ISO27001：2013人力资源安全管理制度

XXXXXX软件有限公司人性化科技提升业绩

人力资源安全管理制度

目录

1目的 (2)

2 范围 (2)

3术语和定义 (2)

3.1 人员安全 (2)

3.2 第三方人员 (2)

3.3 安全教育和培训 (3)

4机构和职责 (3)

4.1信息安全工作小组 (3)

4.2信息安全体系负责人 (3)

4.3信息所有者及信息使用者 (4)

4.4人力资源部 (4)

5人员安全管理 (5)

5.1任用前 (5)

5.1.1.人员选拔 (5)

5.1.2.背景调查 (5)

5.1.3.内部选拔 (5)

5.1.4.入职办理 (5)

5.2任用中 (6)

5.2.1.信息安全教育与培训 (6)

5.3任用变更 (7)

5.4任用终止 (7)

6第三方人员管理 (7)

7信息安全违规的处理 (8)

8相关记录 (8)

1目的

为规范公司信息安全管理，保障公司信息安全，根据《信息安全等级保护管理办法》、《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016/ISO/IEC 27001:2013）以及公司相关规章制度，制订本制度。

2 范围

本制度规定了本企业内部人员、第三方人员等人力资源安全管理的相关内容，包括人员选拔、人员录用、人力调动、人员离职、人员考核、安全意识教育和培训、第三方人员安全等。本标准适用于本企业内部人员及第三方人员的管理与考核。

3术语和定义

3.1 人员安全

是指通过管理和控制，确保单位内部人员和第三方人员在安全意识、能力和素质等方面都满足工作岗位的要求。

3.2 第三方人员

第三方人员是指除本公司员工以外所有的组织和人员。第三方人员分为临时来访的第三方人员和非临时来访的第三方人员。

临时来访的第三方人员是指因某些临时需求来访公司的人员，如：面试人员、客户以及其他来访人员等。

非临时来访的第三方是指来自外单位的专业服务机构，为本单位提供设备、网络、系统、软件、信息安全、保洁等外包服务的工作人员，如：项目人员、保洁人员、设备维护人员等。

3.3 安全教育和培训

是通过宣传和教育的手段，确保相关工作人员和信息系统管理维护人员充分认识信息安全的重要性，具备符合要求的安全意识、知识和技能，提高其进行信息安全防护的主动性、自觉性和能力。

4 机构和职责

4.1 信息安全工作小组

⑴负责指导公司及信息系统操作人员安全管理工作；

⑵负责以季为单位执行公司信息安全的检查及管理工作，并及时向相关负责人提交执行情况的报告，反馈问题给执行方并限期解决。

⑶负责研究国家和行业的信息安全政策法规，组织有关部门讨论来保证其符合性。

4.2 信息安全体系负责人

⑴负责工作岗位风险状态分级及划分信息系统安全职责和权限；

⑵负责普及信息安全防范意识，并针对信息安全违规事件向公司提出处理建议。

⑶负责完成系统建设、建立目录结构与目录安全策略、部署服务器与建立服