| 科技有限责任公司ISO27001程序文件
编号: ZKYKJ-CX-2016
版次: V1
编制: 体系组
审核: 赵元礼
批准: 杨雪琴
生效日期: 2016-03-04
2016年03月04日发布 2016年03月04日实施
修订
修订日期 修订内容 修订 审核 备注
目录
一、公用部分 5
1.文件控制程序 5
2.记录控制程序 9
3.法律法规与其他要求程序 11
4.管理评审控制程序 13
5.公司环境分析控制程序 16
6.人力资源管理程序 19
7.内部审核控制程序 22
8.不符合、纠正与预防措施管理程序 25
二、信息安全 27
9.信息安全风险管理程序 28
10.用户访问控制程序 41
11.信息安全惩戒奖励管理程序 44
12.信息安全指南管理程序 47
13.移动计算和远程工作管理程序 55
14.物理安全区域安全管理程序 57
15. 信息处理设施管理程序 59
16. 变更管理程序 62
17. 信息系统监控管理程序 66
18. 病毒(恶意代码)和可移动代码防范管理程序 68
19. 业务数据备份管理程序 71
20.网络安全管理程序 75
21. 信息安全事件管理程序 78
22. 业务连续性管理程序 81
三、信息技术服务 84
23. 服务级别管理程序 84
24. 服务报告管理程序 93
25. 持续性管理程序 97
26. 可用性管理程序 1
27. 服务的预算和核算管理程序 8
28. 服务的策划与实施管理程序 14
29. 能力管理程序 23
30. 客户关系管理程序 28
31.供应商管理程序 33
32.事件管理程序 38
33.问题管理程序 47
34.配置管理程序 53
35.发布管理程序 58
一、公用部分
1.文件控制程序
编号:ISMSP-01-1 修改状态:A/0
1 目的
为了对本公司ISMS要求的文件、资料进行有效控制,确保各相关场所使用现行有效版本的文件,保证其信息安全的保密性、完整性、可用性,特制定本程序。
2 范围
本程序适用于ISMS文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的控制要求。
3 职责与权限
3.1 总经理负责信息安全适用性声明、信息安全管理手册和信息安全政策的批准颁布。
3.2 管理者代表负责信息安全程序文件的批准颁布。
3.3 综合管理部负责外来文件的收录、批转和发放。
3.4体系管理部组织对信息安全管理手册、程序文件的制(修)订和管理控制。
3.5 其他部门
负责主管业务范围内ISMS文件的编制、修订并执行相关的保密规定。
4 程序
4.1 文件和资料的分类及标识
4.1.1 按来源分内部文件、外来文件。
4.1.2 按类别分:信息安全管理手册、程序文件、作业文件(包括操作规程、实施细则等)、相关方提出要求的文件、法律、法规性文件,其他管理制度、通知、计划等。
4.1.3 按受控状态分:受控文件、非受控文件。
4.1.4 按信息敏感性分:商业秘密、一般信息。
信息资产密级
商业
秘密 公司部门经理级以上人员可以访问的文件或数据,或只有某个/某些部门可以访问的文件或数据
一般信 息 对内对外全部可公开的信息
对于哪些文件或记录属于商业秘密在《资产识别清单》中识别,商业秘密文件或记录只有经授权的人员才能访问。
4.1.5 按呈现媒体形式分:书面、电子媒体。
4.2 内部文件
4.2.1 文件的编写
信息安全适用性声明、信息安全管理手册、政策性文件由ISMS编写。
信息安全程序文件由管理者代表组织各部门编写。
技术规范文件、管理规定等文件由各部门收集或组织编写。
4.2.2 文件的编号
4.2.2.1信息安全管理手册编号:
ISMS-□□-□
版本号
手册、适用性声明文件的顺序号
信息安全管理手册/适用性声明的英文缩写
4.2.2.2 信息安全程序文件编号:
ISMSP-□□-□
版本号
程序文件顺序号
信息安全管理体系程序文件代号
4.2.2.3 (作业指导书)技术规范文件、管理规定文件等编号:
ISMSD-□□-□□-□
版本号
作业文件顺序号
部门拼音代码
信息安全管理体系作业文件代号
4.2.3文件的批准
