作者: 巩企翔

  • 贺老师《保险公司工伤保险实务与风险防控》

    贺老师《保险公司工伤保险实务与风险防控》

    【课程背景】

    工伤保险作为社会保险体系中最具高频触发性和法律复杂性的险种之一,对保险公司的HR管理工作提出了极高的专业要求。近年来,随着人社部《关于执行〈工伤保险条例〉若干问题的意见(三)》(人社部发〔2025〕62号)的发布以及各地司法实践对“上下班途中”“因工外出”“突发疾病视同工伤”等关键条款的细化裁判,保险行业工伤认定的规则边界、举证责任分配和用人单位抗辩逻辑均发生了显著变化。尤其对于人寿保险公司而言,员工结构呈现“内勤为主、外勤为辅”的复合形态,外勤人员主要从事摆放客户、递交监管申报资料等工作,虽非传统高危工种,但其工作场景中同样存在交通事故、客户纠纷、意外伤害等隐性工伤风险。历史数据表明,该类企业最常见的工伤类型为“上下班途中发生的非本人主要责任的交通事故”,如何精准判定、有效预防并合法抗辩,已成为HR条线必须掌握的核心技能。

    然而,实践中大量保险公司的HR人员仍存在三大能力短板:一是对工伤认定的“三工原则”、视同工伤的特殊条款以及法定排除情形缺乏体系化理解,容易在事故初期误判形势,延误申报或错误抗辩;二是对工伤申报的30日黄金时效、材料编制要点以及社保部门的调查程序不熟悉,常常因程序瑕疵导致工伤保险基金拒付或用人单位自行承担费用;三是对“举证责任倒置”的规则认知不足,在认为不是工伤时,不知道从哪些维度构建抗辩证据链,更缺乏证据收集、整理和固定的标准化工具。此外,保险行业的业务特性(如外勤人员分散作业、居家办公常态化、团建活动频繁等)给工伤风险的识别和防控带来了新的挑战,传统的一刀切式管理已无法适应监管要求和司法裁判趋势。

    基于上述痛点,本课程专门面向保险公司的HR条线人员设计,紧扣《工伤保险条例》及最新司法解释,结合大量保险行业真实案例,系统讲授工伤认定的法律标准、申报流程的实务操作、单位抗辩的证据体系以及不同工作场景下的风险预防策略。课程旨在帮助HR人员从“事后被动应对”转向“事前主动防控”,构建一套可落地、可复用的工伤保险合规与风控体系,切实降低企业的法律风险和用工成本。

    【课程收益】

    • 准确掌握《工伤保险条例》第1416条认定工伤、视同工伤、不予认定的法定标准及其在保险行业具体场景中的适用规则;
    • 清晰区分上下班途中交通事故(需非本人主要责任)与外勤途中事故(工作原因即可认定)两类情形的法律要件差异;
    • 全面了解工伤认定申报的30日、90日、1年三个关键时限的法律后果及操作节点;系统认知“举证责任倒置”规则下用人单位的证据义务边界及抗辩的三层逻辑框架;
    • 熟练运用针对上下班途中、突发疾病、因工外出等常见争议类型的抗辩策略和证据链构建方法;
    • 掌握事故发生后“1小时上报4小时取证24小时固定证据”的应急响应标准流程。

    【授课对象】

    人力资源部门负责人、劳动关系管理人员和法务合规人员

    【课程大纲】

    第一讲:工伤保险法规体系与认定边界

    一、工伤保险法规基石与核心原则

    1. 法律体系概览——法规层级三支柱

    1)法律层面:《社会保险法》第四章

    2)行政法规层面:《工伤保险条例》第1416条

    3)部门规章与司法解释层面:《工伤认定办法》、最高法司法解释、人社部《意见(三)》(2025)

    2. “三工原则”的理解与应用

    1)工作时间、工作场所、工作原因的协同判断

    2)举证责任分配规则

    3)“三工”关联性的扩张与限缩

    案例:保险公司核保岗的突发疾病争议

    二、认定工伤的具体情形

    1. 第14条第(一)至(四)项——典型工作伤害

    1)工作场所内因工作原因事故伤害

    2)预备性或收尾性工作伤害

    3)履行工作职责受到暴力意外伤害(客户纠纷场景)

