信息安全人力资源管理程序
XXXXXXXXX有限责任公司人力资源管理程序
[XXXX-X-X]
V1.0
变更履历
人力资源管理程序
1 目的
为了保证对公司与信息安全有关的人员的招聘、培训、离职等方面进行有效管理,特制定本程序。
为对有效避免信息安全事故的人员和行为进行奖励,对违反信息安全方针和程序的人员和行为进行处罚,作为对有意轻视信息安全程序的员工的威慑,强化全体员工的信息安全意识,特制定本规定。
2 范围
适用于与信息安全管理体系有关的人员的招聘、培训、离职等活动的管理。
本程序适用于组织内对违反信息安全方针和程序员工的惩戒及对信息安全做出贡献员工的奖励管理。
3 职责
3.1 综合部
负责公司人员的招聘、培训、离职等人力资源方面的管理工作。负责泄密事件信息安全事故的奖惩管理。
负责组织内IT方面信息安全事故的奖惩管理。
3.2 各部门
配合综合部对本部门的人员进行技能和信息安全方面的培训。负责其管理权限范围内的奖惩管理,具体负责对本部门员工违反信息安全方针和程序的处罚。
4 招聘、培训、离职程序
4.1 员工招聘
4.1.1 招聘依据
4.1.1.1 招聘前,综合部应提出招聘计划,报总经理批准后进行招聘。
4.1.1.2 可录用人员的基本条件:
1)符合公司员工身体健康标准要求;
2)通过公司必要的背景调查与面试考评;
3)符合公司用人理念、符合岗位职责及任职条件要求;
4)符合政府部门相关劳动就业政策和法规。
4.1.2 招聘程序
4.1.2.1 发布招聘信息
由综合部汇总招聘岗位,统一发布招聘信息
发布招聘信息的途径包括:
1)正规的招聘网站(具有合法营业执照的招聘网站)
2)公司主页的招聘栏
3)由合法的人力资源管理公司代为招聘
4.1.2.2 简历的筛选
综合部主管招聘的人员按照岗位任职要求对每位应聘者的身份、学历、资历等进行初步筛选,确定参加面试的应聘者。
4.1.2.3 面试
在一般情况下,参加面试的应聘者须填写《应聘人员登记表》,面试时需携带下列有关证件资料的原件备查:
1)身份证、学历证明;
2)所要求的相关专业技能资格证书;
3)培训证书、荣誉证书及其它能证明个人品质、专长的证明、作品或相关材料;
4)实习与工作经历等证明材料。
4.1.2.4 背景调查
对于重要岗位的拟聘用人员,由综合部进行背景和专业资格调查,调查内容主要包括其学历、工作经历的真实性、能力水平和工作表现、个人品质、劳动用工合法性等方面的情况。对于拟聘用的应届毕业生,可不进行背景和专业资格调查。
4.1.3 聘用程序
4.1.3.1 录用报批流程
根据复试结果及体检结果确定聘用的人选由综合部报公司领导审批。根据审批结果向聘用人员发放聘用通知书,与聘用人员协商确定报到时间等相关事宜。
4.1.3.2 报到手续
新员工报到当日,综合部做好接待服务工作。报到时需提交身份证复印件,签订劳动合同和《员工保密协议》,办理公司工资卡等。
4.1.3.3 试用期
对初次聘用的新员工实行试用期。试用期限按国家有关规定执行,最少1个月,最长不超过6个月。试用期自报到之日起计算。
4.1.4 关键岗位人员的聘用
对于安全管理员和系统管理员,一般采用内部招聘的方式进行(应聘人员在本单位工作不少于半年)。
4.2 能力和意识
4.2.1从事被分配信息安全管理体系规定职责的所有人员均应有能力胜任其工作。
4.2.2 综合部在公司岗位职责文件中确定从事信息安全管理体系工作的人员所必要的能力。
4.2.3通过培训确保员工意识到所从事活动的相关性和重要性,以及如何为实现信息安全管理目标作出贡献。
4.3 培训
4.3.1 培训计划
综合部负责制定公司的《员工年度培训计划》,报总经理审批。
4.3.2 培训要求
应对各类人员(包括公司的所有员工,适当时还应包括合作方和第三方用户)进行信息安全基础知识、信息安全的意识、信息安全责任、信息安全管理文件和惩戒措施教育培训;对涉及信息系统人员还应进行岗位技能培训和技术培训。
4.3.3 培训实施
4.3.3.1 综合部根据《员工年度培训计划》,经管理者代表批准后实施。
4.3.3.2 相关部门在根据培训课程内容发布培训通知时应明确参培对象和评估方式。
4.3.3.3 在培训结束后应进行培训评估,培训评估结果作为员工岗位胜任能力评价的依据之一。
4.3.4 培训记录
4.3.4.1 综合部建立培训记录,包括培训计划、培训记录。
4.3.4.2 日常培训或临时培训,应记录在培训记录上。
4.4 员工离岗/离职管理
4.4.1 公司解除或终止员工劳动合同
4.4.1.1 公司与员工解除或终止劳动合同,由员工所在部门报综合部,需提交总经理批准。
4.4.1.2 员工所在部门根据变化调整,1个工作日内要通知公司技术部终止其访问权限。
4.4.1.3 相关审批手续完成后,综合部根据国家劳动法相关规定及公司相关规定的通知时间,向员工发出解除或终止劳动合同的通知。
4.4.1.4 员工在收到通知后办理相关离职手续。
4.4.2 员工本人辞职
4.4.2.1 员工本人撰写辞职申请(需本人亲笔签名)并应按规定提前30天递交部门负责人。签有保密协议并在协议期内的员工,应提前6个月提交辞职申请,以便脱离所从事的商业及技术秘密。
4.4.2.2 部门负责人应立即进行离职访谈,即刻通知公司综合部终止其访问权限,并将辞职申请报综合部。
4.4.2.3 综合部报总经理审批,审批通过后,通知员工办理相关离职手续。
4.4.3 离岗
4.4.3.1 部门内的岗位变动,由所在部门填写《员工岗位变动表》报综合部;关键岗位人员岗位发生变动时,由所在部门通知公司综合部终止或授权其访问权限。
