制定日期:2011.1.20 文件编号:QP-011-1 版本:A0 页数:1/4
歧视控制程序
编号:QP-011-1
编制人:日期:
审核人:日期:
批准人:日期:
版本:A/0
2011年1月20日发布 2011年1月21日实施
文件修订记录清册
制定日期:2011.1.20 文件编号:QP-011-1 版本:A0 页数:2/4
序号修改日期修改章节条款及内容修改页码备注1 2015/1/20 首次发行
2
3
4
5
6
7
8
9
10
11
12
13
14
15
制定日期:2011.1.20 文件编号:QP-011-1
版本:A0 页数:3/4
目的:为了使公司更好地遵守法律法规,防止歧视和控制其发生,特制定本程序。
2 范围:适用于整个公司。
3 职责:1、劳资部门制定相关文件,不得有歧视情况发生,并实施该文件。
2、工会主席代表受到歧视的员工利益,与公司协商。
4程序:
在招工中不得歧视在工作中不得歧视对歧视方面的培训
发生歧视方面的投诉和处理途径
4.1 所谓歧视就是差别对待.SA8000标准规定的歧视是就业过程中在种族,社会阶级,国籍,宗教,残疾,性别,
性倾向,工会会员资格,政治派别或年龄方面的歧视问题.
4.1.1 公司在招聘过程广告中不得有年龄歧视,性别歧视,学历歧视,户籍歧视,地域歧视乃至身体歧视并在面
视和以后工作中不得实际歧视行为.
4.1.2 公司的工资报酬政策要求公平合理,不要区别对待种族,社会阶级,国籍,宗教,身体残疾,性别,性倾向,工
会会员,政治派别或年龄,应该男女平等,一视同仁,实行同工同酬.
4.1.3 根据公司的培训计划和培训的安排,对符合要求的职工安排培训,不能因种族,社会阶级, 国籍,宗教,身
体残疾,性别,性倾向,工会会员,政治派别或年龄等原因差别对待.
4.1.4 根据职工对公司贡献的大小,管理能力和技术能力,以及公司实际需要,综合考虑升人选,确保公平合理
不要因为种族,社会阶级,国籍,宗教,身体残疾,性别,性倾向,工会会员,政治派别,年龄等原因差别对待,不给予其升职.
4.15 公司解聘职工应有充分的理由,并经工会同意,并依法规定的程序给予解聘.不能因为种族,社会阶级,国
籍,宗教,身体残疾,性别,性倾向,工会会员,政治派别,年龄等原因而差别对待.如因某职工参加了工会而将解聘或对其进行威胁等,都是违法的.
4.16 公司在职工退休时不能因种族,社会阶级,国籍,宗教,身体残疾,性别,性倾向,工会会员,政治派别,年龄等
原因对职工进行差别对待,如不能强迫工会会员提前退休或延迟退休,不能扣发,不发或少发退休人员的工资等.
4.17 公司应要求供应商,外包商和分供商也不能存在歧视,对其按以下程序进行控制.
4.20 公司制定有关的禁止歧视和性骚扰行为的政策和程序。
4.2.1 公司承诺不因为种族,社会阶级,国籍,宗教,身体残疾,性别,性倾向,工会会员,政治派别,年龄等原因而差
别对待,在处理有关聘用,报酬,培训,升职,解聘或退休事务时一视同仁,客观公正。并承诺不支持供应商,外包商和分供商的歧视行为和歧视现象。
4.2.2 将禁止歧视和性骚扰的行为条款写进公司“规章制度”和“劳动合同”
4.2.3 性骚扰按美国女权主义者麦金龙教授的定义为:指处于权力不平等下强加的讨厌性要求……其中包括
言语的性暗示或戏弄,不断送秋波或做媚眼,强行接吻,用使雇者失去工作的威胁作后盾,提出下流
制定日期:2011.1.20 文件编号:QP-011-1
版本:A0 页数:4/4
的要求并强迫发生性关系。
4.2.4 性骚扰写进劳动合同的内容主要为:1 职工互相之间要尊重,不得开可能引起对方反感的玩笑,
注意语言礼貌;不要在封闭的场所单独与异性职工相处,确因工作需要时,两人之间要保持1米距离;
注意着装整齐。违反者将受到批评,罚款或处罚。2 领导与女职员谈话不应在封闭的办公室,否则,女职员受到不礼貌对待时,可向纪检部门投诉,并要求道歉;情节严重,影响女职员的身心健康的,可要求赔偿;对违反规定,屡教不改者,用人单位有权予以辞退。
1.2.5 公司确保不干涉员工行使其所遵守信条和习俗的权利,不干涉员工满足种族,社会阶级,国籍,宗教,
工会会员,政治派别所需的权利。
1.3.公司对新招员工和在职员工进行禁止歧视和性骚扰的培训,在职职工每年培训一次,让员工明确什么样
的行为是禁止歧视和性骚扰行为,遭遇禁止歧视和性骚扰行为时如何处理。
4.3.1 典型的性骚扰有:1 打电话骚扰;2 发黄色短信骚扰;3开下流玩笑进行侮辱;4 言语挑逗;
5 上级对下级以工作为由进行威胁要求性行为;6散布黄色图片;7散步黄色流言中伤他人;8
在女性暴露隐私处安装摄像头;9 在女性住房对面或附近用高倍放大镜偷窥;10 强行接吻;11
强行拥抱;12 强行拉手;13 过分的身体亲密接触。
4.3.2 人事部应编制培训计划,在排教师并组织实施培训,做好培训记录、包括以后的考核和考核记录。4.4 公司建立了禁止歧视和性骚扰行为的投诉、调查和处理程序,指定专人负责处理。
4.4.1 若职工受到了歧视或性骚扰行为的侵害,可直接向工会主席投述,工会主席负责记录、分析和形
成处理方案,工会主席将情况直接反映到人事部经理,人事部经理进行调查,并提出处理意见,与工会主席,投诉职工协商达成一致。人事部将处理意见报告总经理,总经理批准。
4.4.2 若工会主席与公司领导的意见不能一致,可向当地仲裁机构上诉,由仲裁机构处理。
4.4.3 当地被侵害员工也可以向纪律部门直接投诉。
2.引用资料
《宪法》、《劳动法》、《妇女权益保障法》、《刑法》、《公安管理处罚条例》、《民法通规》
6主要记录或证据
1招聘广告;2劳动合同;3公司规章制度;4工会主席对投诉的记录、处理方案;5人事部经理的解决处理方案