信息安全适用性声明、信息安全管理手册和政策文件由ISMG审核、总经理批准;信息安全程序文件由各部门经理审核后,管理者代表批准。
作业文件由各部门负责人批准。
各文件管理部门应保存本部门所负责组织编写文件中的编写人、审核人、批准人签字的原始记录。
4.2.4 文件的发放
信息安全管理手册和程序文件由综合管理部统一编号发放,发布的文件存放在公司的文件服务器上,并根据信息安全管理体系确认体系覆盖的部门和人员确定管理手册和程序文件的发放范围,给相关人员阅读权限。
作业文件由综合管理部统一编号发放,发布的文件存放在公司的文件服务器上,并授予对应部门的阅读编辑权限。
对于发送给第三方的文件,需要经过管理者代表批准,并填写《文件发送(回收)清单》
4.2.5 文件的修改
文件内容需修改时,应由文件修改提出人或文件管理部门的工作人员填写《文件更改申请(通知)单》,提出更改意见并说明原因,在文件原审批人同意后,由综合管理部门工作人员负责修改。
文件修改后,文件修改人按原批准手续,重新审批。
电子版本文件的修改,需履行以上书面修改审批手续,由综合管理权限部门对其文件进行修改更新。
文件如有修订文件,首先将原文件转移到文件工作目录对应版本号的目录中,将新发布的文件放到对应的文件发布目录中。其中发布版本格式为:1.0、2.0、3.0……修订版本格式为:0.1、0.2……1.1、1.2……
4.2.6 文件的换版与作废
当上一个版本中的文件修订数量超过总数的一半时,将全部文件发布成新版本。
文件经过多次修改需要换版时,原版文件作废,换成新版的同时履行原批准手续。
4.2.7 文件的归档和借阅
信息安全管理手册和程序文件经审核、批准后,由综合管理部统一编号、登记,并应填写《文件和记录一览表》。
因工作需要临时访问文件资料的人员,经综合管理部负责人批准后方可阅读。
4.2.8 记录的保护
各部门应按照有关法律、法规要求和公司的《记录管理程序》明确规定重要记录的保存期限并提供适当的保护,防止丢失、损坏和伪造。
数据保护和个人信息隐私:
对处理与个人数据与信息有关的部门应按照国家法律法规的有关规定及相关方合同的约定,对其个人信息进行妥善管理与保护,防止丢失或泄漏个人秘密。
5 外来文件
对外来的文件由综合管理部负责收录、转发到相应的使用部门;需经公司最高管理层阅批的,由综合管理部统一办理后转发到相应的部门使用和管理。
6 文件的受控管理
发布文件放入对应的文件发布目录,未发布及历史文件存放在文件工作目录对应版本号的目录中。
受控文件不得随意自行打印、复印;如需要时,使用人可向文件归口部门申请阅读。
7 文件的保密管理
各部门存放电子媒体中需要保密的文件资料,应给文档加上6位数字以上的密码。根据本部门的需要可在安全的异地存有备份。
信息安全管理体系文件未经信息安全管理者代表授权,任何人不得采取任何形式将体系文件转给其他组织或人员使用,一经发现按《安全惩戒奖励管理程序》予以惩戒。
8 文件的评审
体系管理部在每年年底管理评审会议前组织各部门负责人及信息安全员对信息安全适用性声明、信息安全管理手册和程序文件进行一次评审。
当公司的组织机构发生重大的变化时,由体系管理部及时组织各部门负责人及信息安全员对信息安全管理手册和程序文件进行评审。
其他各部门的文件由各部门根据工作自行组织对文件进行评审。
9 相关文件
《信息安全惩戒奖励管理程序》
《记录管理程序》
10 记录
《文件更改申请(通知)单》
《文件发送(回收)单》
《文件和记录一览表》
★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川CCRC认证★四川GJB5000A认证★
2.记录控制程序
编号:ISMSP-02-1 修改状态:A/0
1. 目的
为了建立健全管理体系记录,使记录的标识、收集、编目、查阅、归档、贮存、保存期限和处置处于受控状态,以提供符合要求和管理体系有效运行的客观证据,公司制定《记录控制程序》。
2. 适用范围
本程序适用于公司各职能部门记录的实施控制;
本程序适用于公司信息安全管理体系/信息技术服务管理体系。
3. 术语和定义
本程序引用ISO27001中的相关术语和定义。
4. 职责
4.1 公司综合管理部负责制定并监督实施本程序。负责记录的标识及对公司各部门记录控制工作进行监督检查。