4.4.3.2 部门间的岗位变动,综合部填写《员工岗位变动表》,并及时通知公司综合部终止其访问权限。
4.4.4 离职/离岗手续
4.4.4.1 如无特殊情况,离职/离岗手续须由员工本人亲自办理。
4.4.4.2 离职/离岗手续应先办理工作交接,经部门负责人确认工作交接完成以后方可办理后续项目。
4.4.4.3 离职/离岗手续包括:各种保密文件回收、身份证件退还、原所在综合部门锁和办公桌钥匙退还、固定资产(软硬件设备)退还、财务清款、法律事务清查、工作交接、访问权限的收回确认。
4.4.4.4 关键岗位人员离职\离岗前应承诺保密义务,必要时应签署竞业限制协议。
4.4.4.5 离职员工办理完上述手续后,将《员工离职审批表》交综合部审核,审核无误后由综合部办理退工(解除合同证明)、转移社保关系、退档等手续。
5 信息安全奖惩程序
5.1 违章处罚
各部门应安排一名信息安全员,负责对本部门内部信息安全管理活动的执行情况进行日常监督与检查,对发现的问题及时向本部门负责人汇报并由其进行处理。对于员工违反信息安全方针、信息安全管理手册、程序文件、操作规程等信息安全管理体系文件的规定,但没有造成信息安全事故的,均属于违章现象;违章一次,由本部门负责人给予口头警告;一月内连续两次违章,应予认定一般违纪,扣发当月奖金的浮动部分;一年内累计二次或二次以上一般违纪应认定为一次较重违纪,责令违章者写出书面检查报告,并在部门内部进行通报。
负有信息安全事故处罚的各职能部门在日常检查过程发现在其职责范围内的违章现象,应通过适当的纠正、预防措施予以纠正和改进,并给予责任人口头警告;一月内连续两次违章,应予认定较重违纪,扣发二个月奖金的浮动部分;一年内累计二次一般违纪应认定为一次较重违纪,责令违章者写出书面检查报告,并在部门内部进行通报。
对于审核中(包括内部审核及第三方审核)发现的一般不符合事项,应通过适当的纠正、预防措施予以纠正和改进,并给予责任人口头警告;严重不符合事项,扣发责任人当月奖金浮动部分,并在部门内部进行通报。
5.2 信息安全事故的处罚
信息安全事故发生后,按照《信息安全事件管理程序》的规定对信息安全事故进行调查,确定事故发生的原因及事故的责任者,根据事故所造成的损失,由信息安全管理职能部门形成处理报告,提出处罚意见,报组织分管领导批准后对责任者予以处罚;对于重大信息安全事故的责任者的处罚应提交综合部决定。
处罚方式
a)一般安全事故,根据所造成的经济损失,给予责任人扣罚当月奖金浮动部分的
处罚;
b)造成重大安全事故的,将责任人调离原工作岗位并给予扣罚三个月以下绩效奖
金的处罚;
c)如果属于故意行为导致信息安全事故,解除劳动合同并依法追究法律责任;
d)对由于违反IT管理方针程序和越权访问策略的,应收回其访问权限。
对于信息安全事故责任人的处理结果由处理部门在组织范围内予以通报。
负有信息安全事故处罚的各职能部门与综合部沟通,确认责任者及处罚方式,并在责任人当月工资单扣除处罚金额。
5.3 奖励规定
对以下行为,组织将酌情予以奖励:
a)及时发现非责任区信息安全隐患,该隐患足以导致信息安全事故的;
b)及时发现非责任区信息安全重大隐患,该隐患足以导致信息安全重大事故的;
c)及时发现并制止系统操作问题以避免设备及人身重大损失或人员伤亡的;
d)及时制止或报告泄露商业机密的事件以避免组织重大经济损失或及时或中止正在
进行中的商业泄密行为的;
e)其他有效避免组织信息安全事故的行为;
f)在信息安全事故中采取积极有效措施,降低损失的程度。
奖励方式
a)防止一般安全事故发生,给予相关人员一次性50-200元的奖励;
b)防止造成重大安全事故的,给予相关人员一次性200-500元的奖励;
c)及时中止正在进行中的商业泄密行为,根据秘密等级给予相关人员一次性500-2000
元的奖励;
d)信息安全事件中采取积极有效措施,降低损失程度,按照具体情况给予相关人员
100-500元奖励;
e)提出信息安全合理化建议,经组织采纳执行,给予相关人员一次性200元的奖励。
发现信息安全事故、薄弱点与故障的员工应按照《信息安全事件管理程序》进行报告。相关的职能部门进行调查后,处理是否应给予奖励,报综合部审批后,由人事综合部在其当月工资中加发奖励金额。
对于授予奖励的相关人员的奖励结果由综合部在组织范围内予以通报。
6 相关文件
《信息安全管理手册》
人力资源管理程序《信息安全事件管理程序》
7 记录
《应聘人员登记表》
《员工保密协议》
《员工年度培训计划》
《培训记录单》
《员工岗位变动表》
《员工离职审批表》
《入职通知书》
《人员需求申请表》
网络信息安全管理程序
历史修订记录
1 目的 为了防止信息的泄密,避免严重灾难的发生,特制定此程序。 2 适用范围 包括但不限于计算机网络、个人计算机、互联网、邮件、电子文件和其他电子服务等相关设备、设施或资源。 3 术语和定义 ePHI:电子受保护健康信息。 IIHI:个人可识别健康信息。 4 职责与权限 4.1信息安全负责人 i.负责批准《系统/软件账号申请单》; ii.负责安全事件的确认和处理。 4.2客服部 i.负责医数聚系统的管理。 4.3人力资源部 i.负责硬件和移动设备的管理; ii.负责钉钉、钉邮和微信的管理。 4.4质量管理部 i.负责监督网络信息安全管理的执行。 4.5各部门 i.负责按照网络信息安全管理要求执行。 5 程序 5.1个人ePHI不论存储媒介,包括但不限于:姓名、年龄、性别、病例、医疗数据; 均需要采取措施,防止泄露。 5.1.1员工获得IIHI的程度应基于员工的工作性质及其相关的职责,员工可以访问他 们完成工作所需的所有IIHI,但不能获得更多的访问权限。 5.1.2任何员工都不可获得比其清除水平更高的IIHI水平。 5.2硬件和移动设备的管理控制 5.2.1硬件和移动设备包括但不限于:计算机、笔记本电脑、移动硬盘、U盘、光碟。 5.2.2硬件和移动设备的领用