反歧视管理程序 1.目的 为保证员工的就业权利和利益不受侵犯,切实遵守《中华人民共和国劳动法》及社会责任之要求,特制定禁止对就种族、肤色、年龄、性别、性倾向、民族、残疾、怀孕、信仰、政治派别、社团成员或婚姻状况等歧视政策,以保证人人享受平等、公正的对待。 2.范围 适用于本公司内所有员工及应聘人员。 3.权责: 3.1 管理代表:对禁止歧视行为规章制度的签署和监督; 3.2 行政部:制定和推行公司禁止歧视的政策,调查有关歧视方面的投诉并及时采取纠正措施; 3.3 各部门负责:宣导禁止歧视政策和执行禁止歧视规定的作业内容。 4.定义 歧视:就是公司不提供公平合理的工作机会,在决定聘用、报酬、培训机会、升职、降职或退休等劳动事务时不是根据个人的工作能力和工作需要作出决定,而是根据种族、社会阶 级、国籍、宗教、残疾、性别取向、工会会员资格和政府关系等方面的因素作出决定。 5.内容 5.1歧视的种类 歧视的种类有:性别歧视、性倾向歧视、民族歧视、肤色歧视、地域歧视、出身歧视、信仰歧视、语言歧视、健康歧视、年龄歧视、学历和文凭歧视、怀孕、社团成员、政治派别、婚姻状况等的歧视。 5.2歧视的管理 5.2.1性别歧视 性别歧视是世界范围内普遍存在的一种歧视。公司应实现男女同工同酬,确保无论性别、 年龄、种族、肤色等的情况造成的不公平待遇。禁止由于女职工在经期、孕期、产期上 的生理原因以及出差时的不便,而在招聘时明确规定“不招女生”。 5.2.2性倾向歧视. 禁止对招聘人员的性倾向进行限制。 5.2.3民族歧视 禁止对招聘人员的民族进行限制。 5.2.4肤色歧视 禁止在招聘时以肤色取人。 5.2.5出身歧视 农民工受到的制度性歧视,禁止在招聘时设置“户籍门槛”的现象,禁止出生歧视。
Web服务访问控制规范及其实现 摘要:提出了一种用于Web服务的访问控制模型,这种模型和Web服务相结合,能够实现Web服务下安全访问控制权限的动态改变,改善目前静态访问控制问题。新的模型提供的视图策略语言VPL用于描述Web服务的访问控制策略。给出了新的安全模型和Web服务集成的结构,用于执行Web服务访问控制策略。关键词: Web服务;访问控制;视图策略语言;访问控制策略 随着Web服务的广泛应用,Web服务中的访问控制策略描述及实现显得尤为重要。目前,Web服务安全标准以及其实现并不完善,Web服务安全多数交由作为应用程序服务器的Web 服务器的安全机制管理。例如,Tomcat服务器为用户、组、角色的管理和为访问Java-Web 应用程序的权限提供了安全管理。但是,Tomcat中的授权是粗粒度的,也就是说,Tomcat 不可能限制对Web服务的单个的访问操作。本文通过示例,探讨如何把一种新的安全模型应用到Web服务中。这种新的安全模型提供了一种规范语言——视图策略语言,其授权可以在Web服务单个的操作层次上细粒度地指定,同时授权还可以通过操作的调用动态地改变。这种模型和Web服务相结合,能够实现Web服务下安全访问控制权限的动态改变,改善目前静态访问控制的问题。1 Web服务访问控制规范1.1 图书中心系统图书中心系统是一个Web服务的简单应用,其结构。 图书中心系统主要提供书店注册服务、书店客户注册服务、书店处理客户注册请求服务、书店管理客户借阅图书信息服务和为所有的用户查询图书信息的服务。其中书店注册是其他所有服务的前提条件。1.2 系统中的访问控制需求图书中心系统的访问控制需求描述如下:BusinessRegistration:书店经理注册自己的书店。这个注册是其他所有服务的前提条件。CustomerRegistration:书店的客户向书店提交注册申请。CustomerRegistrationProcess:书店处理客户的注册申请。CustomerBookList:书店仅能为自己的客户使用此服务。客户可以查询己借阅清单,但不能在此清单上添加新的请求,只有店员可以添加客户的借阅清单。BookSearch:店员和客户都能使用此服务查询图书信息。1.3 系统中的访问控制基于视图的访问控制VBAC(View-Based Access Control)模型是专门用于支持分布式访问控制策略的设计和管理的模型[1],图2是VBAC的简易模型。VBAC模型可以看成是基于角色的访问控制RBAC(Role-Based Access Control)模型的扩展,VBAC增加了视图以及模式的概念。视图描述的是对访问对象的授权,视图被分配给角色。如果一个主体所扮演的角色拥有对某个对象访问的视图,则这个主体就可以访问此对象。如果这个角色没有这个视图,则这个主体就不能访问此对象。模式描述的是视图和角色动态的分配以及删除。视图策略语言VPL(View Policy Language)是一种说明性的语言,用于描述VBAC策略。VPL用于描述角色、视图以及模式。角色在角色声明roles之后,视图以及模式声明使用关键字view和schema。 角色声明描述了策略中的角色以及这些角色初始拥有的视图。图3是图书中心的角色声明。这个例子中有customer和staff两个角色。staff继承了customer,customer能够调用的操作,staff也可以调用。staff拥有初始视图BusinessRegistratoin,关键字holds来说明角色拥有视图,而customer没有初始视图。 图4是图书中心的访问控制需求的VPL视图声明,关键字controls引导的是一个类或者接口。例如,视图BusinessRegistration允许调用类BusinessRegistration的操作processRegisterRequest。VPL视图可以静态地被限制给特定的角色,这些角色罗列在关键字restricted to后面。例如,视图BusinessRegistration只能被赋给角色staff而不能赋
信息科技部 系统访问控制程序 A版 2011年6月1日发布2011年6月1日实施
目录 1 目的 (3) 2 范围 (3) 3 相关文件 (3) 4 职责 (3) 5 程序 (3) 5.1 各系统安全登录程序 (3) 5.2 用户身份标识和鉴别 (4) 5.3 口令管理 (5) 5.4 系统实用工具的使用 (5) 5.5 登录会话限制 (6) 5.6 特殊业务链接时间的限定 ...................................................... 错误!未定义书签。 6 记录 (6)
