追求卓越质量目标质量优良业主满意管理理念以人为本规章为矩效率为先恪守诚信依法经营企业价值在追求社会效益中获取经济效益在发展企业利益中实现员工利益电力企业人才选拔现状举荐委任制。在选拔流程上，由管理层或基层推荐、人力资源部（或干部处）考察、领导班子集体讨论正式确定名单。选拔标准的主要依据是员工以前的工作表现和他人的评价，关注的是过去的业绩和能力表现问题 1.操作方式上的封闭性，缺乏透明机制。目前中层管理人才选拔的流程比较封闭，推荐、考察和审定几个主要环节的透明度不高，整个选拔过程只对上公开、对下保密。 2.通过推荐选出候选人，忽视员工个人的发展需求。没有充分调动个人的主观能动性，可能会导致组织的用人需要与员工个人的发展愿望不一致。 3.选拔标准单一，忽视员工潜能的发挥。以过去的业绩预测将来的成绩，这样的方法在实践中有时会出现一些问题，如低层次管理岗位的优秀员工被提拔到高层次岗位后就表现平平，原因在于他不具备高层次岗位的能力。或是将优秀的技术骨干提拔到管理岗位后，其表现就很一般，原因在于将技术型人才错误地当成管理型人才使用。二、项目目标及任务 1．对该企业的80名后备人才（包括管理类和技术类后备人才）进行综合素质测评，明确后备人才个人的优势和不足。 2．针对后备人才个人的能力素质特点，制订相应具体的培养计划。 3．帮助该企业人力资源部和高层领导了解后备人才的整体能力特点，为后备人才的培养规划和职业生涯规划提供依据。。

软件测试流程测试基本阶段划分 ?测试计划阶段 ?测试设计阶段 ?测试执行阶段 ?测试评估阶段 ?测试验收阶段文档编写人：龙文编写时间：2010-8-3

目录 1、测试计划阶段 (3) 1.1、测试计划考虑的问题 (3) 1.2、测试策略 (4) 1.3功能列表 (4) 1.3.1、其他非功能测试 (6) 1.3.2、策略附件要求 (6) 2、测试设计阶段 (8) 3、测试执行阶段 (8) 3.1、执行阶段操作 (9) 4、测试评估阶段 (9) 5、测试验收阶段 (10)

1、测试计划阶段 ?做测试需要做好准备工作，把做一件事需要做的准备工作做好，明确做这件事的目的，最终达成目的并验证结果是我们要做的事情。这要求我们有一个完善的“测试计划书”。 ?测试计划的内容： 1、测试范围：描述本次测试中做的测试范围，如：测试软件功能范围、测试种类等 2、简单的描述如何搭建测试平台以及测试的潜在的风险。 3、项目信息：说明要测试的项目的相关资料，如：输入输出文档，产品描述，软件主要功能 4、人力资源的分配注：计划和设计分开编写，最好安排充分的时间去明确测试需求测试需求：笼统说，就是测试中的所有设计和需求文档。作为本次测试的依据 1.1、测试计划考虑的问题 ?1、要充分考虑测试计划的实用性，即测试计划与实际之间的接近程度和可操作性（必须对需求有透彻的理解）。编写测试计划的目的在于充分考虑执行测试时的各种资源，包括测试内容、测试标准、时间资源、人力资源等等，准确地说是要分析执行时所能够调用的一切资源以及受各种条件限制，可能受到的各种影响。说的再明确一点就是要“计划”“如何”去做“测试工作”，而不是“如何编写测试计划”。（1）测试内容：对一个软件来说测试计划中会明确本次测试做哪些测试？如：系统测试：在整个系统测试中会有（界面测试、功能测试、性能测试、兼容性测试、安装卸载测试、可靠性测试等测试）（2）测试目的：一般多为保证产品质量是否达到预期的指标。这个指标也就是在测试中定义的结束标准。（3）测试标准：需要考虑本次测试需要输入那些文档，该项目结束标准定义、测试结束标准的定义？bug级别定义、优先级定义、bug管理流程定义。这个都需要在执行测试事明确。计划中应该包含这些内容。（4）资源分配：这里分为人力资源、软硬件资源等划分。一般会把人力资源的利用写入一个测试人员任务分配表里，按照不同的阶段，每个阶段提交相应的成果（难度很大）。软硬件资源中主要是在做计划时考虑到需要多少电脑或别的工具，列出清单。（5）测试风险：大多考虑到的就是项目开发延期、测试人员不足用例无法全面覆盖测试点、时间不足用例无法全部执行、bug无法及时修改导致无法验证、测试人员技能不足导致测试进度拉长。（6）软件测试策略一般都是分开来做相关测试方案。 ?2、要坚持“5W1H”的原则，明确测试内容与过程。 ◇明确测试的范围和内容（WHA T）； ◇明确测试的目的（WHY）； ◇明确测试的开始和结束日期（WHEN）；