5.2.2.1员工办公用到的硬件和移动设备采取实名登记制,由人力资源部通过《硬件 和移动设备领用登记表》做好登录管理,并每年梳理一次,以保证信息的正确性。 5.2.2.2当员工领用新的硬件或移动设备后,应第一时间设置使用密码,密码设置不 可过于简单,避免使用姓名、生日、简单数字等,使用密码只可自己知悉,不可告知其他同事,更不可记录下存放在显眼易获取位置,当员工察觉密码存在泄漏、丢失、被获取的可能时,一小时内上报信息安全责任人知悉,由信息安全责任人按照《安全事件管理程序》执行。为了防止密码被获知,人力资源部需监督员工每半年更换一次使用密码。 5.2.2.3员工离岗超过五分钟需对工位的硬件和移动设备进行保密操作,如拔出移动 硬盘存放在带锁抽屉,启动计算机的屏保功能等。保密操作如可以由设备自动执行,人力资源部应监督员工提前设置好。 5.2.2.4因员工离职、调岗等原因需要退回或变更硬件或移动设备时,退回或变更的 硬件和移动设备,在使用前,由人力资源部对其进行使用痕迹的清除工作,并填写记录《硬件和移动设备使用痕迹清除记录表》,质量管理部监督执行情况。 5.2.3硬件和移动设备损坏需要维修时,以防信息的泄露不可将设备带出公司维修, 需请专业人士上门维修,且全程需要有人员陪同在监控覆盖区域进行,对维修单位或个人按照《业务伙伴的管理程序》执行。 5.3系统/软件管理控制 5.3.1我司现有涉及PHI传输的系统/软件:医数聚系统、钉钉、钉邮、微信。 5.3.2医数聚系统由客服部负责管理,钉钉、钉邮、微信由人力资源部负责管理。 5.3.3我司系统/软件实行一人一账号的原则,个人账号不得相互借用,员工因工作需 要需要登录系统/软件时,需填写《系统/软件账号申请单》,交部门负责人审核,信息安全责任人批准后,交给管理部门开通账号及相关权限,管理部门需建立系统/软件《用户管理一览表》,管理系统/软件的使用人员及其权限相关信息,当员工离职、调岗时,管理部门需在收到信息的第一时间对该账户状态或权限做变更处理。管理部门应不定期的对《用户管理一览表》进行信息确认,以确保其准确无误。 5.3.4员工获得系统/软件的账号及初始密码后,需更改初始密码,密码的管理参见 5.2.2.2。 5.3.5为了确保信息传输在监控下进行,相关部门和人员对外联络应使用公司提供的系 统或软件账号进行。 5.3.6与ePHI相关的信息传输,尽可能在医数聚系统中完成,如必须使用钉钉、钉邮、 微信等,应遵循文件的加密规定。 5.3.7医数聚系统操作控制 5.3.7.1医数聚系统中对每个订单的处理都会形成“订单操作记录”,客服部需每季度
信息安全管理方案计划经过流程
信息安全管理流程说明书 (S-I)
信息安全管理流程说明书 1 信息安全管理 1.1目的 本流程目的在于规范服务管理和提供人员在提供服务流程中应遵循和执行的相关活动,保证信息安全管理目标的实现,满足SLA中的信息安全性需求以及合同、法律和外部政策等的要求。 1) 在所有的服务活动中有效地管理信息安全; 2) 使用标准的方法和步骤有效而迅速的处理各种与信息安全相关的问题,识别并跟 踪组织内任何信息安全授权访问; 3) 满足服务级别协议、合同、相关法规所记录的各项外部信息安全需求; 4) 执行操作级别协议和基础合同范围内的信息安全需求。 1.2范围 本安全管理流程的规定主要是针对由公司承担完全维护和管理职责的IT系统、技术、资源所面临的风险的安全管理。 向客户提供服务的相关人员在服务提供流程中所应遵循的规则依据公司信息安全管理体系所设定的安全管理规定,以及客户自身的相关安全管理规定。 公司内部信息、信息系统等信息资产相关的安全管理也应遵循公司信息安全管理体系所设定的安全管理规定。 2术语和定义 2.1相关ISO20000的术语和定义 1) 资产(Asset):任何对组织有价值的事物。 2) 可用性(Availability):需要时,授权实体可以访问和使用的特性。 3) 保密性(Confidentiality):信息不可用或不被泄漏给未授权的个人、实体和流程的 特性。 4) 完整性(Integrity):保护资产的正确和完整的特性。
5) 信息安全(Information security):保护信息的保密性、完整性、可用性及其他属 性,如:真实性、可核查性、可靠性、防抵赖性。 6) 信息安全管理体系(Information security management system ISMS):整体管理 体系的一部分,基于业务风险方法以建立、实施、运行、监视、评审、保持和改 进信息安全。 7) 注:管理体系包括组织机构、策略、策划、活动、职责、惯例、程序、流程和资 源。 8) 风险分析(Risk analysis):系统地使用信息以识别来源和估计风险。 9) 风险评价(Risk evaluation):将估计的风险与既定的风险准则进行比较以确定重 要风险的流程。 10) 风险评估(Risk assessment):风险分析和风险评价的全流程。 11) 风险处置(Risk treatment):选择和实施措施以改变风险的流程。 12) 风险管理(Risk management):指导和控制一个组织的风险的协调的活动。 13) 残余风险(Residual risk):实施风险处置后仍旧残留的风险。 2.2其他术语和定义 1) 文件(document):信息和存储信息的媒体; 注1:本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:文件的例子,如策略声明、计划、程序、服务级别协议和合同; 2) 记录(record):描述完成结果的文件或执行活动的证据; 注1:在本标准中,应区分记录与文件,记录是活动的证据,文件是目标的证据; 注2:记录的例子,如审核报告、变更请求、事故响应、人员培训记录; 3) KPI:Key Performance Indicators 即关键绩绩效指标;也作Key Process Indication即关键流程指标。是通过对组织内部流程的关键参数进行设置、取样、 计算、分析,衡量流程绩效的一种目标式量化管理指标,流程绩效管理的基础。