1 目的 为规范阜新银行信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于阜新银行信息科技部核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的; (d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试;
用户访问控制管理规定 1目的 为了明确用户访问控制管理的职责权限、内容和方法要求,特制定本规定。 2适用范围 本规定适用于信息安全管理体系涉及的所有人员(含组织管理人员、普通员工、第三方人员,以下简称“全体员工”)3术语和定义 4职责 4.1IT部门 a)是本规定的归口管理部门; b)负责本规定的修订、解释和说明及协调实施工作。 4.2信息安全 进行本规定修订及实施的协调工作 4.3相关部门 贯彻执行本规定的相关规定。 4.4部门管理者 a)各部门管理者作为本部门重要信息资产的负责人承担对资产的管理责任; b)决定本部门是否要单独制定访问控制方案。 4.5IT负责人 a)负责制定和修改组织的访问控制方案,并使它在资产使用的范围内得到切实的执行; b)指导IT责任人的工作,并在必要时进行协调。 c)有权指定系统管理员 4.6IT责任人 a)具体制定和修改组织的访问控制方案,提交IT方案负责审核; b)指导部门IT责任人实施访问控制方案; c)对访问控制方案的进行定期评审,并提出修改意见。 d)委托系统管理员依照IT部门制定的措施规定进行具体实施和具体操作等。但即使在这种情况下,访问控制方案实施状况的最终责任,仍然由IT责任人承担。 4.7部门IT责任人 a)如果本部门需单独制定访问控制方案,在部门管理者的授权下制定和修改本部门的访问控制方案,并使它在资产使用的范围内得到切实的执行; b)在IT责任人的指导下,实施访问控制方案。 c)针对访问控制方案向IT责任人进行问题反馈和提出改善意见。 4.8系统管理员 对于来自IT责任人委托的措施和相关操作,担负着切实履行的责任。 5管理要求 5.1用户认证 组织主要系统,包含组织重要信息的计算机、网络、系统等信息资产的访问控制方案,必须满足《用户标识与口令管理指南》的规定。 5.1.1用户标识控制 相关信息资产责任人所在部门IT责任人为了实现个人认证,需要采取以下措施,部门IT责任人必须管理从用户注册、数据更新到数据删除的用户标识和整个周期,并必须保证它们在上述信息资产使用范围内得到切实的落实。具体控制包括: 5.1.1.1用户注册分派的流程 a)用户或代理人提交用户标识的申请 b)部门IT责任人核实该用户的身份 c)部门管理者审批 d)用户提交到IT责任人 e)IT责任人委托信息系统管理员实施注册 f)系统管理员向用户分派用户标识。 5.1.1.2用户标识分派的注意事项
物理访问控制程序 1 适用 本程序适用于本公司员工及其他组织、人员(第三方)对本公司的物理访问控制。 2 目的 加强和规范本公司员工及来访本公司的相关人员的管理,确保公司内部安全和保密。 ?为维护公司人身、财产的安全和办公秩序,特制定本程序。 ?充分有效地使用公司资源,为来宾提供高质量、个性化的参观接待;从而更好地推广企业形象,并为各部门提供业务增值。 3 职责 确保公司内部安全防范和保密性,有效、有序地规范管理本公司员工及来访本公司的相关人员是DXC的主要职责之一,公司其他相关部门也要按照各自职责负责加强和管理来访本部门的相关人员。 4 程序 4.1外来人员分类 a) 本公司借用人员; b) 保洁工; c) 业务合作人员; d) 设备厂商技术人员; e) 施工安装单位作业人员; f) 货运接送或销售人员等; g) 合资合作方人员; h) 上级单位领导; i) 来公司联系业务的人员; j) 来公司参观、视察的贵宾或嘉宾;
k) 体系外的其他人员。 4.2安全区域分类 区域标识尽量使用编号。
4.3访问的授权 4.4 门禁出入规定 门禁卡:为了提升公司整体形象,规范员工管理工作,及维护公司秩序,公司为每位员工制作员工卡,卡片正面印有员工照片,中文姓名,英文姓名,和员工编号,便于员工身份识别。公司门禁卡的胸带分为蓝色和红色2种,分别适用于以下人群: ?蓝色胸带:公司内部员工 ?红色胸带:进入公司的外部相关方人员 门禁设置:每道办公室大门均设置相应的出入权限,根据员工工作性质,属性设置相应的出入权限。 4.4.1 员工门禁管理 a)新员工门禁卡制作 ●DXC根据各部门助理提交的《新进人员入职内部准备表》中的门禁权限予以制作; ●各部门助理到行政部签字领取制作好的门禁卡; ●DXC留档; b)员工门禁卡权限变更 ●门禁权限变更申请人提交《变更申请表》,完成审核批准流程; ●DXC根据《变更申请表》中的门禁变更信息予以制作; ●DXC留档;
1 目地 为了确保每个员工在录用、工资、待遇、培训机会、工作安排、升职、处分、解雇都受到公平的对待,特制定本管理程序。 2 职责: 2.1行政人事部负责员工招聘、录用、调配、晋升、工资和奖金发放活动中平等对待工作。 2.2 部门主管工作分配、调配、员工晋升推荐、奖金评定和员工评审活动中平等对待工作。 2.3行政人事部负责处理员工投诉。并提供指导和支持必须时报高层经理批准。 2.4总经理负责监督本制度的执行情况。 3 程序内容: 3.1行政人事部应允许所有符合条件的申请人参加所申请工作地考试,招聘广告中不能限制性别、种族、宗教信仰、年龄、残疾、性取向、国籍、政治观点、社会地位,社会或种族背景等。 3.2依据职工的技能高低决定是否录用,而不因性别,种族,宗教信仰、年龄、残疾、性取向、国籍、政治观点、社会地位,社会或种族背景等因素而区别对待。 3.3行政人事部可以规定工作场所所允许的行为与举止,但是所有的聘用决定必须取决于完成工作所需的技能和品质。 