信息系统安全等级测评报告模板项目名称：委托单位：测评单位：年月日

报告摘要一、测评工作概述概要描述被测信息系统的基本情况（可参考信息系统安全等级保护备案表），包括但不限于：系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。（见附件：信息系统安全等级保护备案表）描述等级测评工作的委托单位、测评单位和等级测评工作的开展过程，包括投入测评人员与设备情况、完成的具体工作容统计（涉及的测评分类与项目数量，检查的网络互联与安全设备、主机、应用系统、管理文档数量，访谈人员次数）。二、等级测评结果依据第4、5章的结果对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为达标、基本达标、不达标）。三、系统存在的主要问题依据6.3章节的分析结果，列出被测信息系统中存在的主要问题以及可能造成的后果（如，未部署DDos防御措施，易遭受DDos攻击，导致系统无法提供正常服务）。

四、系统安全建设、整改建议针对系统存在的主要问题提出安全建设、整改建议，是对第七章容的提炼和简要描述。

报告基本信息

声明声明是测评单位对于测评报告容以及用途等有关事项做出的约定性述，包含但不限于以下容：本报告中给出的结论仅对目标系统的当时状况有效，当测评工作完成后系统出现任何变更，涉及到的模块（或子系统）都应重新进行测评，本报告不再适用。本报告中给出的结论不能作为对系统相关产品的测评结论。本报告结论的有效性建立在用户提供材料的真实性基础上。在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。测评单位机构名称年月

1前言本文档仅作用于公司内部人员使用参考，主要概括的是开发组与测试组的工作流程及工作衔接内容，该文档由测试组人员内部制定，若有考虑不周之处请给出建议！编写此流程的主要目的是规范测试，提高开发组与测试组的工作效率，尽可能早地找到BUG，并保证得以修复。 2测试流程简介 2.1 测试工作总体流程 2.1.1测试计划用例设计审核不通过

2.1.1.1 执行环境 1、项目立项后，项目组讨论项目实施过程后执行此流程； 2、前提是须有《项目技术规范说明书》，若客户未提供可从其它途径获取客户需求（如以前项目文档，样机获取等）； 3、与开发组的程序设计阶段同步，即开发设计项目实施时测试组同步进行测试设计，此过程为测试执行做准备工作； 4、立项项目经理把技术规范说明书共享给开发、测试组开发组人员解析说明书并设计代码、测试组根据说明书作出测试计划、测试用例此阶段完成（此过程中开发组和测试组进行功能规格沟通）。 2.1.1.2 执行细则测试计划测试负责人根据项目的需求，制定测试计划，明确目标与测试任务以及测试人员的安排。测试计划分复杂文档型和简单实用型，综合我司目前情况，比较适用后者即简单实用型，引用Microsoft Project来计划分配项目任务，把项目细分为各个阶段、阶段再细分为各个任务，任务精确到具体时间、负责人，测试计划的主要要素包括：项目名称、任务名称、工期、开始时间、完成时间、资源名称等，如下图。测试用例依据已引用的用例模板，进行用例设计，挖掘用户潜在需求并结合到用例设计，与需求接口人沟通获取更直观的用户要求；若项目时间充足，测试用例可提供给开发人员，以便开发人员结合代码设计思路给出建议，使测试用例达到更高的可执行效果；测试用例由测试组相应测试人员设计。

三级管理要求(S3A3G3) 等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容测评方法结果记录符合情况 Y N O 安全管理机构岗位设置 1. 应设立信息安全管理工作的职能部门，设立安全主管人、安全管理各个方面的负责人岗位，定义各负责人的职责。访谈，检查。安全主管，安全管理某方面的负责人，部门、岗位职责文件。 2. 应设立系统管理人员、网络管理人员、安全管理人员岗位，定义各个工作岗位的职责。 3. 应成立指导和管理信息安全工作的委员会或领导小组，其最高领导由单位主管领导委任或授权。 4. 应制定文件明确安全管理机构各个部门和岗位的职责、分工和技能要求。人员配备 5. 应配备一定数量的系统管理员、网络管理员、安全管理员等。访谈，检查。安全主管，人员配备要求的相关文档，管理人员名单。 6.应配备专职安全管理员，不可兼任。 7.关键事务岗位应配备多人共同管理。授权和审批 8. 应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等。访谈，检查。安全主管，关键活动的批准人，审批事项列表，审批文档。 9. 应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序，按照审批程序执行审批过程，对重要活动建立逐级审批制度。 10.应定期审查审批事项，及时更新需授权和审批的项目、