安全管理制度
一、安全培训教育制度 一、目的:建立关于员工入厂安全培训教育、日常安全培训教育、公司管理人员的安全培训教育、特殊作业人员的安全培训教育、外来人员的安全培训教育的内容、频次、要求的制度,督促企业全员具备必要的安全生产知识和能力,保证从业人员工作能力能够满足企业安全生产要求。 二、依据:《生产经营单位安全培训规范》(国家安监总局3号令) 《特种设备作业人员监督管理办法》(国家质监总局70号令) 《危险化学品从业单位安全标准化规范》(AQ3013-2008) 三、范围:适用于公司所属各单位和部门 适用于与公司形成劳动关系的所有人员 适用于进入公司所属单位和部门的外来施工人员、参观和实习的单位和个人。 四、培训教育管理: 1、公司安全环保部每年按照国家、地方及行业规定和岗位需要,制定适宜的安全培训目标和要求,根据不断变化的实际情况和培训目标,定期识别安全培训需求,制定安全培训教育计划,经分管副总经理审核、总经理批准后组织实施。 2、公司办公室及安全环保部按照培训计划组织培训教育,保证安全培训教育所需的人员、资金和设施。 3、当安全培训计划变更时,应记录变更情况。 4、特种作业人员应取得特种作业操作证,方可上岗作业,并定期复审。 5、在新工艺、新技术、新装臵、新产品投产前,对有关人员进行专门培训,经考核合格后,方可上岗。 6、安全环保部应对较大安全培训效果进行评价。 7、应确立终身教育的观念和全员培训的目标,对在岗的从业人员进行经常性的 安全培训教育。 8、公司所有人员必须按照法律法规的要求参加各类安全培训教育,熟悉有关安
全生产规章制度和安全操作规程、具备必要的安全生产知识、掌握本岗位的安全生产操作技能、增强应急救援能力。未经安全培训的人员,不得上岗。 五、新从业人员的培训教育: 1、对新从业人员进行公司级、分公司级、班组级安全培训教育,经考核合格后,方可上岗。培训学时必须满足72学时。 2、对转岗、脱离岗位一年(含一年)者,应进行分公司、班组级安全培训教育,经考核合格,方可上岗。 六、其他人员培训: 1、公司应对外来参观、学习等人员进行有关安全规定及安全注意事项的培训教育。 2、对承包商进行入厂安全培训教育,经考核合格发放入厂证,保存安全培训教育计录。进入作业现场前,作业现场所在基层单位要对施工作业人员进行入现场前安全培训教育,保存安全培训教育记录。 七、管理人员培训教育: 1、公司的主要负责人和安全管理人员应接受专门的安全培训教育,经安全生产监管部门对其安全生产知识和管理能力考核合格,取得安全资格证书后反复可任职,并按规定参加每年再培训。 2、企业其他管理人员,包括管理部门负责人和基层单位负责人、专业工程技术人员的安全培训由企业相关部门组织,经考核合格后方可任职。 八。从业人员培训教育: 1、企业应对从业人员进行安全培训教育,并经考核合格后方可上岗。从业人员每年应接受再教育,再培训时间为不少于20学时; 2、公司的特种作业人员应按有关规定参加安全培训教育,取得特种作业证,方可上岗作业,并定期复审。 3、当公司有新工艺、新技术、新装臵、新产品投产前,应对有关人员进行专门培训,经考核合格后,方可上岗。 4.新员工入厂三级安全教育培训后的成绩记录《公司级、分公司级、班组级三级
信息安全运维流程模板
信息安全运维 服务流程 审核:XXX 批准:XXX 版本.修改号:A.0 受控状态:受控 XXX年XX月XX日发布XXX年XX月XX日实施 XXX公司
1.安全运维服务流程 流程图 根据目前安全运维的整体情况,制定了运维服务流程图,具体流程如下图:
1.1需求调研与分析 依据公司自身的运维服务业务定位,业务部负责对客户需要运维的信息系统现状、安全设备设施等内容进行调研,通过会议或者讨论等方式采集客户服务需求和服务目标,明确客户的系统运维服务时间、服务期限、服务内容以及相关服务方式频次等需求,并将调研信息总结整理形成调研分析报告。 1.2报价与成本核算 由公司项目组成员结合公司市场部门,对运维项目的服务内容进行工作量和工作成本的预估。成本核算主要根据信息系统的运维服务时间、工作量、服务方式、服务内容、以及相关人日费用进行。将个单项服务的设备费用、和人力成本等费用总和考虑核算出单项和整体项目的成本以及相应的项目报价。 1.3合同签订 公司项目部门与客户研讨后制定合同方案,并签订项目合同。合同中应明确运维服务的范围、项目周期、服务内容、运维方式、合同金额、付款方式、保密条款、验收条件等。 1.4运维方案设计与编制