3.4不得要求女工在入职前后做怀孕测试和童贞测试; 女工在怀孕后不应受到歧视、解雇和终止劳动合同,应该视身体状况决定是否需要调整工作岗位,并按照《女工特殊保护程序》的要求执行。 3.5犯过错的员工在已得到相应处分后并改正行为的不应在以后的工作中受到歧视,解雇员工也必须有章可询,避免歧视。 3.6技能、受教育经历等相似从事相同工作的员工的起薪应该是相同的,支付给员工的工资、奖金、及其他形式的补贴应该根据员工的工作表现决定,不能因为性别、种族、宗教信仰、年龄、残疾、性取向、国籍、政治观点、社会地位,社会或种族背景等因素而区别对待。 3.7公司成立:"意见箱",员工可以将受到歧视的事件写成书面材料,投放到"意见箱"内,由行政人事部相关人员处理员工受到歧视事件,对每件事都深入调查,如果事情属实,要对歧视者进行相应的惩罚,并将处理结果告诉员工。 3.8在员工录用时,人力资源部应对新员工进行相关的培训。
WEBAC & 网站访问控制方案
目录 1 概述 (3) 1.1 前言 (3) 1.2 WEBAC简介 (4) 1.3 WEBAC实现方式 (4) 1.4 WEBAC特点 (5) 2 WEBAC开发与实现 (6) 2.1 基本原理 (6) 2.2 开发前准备 (7) 2.3 模块开发 (9) 发行管理模块 (9) 用户认证模块 (12) UKEY操作状态 (14) UKey硬件的状态 (16) 3 常见问题 (17) 3.1 页面基本元素 (17) 3.2 PIN码的问题 (18)
1概述 1.1 前言 许多收费网站都需要一个比传统“账号+密码”更有效的身份认证方式来认证用户的身份。道理很简单:在“账号+密码”的认证方式中,用户很容易将账号和密码与他人分享,即使网站加上同一时间一个账号只允许一人登录的限制也无济于事,因为用户可以与他人分时分享网站提供的各种收费服务。分享用户账号对用户来说是很方便的,但是对于网络公司来说却意味着潜在收入的减少,这无疑是网络公司不愿意看到的。 智能卡或类似USB电子钥匙的硬件认证方式可以满足收费网站的认证需求。这种认证方式要求用户需要同时提供硬件和账号密码才能登录访问网页,有效的
避免了用户共享账号带来的问题。Passbay也提供基于硬件UKey的SecureWeb 解决方案,但是在许多场合这种解决方案也有其不足之处:首先,硬件具有专用性。也就是说,一个硬件只能应用于某个特定的网站登录认证,而不具有其他的功能或用途,这难免让用户觉得其实用价值较低;此外,这种解决方案需要用户在终端安装驱动程序和客户端程序,给用户的使用带来不便,同时也给网络公司增加了额外的与网站运营无关的售后服务。 总的来说,目前普遍采用的基于智能卡或USB电子钥匙的硬件认证方式虽然可以满足收费网站控制用户登录访问的需求,但仍然具有较大的缺陷,不管是对于网络公司还是对于用户来说,这种方案都不能算是一个完美的解决方案。 1.2WEBAC简介 为满足收费网站控制用户登录和访问的需求,Passbay结合自身的优势推出WebAC网站访问控制方案,WebAC网站访问控制方案由硬件UKey、Passbay 安全管理软件和面向网站开发者的开发接口三个部分组成。方案允许网站拥有者在UKey中创建并管理用户登录账户,用户进入指定页面之后必须插入UKey才能完成登录或访问。这一方案保证只有合法持有UKey的用户才能享受到网站提供的服务,避免用户分享账号给网络公司带来的损失。 1.3WEBAC实现方式 Passbay? UKey WebAC网站访问控制方案通过随机数单向认证方式来验证用户身份和对用户账户进行管理。这一方案的实现原理如下: 网站在创建用户账户时,将用户账号和用于认证的一个字符串(SaltValue)写入UKey(由接口写入),并将上述两项值与PSA的序列号(SerialNumber)写入数据库(由开发者写入)。用户进入登录页面后,服务器端生成一随机数据(Random),通过网络传输至客户端。这一数据在客户端通过MD5算法进行计算,计算结果MD5Result = MD5(SerialNumber + AdminPass + Random + SaltValue)(由接口计算),计算完毕后,客户端将计算结果(MD5Result -c)与UKey的序列号(SerialNumber)和之前存入的用户账号通过Form提交给服务器
ISO27001系统访问控制程序 1 目的 为规范IT信息科技部对各系统的访问控制,预防对系统的未授权的访问特制定此文件。 2 范围 本程序适用于IT核心系统及外围系统的维护、登录与管理。 3 相关文件 《口令管理规定》 4 职责 4.1 副总经理负责核心系统及外围系统的运行维护管理指导。 4.2 中心机房管理员负责中心机房的维护、运行及管理。 4.3 信息科技部其他人员配合中心机房管理员的工作。 5 程序 5.1 各系统安全登录程序 5.1.1 由中心机房管理员对登录程序应进行检查确保登录程序满足如下要求: (a)不显示系统或应用标识符,直到登录过程已成功完成为止; (b)在登录过程中,不提供对未授权用户有帮助作用的帮助消息; (c)仅在所有输入数据完成时才验证登录信息。如果出现差错情况,系统不应指出数据的哪一部分是正确的或不正确的;
(d)限制所允许的不成功登陆尝试的次数(推荐3次)并考虑: 1)使用策略或其他手段记录不成功的尝试; 2)在允许进一步登录尝试之前,强加一次延迟,或在没有特定授权 情况下拒绝任何进一步的尝试; 3)断开数据链路链接; 4)如果达到登录的最大尝试次数,向系统控制台(或向中心机房管 理员)发送警报消息; 5)结合口令的最小长度和被保护系统的价值(风险评估的结果或内 部存储信息的价值)设置口令重试的次数; (e)限制登录程序所允许的最大和最小次数。如果超时,则系统应终止登录; (f)在成功登陆完成时,显示下列信息: 1)前一次成功登陆的日期和时间; 2)上次成功登陆之后的任何不成功登陆尝试的细节; (g)不显示输入的口令或考虑通过符号隐蔽口令字符; (h)不再网络上以明文传输口令。降低口令被网络上的网络“嗅探器”捕获的可能。 5.1.2 登录程序满足上述要求后,任何核心系统或外围系统的登录操作应被相关负责人授权方可进行登录。 5.1.3 相关职能人员得到授权后,对核心系统或外围系统操作完毕后必须将系统至于登录状态或注销当前用户将系统至于登录状态,防止未授权访问发生的可能。 5.1.4 其他部门人员因业务需要,需登录信息科技部核心系统或外围系统时,必须由中心机房管理人员全程陪同。 5.2 用户身份标识和鉴别 5.2.1 IT信息科技部应确保所有业务人员在登录核心系统或外围系统时每名业务人员应有唯一的、专供个人使用的用户ID及口令。
