1 管理評(píng)審計(jì)劃

信息安全體系負(fù)責(zé)人負(fù)責(zé)在管理評(píng)審實(shí)施前編制《管理評(píng)審計(jì)劃》，并得到信息安全管理小組的批準(zhǔn)。

管理評(píng)審計(jì)劃主要內(nèi)容包括：

1) 評(píng)審范圍、內(nèi)容及時(shí)間安排;

2) 參加評(píng)審的單位和人員;

3) 評(píng)審會(huì)議議程。

2評(píng)審實(shí)施

信息安全管理體系負(fù)責(zé)人負(fù)責(zé)主持管理評(píng)審活動(dòng)。

1) 評(píng)審：與會(huì)人員在“會(huì)議簽到表”上簽字后，由體系負(fù)責(zé)人主持并介紹體系運(yùn)行情況和內(nèi)審情況：

2) 內(nèi)審的充分性、有效性，內(nèi)部審核關(guān)于信息安全管理體系的符合性、有效性的結(jié)論;

a) 信息安全管理體系文件的充分性和適宜性;

b) 事故事件情況;

c) 對(duì)重大危害因素和重要環(huán)境因素的控制情況;

d) 目標(biāo)、指標(biāo)和管理方案的實(shí)現(xiàn)情況;

e) 信息安全方針的適宜性;

f) 整個(gè)信息安全管理體系的符合性、有效性和適宜性;

g) 持續(xù)改進(jìn)的意見(jiàn)。

信息安全管理小組對(duì)所匯報(bào)的內(nèi)容進(jìn)行評(píng)審并做出改進(jìn)決定，并對(duì)評(píng)審結(jié)果及決策進(jìn)行記錄。

3) 管理評(píng)審的輸出應(yīng)包括為實(shí)現(xiàn)持續(xù)改進(jìn)的承諾而做出的，與信息安全方針、目標(biāo)、指標(biāo)以及其他信息安全管理體系要素的修改有關(guān)的決策和行動(dòng)。如：

h) 信息安全管理體系有效性的改進(jìn);

i) 與顧客要求有關(guān)的服務(wù)的改進(jìn);

j) 資源需求等。

1 目的

為規(guī)范公司信息安全管理，**公司信息安全，根據(jù)《信息安全等級(jí)保護(hù)管理辦法》、《信息技術(shù)安全技術(shù)信息安全管理體系要求》(GB/T 22080-2016/ISO/IEC 27001:2013)以及公司相關(guān)規(guī)章制度，制訂本制度。

2 范圍

本制度規(guī)定了本企業(yè)內(nèi)部人員、第三方人員等人力資源安全管理的相關(guān)內(nèi)容，包括人員選拔、人員錄用、人力調(diào)動(dòng)、人員離職、人員考核、安全意識(shí)教育和培訓(xùn)、第三方人員安全等。本標(biāo)準(zhǔn)適用于本企業(yè)內(nèi)部人員及第三方人員的管理與考核。

3術(shù)語(yǔ)和定義

3.1 人員安全

是指通過(guò)管理和控制，確保單位內(nèi)部人員和第三方人員在安全意識(shí)、能力和素質(zhì)等方面都滿足工作崗位的要求。

3.2 第三方人員

第三方人員是指除本公司員工以外所有的組織和人員。第三方人員分為臨時(shí)來(lái)訪的第三方人員和非臨時(shí)來(lái)訪的第三方人員。

臨時(shí)來(lái)訪的第三方人員是指因某些臨時(shí)需求來(lái)訪公司的人員，如：面試人員、客戶以及其他來(lái)訪人員等。

非臨時(shí)來(lái)訪的第三方是指來(lái)自外單位的*服務(wù)機(jī)構(gòu)，為本單位提供設(shè)備、網(wǎng)絡(luò)、系統(tǒng)、軟件、信息安全、保潔等外包服務(wù)的工作人員，如：項(xiàng)目人員、保潔人員、設(shè)備維護(hù)人員等。

3.3 安全教育和培訓(xùn)

是通過(guò)宣傳和教育的手段，確保相關(guān)工作人員和信息系統(tǒng)管理維護(hù)人員充分認(rèn)識(shí)信息安全的重要性，具備符合要求的安全意識(shí)、知識(shí)和技能，提高其進(jìn)行信息安全防護(hù)的主動(dòng)性、自覺(jué)性和能力。