根据系统安全运维的实际需求,公司项目部分负责编制安全运维服务方案。服务方案中应明确制定运维服务时间、服务内容、服务方式、服务期限、项目组成员和项目主要沟通联络负责人、服务汇报材料、项目相关的质量管理程序和措施以及运维服务中的风险管理等。 其中,运维时间与期限应写明项目运维起止时间和交付验收的时间节点;服务内容应列出运维服务设备清单和系统边界,以及运维服务的安全检查项目和运维服务周期。 1.5运维服务实施阶段 根据运维服务的方案进行服务实施。主要根据资产列表对设备和系统进行分类、标识,对系统中的配置信息进行备份和安全检查。 对方案中周期性维护的设备和系统,应做好维护记录:巡检、安全查杀、备份、更新、升级、故障排查等。由项目经理负责汇总并整理,最终形成月报、季报和年度总结报告。 1.6运维服务配置管理 配置管理的目的是通过将客户组织、信息、关系进行集中、统一管理,为服务过程提供基础的数据支持,以优化服务流程、提高服务效率、确保服务质量。配置管理范围是公司运维合同范围内的客户的生产和运行环境中的硬件、软件、应用系统、信息资源、服务包以及组织人员等。 配置管理应使用有效管理工具,以确保在运维服务过程中,能够
信息管理与信息安全管理程序.docx
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
信息管理与信息安全管理程序
1 目的 明确公司信息化及信息资源管理要求,对外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c)负责统一规划、组织、整合和管理公司信息资源系统,为各部门(单位)信息采集、整理、汇总和发布等环节提供技术支持;对Internet用户、电子进行设置管理;统一管理分公司互联网出口; d)负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
信息安全管理程序
信息安全管理程序 1.目的 为了防止信息和技术的泄密,避免严重灾难的发生,特制定此安全规定。。2.适用范围 包括但不限于电子邮件、音频邮件、电子文件、个人计算机、计算机网络、互联网和其它电子服务等相关设备、设施或资源。 2.1权责 2.1.1人力资源部:负责信息相关政策的规划、制订、推行和监督。 2.2.2 IT部:负责计算机、计算机网络相关设备设施的维护保养以及信息数据的备份相关事务处理。 2.2.3全体员工:按照管理要求进行执行。 3.内容 3.1公司保密资料: 3.1.1公司年度工作总结,财务预算决算报告,缴纳税款、薪资核算、营销报表和各种综合统计报表。 3.1.2公司有关供货商资料,货源情报和供货商调研资料。 3.1.3公司生产、设计数据,技术数据和生产情况。 3.1.4公司所有各部门的公用盘共享数据,按不同权责划分。 3.2公司的信息安全制度 3.2.1 凡涉及公司内部秘密的文件数据的报废处理,必须碎纸后丢弃处理。 3.2.2 公司员工工作所持有的各种文件、数据、电子文件,当本人离开办公室外出时,须存放入文件柜或抽屉,不准随意乱放,更未经批准,不能复制抄录或携带外出。 3.2.3 未经公司领导批准,不得向外界提供公司的任何保密数据和任何客户数据。 3.2.4经理室要运用各种形式经常对所属员工进行信息安全教育,增强保密意识:3.2. 4.1在新员工入职培训中进行信息安全意识的培训,并经人事检测合格后,方可建立其网络账号及使用资格。 3.2. 4.2每年对所有计算机用户至少进行一次计算机安全检查,包括扫病,去除与工作无关的软件等。 3.2.5不要将机密档及可能是受保护档随意存放,文件存放在分类目录下指定位
信息安全管理规范完整篇.doc
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
人力资源部安全管理制度
X公司发布2011-X-X实施 2011-X-X发布人力资源部安全管理制度 Q/XX
前言 本制度依照《工伤保险条例》、《劳动法》、《中华人民共和国档案法》《XX工业有限责任公司XX员工手册》、《XX工业有限责任公司XX规章制度汇编》等有关文件精神制定安全生产管理制度。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由XX工业有限公司提出。 本标准由安全保卫部归口。 本标准起草部门:人力资源部。 本标准主要起草人:XXX 本标准审核人:XXX 本标准批准人:XXX 本标准首次发布。
员工安全管理制度 1 范围 为加强企业安全生产管理制度,防止和减少生产事故的发生,保证职工的生命和企业财产的安全,保证企业生产、经营活动的顺利进行。 本标准规定适用于与公司签订正式用工合同的XX员工。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。 3 术语和定义 3.1安全管理小组:安全管理小组为公司安全管理机构 3.2安全管理小组组成成员:组长――总负责人组员――副总经理、各部门经理 3.3安全管理责任:人身安全的最高责任人为总负责人及各部门第一责任人,各级管理人员在各自管辖范围内,对员工的人身安全负有不可推卸的责任。 4 职责 4.1人力资源部:贯彻国家安全政策,负责公司安全制度体系的建立与完善,制定、执行各类安全管理措施; 4.2各部门:负责对本部门安全工作进行考核,检查,督促不安全措施的整改落实;出现安全事故,及时组织人员对公司重大安全事故的调查,并拟订可行性处理方案; 4.3保障部:组织公司安全教育培训,安全大检查等安全管理工作。 5工作程序与要求 5.1员工人身安全事故预防 第一条生产安全事故预防 一)责任划分: 1)由于设备的维护和保养以及操作工的培训不到位而造成的安全事故,工程部负主要责任,当事人部门负次要责任。 2)由于现场安全管理不到位造成的安全事故,当事人部门负主要责任,工程部负次
(itil体系管理)信息安全管理流程v.