本技术公开了一种基于文件访问控制和进程访问控制的服务器加固方法,利用服务器加固装置对服务器进行加固,使系统成为安装有安全内核的系统,服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块。本技术解决了传统安全软件被动防御现状,使服务器具备主动防御的能力,为服务器提供全面的安全保护。 权利要求书 1.一种基于文件访问控制和进程访问控制的服务器加固方法,利用服务器加固装置对服务器进行加固,使系统成为安装有安全内核的系统,所述的服务器加固装置包括双重身份认证模块、USB外设管制模块、注册表访问控制模块、网络控制模块、进程保护机制模块、敏感数据的访问控制模块、系统自身防护模块;双重身份认证模块,用户采用USB Key和密码双重身份证方式,只有插入USB Key输入正确的口令才能登录,否则无法登录;USB外设管制模块,对USB存储设备进行禁用,未经授权禁止使用,而对非USB存储设备不影响其正常的使用;注册表访问控制模块,对注册表访问进行监控,对于未经授权禁止修改;网络控制模块,对于未经授权开放的端口禁止外部网络访问,未经授权的进程禁止使用网络功能,对于已经授权的进程允许外对访问指定IP或端口;进程保护机制模块,对于进程采用白名单机制,对进程进行指纹识别,指纹识别方法包MD5值和微软数字签名,符合白名单的进程能正常启动和使用,不在其中的禁止运行;敏感数据的访问控制模块,对于敏感的数据采用windows文件过滤驱动技术,对于未经授权的进程禁止访问,已经授权进程能根据敏感的数
据要求授予读、写、删除功能;系统自身防护模块,采用进程指纹识别、进程防杀和A与B 进程方式,保护系统自身进程不被异常终止、伪造,其特征在于,其实现流程如下: (1)首先建立合法进程的数字签名和MD5值池并保存到数据库中,收集数字签名和MD5值的方法包括静态方法和动态方法:静态方法是通过收集工具选取指定的程序,读取微软的数字签名和对进程的二进制文件进行MD5运算;动态的方法是本安装有安全内核的系统的控制中心下发策略,通过本系统后台服务向本系统的终端发起读取数字签名和MD5值的命令,终端执行完成命令后回传给后台服务,后台服务接收并保存到数据库中; (2)建立用户权限组和用户帐户,并将用户加入到指定的权限组中,用户能归属不同的组,实现一个用户能兼任多种角色;初始化用户的身份证的密码和登录认证USB Key;用户第一次登录本系统时必须修改密码,之后必须插入USB Key和输入用户和密码才能正确登录本系统,未登录本系统将电脑进行锁屏处理; (3)进程控制的流程,包括: 31)运行控制,首先通过进程保护机制模块监控到进程的创建动作,读取进程文件的数字签名和对文件内容进行MD5运算,查找本系统控制中心配置的策略来匹配是否为合法进程,如果是合法进程则允许此进程运行,如果不是合法进程则禁止此进程运行,并生成相应的日志上传到本系统的后台保存; 32)注册表访问控制,首先通过注册表访问控制模块监控到访问注册表的读取或者写入行为,查找本系统控制中心配置的策略来匹配是否允许访问,如果允许访问则放行,如果不允许访问则返回失败,并生成相应的日志上传到本系统的后台服务保存到数据库中; 33)网络访问控制,首先通过网络控制模块监控进程的网络的访问,对TCP/IP包进行拦截,查找本系统控制中心配置的策略来匹配是否允许访问的协议、端口、IP地址,如果是允许访问的则返回成功,如果是不允许访问的则返回失败,并生成相应的日志上传到本系统的后台服务保存到数据库中; (4)文件访问控制流程
反歧视管理程序 一.目的: 为了提供公平合理的工作机会,使公司在聘用、报酬、培训、 升迁、解聘等事项上不存在歧视行为,特制定本规定。 二.权责: 1.行政部负责:制定和推行公司禁止歧视的政策,调查有关歧视 方面的投诉并及时采取纠正行动; 2.各部门负责:宣导反歧视政策和执行反歧视规定的作业内容。三.定义: 歧视就是公司不提供公平合理的工作机会,在决定聘用、报酬、培训机会、升职、降职或退休劳动事务时不是根据个人的工作能力和工作需要作出决定,而是根据种族、社会阶段、国籍、宗教、残疾、性别取向、工会会员资格和政府关系方面的因素作出决定。四.管理内容:公司不得采用歧视或者支持使用歧视,主要包括: 1.公司的政策和守则要依照国家法律规定,不能存在歧视内容或 行为; 2.公司日常运作程序包括: ⑴公司在招聘时:不分民族种族社会阶层性别区域或国籍政治归 属等: ⑵录用职工时:除不符合妇女的工种或者岗位外,不可拒绝录用 或提高录 用妇女的录用标准;
⑶除国家规定的疾病不能上岗外,公司对残疾人员经过体检考试 合格均可录用; ⑷工资报酬:实行男女平等同工同酬; ⑸升职:所有在职员工,不分性别、国籍、表现突出者,经过 考核合格,可以晋升在更高的职位上工作; ⑹解职:公司依照法律法规和劳动者签订劳动合同,不得因是 员工代表、年龄等原因借口解职在职员工; ⑺宗教信仰公司员工宗教信仰自由,公司不强制也不歧视员工信 仰宗教或不信仰宗教,保护正常的宗教活动; 五.接到申诉由行政部对申诉情况进行查证,如果情况属实,情节轻微的对骚扰者进行教育,让其认识到自己的错误,严重者报警处理。 XX有限公司