等级保护三级管理类测评控制点(S3A3G3) 类别序号测评内容测评方法结果记录符合情况 Y N O 审批部门和审批人等信息。 11.应记录审批过程并保存审批文档。沟通和合作12. 应加强各类管理人员之间、组织内部机构之间以及信息安全职能部门内部的合作与沟通，定期或不定期召开协调会议，共同协作处理信息安全问题。访谈，检查。安全主管，安全管理人员，会议文件，会议记录，外联单位说明文档。 ` 13. 应加强与兄弟单位、公安机关、电信公司的合作与沟通。 14. 应加强与供应商、业界专家、专业的安全公司、安全组织的合作与沟通。 15. 应建立外联单位联系列表，包括外联单位名称、合作内容、联系人和联系方式等信息。 16. 应聘请信息安全专家作为常年的安全顾问，指导信息安全建设，参与安全规划和安全评审等。审核和检查17. 安全管理员应负责定期进行安全检查，检查内容包括系统日常运行、系统漏洞和数据备份等情况。访谈，检查。安全主管，安全员，安全检查记录。 18. 应由内部人员或上级单位定期进行全面安全检查，检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等。 19. 应制定安全检查表格实施安全检查，汇总安全检查数据，形成安全检查报告，并对安全检查结果进行通报。

文◎遥远人才测评, 透视员工潜能的X射线正如医生为患者诊病需要借助于X射线等检测结果一样,对人

才潜能的判断同样如此,而人才测评就是这样的X射线,它为人事决策提供重要的参考信息,有效降低主观判断的失误率。案例:人力资源总监的烦恼徐先生是一家电子商务公司的人力资源总监,公司在工作环境、待遇、发展空间上都有足够的吸引力,每年的校园招聘和社会招聘都能够为公司引进不少青年才俊。但最近企业遇到了新问题——由于公司员工普遍年轻,其中绝大多数是 “80后”、“90后”,他们思想活跃、敢于创新,但也存在比较自我、浮躁、合作性缺乏等不足。公司高层提出要评价和引导好这些年轻员工,充分激发他们的潜能,并决定对营销部副部长、物流部副部长、客服部副部长三个职位进行内部招聘。徐先生根据自己在制造业的工作经验,引入了在上一家企业行之有效的“360度评估反馈”方法作为此次内部招聘的测评工具。没想到工作刚开始就受到不少员工的抵制和反对,有员工在公司内部论坛发帖质疑评估的有效性,有员工公开声称这种主观评价不能反映自己的真实能力,还有员工声

称这种过时的方法不适合用在“80后”、“90后”身上,更有员工直接拒绝填表,这让徐先生直接感受到了这些年轻员工的个性。公司高层也认为“360度评估反馈”是对员工工作现状的反映,并不能有效地度量员工的内在特性和潜能价值。徐先生于是又想到了人才测评技术,并找了一些同行咨询,结果发现对人才测评的看法竟也是千差万别,有的说人才测评是巫术骗人完全不可信,有的说人才测评是好东西可惜不适合中国的企业用,但也有人说人才测评有效地提高了自己公司人才培养的效率。另外,就算用人才测评技术, 而其方法又多种多样,哪种是最适合自己公司的, 徐先生也拿不准。认识人才测评其实徐先生遇到的问题也是目前不少企业 H R经理的困惑,由于缺乏对人才测评的了解,在工作中常常会对“如何把具有管理潜能的优秀员工甄别出来”、“如何确定某个员工适合什么岗位”、“如何确定员工更需要哪一类的培训”等之