信息安全管理流程
版本记录
目录 信息安全管理流程 (1) 1介绍 (4) 1.1基本概念 (4) 1.2用途和目标 (4) 1.3范围 (4) 1.4流程运行的前提和时机 (5) 2流程详细说明 (5) 2.1输入 (5) 2.2输出 (5) 2.3流程执行 (7) 2.4流程质量控制 (9) 2.4.1关键绩效指标KPI (9) 2.4.2流程报告 (10) 3流程角色和职责 (10) 4附录 (12) 4.1术语表 (12)
1 介绍 1.1 基本概念 安全管理流程主要描述为确保企业信息系统中信息资源的安全而制定安全政策和规章制度,并且通过实施一整套适当的控制措施(包括策略、实践、流程、组织结构和工具)来实现企业信息的保密性、完整性、可用性的整个过程。 安全管理中的关键词汇定义如下: ?信息安全(Information Security):对于信息的保密性、完整性和可用性的保证。 ?可用性(availability):确保被授权的用户在需要时可以访问到相关的信息和资产。 ?完整性(Integrity):维护信息的正确性和完全性。 ?保密性(Confidentiality):保证信息只能由被授权者访问。 ?风险评估(Risk Assessment):对与信息与信息处理机制所面临的威胁、影响和弱点分析以及这些威胁、影响和薄弱环节发生几率的评估。 1.2 用途和目标 安全管理流程的目标是通过持续性提高的方式,不断分析、发现潜在的风险,通过成本平衡的手段消除和控制潜在或已经发生的风险与威胁,从而保障远东租赁信息技术服务的保密性、完整性与可用性,其用途在于: ?保证满足内部的安全需求,保证远东租赁内部的信息完整性以及其之持续提高。 ?通过不同的服务级别协议、合同、法律条款以及其它安全策略的贯彻实施来保障外部安全要求的满足。 1.3 范围 下表对一些容易混淆的方面作了说明,用来表明安全管理的工作覆盖范围:
信息安全事件管理程序
信息安全事件管理程序 1 目的 为明确信息安全事件处理的责任和流程,有效处理信息安全事件,最大限度地减少和降低因信息安全事件给公司带来的损失,特制定本程序。 2 范围 本程序适用于公司发生的各类信息安全事态或事件的检测、报告和处理。 3 术语和定义 引用ISO/IEC27001和ISO/IEC27002相关术语和定义。 注:本程序中的信息安全事件是标准中的“信息安全事态”和“信息安全事件”的总称。 4 职责与权限 信息安全领导办公室批准关键业务恢复计划,并指导本程序的执行,对执行情况进行监督检查; 各部门信息安全主管负责本程序在部门内的组织实施; 部门信息安全员在信息安全主管的组织下具体实施相关活动。 5 相关活动 5.1 信息安全事件报告流程 任何员工,一旦发生、发现或观察到已发生或潜在的信息安全事件,必须以电话、邮件、口头等方式立即报告给信息安全办公室,联系方式是: 联系人: 联系电话: 邮件: 接报人要填写《信息安全事件报告和处理表》。
5.2 处理 根据信息安全事件的轻重缓急,区分以下情况组织资源处理事件: 如果仅是误报,则取消事件响应,恢复到正常状态;如果信息安全事件已被控制,未影响关键业务活动,在部门信息安全主管组织下对信息安全事件进行处理,并记录所有信息用于信息安全事件的评审; 如果信息安全事件已被控制,已影响关键业务活动,在XXX部负责下,实施《XXX关键业务活动恢复计划》,并记录所有信息用于信息安全事件的评审; 如果信息安全事件失去控制,实施紧急救援,召集外部专业机构实施处理,见《对外联络表》,同时记录所有活动;并由XXX部负责填写《信息安全事件报告和处理表》。 5.3 改进 信息安全事件处理完毕后,信息安全领导办公室应进行以下活动: ●进一步收集相关事件信息; ●从信息安全事件中总结教训,重点分析事件发展的趋势和模式; ●确定新的或经过变化的控制措施并制定计划付诸实施; ●适当时对相关人员进行信息安全事件的教育培训。 6 相关文件和记录 业务连续性管理程序 备份管理程序 关键业务恢复计划 对外联络表 信息安全事件报告和处理表
人力资源全套管理制度
第一章总则1 第二章人力资源管理权限1 第三章招聘与配置制度2 第四章培训与开发制度7 第五章薪酬制度13 第六章绩效考核制度 (17) 第七章社会保险和福利制度 (21) 第八章考勤、请假和休假制度 (24) 第九章劳动合同管理制度 (29) 第十章调配与晋升制度 (35) 第十一章雇佣关系解除 (37) 第十五章员工日常行为规范 (41) 第十六章奖惩制度 (56) 第十七章岗位说明说书 (186)
第一章总则 一、为加强公司的人力资源管理,明确人力资源管理权限及人力资源管理程 序,使公司人力资源管理工作有所遵循,特制定本制度。 二、适用范围:本规定适用公司全体职员,即公司聘用的全部从业人员。 三、除遵照国家有关法律规定外,本公司的人力资源管理管理,均依本制度 规定办理。 四、人力资源管理制度组成:招聘与配置制度、培训与开发制度、绩效考核 制度、薪酬与福利制度、劳动关系管理制度。 第二章人力资源管理权限 一、总经理确定公司的部门设置和人员编制、部门经理、副经理的任免、去 留及晋级;总经理领导、监督、负责人力资源管理工作;综合管理部贯彻执行公司的人力资源管理制度;部门经理协助公司人力资源管理工作的开展。 二、人力资源管理工作职责 1、负责公司人力资源管理制度的建立、实施和修订。 2、协助各部门办理职员招聘,聘用及解聘手续。 3、负责管理公司人事档案资料。 4、负责公司薪酬与福利制度的制定、实施和修订。 5、负责公司日常劳动纪律及考勤管理。 6、组织公司试用考核、平时考核及年终考核工作。 7、组织公司职员各项培训工作。 8、协助各部门办理公司职员的任免、晋升、调动、奖惩等人事手续。 9、负责公司各项保险、福利制度的办理。 10、组织各部门进行职务分析、职务说明书的编制。
信息安全管理制度汇总
信息安全管理制度 为加强公司各信息系统管理,保证信息系统安全,根据《中华人民共和国保守国家秘密法》和国家保密局《计算机信息系统保密管理暂行规定》、国家保密局《计算机信息系统国际联网保密管理规定》,及上级信息管理部门的相关规定和要求,结合公司实际,制定本制度。 本制度包括网络安全管理、信息系统安全保密制度、信息安全风险应急预案 网络安全管理制度 第一条公司网络的安全管理,应当保障网络系统设备和配套设施的安全,保障信息的安全,保障运行环境的安全。 第二条任何单位和个人不得从事下列危害公司网络安全的活动: 1、任何单位或者个人利用公司网络从事危害公司计算机网络及信息系统的安全。 2、对于公司网络主结点设备、光缆、网线布线设施,以任何理由破坏、挪用、改动。 3、未经允许,对信息网络功能进行删除、修改或增加。 4、未经允许,对计算机信息网络中的共享文件和存储、处理或传输的数据和应用程序进行删除、修改或增加。 5、故意制作、传播计算机病毒等破坏性程序。