访问控制:原理及实践 访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。 Ravi S. Sandhu and Pierangela Samarati 摘要:访问控制的目的是为了限制一个合法的计算机系统用户可执行的活动和操作。访问控制限制用户可直接进行的操作,以及代表用户的执行程序可进行的操作。通过这种方式访问控制可以阻止违反安全的活动。这篇文章解释了访问控制及其与其它安全服务的关系,如身份认证、审计和管理等。然后讨论了访问矩阵模型并描述了在实际系统中实现这种访问矩阵的不同方法,最后讨论了在现行系统中普遍存在的访问控制策略以及对访问控制管理的简单思考。 访问控制和其它安全服务 在计算机系统中访问控制依靠并与其它安全服务共存。访问控制涉及限制合法用户的活动。用户或代表用户的执行程序通过请求监听器对系统中的主体执行访问控制,而监听器促进每一次访问。为了决定用户要进行的操作是否通过,请求监听器要向认证数据库发出请求。认证数据库是通过安全管理员管理和维护的。管理员在安全策略和组织的基础上设置这些认证。用户也可以修改认证数据库中的一些部分。例如,设置个人文件的访问权限、查询监听器和记录系统相关活动的日志。 图1是安全服务及其关系的逻辑图表。它不应该用字面的意思去解释。例如,后面将提到,对象经常是被请求监听器保护着存储在认证数据库中的,而不是被物理上分开的。图表对区别身份认证,访问控制,审计和管理服务的区分较为理想化,可能不如图表显示的明显。他们之间的区分被认为是必要的,但不是在每个系统中都表现得明显。 对认证和访问控制清楚区分开很重要。认证服务的责任是正确地建立用户的身份。访问控制则是假设用户的身份认证被成功核实后通过请求监听器执行访问控制。当一个合法用户通过身份认证并正确地接管了请求监听器时访问控制的作用就停止了。 读者肯定对通过提供一个认证密码登录计算机系统很熟悉。在一个网络环境中,身份认证因为许多原因而变得困难。为了冒充合法用户,只要攻击者能找到网络通道就能重放认证协议。同样,网络中的计算机需要互相认证。在此文中,我们假先设认证已成功通过,然后关注后面即将发生的。 要了解单靠访问控制也不是一个保证计算机系统安全的根本方案,这一点很重要的。审计必须贯穿于整个过程。审计控制涉及对系统中所有请求和活动的后续分析。审计要求对所有用户的登录请求和活动作后续的分析。审计控制作为阻隔入侵和分析查找可能存在的入侵行为是很有用的。最后,审计对于确定被审计者没有滥用特权也是很重要的。换句话说就是保持用户的行为是可审计的。注意,有效的审计要求有合适的身份认证。 在访问控制系统中用策略和机制来区分它们的不同。策略是决定访问的控制方式和的访问决定的产生的高层指导。机制则是执行策略的可配置的底层软硬件程序。安全研究员已经试图将访问控制机制大大地发展为独立于策略,以便可以被他们使用。为了重复使用可适合各种安全目标的机制,这是很可取的。同样的机制经常可以被用于支持安全性、完整性和可用性目标。从另一方面过来看,策略选择如此丰富以至系统执行者可以自主选择。 总之,不存在策略好坏的说法。确切的说,一改是策略提供的保护可能有多有少。不管如何,不是所有的系统都有同样的保护要求。一个系统的策略并不一定适合另外一个系统。例如,非常严格的访问控制策略在某些系统中至关重要,在一个需要灵活环境的系统中也许
ISO27001信息网络访问控制程序 1 目的 为加强内部企业网、Internet网络及网络服务的管理,对内部和外部网络的访问均加以控制,防止未授权的访问给网络和网络服务带来的损害,特制定此程序。 2 范围 本程序适用于内部企业网、Internet网络及网络服务的管理。 3 相关文件 4 职责 4.1 网络管理员负责对网络服务的开启与管理。 4.2 网络管理员负责审批与实施内网、外网的开启。 4.3 信息科技部内部员工必须遵守此程序,网络管理员有监督检查的责任。 4.4 文档管理员负责文档的收录与管理。 5 程序 5.1 网络和网络服务使用策略 5.1.1 IT信息科技部定期(每年)对机关办公楼各部(中心)人员的网络配置情况进行一次全面的普查和登记,填写《市行机关办公楼、内外网络接入申请单》备档,严格控制外网入网的人员数量,决不允许一机器登录双网(采用双网卡或双网线)的现象出现,登陆外网的计算机必须装有病毒查杀软件,确保现有的网络资源和网络安全。
5.1.2 IT各部(包括信息科技部)后续需要增加使用内外网结点数量,开展IT 业务,要填写《市行机关办公楼、内外网络接入申请单》如果需要某种网络服务的话请在“网络接入需求原因中体现”,经所在部门总经理签字后递交给信息科技部,由网络管理员实施并交由文档管理员进行备案。 5.1.3 申请使用Internet网,应当具备下列条件之一。 (1)IT开展的营业活动必须要通过网上查询交易的。 (2)助理以上的机关领导干部工作需要上网的。 (3)因工作需要,经部门总经理批准的本部门员工(不能超过员工总数的1/3)。 5.1.4 经批准允许登录内外网的工作人员不得从事下列危害计算机网络安全和信息安全的业务: (1)制作或者故意传播计算机病毒以及其他破坏性程序; (2)非法侵入计算机信息系统或者破坏计算机信息系统功能、数据和应用程序; (3)相关法律、行政法规所禁止的其他行为; (4)有损IT形象的行为; 5.1.5 经批准允许登录Internet网络工作人员不得利用互联网制作、复制、查阅、发布、传播含有下列内容的信息; (1)外泄IT内部商业机密; (2)反对宪法所确定的基本原则的; (3)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; (4)损害国家荣誉和利益的; (5)煽动民族仇恨、民族歧视,破坏民族团结的; (6)破坏国家宗教政策,宣扬邪教和愚昧迷信的; (7)散布谣言,扰乱社会秩序,破坏社会稳定的; (8)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; (9)侮辱或者诽谤他人,侵害他人合法权益的; (10)法律、行政法规禁止的其他内容。