功能测试的测试工作流程按照产出的文档，介绍项目开发过程中的工作步骤 1．测试计划：这个计划，我个人觉得应该在详细设计确定后，代码开始编写的时候进行制定，因为我是“提早开始测试工作”思路的忠实fans，虽然现在项目里都只有我一个人在这么早开始工作。。。-_-/// a) 测试计划，主要是给后面的测试工作一些指南，不能写成领导看的计划，而是要写成由做事的人看的计划 b) 包含的内容可能有： i. 测试团队人员及分工（要确定当测试时出现缺陷界定、测试环境准备等问题时能找到指定的人员） ii. 测试开始结束时间（理想情况下，不要安排的太紧，赶工肯定会造成延期或测试不完整，可惜理想和现实的差距被规定为很大） iii.测试环境配置（什么样的硬件条件，是否网络、设备等，系统在什么地址访问，访问权限、使用的测试数据等方面的预计和准备） iv. 测试哪些东西要说清楚，这里我建议把简单的测试大纲纳入测试计划中，一方面领导可以看到你的计划写的多详细，另一方面大纲可以很好的成为编写用例的依据 v. 怎么测试要说明白，如只做系统测试，那就要写清楚不做集成测试，如果需要集成测试，就需要写明白集成顺序。另外如果需要进行性能、文档、等其他的测试也要在这个计划中写明，虽然一般这个计划都是针对功能测试，但是如果有其他测试，也要写出来并安排时间，相应测试的相关计划等也需要指明 vi. 测试结束标志（要说明测试达到什么程度可以结束测试，不能等到把所有缺陷都找出来以后才结束，因为那将是一万年），允许缺陷存留在系统里，我们只需要找到留多少这个度就够了 2．测试用例：这个文档，主要描述具体的测试步骤，但实际应用中，至少目前我的项目里，由于时间的原因，很少有写的，就算写了的，也基本没有用到测试里，在这边的很多项目大都是直接来测，全凭我个人的经验来检查（在此感谢领导们对于我二把刀技术的信任_@_）。但是我想说其实他很重要，也许你不需要写的很详细，但是绝对需要通过这样的步骤来理顺思路，这个文档的好坏和实用程度，直接可以决定你是否能“用最少的工作（量和时间），尽早的发现尽可能多的缺陷”，写这个文档需要用到一些测试方法理论，如等价类划分、边界值、这个表那个表（汗。。。忘记了） 3．缺陷记录：是功能测试过程中使用频率最高的文档，用于在测试过程中记录发现的缺陷，并由开发人员作为修改缺陷的依据，以及修改后测试人员进行回测的主要依据 a) 该文当也有助于分析开发人员存在的“错误集群”现象，总结易出错的地方，对缺陷多的部分做更深入的测试，并提醒开发人员避免缺陷 b) 缺陷记录填写指南：

医院网络信息系统三级等保测评方案北京XX科技有限公司 2019年8月

目录第1章方案概述 (5) 1.1 背景 (5) 1.2 方案设计目标 (7) 1.3 方案设计原则 (8) 1.4 方案设计依据 (9) 第2章信息系统定级情况 (12) 第3章安全需求分析 (13) 3.1 安全指标与需求分析 (13) 第4章信息安全体系框架设计 (16) 第5章管理体系整改方案 (17) 5.1 安全制度制定解决方案 (17) 5.1.1 策略结构描述 (17) 5.1.2 安全制度制定 (20) 5.1.3 满足指标 (21) 5.2 安全制度管理解决方案 (21) 5.2.1 安全制度发布 (21) 5.2.2 安全制度修改与废止 (22) 5.2.3 安全制度监督和检查 (22) 5.2.4 安全制度管理流程 (23) 5.2.5 满足指标 (26) 5.3 安全教育与培训解决方案 (27) 5.3.1 信息安全培训的对象 (27) 5.3.2 信息安全培训的内容 (28) 5.3.3 信息安全培训的管理 (29) 5.3.4 满足指标 (30) 5.4 人员安全管理解决方案 (30) 5.4.1 普通员工安全管理 (30) 5.4.2 安全岗位人员管理 (32) 5.4.3 满足指标 (37) 5.5 第三方人员安全管理解决方案 (37) 5.5.1 第三方人员短期访问安全管理 (38) 5.5.2 第三方人员长期访问安全管理 (39) 5.5.3 第三方人员访问申请审批流程信息表 (41) 5.5.4 第三方人员访问申请审批流程图 (42) 5.5.5 满足指标 (42) 5.6 系统建设安全管理解决方案 (43) 5.6.1 系统安全建设审批流程 (43) 5.6.2 项目立项安全管理 (44) 5.6.3 信息安全项目建设管理 (46) 5.6.4 满足指标 (50)