1.信息安全教育與培訓(xùn)

⑴信息安全教育培訓(xùn)目的：

a.滿足客戶和法律法規(guī)要求的重要性。

b.違反相關(guān)要求所造成的后果。

c.自己從事的工作與信息安全的相關(guān)性。

d.鼓勵(lì)員工參與信息安全管理，為實(shí)現(xiàn)信息安全目標(biāo)做出貢獻(xiàn)。

⑵信息安全教育培訓(xùn)對(duì)象：

人力資源部及相關(guān)部門(mén)應(yīng)在在職員工(新員工、在崗員工、轉(zhuǎn)崗員工)被授予訪問(wèn)權(quán)限之前，依據(jù)其安全角色和職責(zé)，進(jìn)行針對(duì)性的安全教育和安全培訓(xùn);

人力資源部及相關(guān)部門(mén)應(yīng)當(dāng)確定與信息安全相關(guān)的臨時(shí)雇用人員、客戶以及合作方等第三方人員是否需要適當(dāng)?shù)陌踩嘤?xùn)。

⑶信息安全教育培訓(xùn)內(nèi)容：

在信息安全策略、制度和規(guī)定發(fā)生變化后，信息安全小組要*及時(shí)傳達(dá)給的全體員工、客戶和合作方等第三方人員。

信息安全教育培訓(xùn)內(nèi)容如下：

a.信息安全基礎(chǔ)知識(shí)(安全意識(shí))、崗位操作規(guī)程、信息系統(tǒng)使用規(guī)范;

b.公司信息安全方針、策略與信息安全目標(biāo)的宣貫培訓(xùn);

c.信息安全專題培訓(xùn)(如病毒防范培訓(xùn)、訪問(wèn)控制培訓(xùn)、等級(jí)保護(hù)培訓(xùn)等);

d.崗位安全責(zé)任、操作技能及相關(guān)技術(shù);

e.違反違背安全策略和安全規(guī)定的懲戒措施。

⑷信息安全教育培訓(xùn)記錄及考核

由人力資源部統(tǒng)一記錄信息安全培訓(xùn)的人員、時(shí)間、地點(diǎn)、教師、內(nèi)容等信息。對(duì)于課堂培訓(xùn)內(nèi)容可根據(jù)需要進(jìn)行必要的考核，以評(píng)價(jià)員工的學(xué)習(xí)效果，同時(shí)也作為培訓(xùn)記錄由人力資源部統(tǒng)一存檔備案。

內(nèi)部組織及溝通

1) 信息安全工作小組組織各個(gè)部門(mén)通過(guò)公告、內(nèi)部網(wǎng)絡(luò)、宣傳物品、活動(dòng)、通告、會(huì)議及培訓(xùn)把有關(guān)信息安全方面的政策及其它事項(xiàng)傳達(dá)予各員工;

2) 員工對(duì)公司信息安全管理體系有任何意見(jiàn)可向其部門(mén)主管或其所在部門(mén)信息安全員建議、投訴;部門(mén)主管或信息安全員將員工的意見(jiàn)分類后向信息安全工作小組反映并填寫(xiě)《信息安全管理體系意見(jiàn)表》，信息安全工作小組聯(lián)同各部門(mén)按此表格進(jìn)行跟進(jìn)并進(jìn)行有關(guān)調(diào)查;

3) 信息安全工作小組負(fù)責(zé)收集和匯總《監(jiān)管機(jī)構(gòu)及特定利益團(tuán)體聯(lián)系表》的信息。

4) 信息安全管理體系的管理評(píng)審結(jié)果應(yīng)由信息安全工作小組向各部門(mén)負(fù)責(zé)人員講解及監(jiān)察其執(zhí)行情況;

5) 信息安全工作小組聯(lián)同各部門(mén)建立及維護(hù)信息安全管理體系的文件控制制度;

6) 每月召開(kāi)安全例會(huì)，傳達(dá)公司安全精神和公司內(nèi)部信息安全相關(guān)工作;

7) 員工有關(guān)于信息安全管理體系方面的建議和問(wèn)題可以通過(guò)email直接發(fā)郵件

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://www.1cjaei.cn/zs/202303/ccaa_48215.html