6、利用公司网络,访问带有“黄、赌、毒”、反动言论内容的网站。 7、向其它非本单位用户透露公司网络登录用户名和密码。 8、其他危害信息网络安全的行为。 第三条各单位信息管理部门负责本单位网络的安全和信息安全工作,对本单位单位所属计算机网络的运行进行巡检,发现问题及时上报信息中心。 第四条连入公司网络的用户必须在其本机上安装防病毒软件,一经发现个人计算机由感染病毒等原因影响到整体网络安全,信息中心将立即停止该用户使用公司网络,待其计算机系统安全之后方予开通。 第五条严禁利用公司网络私自对外提供互联网络接入服务,一经发现立即停止该用户的使用权。 第六条对网络病毒或其他原因影响整体网络安全的子网,信息中心对其提供指导,必要时可以中断其与骨干网的连接,待子网恢复正常后再恢复连接。
信息安全事件处理流程
信息安全事件处理流程 Document number【AA80KGB-AA98YT-AAT8CB-2A6UT-A18GG】
信息安全事件处理流程 一、信息安全事件分类 根据公司实际生产运行情况,将信息安全事件分为两大类:重大信息安全事件和一般信息安全事件。 1、重大信息安全事件 1) 重要信息系统遭受严重的系统损失; 1.1 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断不能为超过80%(包括80%)的网络注册用户提供服务,时间达4小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达8小时。 1.2 系统(硬、软件)损坏或失窃,直接经济损失达1万元以上者。 1.3 重要技术开发、研究数据损坏或丢失,或重要信息系统数据损坏或丢失,数据量在时间上连续超过48小时。 1.4 发生计算机程序、系统参数和数据被删改等信息攻击和破坏或计算机病毒疫情导致信息系统不能提供正常服务达到上述的规定。 1.5 发生传播有害数据、发布虚假信息、滥发商业广告、随意侮辱诽谤他人、滥用信息技术等信息污染和滥用,网络地址和用户身份信息的窃取、盗用。 1.6 发生自然灾害性事件导致的信息安全事故。 2)产生的社会影响波及到一个或多个地市的大部分地区,引起社会恐慌,对经济的建设和发展有较大负面影响,或损害到公众利益。 2、一般信息安全事件 1)重要信息系统遭受较小的系统损失; 1.1 通信线路和设备故障、主机(服务器)、存储系统、网络设备(各类网络交换机、路由器、防火墙等)、电源故障运行中断导致不能为超过80%(包括80%)的网络注册用户提供服务,时间达2小时;不能为80%以下网络注册用户提供服务,持续等效服务中断时间达4小时。
公司信息安全管理制度
信息安全管理制度 信息安全是指通过各种策略保证公司计算机设备、信息网络平台(内部网络系统及ERP、CRM、WMS、网站、企业邮箱等)、电子数据等的安全、稳定、正常,旨在规范与保护信息在传输、交换和存储、备份过程中的机密性、完整性和真实性。为加强公司信息安全的管理,预防信息安全事故的发生,特制定本管理制度。本制度适用于使用新合程计算机设备、信息系统、网络系统的所有人员。 1.计算机设备安全管理 1.1员工须使用公司提供的计算机设备(特殊情况的,经批准许可的方能使用自已的计算机),不得私自调换或拆卸并保持清洁、安全、良好的计算机设备工作环境,禁止在计算机使用环境中放置易燃、易爆、强腐蚀、强磁性等有害计算机设备安全的物品。 1.2严格遵守计算机设备使用、开机、关机等安全操作规程和正确的使用方法。任何人不允许私自拆卸计算机组件,当计算机出现硬件故障时应及时向信息技术部报告,不允许私自处理和维修。 1.3员工对所使用的计算机及相关设备的安全负责,如暂时离开座位时须锁定系统,移动介质自行安全保管。未经许可,不得私自使用他人计算机或相关设备,不得私自将计算机等设备带离公司。
1.4因工作需要借用公司公共笔记本的,实行“谁借用、谁管理”的原则,切实做到为工作所用,使用结束后应及时还回公司。 2.电子资料文件安全管理。 2.1文件存储 重要的文件和工作资料不允许保存在C盘(含桌面),同时定期做好相应备份,以防丢失;不进行与工作无关的下载、游戏等行为,定期查杀病毒与清理垃圾文件;拷贝至公共计算机上使用的相关资料,使用完毕须注意删除;各部门自行负责对存放在公司文件服务器P盘的资料进行审核与安全管理;若因个人原因造成数据资料泄密、丢失的,将由其本人承担相关后果。 2.2文件加密 涉及公司机密或重要的信息文件,所有人员需进行必要加密并妥善保管;若因保管不 善,导致公司信息资料的外泄及其他损失,将由其本人承担一切责任。 2.3文件移动
IT信息安全事件管理程序
IT信息安全事件管理程序 1 目的 为了在尽可能小地影响用户和用户业务的情况下使IT系统尽快恢复,从而维持良好的服务质量和可用性级别,特制定本程序。 2 范围 本程序适用于IT信息对核心系统及总行各部门及各分行、支行相关主机、网络、终端等IT事件处理流程的管理。 3 相关文件 《变更管理控制程序》 4 职责 4.1 网管值班人员负责接收所有事件的报告并记录,根据事件类型决定事件处理; 4.2 事件经理负责事件类型的确定,事件过程的管理; 4.3 支持团队负责针对事件的方案的实施和解决; 4.4 信息总经理负责重大事件的管理,担当重大事件经理的角色。 5 程序 5.1 事件管理目标 对于事件管理过程,应遵循以下目标: a)尽快恢复正常服务。 b)最小化事件对业务的影响。 c)确保一致地处理事件和服务请求而不会有任何遗漏。 d)定向到最需要的支持资源。 e)提供允许优化支持流程、减少事件数量和执行管理计划的信息。
5.2 事件的分类 5.2.1基于两个方面对事件进行分类: a)事件所造成的影响 b)事件的紧急程度 5.2.1.1 事件的影响等级 5.2.1.2 事件的紧急程度等级 5.2.1.3 事件的优先级 事件的优先级是根据事件的影响等级和事件的紧急程度来决定的。影响等级高并且紧急程度高的事件优先级为最高级,影响等级低并且紧急程度低的事件优先级为低级。