本流程
1、人才测评工作流程图编号：
部门名称
人力资源部
编制人
单
行政业务
总经理
位
副总
节
A
B
点
1
流程名称任务概要人力资源部
C
开始
人才测评的基
人才测评工作流程图
人才测评
各职能部门
相关社会单位
D
E
2
招聘与选拔

3 4 5 6 7 8 9 10 11 12 公司名称
审核审核
确定测评对象
制定测评指标
选定测评指标
实施测评
统计分析测评结果
测评报告
跟踪反馈验证
结束
配合配合评议
密级
共 1 页—第 2 页

编制单位
人力资源部
签发人
签发时间
2、人才测评工作标准
任
务节名点
任务程序、重点及标准
工作时间
相关资料
称
程序
C2 由上级领导和相关部门提出招聘与选拔人随时
人才
才
C3 确定进行测评人员名单
1天
测
C4 人力资源部制定测评方案内容
1天
评
对负责测评的相关人员进行培训
1天
方
B4 测评方案上报总监审核批准
1天
案
重点：测评方案的制定
1、人才测评方
案 2、人才测评计
划
标准：内容明确
选
程序
定 C5 人力资源部选定测评指标
1天
测
确定测评要求的项目内容
1天
评
人力资源根据测评要求编制人才测评分析 1 天
1、人才测评方案 2、人才

人才测评主要方法 1．心理测验心理测验是对行为样本进行测量的系统程序。这一程序在测量内容、实施过程和计分三个方面都具有系统性，从而使测量结果具有统一性和客观性。通俗地说，心理测验就是通过观察人的少数有代表性的行为，对于贯穿在人的行为活动中的心理特征，依据确定的原则进行推论和数量化分析的一种科学手段。 2．面试面试是指在特定的时间、地点所进行的，有着预先精心设计好的明确的目的和程序的谈话，通过主试与被试的双方面对面的观察、交谈等双向沟通的方式，了解应试人员的素质特征、能力状况、以及求职动机等方面情况的一种人员甄选与测评技术。包括认知测验（成就测验、智力测验、能力测验等）和人格测验（用来评价、测量人的情绪、兴趣、态度、价值观、动机、性格等方面的测验）。近年来结构化面试越来越广泛地被采用。所谓结构化面试就是首先根据对职位的分析，确定面试的测评要素，在每一个测评的维度上预先编制好面试题目并制定相应的评分标准，面试过程遵照一种客观的评价程序，对被试的表现进行数量化的分析，给出一种客观的评价标准，不同的评价者使用相同的评价尺度，以保证判断的公平合理性。相对于传统的面试，它的优势在于：针对性强——进行结构化面试的第一步工作是进行深入的岗位分析，在充分了解岗位需求的基础上，确立需要考察的要素。因此，结构化面试具有很强的岗位针对性。标准化——针对应聘同一岗位的不同应聘者，结构化面试的题目、提问方式、计分和评价标准都是相同的。这种标准化的测评方法大幅度地提高了评价结果的客观性、准确性和实用性。结构化面试作为行之有效的人才测评技术在实际的招聘工作中取得了良好的效果。有研究表明，经过结构化面试而录用的应聘者在实际工作中的工作业绩明显优于采用普通面试方法而录用的应聘者。 3．评价中心评价中心技术综合运用了各种测评技术。它的主要特点是使用情景性的测验方法对被试的特定行为进行观察和评价。这种方法通常将被试置于一个模拟的工作情境中，采用多种评价技术，观察和评价被试者在这种模拟工作情境中的心理和行为。因此，这种方法有时被称为情境模拟的方法。评价中心技术中所采用的情境性的测验包括多种形式，主要有文件筐或公文处理测验，无领导小组讨论，角色扮演，根据所给的材料撰写报告，演讲辩论，案例分析等。文件筐作业