4.2综合管理部负责管理体系文件的存档管理。
4.3公司各职能部门负责本部门记录的控制工作。
5. 工作程序
5.1记录的类别
公司各职能部门在管理体系运行过程中形成的各种记录表格、图片、录音等证据均为记录。记录包括:
a)管理体系运行记录;
b)业务实现过程记录。
记录名称详见公司《记录清单》。
5.2记录的编制
5.2.1 综合管理部负责编制公司《记录清单》
5.2.2 公司各职能部门根据公司《记录清单》,编制本部门、本单位的《记录清单》,明确各项记录的责任人。
5.2.3记录须按规定要求填写,内容完整、真实及时、字迹清晰,不得任意涂改。
5.3记录的收集
5.3.1记录形式可以是纸张、光盘、照片、磁带、样件等各种媒体形式。
5.3.2 公司各职能部门按照本部门正在使用的表格 建立《记录清单》,由责任人收集、保管各项记录,保证记录及时、完整、真实。
5.4 记录的编号
5.4.1国家、地方、行业标准要求的记录编号按原有编号;
5.4.2 本公司过程记录的编号具体执行公司《文件控制程序》的规定。
5.5 记录的检索
5.5.1 各部门编制记录清单,对管理体系文件及产品资料归类;保管方式要分类、分项易于查找,便于存取,为查阅提供方便。
5.6 记录的保管、贮存
公司各部门所有记录应有专人保管,放置在干燥之处,防止损坏、变质和丢失。记录的保存期限在公司《记录清单》中明确。
5.7 记录的借阅
记录的借阅要经保管部门主管领导批准,按规定办理借阅手续,借阅后及时收回并填写《发放回收(借阅)登记表》。
5.8 记录的存档
5.8.1 项目资料的归档具体执行的公司《文件控制程序》。
5.8.2除项目资料以外记录的存档具体执行公司有关规定。
6. 相关表格
《记录清单》
★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川CCRC认证★四川GJB5000A认证★
3.法律法规与其他要求程序
编号:ISMSP-03-1 修改状态:A/0
1. 目的
为了及时获取、识别、传递和更新适用于本公司的法律法规,保信息安全、信息技术服务管理体系的正常运行,以保证公司生产、经营、服务等管理活动符合相关的法律法规,公司制定《法律法规与其他要求程序》。
2. 适用范围
本程序适用于公司范围内法律、法规的获取、识别、传递和更新;
本程序适用于公司信息安全、信息技术服务管理体系。
3. 术语和定义
本程序引用ISO27001中的相关术语和定义。的相关术语和定义。
4. 职责
4.1管理者代表负责批准公司《法律法规总清单》,并传达满足法律法规的重要性。
4.2综合管理部负责制定和贯彻实施本程序,负责管理和定期公布公司有效的《法律法规总清单》。综合管理部负责接收上级下发的法律法规文件,并转发给公司相关职能部门。
4.3公司各职能部门负责获取的法律法规适用性的确认,经公司领导审批后发布,报综合管理部汇总备案。
5. 工作程序
5.1获取范围
a)国家有关的法律、法规、条例、规范;
b)省(市)地方法规和相关部委的规章;
c)国家、行业和地方的标准;
d)适用的国际公约、国际条约及国际惯例;
e)其他要求。
5.2获取途径
5.2.1转发到综合管理部的法律法规由综合管理部负责接收并及时转发给公司相关职能部门。
5.2.2公司各职能部门获取的法律法规确认其适用性,经公司领导批示后,传阅相关职能部门。
5.2.3公司各相关职能部门要通过报刊、杂志、互联网站、出版社、行业协会等途径及时获取与本公司相关的国家与地方性的法律法规,并确认其适用性,报公司领导批示后,转发给各相关职能部门。
5.3确认适用性
5.3.1公司各职能部门对于获取的法律法规,由本部门负责人对其版本、有效性及与公司产品、服务活动的适用性进行识别确认,经领导审批后,确认为公司和本部门适用的法律、法规,填入部门法律法规清单,并填写《法律法规获取(更新)登记表》,一式两份,报综合管理部备案。
5.3.2当现行的法律法规更新时,公司各相关职能部门应重新对其适用性予以确认,及时发放更改通知,并传递到综合管理部,填写《法律法规更新登记表》,一式两份,报综合管理部一份留存,并更改《法律法规清单》。