    4)职业病

    2. 第14条第(五)项——因工外出的认定

    1)“外出”期间的界定

    2)“工作原因”与个人行为的区分

    3)证据链构建要点

    3 第14条第(六)项——上下班途中交通事故

    1)三个要件:上下班目的+合理时间+合理路线

    2)“合理路线”的扩张解释

    3)“非本人主要责任”的认定依据

    4)“合理时间”的综合判断标准

    案例:保险公司外勤人员外出途中受伤的争议

    三、视同工伤的特殊情形

    1. 第15条第(一)项——突发疾病48小时内死亡

    1)四要件:工作时间+工作岗位+突发疾病+48小时内死亡

    2)“48小时”起算点与截止点的计算争议

    3)“径直送医”的司法分歧

    2. 第15条第(二)至(三)项  

    1)抢险救灾中受伤

    2)旧伤复发(退役军人)

    案例:下班后在单位台阶摔倒,为何不构成工伤?

    四、不得认定工伤的排除情形

    1. 法定排除三项:故意犯罪、醉酒/吸毒、自残/自杀  

    2. 实践中的高频排除争议

    1)醉酒的认定标准与举证要求

    2)醉酒与工伤之间的因果关系判断

    3)保险公司外勤人员应酬饮酒的风险提示

    第二讲:工伤认定申报流程与实务操作

    30日黄金申报期的法律约束

    1. 用人单位的法定义务

    2. 逾期申报的后果

    3. 特殊情况的延长申请

    二、90日与1年的后续节点

    1. 职工或近亲属1年内自行申请

    2. 超30日但未超1年的费用承担分割

    3. 超过1年的救济路径极为有限

    案例:保险公司未及时申报工伤的赔偿风险

    三、申报材料清单与编制要点

    1. 必备核心材料的规范要求

    1)工伤认定申请表(盖章/签字)