招聘中常用的人才测评方法人才测评方法是以现代心理学和行为科学为基础，运用现代测评技术，通过人机对话、心理测验、面试、情景模拟等技术手段，对测试者的素质状况、发展潜力、个性特点等心理特征进行客观地测量、科学地评价。它是集心理学、管理学、统计学、行为科学、计算机科学为一体的跨学科体系，是通过对个体在特定情景下外显行为的了解与分析，把握其内在素质的活动规律。人才测评方法是测试者个体自我、发掘潜能的有效途径，也是企业人力资源部门开展专业化人才招聘的有力助手，在发达国家被广泛应用于升学、就业、企业招聘与考核。根据目前的招聘流程和测试内容，采用的人才测评方法多为是履历分析、笔试和面试。一、履历分析履历分析是根据履历或档案中记载的事实，了解一个人的成长历程和工作业绩，从而对其人格背景有一定的了解。通过对过去经历的剖析可得知-个人过去的行为表现，亦可得到十分有价值的预测数据。近年来这一方式越来越受到人力资源管理部门的重视，被广泛地用于人员选拔等人力资源管理活动中。履历分析对申请人今后的工作表现有一定的预测效果，履历数据分析人才测评方法的主要理论假设和理论基础是"个体的过去总是能从某种程度上表明他的未来"。这种人才测评方法用于人员测评的优点是在具有高预测力的同时能够实现多维度、低成本地对被测人进行客观测评。它既可以用于初审个人简历，迅速排除明显不合格的人员，也可以依岗位要求的高低，事先确定履历中各项内容的权重，把被测评人各项得分相加的总分作为人才选、育、用和留的参考。履历分析是建立在过去经历和行为的自我报告的基础上的，因而存在以下几方面的问题，比如：履历填写的真实性问题：它可能会由于被测者的记忆性错误或是故意欺骗造成内容数据的遗漏或失真；履历分析的预测效度随着时间的推进会越来越低，这就需要人力资源部门在进行履历分析的时候对履历内容进行选择性筛选。二、笔试笔试是最古老且最基本的人才测评方法。此处笔试，顾名思义是指在招聘中各种通过以纸笔形式对被试者进行的各种测验。它主要用于对人的基本知识、专业技术、管理技能、推理及综合分析能力、文字表达能力等进行多维度的测验。如个性与职业倾向：MBTI测试；认知能力：智力测验；人格测验、兴趣测验、价值量表等。在测定知识面和思维分析能力方面效度较高，评定比较客观，可以广泛地应用到人才选拔录用程序的初步筛选中。三、面试面试是测查和评价人员能力素质的一种考试活动。具体地说，面试是一种经过组织者精心设计，在特定场景下，以考官对考生的面对面交谈与观察为主要手段，由表及里测评考生的知识、能力、经验等有关素质的一种考试活动。面试给公司和应招者提供了进行双向交流的机会，能使公司和应招者之间相互了解，从而双方都可更准确做出聘用与否、受聘与否的决定。

人才测评实施的主要程序人才测评选择、实施的主要程序如下： 1、进行工作分析工作分析是将一项工作分解为对于工作业绩至关重要的各种不同的活动，以确定出人才测评应该预测的领域。 2、选择一项专业的人才测评一项良好的人才测评应该准确、一致地对那些对工作成功至关重要的知识、技术、能力和态度进行衡量。人才测评专家应该选择最能够有效地对目标行为进行预测的测评计划。通过对其科学性、合法性的分析，应保证所选择的测评是专业性的、有效的、公平的、不带歧视性的，并只涉及法律允许的问题。 3、对所有相关研究进行分析在选择一项适合的人才测评中，最重要的因素是：（1）支持测评系统有效性，证明测评分数与工作业绩标准相关的有效性研究；（2）表明所有测评题目衡量的都是类似的工作内容、测评参加者的测评分数是一致的可靠性研究；（3）证明测评不带任何歧视性的研究。著名的测评出版商所提供的测评手册或信息指南包括上述各项研究。 4、进行独立的评估确定测评是否根据独立的来源进行评价。如《智力测评年鉴》（Mental Measurements Yearbook ）, 也可以咨询当地的实用心理学家，或查阅相关杂志，以得到对某项人才测评的评价。 5、确定成功的测评使用企业向测评出版商询问几家已经成功实施该项测评的企业的名单，然后询问其中典型的一家是否已经进行了相应的有效性研究和负面影响研究。查明该测评是否发生过法律方面的问题。如果发生过，最后的结果是什么？ 6、正确地对测评进行管理人才测评只是提供关于应聘人员或员工的部分信息，而不应取代应聘表格、面试、证明核查或工作经历等其他评价程序。企业人力资源部门应该制定出如何将人才测评结果结合到整个评价过程中去的相关政策。测评管理人员在对测评进行实施、评分以及解释的过程中，必须遵循相应测评手册或实施指南中所列明的原则。 7、使用正确的标准标准是称为“标准范例”或“标准群体”的给定测试人群所得分数的集合。通过标准，测评使用者就可以将某个人的分数和标准群体的分数进行比较，以确定其相应的等级。一些测评有其特定的行业性标准。例如，如果一个人在一项有效的字处理测试中的百分比得分为90%，就说明在相应的标准群体（100个人）中，他（或她）的能力要比其中90个人强。 8、进行准确的选择决策通常，有必要确定一个既能满足有效性要求，又不过于严格的测评合格分数。但是，测评管理人员应该认识到，不存在完美的对将来工作业绩进行预测的测评程序。所以，对于低得分者，不应一概而论为“没有能力的人”。 9、评估人才测评的投资回报企业通过人才测评，可以实现对能够降低成本、提高生产力的应聘人员或员工的选择、安排以及晋升。所以，测评使用企业应该对测评计划所带来的汇报进行不断的评估分析。