5.3.3综合管理部根据确认后的法律法规填写公司《法律法规总清单》,经公司总经理批准后,向有关单位发放。
5.3.4综合管理部每年更新《法律法规总清单》。
5.4对法律、法规及其他要求的符合性评价
综合管理部每次在管理评审时负责组织对公司的法律法规符合性进行一次评价。
5.5法律法规的管理
5.5.1综合管理部负责建立确认适用的《法律法规总清单》,并对总清单和留存的法律法规妥善保管,防止丢失。
5.5.2公司各职能部门对公司适用的法律法规进行归档管理,并根据适用和更新的情况随时予以更新。公司各职能部门将适用的法律法规原文发放给管理体系覆盖的各部门。
5.5.3公司各相关职能部门负责对本部门适用的法律法规,按国家、地方、行业分别建立清单,对获取或更新的法律法规如实填入清单,妥善保管并负责跟踪其变化。
5.5.4公司各职能部门应结合自己所承担的生产、经营、服务等管理活动的职责和内容组织对相应法律法规标准的学习、宣传或培训,培训工作具体执行公司《人力资源控制程序》。
6. 标准表格
★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川CCRC认证★四川GJB5000A认证★
4.管理评审控制程序
编号:ISMSP-04-1 修改状态:A/0
1. 目的
为确定保持信息安全、信息技术服务管理体系运行持续的适宜性、充分性和有效性,定期实施管理评审活动,公司制定《管理评审控制程序》。
2. 适用范围
本程序适用于公司内部进行管理体系的管理评审工作。
3. 术语和定义
本程序引用ISO27001中的相关术语和定义。
管理评审:由最高管理者主持的对体系有效性、充分性有适宜性进行评审的会议。
4. 职责
4.1 公司总经理(最高管理者)主持管理评审工作,审批《管理评审报告》。
4.2 管理者代表负责公司管理评审工作的策划,审批《管理评审改进措施》,向公司总经理报告体系的运行情况。
4.3 综合管理部负责管理评审的输入和输出,以及管理评审资料的收集、整理和存档。
4.4 公司各职能部门应为管理评审提供本部门在体系运行中存在的问题,并做出有效的分析、评价和改进的建议;按照管理评审做出的改进决定,制定《管理评审改进措施》,并组织实施。
5.工作程序
5.1 管理评审的实施
5.1.1在管理体系审核的基础上,公司管理评审每年进行一次,两次管理评审的时间间隔不能大于12个月,以确保及时评审管理体系的有效性、充分性和适宜性,逐步形成良性的自我改进体系。
5.1.2在公司管理体系的内部或外部环境有重大变化时:如新的相关法律、法规出台;市场形式发生变化;产品的生产新技术出现;质量概念及顾客的要求和期望的变化;组织内部在产品、过程、资源管理方面的重大变化,或他们对方针及目标的实现有较大影响时;组织的机构、职责分配、最高管理者、运行机构出现重大变化,应由公司总经理决定及时增加管理评审的次数。
5.1.3管理评审采用最高管理者主持、公司各职能部门参加的会议评审方式。评审组成员由公司各部门管理人员组成,管理者代表及评审主管部门协助实施。
5.2 管理评审的输入
5.2.1输入信息包括:
a) 内审、外审的结论和应改进的问题;
b)在投标、软件开发、系统集成、运维实施中客户及相关方对产品或服务质量的满意程度、意见、建议乃至抱怨的问题;
c)各种过程实施的业绩和项目的质量状况及存在的问题;
d)安全指标的完成情况;
e)预防措施及纠正措施的实施、验证状况及应讨论的问题;
f)公司遵规守法情况;
g)以往管理评审提出的改进措施跟踪验证情况;
h)由于内外部管理环境的变化,可能影响管理体系变更的、应与研讨的问题;
i) 管理体系职能部门、管理者代表、各层次机构提出应与改进的建议。
5.2.2输入的信息应来自规范化的信息渠道,除了管理体系职能部门及管理者代表以外还要听取其他部门和人员的信息,以保证信息的全面性和准确性。
5.2.3输入信息的人员、部门应同时做出有效的分析、评价和建议,以供会议评审之用。
5.2.4管理体系审核报告、纠正和预防措施报告、服务工作报告等是管理评审重要的信息输入。
5.3管理评审的输出
5.3.1管理评审的输出应包括管理体系和过程的有效性、产品质量等三方面持续改进的决定和措施,以及不断满足顾客要求的措施。
