Internal Audit Checklist: S2_Human Resouce Management

5.2.2_相关人员是否了解公司质量、环境、信息安全方针？目标？

5.3_是否有岗位、部门职责说明包含质量、环境、信息安全相关职责？且相关人员清楚自己的职责？

7.1.6_是否对知识进行有效管理？（除受控文件、记录以外的其他知识，如行业标准、书籍、出版物，法规，客户通知，内部培训，经验总结等）

7.2_人员能力是否能够满足过程要求？（如人员绩效评估、人员能力矩阵等）

7.3_人员是否具备基本的质量、环境、信息安全意识？

7.4_相关人员得到质量、环境、信息安全的信息的有效沟通？如通过报告、邮件、培训等方式进行通告。

7.5.1_使用的文件是否为有效的受控版本？

7.5.1_形成的记录是否满足记录清晰、及时等要求？是否妥善存储？

8.1.1_是否针对过程开展风险识别？（抽查风险识别的记录，抽查相关措施的实施情况）

9.1_是否明确定义相关的质量、环境、信息安全相关指标（KPI）？

8.5.1_是否对所使用的设备、仪器进行有效管理？（设备无带病作业、做好日常点检维护）

8.5.1.1_是否对使用的测量设备进行有效管理？（不使用无标识、过期的测量设备）

10.2_是否对发生的不符合进行处理并关闭？（如，内审、外审、客户投诉、内部投诉等）

10.2_是否针对不符合采取恰当的纠正措施？（根本原因分析，制定围堵、纠正、纠正措施、跟踪纠正措施等）

7.1.2_公司是否建立完整的人力资源管理程序？（查看程序）

7.1.4_公司是否提供适宜的人文工作环境（无歧视、和谐稳定、合理的工作强度等）？（现场询问确保人文环境所做的活动）

7.1.6_是否建立机制对组织的知识进行管理？（查看相关要求、记录）

7.2_是否建立岗位能力要求？（查看岗位职责说明书等）

7.2_是否针对人员能力进行适时的评价？（查看评价、更新记录）

7.2_是否建立培养员工能力的培训制度，包含培训计划、培训有效性评估等？（查看培训要求，抽查相关培训记录）

7.3_是否确保人员知晓质量方针、质量目标、对质量管理体系有效性、产品符合性和产品安全的贡献，以及偏离质量管理体系要求的后果，道德行为的重要性？（查看是否有培训记录，现场询问）