    2)劳动关系证明文件

    3)医疗诊断证明

    4)身份证明

    2.不同伤害类型的补充材料

    1)上下班途中:交通事故责任认定书

    2)因工外出:外出审批单、行程记录

    3)暴力伤害:公安机关接处警记录

    4)突发疾病死亡:抢救记录、死亡证明

    3. 材料编制的实操技巧

    1)关键时间节点的标注方法  

    2)因果关系链条的表述技巧  

    3)标准化“工伤认定申报材料包”模板

    工具:《工伤认定申请材料自检清单》

    四、社保部门的审核流程与HR应对策略

    1. 受理与补正告知机制

    1)15日内决定受理与否

    2)一次性补正告知义务

    3)HR“7天闭环”工作标准

    2. 简易程序与一般程序

    1)简易程序:15日内作出决定  

    2)一般程序:60日,可延长30日  

    3)如何利用简易程序加速认定

    3 社保部门的调查核实程序

    1)调查核实的法定权限

    2)用人单位配合义务与拒不配合的后果

    3)HR配合调查的三大行为规范

    第三讲:单位抗辩体系与证据全流程管理

    一、举证责任倒置的认知突破与应对框架

    1. 法律适用的认知重塑

    1)用人单位举证责任倒置规则

    2)举证不能的后果

    3)15日举证时限的法律约束

    案例:用人单位举证不能导致工伤认定成立

    2. 抗辩的三层逻辑框架

    1)第一层:否定劳动关系  

    2)第二层:否定“三工”要件  

    3)第三层:援引法定排除情形

    工具:《工伤认定抗辩决策树》

    二、证据收集、整理与固定的全流程体系

    1. 按时间节点分层的证据采集体系

    1)事前证据

    2)事中证据

    3)事后证据

    2. 按证明对象分类的证据模块

    1)劳动关系证据

    2)工作纪律证据

    3)事故现场证据

    4)第三方文书证据

    5)因果关系打断证据

    案例:保险公司核保岗突发疾病的抗辩策略

    3. 证据固定与保存的规范操作

    1)电子证据的保全方法  

    2)证人的书面证言模板与签字确认流程  

    3)取证时机的时效性要求  

    4)证据保管的台账制度

    工具:《工伤保险争议证据收集清单与固定指引》

    三、常见争议类型下的抗辩要点

    1. 上下班途中交通事故的抗辩要点

    1)非合理路线抗辩

    2)非合理时间抗辩

    3)非上下班目的抗辩

    4)非本人主要责任但有参与的抗辩

    2. 因工外出受伤的抗辩要点

    1)外出未经批准的证明

    2)偏离工作目的的证明

    3)伤害与外出无因果关系的证明

    3. 突发疾病48小时内死亡的抗辩要点

    1)发病时间不在工作时间/工作岗位的证明  

    2)“48小时”计算争议的抗辩  

    3)因果关系抗辩的谨慎使用

    第四讲:保险公司工伤风险场景识别与防控体系

    一、上下班途中交通事故:历史高发场景的专项预防

    1. 法规背景与标准解析  

    1)条例第14条第(六)项回顾  

    2)人社部《意见(三)》的细化规定  

    3)核心四要素的重申

    案例:保险公司员工上下班途中交通事故的典型争议  

    2. 四项专项防控措施  

    1)通勤安全教育体系

    2)通勤安全硬件保障

    3)考勤与通勤时间匹配的精细化管理

    4)弹性工作和远程办公的通勤规则书面约定

    工具:《员工通勤安全风险管控清单》

    二、外勤场景下的工伤风险识别与防控

    1. 外勤工作的风险场景梳理

    1)摆放客户途中的交通事故风险

    2)拜访客户途中的人身意外风险

    3)递交监管材料途中的意外

    4)客户纠纷引发的暴力事件

    2. 外勤风险的三层防控体系

    1)制度层:外勤审批与报备制度  

    2)工具层:定位打卡/行程轨迹记录  

    3)意识层:专项安全意识培训

    案例:外勤人员在拜访客户途中发生交通事故

    3. 特殊情形:居家办公与外勤的边界问题

    1)《意见(三)》对居家办公工伤认定的规则  

    2)HR的合规管理建议

    四、内勤及其他场景下的潜在风险与防控

    1. 办公室常见工伤风险

    1)办公场所意外伤害

    2)长期电脑使用的职业健康问题

    3)团建活动中的意外伤害

    2. 针对内勤风险的防控措施

    1)办公环境安全检查  

    2)健康促进计划

    3)团建活动风险评估与商业意外险配置

    五、保险公司工伤风险防控的制度化建设

    1. 日常管理的三道防线

    1)事故预防:安全培训、隐患排查、防护装备

    2)事故响应:1小时上报4小时取证24小时固定证据

    3)事后管理:待遇核算、康复管理、商保协同

    2. 应急预案与跨部门协作机制

    1)工伤应急响应小组

    2)各岗位职责分工与响应时限  

    3)与社保、交管、医疗机构的应急沟通渠道

    工具:《保险公司工伤事故应急预案》

    第五讲:合规风控体系与长效机制建设

    一、工伤保险参保的合规管理

    1. 参保范围的全面覆盖

    1)正式员工、试用期员工

    2)劳务派遣人员的工伤保险责任划分

    3)实习生、退休返聘人员的保障方案

    2. 社保基数的合规申报

    1)按实际工资总额足额申报  

    2)“低报”导致的补差赔偿风险

    案例:保险公司未足额缴纳工伤保险费的赔偿风险

    二、 规章制度的衔接与完善

    1. 三个核心制度的修订要点

    1)考勤管理制度

    2)外出审批制度

    3)员工手册

    2 培训档案与证明文件的规范保存

    1)签到记录、培训资料、现场照片

    2)规章制度签收确认文件

    3)关键培训的音视频记录留存

    三、商业保险与工伤保险的协同配置

    1. 雇主责任险的补充作用

    1)覆盖工伤保险未覆盖的部分

    2)上下班途中交通事故的扩展保障

    2. 保险合同条款的合规审查要点

    1)保险责任范围与免责条款  

    2)向员工清晰告知保障范围  

    3)保险销售人员合规培训

    四、综合案例演练(分组研讨)

    1. 综合案例:某人寿保险公司外勤销售员在拜访客户途中遇交通事故的责任认定与应对

    2. 背景:某保险公司外勤销售员张某,上午10时按公司安排外出拜访客户,驾驶私家车前往客户公司途中,与一辆闯红灯的货车相撞,张某受重伤。交警认定货车司机全责。公司HR在接到事故报告后,面临以下问题:

    3. 问题:

    1)该事故是否构成工伤?适用的法律条款是?  

    2)HR在接到事故报告后2小时内应完成哪些工作?  