制定:__________________ 审核:__________________ 批准:__________________日期:__________________ 日期:__________________ 日期:__________________ 1目的 预防强迫劳动、歧视及骚扰的情形发生,保护员工的正当权益和安全,以符合社会责任系 统所规定的要求。
2适用范围 整个公司 3 定义 无 4 权责 4.1办公室及相关部门负责执行实施。 4.2工会代表监督执行情况。 5 作业内容 5.1 办公室负责把与强迫劳动、歧视及骚扰相关的法律传达给各管理层及员工。通过培训或任何形式使员工有深入的理解。 5.2 公司根据相关的法律和社会责任的要求制定制度,防止强迫劳动、歧视及骚扰的发生。 5.2.1 防止强迫劳动 5.2.1.1本公司禁止使用囚犯。 5.2.1.2本公司禁止限制员工的人身自由、禁止殴打、污辱、体罚和对员工进行搜身。 5.2.1.3本公司禁止以任何理由扣押员工的居民身份证、暂住证、驾照、学历 证及其他有效证件。 5.2.1.4本公司禁止以扣押工资方式逼使员工工作或服务。 5.2.1.5本公司禁止以偿还债务来强迫员工工作或服务。 5.2.1.6本公司禁止以扣工资手段威胁员工工作和服务。 5.2.1.7本公司禁止以辞退、开除或其他手段强迫员工工作或服务。 5.2.2防止歧视及骚扰 5.2.2.1禁止有基于种族、社会等级、国籍、宗教、身体残疾、性别、 性取向、工会会员、政治归属或年龄之上的歧视。 5.2.2.2禁止干涉员工的宗教信仰和风俗习惯。同时应维护涉及民族、 社会阶层、国籍、宗教、残疾、性别、性取向、工会会员和政治从属需要 的权利。 5.2.2.3禁止有威胁、虐待或剥削的侵犯和性强迫行为,无论同性或异 性,包括姿势、语言和身体的接触或其他未列的方式。
XXXXXXXXX有限责任公司 信息系统访问与使用监控管理程序 [XXXX-B-16] V1.0
变更履历
1 目的 为了加强信息系统的监控,对组织内信息系统安全监控和日志审核工作进行管理,特制定本程序。 2 范围 本程序适用于XXXXXXXXX有限责任公司信息系统安全监控和日志审核工作的管理。 3 职责 3.1 技术部 为网络安全的归口管理部门。 3.2 网络安全管理员 负责对信息系统安全监控和日志的审核管理。 4 相关文件 《信息安全管理手册》 《信息安全事件管理程序》 5 程序 5.1 日志 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志,并保存半年,以支持将来的调查和访问控制监视活动。 系统管理员不允许删除或关闭其自身活动的日志。 日志记录设施以及日志信息应该被保护,防止被篡改和未经授权的访问。 应防止对日志记录设施的未经授权的更改和出现操作问题,包括: a)对记录的信息类型的更改; b)日志文件被编辑或删除; c)超过日志文件媒介的存储容量,导致事件记录故障或者将以往记录的事件覆盖。 5.2 日志审核
技术部IT专职人员每周审核一次系统日志,并做好《日志审核记录》。 对审核中发现的问题,应及时报告行政部进行处理。 对审核发现的事件,按《信息安全事件管理程序》进行。 5.3 巡视巡检 巡视人员负责每天监控巡视,技术部安全管理员每周进行一次监控巡视。 新系统投入运行前必须对系统的监控巡视人员进行技术培训和技术考核。 监控巡视人员按信息资源管理系统的要求进行系统监控和巡视,并填写运维记录报告。 监控巡视期间发现问题,应及时处理,并在运维记录中填写异常情况。 监控巡视人员应进行机房环境、信息网络、应用系统的巡视,每天记录机房温度、防病毒情况、应用系统运行情况等。 巡视人员的巡视巡检按《信息处理设施维护管理程序》进行。 5.4 职责分离 为防止非授权的更改或误用信息或服务的机会,按要求进行职责分配。另见《用户访问管理程序》、《IT工程师职位说明书》 5.5审计记录(日志)及其保护 5.5.1 技术部负责生成记录信息系统网络设备运行状况、网络流量、用户活动、例外和信息安全事件的监测日志,并保存半年,以支持将来的调查和访问控制监视活动。 5.5.2 系统管理员和系统操作员的活动应记入日志,系统管理员不允许删除或关闭其自身活动的日志。 5.5.3 日志记录设施以及日志信息应该被保护,防止被篡改和未经授权的访问。 5.5.4 应防止对日志记录设施的未经授权的更改和出现操作问题,包括: a) 对记录的信息类型的更改; b) 日志文件被编辑或删除; c) 超过日志文件媒介的存储容量,导致事件记录故障或者将以往记录的事件覆盖。 5.6时钟同步 5.6.1公司网络和系统采用网络时间协议保持所有服务器与主时钟同步。 5.6.2 个人计算机应采用网络时间协议保持与主时钟同步。 6 记录 《日志审核记录》 《网络与信息安全检查表》
1目的 制定制度,规范公司管理者行为,致力于提供一个公平合理,无歧视、无性骚扰的工作环境。 2范围 适用于本企业的所有管理人员的行为 3定义: 歧视:就是本来是平等的东西由于其他原因对这个事物产生不平等的态度。 性骚扰:包括各种冒犯性的,侮辱性的、胁迫性的不受欢迎的性侵犯。 4职责 人事部:在招聘、培训机会、晋升中不能歧视行为 企管部:在加酬及副利政策方面不能歧视行为 各级管理人员:在管理过程中不能有歧视和性骚扰行为 5程序 公司对每个员工提供公平合理的工作机会,在招聘、报酬、培训机会、晋升、解职及生产劳动管理过程中,任何部门的行政管理人员对每个员工必须一视同仁,不受其民族、性别、年龄、婚姻状况、职务、宗教、信仰、残疾、工会会员等原因而有针对性歧视行为,要通过其在工作中的态度、能力、业绩、团队合作等的表现来衡量。 公司绝不干涉所有员工遵奉信仰和风俗的权利,和满足涉及种族、社会阶层、国籍、宗教、残疾、性别、工会会员和政治从属需要的权利,同时绝不会因此受到歧视。 