7.4_是否建立有效的沟通程序，确定内外部沟通的需求？（查看程序）

5.3_是否建立环境管理体系各部门、人员相关的职责、岗位说明？（查看相关部门、人员职责说明）

5.3_各部门负责人及岗位员工是否明白自己的职责、权限和相互关系？（随机询问员工相关环境职责）

6.1.2_涉及到本过程（部门）的环境因素是否充分识别？（现场观察，判断实际的环境因素与识别表中相比是否充分）

6.1.2_员工是否知晓本过程（部门）有哪些环境因素，以及哪些是重大环境因素？（抽查员工）

6.2.1_员工是否了解本部门的或公司环境相关的目标是什么？（现场询问，查看目标统计情况）

7.1_公司是否为环境管理体系提供充足的人员？（查看EMS相关人员配置，及其相关的能力背景灯是否充分、适宜）

7.2_公司是否识别从事影响环境活动的各类人员的能力，并进行考核？（查看人力资源的需求，资格要求等，查看相关考核记录）

7.3_是否制定了环境管理相关的培训计划，安排培训，培训后进行有效性评价？（查看培训计划、培训记录、有效性评价记录等）

7.3_员工是否具备足够的环境意识？（现场抽查2名员工，是否了解环境管理要求）

8.1_各类垃圾是否按规定的要求进行分类管理？（现场询问垃圾分类要求，及实际执行情况）

8.1_生产过程是否贯彻公司的节水、节电、减少化学品使用等环境管理战略？（现场询问操作人员如何进行节水、节电及减少化学品使用等）

8.2_员工是否清楚公司相关的应急联络电话？（询问现场人员）

8.2_员工是否了解发生紧急情况时，常用的自救和逃生方法？

8.2_是否开展信息安全风险评估（至少每年一次开展风险评估工作，并在有重大调整或变更时，采取风险评估方式合理解决潜在风险）？

8.3_是否以适当的方法处置风险（风险等级≥3的不能采取“接受”的处置方式），并保留记录？

A.7.1_招聘人员时是否根据要求进行背景调查？（查看背调要求，抽查2份背调记录）

A.7.1_是否有信息安全重要岗位人员清单或列表？（查看清单）

A.7.1_是否确保信息安全相关职责的人员能够胜任要求的任务？（查看相关要求）

A.7.1_是否制定部门和岗位的职责说明，并包含人员的信息安全方面的职责？（查看职责说明书）

A.7.2_是否变质年度培训计划，包含信息安全相关的培训？（查看培训计划，及相关信息安全的培训）

A.7.2_是否针对培训效果进行评估？（查看如何评估，及评估记录）

A.7.2_员工是否根据要求签订保密协议？（查看相关要去，抽查2份签订的保密协议）

A.7.2_是否有对违反信息安全管理要求需进行惩戒的要求？（查看相关要求，如有，查看记录）

A.7.3_当人员离职或调岗时，是否对信息资产进行归还或交接？（查看2名离职或调岗人员的相关记录）

A.8.1_是否清晰的识别所有资产，并编制维护重要资产清单？

A.8.1_与信息处理设施有关的所有信息和资产（如部门的重要服务器、共享文件夹等）是否由制定的专人负责？（查看filesharing部门文件夹，是否仅负责人有全部权限）

A.8.1_部门员工离职是否归还重要公司资产？（查看离职人员相关归还记录）

A.8.2_是否对纸质文件、电子文件进行恰当的密级标识？（无标识文件视为“内部公开”，高于“内部公开”密级的文件均应恰当标识）

A.8.3_是否按照要求使用可移动介质？（如U盘，CD等需要授权才能向外传输文件）

A.9.2_员工使用的口令是否满足口令策略？（至少8位，数字加字母、特殊字符，90天更换一次）

A.9.2_员工是否在离开座位时及时锁定电脑屏幕？（抽查现场和办公室人员）

A.9.2_是否对已作废的密级文件及时用碎纸机或手动销毁？（检查垃圾篓、公共区域是否有“内部公开”以上密级的文件）

A.9.2_员工是否在离开座位时妥善处理密级文件？（清理桌面，密级文件锁在柜子或抽屉里）

A.9.2_打印的文件是否被及时拿走？（检查打印机旁是否有未及时取走的涉密文件）

A.9.2_人力资源管理系统或软件是否有清晰的岗位、角色和权限分配，并定期评审、更新？（查看系统及相关评审、更新记录）

A.10.1_是否使用密码策略来保护重要信息资产，重要电子数据？（资产识别中被识别为重要资产的信息加密保护）

A.10.1_社保、公积金等先关Ukey或类似密钥社保，是否有专门报关，并保存在安全的空间内？（现场询问责任人，并查看保存空间是否安全）

A.11.1_外来人员进出公司是否进行登记？（查看记录，现场观察）

A.11.1_是否在公司安全区域便捷部署门禁系统，门禁系统工作是否正常？（现场查看）

A.11.1_是否门禁系统可以保存日志，日志是否完整、准确、连续？（查看门禁日志）

A.11.1_是否在公司重要区域部署视频监控系统，并确保不间断监控？（现场查看监控系统）

A.11.1_公司的公章是否有专门保管，并保存在安全的空间内？（查看公司公章、财务章、法人章等）

A.11.1_存储人事档案的文档资料是否有单独的空间进行保存？（现场查看保存条件）

A.12.3_员工是否对工作文件进行备份？（抽查现场和办公室人员电脑）

A.12.5_员工电脑是否安装非授权的软件？（抽查现场和办公室人员电脑）

A.12.6_员工电脑病毒库和补丁是否为最新？（抽查现场和办公室人员电脑）

6.1.1_是否建立测量管理体系相关的人员职责说明、职责矩阵等？（查看相关文件）

6.1.2_是否制定培训计划，包含测量管理体系相关培训？（查看培训计划）

6.1.2_是否对培训有效性进行评估？（查看评估记录）

6.1.2_测量管理体系相关人员是否具备足够的能力以胜任其工作？（查看测量管理体系相关人员的证书，现场观察对本职工作的熟悉程度，操作能力等）