5.3.2管理评审的输出也包括资源需求的相关决定和措施。资源分为人力资源、基础设施及工作环境等三方面。
5.3.3管理评审的输出还应包括对管理体系适宜性、充分性、有效性的评审结论。
5.4管理评审工作列入公司议事日程。评审会议召开前,管理者代表组织有关人员进行调查研究,由综合管理部起草管理评审会议议题,报公司总经理同意后,印发给评审组成员准备相关内容。
5.5公司总经理主持评审会议,评审组成员对公司管理体系运行的适宜性、充分性和有效性进行正式评审。形成结论性意见,管理体系需进一步改进或完善时,评审会议要做出改进决定。评审会议情况应予以书面记录。
5.6 评审会议后, 综合管理部根据评审意见起草《管理评审报告》。《管理评审报告》经公司总经理审批后,分发公司有关领导和各职能部门。
5.7 公司各职能部门根据管理评审做出的改进决定,制定管理评审改进措施,经管理者代表审批后,组织实施并确保改进效果; 综合管理部对改进措施执行情况进行跟踪检查,对改进效果进行验证后,填写《管理评审改进措施实施记录》,报管理者代表审批。
5.8 管理评审记录的存档
5.8.1综合管理部对管理评审工作中形成的各种资料,包括评审计划、通知、评审记录、改进措施及验证记录应予以收集、存档。
5.8.2公司管理评审工作结束后, 综合管理部按照公司《文件控制程序》和《记录控制程序》的有关规定,对全部资料进行汇总、整理,公司各相关职能部门保存相关管理评审记录。
6. 附件和标准表格
标准表格::
(1)《管理评审报告》
(2)《管理评审计划》
★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川CCRC认证★四川GJB5000A认证★
5.公司环境分析控制程序
编号:ISMSP-05-1 修改状态:A/0
1 目的
为满足ISO27001标准的要求,确定与本公司目标和战略方向相关并影响实现管理体系预期结果的各种内部和外部因素,对其进行有效控制。
2 适用范围
适用于对本公司经营环境内外部因素识别、评价。
3 职责
3.1综合管理部为本程序的归口管理部门,负责组织本公司的内外部环境分析与评价。
3.2软件开发部负责技术风险分析、质量风险分析。
3.3 销售部负责市场风险分析及经营风险分析。
3.4财务部负责财务风险分析。
4 工作程序
4.1 风险识别时机:管理体系策划、企业宗旨变化、战略变化、内外部环境变化、组织及其背景、相关方的需求和期望变化。
4.2 参与风险管理的人员应经过综合管理部组织风险管理知识的培训,合格后方可进行。
4.3 需考虑的风险有:
4.3.1质量风险
a直接质量风险:产品质量问题,导致退货、换货、修理等风险。
b间接质量风险:产品使用过程,损坏了顾客的其它财产权或人身权,应负民事赔偿责任。
4.3.2环境风险
a产品销售淡季与旺季,影响顾客的采购,也间接影响公司产品生产,考虑库存。
b人文环境:主要体现在不同时间、不同地区、不同民族的人消费习惯不同。
c政策环境:国家宏观经济政策、经济环境的变动,以及个地方的相关政策的变动会间接的影响到企业资金融入以及企业运营的必要条件。
d经济环境:利率的变动、汇率的变动、同伙膨胀或通货紧缩等。
4.3.3经营风险
a原材料供应:主要包括了原材料的价格、质量和送货时间的变化、采购过程的欺诈行为,采购人员的疏忽,导致原材料数量以及质量上的不达标等。
b员工风险:采购人员、服务人员,技术人员和其他生产管理人员,由于他们的疏忽导致的风险,以及各岗位主要人员的离职等风险。
c设备:生产设备出现意外的故障,甚至损坏等。
d供销链风险:主要包括供应商及顾客违约,以及供应或销售渠道不畅通等风险。
e法律纠纷:消费者投诉等潜在的法律纠纷。
4.3.4市场风险
a市场容量:对市场容量的调查所采用的方法不合适,没有准确的弄清市场对象对产品的用量,使得产品的产量大于实际需求,而增加公司的投资风险。
b市场竞争力:对竞争对手的错误分析可能导致对我们的产品市场的竞争力高估或低估,引发期望值风险。
c价格风险:产品的价格风险受产品的成本、质量和声誉、顾客消费等的影响。
促销风险:促销风险包括促销活动的成本的控制、效果预测失误以及对品质的怀疑等。
