ISMS：人力资源管理与信息安全体系人员能力培训规定

本文档主要阐述了ISMS（信息安全管理体系）中的人力资源管理程序，旨在规范对所有与信息安全相关岗位员工的管理和培养，以确保他们具备必要的能力和素质来履行职责，同时保障组织的信息安全。以下是主要内容的详细解读： 1. **目的**： - 该程序的主要目标是通过有效的人力资源管理，提升全体员工的信息安全意识和技能，确保他们符合岗位所需的专业要求。同时，通过培训和背景调查，防止违法信息安全行为的发生。 2. **范围**： - 本程序适用于所有在职人员，包括正式员工和临时工，必要时还涉及客户和合作伙伴。这意味着人力资源政策不仅限于内部员工，也延伸到外部相关方。 3. **引用文件**： - 基于ISO/IEC 27001:2013标准，这是信息安全管理体系国际通用的标准，提供了一套完整的框架。 - 还参考了公司的《信息安全手册》，这是指导信息安全实践的重要参考资料。 4. **职责分配**： - **人力资源部**：负责整个流程，如制定和执行人力资源政策、人员招聘、培训、考核及背景调查等，同时还需组织各部门编制岗位任职资格标准并进行资格认定。 - **其他部门**：配合人力资源部，各自制定部门内的任职资格标准，并进行员工培训。 - **总经理**：审批年度培训计划和岗位任职资格标准，对重大决策具有最终决定权。 5. **工作程序**： - 对于信息安全责任岗位的人员，能力评估基于教育、培训、技能和经验。 - **人员招聘**：分为三个阶段（初试、复试和终试），确保新入职员工符合岗位要求。高级职位还需经过深入背景调查。 - **背景调查**：针对不同职位，实施不同的调查表格，确保员工背景安全可靠。 - **违规处理**：针对违反信息安全规定的在职员工，会依据《信息安全惩戒管理规定》进行相应处理。 该人力资源管理程序在信息安全管理体系中扮演了关键角色，通过明确职责分工、规范招聘流程和强化背景审查，确保组织内部人员对信息安全有足够的理解和能力支持，从而保障整体信息安全策略的有效实施。