测试工作流程

目的本文档是测试团队的日常工作规范，主要侧重测试工作流程的控制，明确软件工程的各阶段测试团队应完成的工作。测试技术和策略等问题不在本文档描述范围内。 1范围适用于公司所有项目软件测试。 2测试团队构成 2.1职责测试是软件开发过程中的重要组成部分，肩负着如下责任： ?在需求文档确立基线前对文档进行测试，从用户体验和测试的角度提出自己的看法。 ?编写合理的测试计划，并与项目整体计划有机地整合在一起。 ?编写覆盖率高的测试用例。 ?针对测试需求进行相关测试技术的研究。 ?认真仔细地实施测试工作，并提交测试报告供项目组参考。 ?进行缺陷跟踪与分析。 2.2角色在人力资源有限的情况下，一个团队成员可能会同时承担多个角色。表1

3工作流程及规范 3.1计划与设计阶段 4.1.1成立测试团队在项目组成立的同时，测试组也将同时成立。团队成立的工作与责任如下：表2 4.1.2测试预通知在正式测试任务下达前，开发团队应提前一周左右向测试团队下达预通知，告之较为确切的测试参与日期，提供当前最新的相关资料。测试人员可预先熟悉必要的背景资料，测试负责人编写《测试计划书》初稿。表3 4.1.3召开测试启动会议表4

4.1.4编写测试计划需求分析文档确立后，测试组需要编写测试计划文档，为后续的测试工作提供直接的指导。表5 4.1.5设计测试用例在需求分析文档确立基线以后，测试组需要针对项目的测试需求编写测试用例，在实际的

测试中，测试用例将是唯一实施标准。在用例的编写过程中，具体的任务和责任人如下：表6 3.2测试执行阶段 3.2.1测试执行测试执行将花费测试组绝大部分时间，这些工作都是建立在前期很多计划工作的基础上。表7 3.2.2阶段测试报告在计划的测试周期后，测试负责人需要总结此轮测试的结果，编写阶段测试报告。表8

人才测评P4 根据特定的测评目的，利用各种有效的测评方法对人才的特定素质进行测试和评价的过程，以判定被试者与岗位、组织的匹配程度。人才测评的原理P5 1.“人职匹配”思想 2.素质差异性：先天与后天所形成的知识、能力、个性、气质、价值观等方面的差异 3.素质稳定性：人在各种环境及不同时间段所表现出的一贯性 4.素质的可测性与间接测量性：人的素质是通过生活与工作过程中的行为表现出来的，所以我们可以通过对人的各种有代表性的行为进行测量，从而推断人的心理素质。； 5.行为测量模式：以被试者行为表现为介质、以心理素质为主体开展测量与评价活动 6.基于统计学的规律 See人才测评的方法P12 笔试、面试、操作测评、情境测评、评价中心技术、计算机测评 See人才测评的流程P12 1.明确人才测评的目的 2.确定人才测评的指标（维度） 3.设计确定测评方法与测评题目 4.测评方案设计与测评实施 5.测评结果统计与撰写报告 6.测评结果反馈人才测评标准体系的结构及具体内容P24 确定人才测评指标的具体原则 P71 服务测评目的原则绩效导向原则可衡量原则系统化原则独立性原则人才测评指标的操作化P73 1.测评指标的优化与整合：即将意思相近或相似的指标整合为一个指标，整合后的指标要全面涵盖整合前两个或多个指标的含义。 2. 指标间的权重（1）任职资格指标的权重关系确定（2）胜任特征模型中各素质指标权重关系的确定 3.测评指标的定义与分解