    3)如公司认为事故发生地点偏离了前往客户公司的合理路线,应如何举证?  

    4)张某同时申请工伤保险赔偿和向货车司机索赔,公司应如何协助处理?  

    5)从本次事故出发,公司应如何完善外勤人员的工伤风险防控体系?

    4.分组任务:

    请各小组结合课程所学知识,给出完整的应对方案,并在15分钟内进行成果汇报。

    互动答疑:Q&A

  • 欧阳《守秘 · 护数 · 合规-中医药企业职业经理人信息安全主体责任与实战》

    欧阳《守秘 · 护数 · 合规-中医药企业职业经理人信息安全主体责任与实战》

    【课程定位】

    面向中医药企业中高层管理者的信息安全与数据合规管理能力提升,聚焦职业经理人的主体责任边界、离职人员风险管理、AI 时代新挑战及可落地的安全管理流程。

    【课程目标】

    (1)理解中医药企业面临的独特信息安全与数据安全风险

    (2)掌握职业经理人在信息安全方面的法律主体责任

    (3)学会离职人员安全沟通与交接的标准化流程

    (4)掌握 AI 时代中医药数据安全的新挑战与应对策略

    (5)获取可直接使用的安全管理工具与模板

    【授课对象】

    中医药企业 CEO、总经理、分管副总、IT/信息安全负责人、HR 负责人、法务合规负责人、研发/生产/质量部门负责人。

    【课程大纲】

    一、形势与背景—中医药企业为何成为信息安全“重灾区”

    1、政策监管框架:从“原则”到“问责”

    当前中国网络安全与数据保护治理已从立法阶段进入实质性执法阶段。2025 年~2026 年,监管呈现出三个结构性转向:立法从“原则框架”向“可执法接口”转化,企业从“纸面合规”向“工程合规”转化,执法从“单点合规”向“全链条合规”转化。企业需要回答的不再是“法律要求是什么”,而是“我们能不能证明我们做对了”。

    与中医药企业直接相关的核心法规包括:

    (1) 《网络安全法》(2025 年修订版) :2026 年 1 月 1  日起施行,违法处罚力度加大,三法实现系统衔接。

    (2)《网络数据安全管理条例》 :自 2025 年 1 月 1  日起施行,从行政法规层面将《网络安全法》《数据安全法》《个人信息保护法》的核心义务织成可实施、可检查的制度网络。

    (3)《个人信息保护合规审计管理办法》 :自 2025 年 5 月 1  日起施行,推动企业合规从“做过”走向“可证明”。

    (4)《关于促进数字中医药发展的若干意见》 (国家中医药管理局+国家数据局):明确要求实施数据分类分级保护,建立中医药数据流转、开发利用安全规范和安全风险评估机制。

    2、中医药企业数据的“含金量”与独特风险

    中医药企业的数据资产具有极高的战略价值,主要体现在三个层面:

    第一层: 核心商业秘密


    中医药企业的核心竞争力主要基于其商业秘密,如创新药物研发数据、中药炮制工艺以及临床研究成果。这些关键信息的泄露可能导致企业前期巨额投资付诸东流。以案例为例,南通某老字号产品获得数据知识产权登记证书,标志着其百年验方及相关科研数据正式成为受法律认可和保护的数字化资产。


    第二层: 医疗健康数据 (敏感个人信息)


    国家标准 GB/T 45574-2025《数据安全技术 敏感个人信息处理安全要求》明确将“病症、既往病史、检验检查数据等医疗健康信息”列为敏感个人信息。中医药企业处理的患者诊疗数据、健康档案均属于此类,面临极高的合规要求。


    第三层: 中医药传统知识与数据知识产权


    国家正推进中医药传统知识数据产权制度的建立,探索中医药数据确权授权使用。中医药AI 数据资产已成为知识产权保护的新领域。

    3、触目惊心的行业案例—认知冲击

    案例一: 国内首例中医Al 商业秘密侵权案
    深圳问止中医研发的“中医大脑”系统遭前核心技术人员梁某窃取商业秘密。该公司研发投入超 3000 万元,系统累计服务患者超 10 万人,2024 年营收达 2.4 亿元。警方于 2025 年12 月在梁某住址查获关键证据并采取强制措施。这一案件揭示了中医药 AI 领域内部人员泄密的严峻现实。