人事部在招聘和培训时不应有性别、年龄、婚姻状况、民族的限制,凡由于生产或工作需要符合招工条件的妇女,享有男女平等的就业权利,在录用职工时,除国家规定的不适合妇女的工种或者岗位外,不以性别为由拒绝录用妇女或者提高对妇女的录用条件。 女职工的怀孕、生育等严格贯彻执行《女职工劳动保护规定》。 按生产订单情况,需经济性裁员时,按《劳动法》第二十七条和劳动部《企业经济性裁员规定》的条例进行,向员工提供经营资料,提出裁减方案,征求员工意见,听取工会部门意见,对被裁减人员支付经济补偿金。 本厂的工会或员工对各级管理人员行使监督检查,积极参与,倡导反对歧视行为。 当有员工受到歧视时,员工可以书面或口头形式向上级领导或人事部投诉其所受的歧视,投诉情况将由人事部负责人委派人员调查并在调查后2天内向投诉者作出书面或口头的答复,被投诉者对下属员工有歧视行为的将根据严重程度,作口头警告、书面警告、调职、降职或解职的处理。 公司任何人不得侵犯工人的基本人权和尊严,本公司不允许管理人员/员工在任何情况下对员工有强迫性、威协性、虐待性或剥削性的性行为,包括姿势、语言(暗示性的身体的评价,下流的言语及黄色笑话、裸体照片等)和实际接触。 性骚扰的投诉及处理渠道:任何员工如果有被性骚扰,向上级反映,如仍然无效,立即向人事部反映,接到关于性骚扰的投诉将要严肃的对待,并对反映人要保密,对被投诉人要公正、机密、迅速地处理,公司采取行动,确保骚扰不再发生,投诉人及目击人将不会遭到报复和打击。 6.参考
当你的电脑经常需要被别人使用,但是你又不希望别人看你的某些重要文件或者不允许别人运行某些应用程序或者担心自己系统某些重要参数被修改时,你可以先以管理员身份登录Windows系统,参照以下几条作相应设置,然后开通来宾账户或者新建一个普通user账户(不是管理员,而是受限用户),让别人用这个账户登录系统,这时你就可以放心你的电脑任意让别人折腾。 一、限制用户对文件的访问权限 如果程序所在的磁盘分区文件系统为NTFS格式,管理员账户可以利用NTFS 文件系统提供的文件和文件夹安全选项控制用户对程序及文件的访问权限。通常情况下,一个应用程序安装到系统后,本地计算机的所有账户都可以访问并运行该应用程序。如果取消分配给指定用户对该应用程序或文件夹的访问权限,该用户也就失去了运行该应用程序的能力。 例如,要禁止受限用户运行Outlook Express应用程序,可以进行如下的操作:(1)、以administrator账户登录系统,如果当前系统启用了简单文件共享选项,需要将该选项关闭。具体做法是,在Windows浏览器窗口点击“工具”菜单下的“文件夹选项”,点击“查看”选项页,取消“使用简单文件共享”选项的选择,点击“确定”。(2)、打开Program Files文件夹,选中Outlook Express文件夹并单击右键,选择“属性”。 (3)、点击“安全”选项页,可以看到Users组的用户对该文件夹具有读取和运行的权限,点击“高级”。 (4)、取消“从父项继承那些可以应用到子对象的权限项目,包括那些再次明确定义的项目”选项的选择,在弹出的提示信息对话框,点击“复制”,此时可以看到用户所具有的权限改为不继承的。 (5)、点击“确定”,返回属性窗口,在“用户或组名称”列表中,选择Users项目,点击“删除”,点击“确定”,完成权限的设置。 要取消指定用户对文件或程序的访问限制,需要为文件或文件夹添加指定的用户或组并赋予相应的访问权限。 这种方法允许管理员针对每个用户来限制他访问和运行指定的应用程序的权限。但是这需要一个非常重要的前提,那就是要求应用程序所在的分区格式为NTFS,否则,一切都无从谈起。 对于FAT/FAT32格式的分区,不能应用文件及文件夹的安全选项,我们可以通过设置计算机的策略来禁止运行指定的应用程序。
文件制(修)订记录
1 目的 为切实落实社会责任管理手册要求,确保员工不被任何人歧视、骚扰和报复,特制定本程序。 2 范围 本程序适用于公司对员工一视同仁,确保员工不受歧视、骚扰和报复,不受任何限制。 3 职责 3.1 行政人事部负责依据本程序监督和记录公司反歧视、反骚扰、反报复管理的实施。 3.2 各部门负责依据本程序落实好反歧视、反骚扰、反报复管理。 4 程序 4.1 公司应确保员工在聘用阶段、工作过程和生活期间不被任何人歧视、骚扰和报复。 4.2 在涉及聘用、报酬、培训、升迁、解职或退休等事项或机会上,公司不得从事或支持基于种族、民族、社会出身、社会阶层、血统、宗教、残疾、性别、性取向、家庭责任、婚姻状况、工会会员、政见、年龄或其他方面的歧视、骚扰和报复。 4.3 公司不干涉员工遵奉种族、民族、社会出身、社会阶层、血统、宗教、残疾、性别、性取向、家庭责任、婚姻状况、工会会员、政见、年龄或其他方面等权利,同时员工绝不会因此受到歧视、骚扰和报复。 4.4 公司不允许管理人员在任何情况下对员工有强迫性、威胁性、凌辱性或剥削性的歧视、骚扰和报复行为,包括姿势、言语和实际接触。 4.5 公司不得在任何情况下对举报、投诉、建议的员工进行歧视、骚扰和报复,包括行动和语言的行为。 4.6 公司应确保男女同工同酬,凡由于生产或工作需要符合招工条件的妇女,享有男女平等的就业权利。 4.6.1 在录用员工时,除国家规定的不适合妇女的工种或岗位外,不以性别为由拒绝录用妇女或提高对妇女的录用标准。公司不得在任何情况下要求员工做怀孕或童贞测试。 4.6.2 在决定工资、晋升、工作安排、补贴、培训等时机工作中,妇女不能成为歧视的目标。 4.6.3 劳动合同中不能含有禁止妊娠的条款,不能以强制节育作为录用和合同续签的条件。 4.6.4 怀孕时应对孕妇进行合理的调整,必须保护孕妇不能从事实质上有害健康的工作。 4.6.5 公司不能因为妇女怀孕而解聘、威胁降级重新分配有危险的工作或作出扣除工资等决定。 4.7 公司按照生产订单情况需要经济性裁员时,应依据《劳动法》的程序进行,向员工提供经营数据,提供裁员方案,征求员工代表意见,听取劳动部门意见,对被裁减员工支付经济补偿金,在裁减人员时,