（1）指标名称（2）指标定义（3）将指标分解为评价因子（4）确定评价因子的典型行为（5）确定指标的评价标准（6）选择对应的评价方法（7）确定指标的发展方式 See面试的概念P177 面试是一种经过测试者精心设计，在特定场景下，以测试者对被试者的面对面交谈与观察为主要手段和表现形式，由表及里测评被试者的知识、能力、个性等有关素质的一种测评方法。 See面试的特点P177 （1）面试是双向交流的过程（2）面试以表述、倾听、观察为主要手段（3）面试的一般特点：目的性、直观性、灵活性、互动性、经济性、主观性。面试分类P179 1.按结构性划分：结构化面试：面试前就面试所涉及的题目、维度、评分标准等进行系统的结构化设计的一种面试方法。半结构化面试：只对面试的部分因素进行统一规定，面试题目可以根据被试者的不同而灵活变化。非结构化面试：不同被试者使用的面试题目缺乏统一，面试评价标准更多体现主观性的面试。 2.按面试题目划分：（1）行为面试：考官提出的问题必须让被试者能够以阐述具体的行为、措施来回答，所以对面试题目的要求比较高。（2）情境面试：考官所提出的问题全部是假设一个具体的情境，考官在情境描述中明确被试者在情境中的身份与要完成的任务。（3）压力面试：考官给被试者提出比较紧迫或完成比较困难的任务，要求被试者作答。（4）智能面试：目的在于了解被试者的逻辑思维能力和推理判断能力，了解被试者分析事物的思维缜密程度。比如“井盖为什么是圆的” 3.按面试形式划分（1）一对一面试：一个考官对一个被试者进行面试。

目录 1 测评背景 (1) 2 测评目的 (1) 3 岗位的素质特征分析 (1) 3.1 具有战略眼光 (4) 3.2 具备极强的洞察、分析能力 (4) 3.3组织领导能力 (4) 3.4 良好的沟通能力 (5) 3.深入了解公司经营状况 (5) 3.6 拥有扎实的人力资源知识和技能 (5) 3.7 个人诚信 (6) 4 测评方法体系 (6) 5 组织实施的程序 (7) 5.1 实施测评前的准备工作 (7) 5.2确定测评小组成员 (7) 5.3 培训测评人员 (7) 5.4 测评时间及地点安排 (8) 5.5 必要的后勤保障 (8) 5.6 实施环节的说明 (8) 5.7 测评指标体系 (11) 6 费用预算 (15) 7 预期效果 (15)

万科地产公司人力资源部经理人员测评可行性方案设计 1 测评背景万科企业股份有限公司成立于1984年5月，是目前中国最大的专业住宅开发企业。2011年公司完成新开工面积490.1万平方米，竣工面积536.4万平方米，实现销售金额634.2亿元，营业收入488.8亿元，净利润53.37亿元。万科认为，坚守价值底线、拒绝利益诱惑，坚持以专业能力从市场获取公平回报，是万科获得成功的基石。公司致力于通过规范、透明的企业文化和稳健、专注的发展模式，成为最受客户、最受投资者、最受员工、最受合作伙伴欢迎，最受社会尊重的企业。凭借公司治理和道德准则上的表现，公司连续七次获得“中国最受尊敬企业”称号。现该公司招聘天津部人力资源部经理一名。我们采用外部招聘的形式，择优录取。采用常用的配置性测评方式，首先进行工作分析确定任职资格要求，分析任职资格要求制定录用标准，包括测评目标与测评指标，然后选取适当方法测评每个求职者在每个指标上的取值，按测评结果筛选合格者，最后采用选拔性测评选择最为合适的人员。此次招聘目的为了满足企业发展的需要，及时填补职位空缺。现天津部发展规模逐步扩大，需要一名人力资源经理进行协调与沟通，完善公司绩效考核系统，建立独有的薪酬体系，特制订本计划。 2 测评目的根据企业战略发展的需要，对人才的渴求更是强烈，而该公司先急需一名人力资源经理。在现代企业人力资源的开发中，人才测评技术得到了广泛应用。在万科公司竞聘时期来临时，希望通过尝试更为科学的人才评价的方法，打破原有的竞聘方式和制度，以竞聘者的管理能力和胜任素质为考察内容，根据该岗位的要求有针对性地选拔一名合格的人力资源经理，为其组建一支管理能力强，有竞争力的管理团队，协调员工关系，将现有人员搭配形成最优化的团队形式。通过对候选人进行综合笔试、结构化面试和心理测评，考察候选人的专业知识、管理能力、协调能力、个性特征等，了解候选人的综合素质及岗位胜任力潜力情况，从而为准确地选拔企业管理人才提供科学的依据，为公司录用人力资源经理职位提供工作态度、个性、能力状况等方面的信息。 3 岗位的素质特征分析