下表显示了与这些参数相关事件的分类: 5.3 事件的发现、记录和报告 5.3.1 事件的发现 事件通常由用户、IT团队、供应商或监控系统检测到。对于各类来源所探测到的事件报告,均应由首先接到报告的人员根据事件分类的原则进行判断,属于高等级或最高等级的事件,应立即向信息总经理报告,必要时应继续报告行领导及上级监管机构。 一般事件的处理按照5.4.1要求执行。 5.3.2 事件的记录 所有被报告或主动探测到的事件均应被记录。记录内容应包括: a)唯一参考号 b)记录日期和时间 c)记录事件的人员的身份 d)报告事件的人员的身份(包括姓名、部门、位置和联系详细信息) e)联系方法 f)受影响的配置项 (CI) 的详细信息 g)症状描述和任何错误代码 h)重现该问题所需要的步骤 5.4 事件的处理 5.4.1 一般事件 一般事件根据引起事件的不同原因,按照各类日常维护工作所涉及到的管理程序执行处理过程。
信息管理与信息安全管理程序DOC
金陵石化公司一体化管理体系 信息管理与信息安全管理程序 文件编号JLSH-T20.32.00.027.2011 版本/修改A/0 第 1 页共16页1 目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门(单位)和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2 适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3 术语和定义 3.1 信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准化、内部控制、三基等和生产经营管理中所有信息。 3.2 企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应,其本质是加强企业的“核心竞争力”。 3.3 信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6 LIMS 实验室信息管理系统 3.7 IT 信息技术 4 职责 4.1 信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策,定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况,协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3 信息中心是公司信息化工作的归口管理部门,主要职责: a)负责制定并组织实施本程序及配套规章制度,对各部门(单位)信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施;
公司信息安全管理制度流程1.doc
公司信息安全管理制度流程1 **公司信息安全管理制度 一、信息安全指导方针 保障信息安全,创造用户价值,切实推行安全管理,积极预防风险,完善控制措施,信息安全,人人有责,不断提高顾客满意度。 二、计算机设备管理制度 1 2 3 进行控制的代码。操作代码分为系统管理代码和一般操作代码。代码的设置根据不同应用系统的要求及岗位职责而设置; (二)系统管理操作代码的设置与管理 1、系统管理操作代码必须经过经营管理者授权取得; 2、系统管理员负责各项应用系统的环境生成、维护,负责一般操作 代码的生成和维护,负责故障恢复等管理及维护; 3、系统管理员对业务系统进行数据整理、故障恢复等操作,必须有
其上级授权; 4、系统管理员不得使用他人操作代码进行业务操作; 5、系统管理员调离岗位,上级管理员(或相关负责人)应及时注销 1 3 1 码。 重复、顺序、规律数字等容易猜测的数字和字符串; 2、密码应定期修改,间隔时间不得超过一个月,如发现或怀疑密码遗失或泄漏应立即修改,并在相应登记簿记录用户名、修改时间、修改人 等内容。 3、服务器、路由器等重要设备的超级用户密码由运行机构负责人指定专人(不参与系统开发和维护的人员)设置和管理,并由密码设置人员将密码装入密码信封,在骑缝处加盖个人名章或签字后交给密码管理人员存档并登记。如遇特殊情况需要启用封存的密码,必须经过相关部门负责人同意,由密码使用人员向密码管理人员索取,使用完毕后,须立即更改并封存,同时在“密码管理登记簿”中登记。
1 2 3 4 失。数据恢复过程中要严格按照数据恢复手册执行,出现问题时由技术部门进行现场技术支持。数据恢复后,必须进行验证、确认,确保数据恢复 的完整性和可用性。 5、数据清理前必须对数据进行备份,在确认备份正确后方可进行清理操作。历次清理前的备份数据要根据备份策略进行定期保存或永久保 存,并确保可以随时使用。数据清理的实施应避开业务高峰期,避免对联 机业务运行造成影响。 6、需要长期保存的数据,数据管理部门需与相关部门制定转存方案,根据转存方案和查询使用方法要在介质有效期内进行转存,防止存储介质过期失效,通过有效的查询、使用方法保证数据的完整性和可用性。转存 的数据必须有详细的文档记录。
安全管理制度汇编(人力资源部)
安全生产责任制 第一章总则 第一条为了贯彻执行“安全第一,预防为主,综合治理”的安全方针,加强公司安全管理,明确各级领导和各职能部门的职责,保障员工在生产工作中的安全和健康,根据《中华人民共和国安全生产法》等相关法律法规,特制定本制度。 第二条各单位在各项生产建设中要把安全生产工作摆在第一位,实行安全管理第一领导责任制。 第三条根据“管生产必须管安全”的原则,各级领导在各自工作范围和管理权限内,负责组织贯彻执行国家和上级部门有关安全生产的政策、法令、法规和规定。认真贯彻“五同时”,在计划、布置、检查、总结、评比生产工作时,同时计划、布置、检查、总结、评比安全工作。 第四条安全生产人人有责,全体员工都必须在各自岗位对实现安全生产负责;实行全体员工安全生产责任制。 第五条本制度适用于公司各生产厂(车间)、管理部(室),各单位据此制度并结合具体情况制定本单位的安全生产责任制度。 第二章公司领导安全生产责任制 第一条总经理的职责: 1.认真贯彻执行国家安全生产方针、政策、法律、法规,负责本公司的安全生产全面管理,对安全生产负全责。 2.审定、批准公司安全生产管理计划,根据《安全生产法》建立健全安全工作机构和安全人员编制,保证所需的经费开支,消除重大隐患和职业危害,不断改善员工劳动条件,保证本单位安全生产的有效实施。 3.检查指导公司高管分管的安全生产工作,组织制定本单位安全生产规章制度和操作规程。 4.督促、检查本公司的安全生产工作,及时消除安全事故隐患。 5.组织制定并实施生产安全事故应急救援预案。 6.及时、如实的向政府部门报告本公司的生产安全情况。 第二条生产副总经理的职责: 1.根据总经理授权,负责公司全面的安全工作,对安全生产负具体领导责任。 2.组织领导公司的安全生产检查,落实整改措施,及时研究解决生产中的不安全问题。 3.在新建、改建、扩建及技术改造项目中负责保证工程的安全卫生设施与主体工程同时设计、同时施工、同时投入使用。