文件编码：XXX-XXXX-003 人员安全管理规范 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日 北京思度咨询科技有限公司文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为规范和加强人力资源安全管理工作，明确内部员工和第三方人员 相关安全职责，提高工作人员的安全意识、业务水平、操作技能和协同能力，降 低由人员因素带来的数据安全风险，确保人员任用的安全，特制定本规范。 第二条 本办法适用于北京思度咨询科技有限公司数据安全组织内部全体员 工和第三方人员数据安全管理相关活动，包括但不限于人员筛选管理、人员任用 条款管理、人员安全职责管理、安全意识教育和培训管理、违规处理、责任和义 务变更管理等。 第二章 术语定义 第三条 员工：是指北京思度咨询科技有限公司中各种用工形式的人员。 第四条 第三方组织：指与北京思度咨询科技有限公司合作或提供服务的相 关组织，包括软件开发商、设备供应商、系统集成商和运维服务商等。 第五条 第三方人员：指第三方组织长期派驻我公司的员工或临时到我公司 现场工作的人员。 第六条 脱密期：用人单位与接触敏感级及以上数据的员工所约定的在向单 位提出离职申请后，需为单位继续工作的期限，该期限期满，员工才可以正式离 职，脱密期也可以称为提前通知期。 第七条 关键岗位：本规范中指数据安全领域的关键岗位，主要包括组织内 部数据安全管理岗、数据资产管理岗等。 第三章 职责权限 第八条 数据安全领导小组办公室 （一）制订、完善人员安全管理规定，包括内部人员、外部人员、第三方组 织及人员管理，并将相关管理要求同步提交到公司的人才服务中心及总裁办； （二）指导和协助人员数据安全管理相关规定的执行； （三）组织审计人员安全管理制度的落实执行； （四）开展并组织人员安全风险检查，并形成检查报告。 第九条 数据安全培训岗 第 1 页 共 7 页（一）负责制定年度数据安全培训计划； （二）按照培训计划组织开展数据安全培训，并记录培训工作； （三）宣贯、推广人员数据安全管理相关规定。 第四章 人员 招聘管理 第十条 人员招聘管理主要用于公司内部员工以及与公司有 契约合作关系的 第三方组织和人员的 招聘进行规范化管理。 第十一条 普通员工招聘过程中，与新员工签订的劳动合同或 其它协议中应 明确员工的数据安全责任，应包括敏感数据处理、 使用、共享的保密条款， 如有 需要，合同中应明确该责任在 结束合同关系一 段特定的时 间内仍然有效。 第十二条 管理层与关键岗位人员的 招聘，应明确该岗位在数据安全方 面的 要求，并 对应聘人员的相关 背景进行严格审查，背景调查的内容包含符合法律、 法规、合同要求的 情况，安全专业能力的 调查，以往工作经历的调查及以往工作 中是否发生过数据安全 事件的调查等；关键岗位人员应 签署专门的保密协 议，如 有需要，保密协 议中应明确在 结束合同关系一 段特定的时 间内仍然有效。关键人 员的招聘应从内部人员中选 拔并签署岗位安全协 议和保密协 议。 第十三条 凡是因违反国家法律法规有关规定 受到过处罚或处分的人员，在 招聘的过程中不得使其从事数据安全管理工作。 第五章 员工离职管理 第十四条 员工离职管理主要用于 对内部员工的离职 过程进行规范化管理。 第十五条 员工离职（包括岗位变动、 解除劳动关系等）相关规定中应包括 数据安全审查的相关内 容，审查应包括以 下方面： （一）当员工离职时，提出离职申请 书，并按有关规定办理相应 手续，同时 取消其系统权限和数据权限，接触敏感级 别数据的员工需要 根据保密协 议书签订 期限进行约束，期满后方可正式离职。 （二）管理 层与关键岗位人员离职时，应 立即取消其在原岗位的系统权限， 及时更改相应系统的相关用 户密码，确保密码、设备、资 料及相关敏感 信息等的 移交。检查是 否签署保密协议，若已签署保密协议应检查保密协 议中的相关内 容， 向其重申单位权 益及其应承担的保密义务。 第 2 页 共 7 页 （三）关键岗位人员离职时，应保 证使用的各类信息系统用户是否已完成交 接或被关闭；保管的工作资 料、信息资产及数据资产是 否已经交回；离职员工 使 用的各类计算机设备是否已全部交回。 第六章 员工安全教育与培训 第十六条 为保证公司数据安全保 障体系的完 整、有效，应 建立安全意识教 育和培训制度，安全教育和培训应 贯穿员工在单位工作的全 过程，培养全体工作 人员的安全意识。包括： 新员工入职教育与培训（包括 对现有的数据安全规章制 度等的培训）、岗前教育与培训和在岗教育与培训。 对员工的安全教育与培训应 填写员工培训及 考核记录并保 存。 