4.3.5财务风险
a融资/筹资过程中的风险:比如风险筹资的费用很高, 而且受到政策限制较多,加大了筹资的不确定性。
b资金偿还过程中的风险:主要受到利率的影响,有极大的不稳定性,增加偿还风险。
c资金使用过程中的风险:主要表现为短期资金风险和长期资金投资风险。
d资金回收过程中的风险:应收款无法及时到位,增加了坏账的出现率。
e收益分配过程中的风险:主要表现在确认风险和对投资者进行收益分配不当而产生的风险。
4.4 环境因素分析、评价
SWOT分析法是用来确定企业自身的竞争优势、竞争劣势、机会和威胁,从而将公司的战略与公司内部资源、外部环境有机地结合起来的一种科学的分析方法。
SWOT分析,即基于内外部竞争环境和竞争条件下的态势分析,就是将与研究对象密切相关的各种主要内部优势、劣势和外部的机会和威胁等,通过调查列举出来,并依照矩阵形式排列,然后用系统分析的思想,把各种因素相互匹配起来加以分析。
优势,是组织机构的内部因素,具体包括:有利的竞争态势;充足的财政来源;良好的企业形象;技术力量;规模经济;产品质量;市场份额;成本优势;广告攻势等。
劣势,也是组织机构的内部因素,具体包括:设备老化;管理混乱;缺少关键技术;研究开发落后;资金短缺;经营不善;产品积压;竞争力差等。
机会,是组织机构的外部因素,具体包括:新产品;新市场;新需求;外国市场壁垒解除;竞争对手失误等。
威胁,也是组织机构的外部因素,具体包括:新的竞争对手;替代产品增多;市场紧缩;行业政策变化;经济衰退;客户偏好改变;突发事件等。
4.5构造SWOT矩阵
将调查得出的各种因素根据轻重缓急或影响程度等排序方式,构造SWOT矩阵。在此过程中,将那些对公司发展有直接的、重要的、大量的、迫切的、久远的影响因素优先排列出来,而将那些间接的、次要的、少许的、不急的、短暂的影响因素排列在后面。
4.6制定行动计划
在完成环境因素分析和SWOT矩阵的构造后,便可以制定出相应的行动计划。制定计划的基本思路是:发挥优势因素,克服弱点因素,利用机会因素,化解威胁因素;考虑过去,立足当前,着眼未来。运用系统分析的综合分析方法,将排列与考虑的各种环境因素相互匹配起来加以组合,得出一系列公司未来发展的可选择对策。
5 相关文件
无
★四川CMMI认证★四川ISO27001认证★四川ISO20000认证★四川CCRC认证★四川GJB5000A认证★
6.人力资源管理程序
编号:ISMSP-06-16 修改状态:A/0
1. 目的
为了合理确定公司从事与信息安全、信息技术服务管理工作有关的人员资格要求,通过岗位技能评价,采取适当的教育、培训,以满足体系对人员能力、意识的要求,公司制定《人力资源管理程序》。
2. 适用范围
本程序适用于公司范围内人员评价、选择、培训的控制;
本程序适用于公司信息安全、信息技术服务管理体系。
3. 术语和定义
本程序引用ISO27001中的相关术语和定义。
人力资源:指本公司人员配置和使用情况。
4. 职责
本公司综合管理部归口管理。
5. 控制内容
5.1 输入控制:
人力资源管理的输入要求包括:
a) 适宜的机构和岗位设置的需求;
b) 各岗位人员的能力要求。
综合管理部负责编制《岗位入职要求 》,管代审核后,总经理批准执行。
5.2 输出控制:
人力资源管理的输出结果包括:
a) 岗位人员的能力满足要求的证据;
b) 提供信息安全、信息技术服务管理体系运行的人力资源保证;
c) 在持续改进方面取得的业绩。
5.3 活动控制:
5.3.1对现有岗位员工能力的评价
综合管理部负责制定《岗位入职要求 》,确保能力评价的客观性和公正性。
5.3.2采取措施
5.3.2.1综合管理部根据《岗位入职要求》及公司运行状况,确定满足岗位能力要求所需的招聘、培训、转岗等措施,经总经理批准后实施。
5.3.2.2对招聘、转岗、升职的员工,应按《岗位入职要求 》进行考评,取得满足要求的证据,保证人力资源的合理配置。
5.3.3营造信息安全、信息技术服务意识
5.3.3.1各部门根据本公司信息安全、信息技术服务方针和目标,在全体员工中营造以顾客为关注焦点,追求卓越服务的意识,服务意识的培训包括:
a) 把信息安全、信息技术服务意识的要求,作为各岗位的第一要求;
b) 把 |