第十七条 数据安全的教育和培训应作为 新员工入职教育和培训的 重要内容。 员工的岗前教育与培训应包括与本岗位密 切相关的安全管理要求培训， 对本岗位 中数据安全的关键 控制点及违规行为应 着重向员工申明。 第十八条 非数据服务员工的岗前教育与培训应包括 防范恶意代码的相关内 容，包括安全 防范意识，日 常安全注意事项，防恶意代码软件 使用方法等；数据 安全管理关键岗位的岗前教育与培训中， 还应包括职业 道德、行为规范、 奖惩措 施、数据安全管理制度和规范等方 面的教育和培训内 容；重要岗位员工在 转岗、 岗位升级前的岗前教育与培训中，应包括相关岗位的安全职责、管理制度和规范 及工作流程的培训等。 第十九条 在岗员工应定期接 受安全教育培训，主动 学习、掌握单位最新的 数据安全管理制度和规范。 当组织数据安全总体 策略、相关管理制度和规范发生 变化后，应及时向在岗员工发布和 宣贯。 第二十条 数据安全培训岗应定期组织 对组织内所有员工的安全教育和培训 ， 教育和培训内 容包括但不限于：及时向员工发布 最新的数据安全管理 策略、制度 和规范， 每年至少组织一次部门内的数据安全 专题培训并进行考核，及时向员工 通报典型的安全事件及处理 情况等。 第二十一条 数据安全领导小组办公室定期 对数据安全培训计划 进行审核更 新，保证数据安全培训与时 俱进。 第二十二条 对于关键岗位人员以及高权限人员 进行每年一次的安全技能及 安全认知的考核，并且定期或不定期 对其保密制度的执行 情况进行检查。 第七章 第三方组织管理 第 3 页 共 7 页第二十三条 第三方组织包括软件开发商、设备供应商、系统集成商与运维 服务商（业务运维及安全运维）等。 第二十四条 第三方组织 必须在其技术合作领域 具有符合公司要求的相关资 质。 第二十五条 第三方组织与我公司 签订合同的， 必须同时签订指定的保密协 议。第三方组织应 严格按照合同及附属保密协议的条款履行承担的责任。 第二十六条 数据安全领导小组办公室 每季度应对第三方组织 进行考评并召 开第三方组织 例会；如特殊情况需要，单位可 召集临时第三方组织 会议。第三方 组织应指派 专人参加会议，不得缺席。 第二十七条 未经单位书面授权，第三方组织及 其人员不得将在与本单位合 作过程中涉及或新产生的一 切敏感信息和数据在任 何时间以任何方式泄露给任何 第三方。 第二十八条 软件开发合同 必须明确开发软件的知识产权 归属。 第八章 第三方人员管理 第二十九条 第三方人员是指第三方组织长期派驻我公司的员工或临时到我 公司现场工作的人员。 第三十条 第三方组织 若要指派代维人员为我公司服务，则需要 按照本管理 办法与员工 签订《保密协议书》，加盖单位公章，由数据安全领导小组办公室审 核之后，签署审核意见并存档，方可允许代维人员为我公司服务。 第三十一条 第三方组织派 遣至我公司现场工作的人员 必须具有所工作领域 的相关资 格或丰富经验，其工作能力能 胜任在我公司现场工作的要求。 第三十二条 第三方组织应 对来我公司现场工作的人员 进行岗前数据安全教 育培训，并 填写相关第三方人员培训及 考核及记录。 未经过岗前数据安全教育的 新增人员，不 得在我公司现场工作。 第三十三条 第三方组织应为长期派驻我公司工作的人员制定 考勤制度，并 且严格执行。 第三十四条 第三方人员在我公司工作时，应 遵守我公司相关规章制度。软 件开发商人员在软件开发 过程中还应遵循我公司技术开发规范并接 受审计。 第三十五条 因工作需要为第三方人员在系统中 创建账号时，应 参照我公司 开发人员 标准执行。软件开发商 账号由我公司的 项目负责人发 起申请，并 按照单 位现有账号申请审批 流程执行。 第 4 页 共 7 页第三十六条 第三方人员用 户的密码应 按我公司相关规定 进行设置。用户必 须保管好自己的密码， 禁止借给其他人员使用。 第三十七条 第三方人员 终端设备需要接 入我公司网络时时，应由 项目负责 人按照公司有关规定发 起申请。 第三十八条 第三方人员用 户账号使用完毕时，应及时告知我公司 项目负责 人。由项目负责人按照公司现有的 账号管理办法 进行账号的删除申请流程，由权 限管控岗负责及时 删除用户。 第三十九条 第三方人员要 严格遵守公司已经颁布的各种规章、制度及 流程。 第四十条 第三方人员应在我公司指定的工作场所工作，并保 持工作场所的 清洁、安全。 第四十一条 第三方人员 未经我公司相关负责人的同意，不 得进入有特别权 限规定的 区域。 第四十二条 若代维人员要 转岗或离岗，提交 《人员转岗/离岗申请 书》，并 由代维公司主管 签署审核意见，公司主管部 门根据相关管理制度完成 转岗或离岗 代维人员的 账号回收和安全审计等工作，并 签署转岗或离岗申请意 见。