    案例二: 数据出境合规风险
    2025—2026 年,我国数据跨境监管进入实质执行阶段,主管部门强化抽查与执法,重点关注跨境研发、境外部署、设备维护、供应链数据共享等场景。上海网信办发布的典型案例显示,某酒店管理企业在收到数据出境安全评估结果明确数据项出境必要性不足的情况下,仍违法违规出境个人信息,被依法罚款。


    案例三: 技术漏洞导致的医疗信息泄露
    衡山县中医医院体检系统 MySQL 数据库服务存在弱口令漏洞,且服务映射到公网地址,可从中获取相关医疗信息,被依法处以五万元罚款。


    案例四: 制药企业勒索软件攻击
    美国制药公司 Inotiv 于 2025 年 8 月遭遇勒索软件攻击,攻击者窃取包含数据库和内部应用程序在内的数据,导致业务运营中断,近万名人员数据泄露。

    4、引导讨论

    (1) 中医药企业目前有哪些核心数据资产?这些资产的价值如何量化?

    (2) 如果企业的核心配方或研发数据被竞争对手获取,对企业意味着什么?

    二、中医药企业核心数据资产识别与分级保护

    1、中医药企业数据资产全景图

    中医药企业的数据资产可分为六大类:

    类别典型数据敏感等级泄露后果
    处方与配方数据经典名方、院内制剂配方、中药复方配比、炮制工艺参数极高导致核心竞争力丧失
    研发数据新药研发数据、临床前研究数据、临床试验数据极高造成数千万研发投入损失
    患者诊疗数据病历、健康档案、诊疗记录、用药历史面临法律处罚与声誉损害
    供应链数据药材来源、供应商信息、采购价格、库存数据中高引发供应链安全风险
    市场与客户数据客户名单、销售数据、市场策略、招投标信息导致商业机会丧失
    经营与财务数据财务报表、成本结构、利润数据、员工信息造成竞争劣势与合规处罚

    2、数据分类分级方法论

    根据国家关于数据分类分级保护的要求, 中医药企业应建立“核心数据—重要数据—一般数据”三级分类体系:

    (1) 核心数据(含中药核心配方、炮制工艺、研发成果等):采取“境内存储、出境评估、专岗双人操作、加密存储、审计追溯”五重防护机制。

    (2) 重要数据(含患者诊疗数据、临床试验数据、供应链关键信息等):实施“加密传输、脱敏展示、最小权限访问、定期安全评估”四级防护策略。

    (3) 一般数据(如公开产品信息、非敏感经营数据):统一遵循网络安全等级保护制度(2.0 标准)进行管理。

    3、中医药企业数据资产盘点实操

    数据资产盘点三步法:

    (1)  识别:绘制企业数据流图,识别所有数据产生、存储、传输、使用的节点

    (2) 分类:按照上述六大类进行分类,标注数据格式、存储位置、访问人员

    (3)  定级:根据数据泄露可能造成的危害程度,确定每类数据的密级。

    三、AI时代的新挑战—从“数据泄露”到“智能体安全”

    1、Al 时代安全风险的范式转变

    制药与生命科学行业的网络风险正从传统数据泄露转向更隐蔽却更危险的数据滥用与 AI驱动的合规暴露 。2026 年,人与 AI 智能体身份比例预计达 82:1,身份冒用、权限越界、数据外泄、工具违规调用风险激增。

    2、五大Al 安全风险

    风险一:  员工使用未经批准的Al工具

    60%的制药企业在2024 年部署了 GenAI 试点项目,但建立 AI 治理框架的企业不到一半 。影子 IT 和未经批准的 AI 工具在各个部门快速扩散,员工可能将企业敏感数据输入公共 AI平台,导致数据泄露。

    风险二:  Al模型被  “投毒”  或反向攻击

    攻击者可能通过训练数据投毒、模型反推等方式,窃取企业 AI 模型中的商业秘密。中医药企业的 AI 辅助诊疗系统、中药方剂推荐模型都可能成为攻击目标。

    风险三:  Al生成内容导致的数据污染

    AI 生成的错误数据可能进入生产系统或临床决策流程,影响药品质量和患者安全。行业 AI安全实践报告指出,模型运维环节缺乏操作标准,技术标准定性多定量少。

    风险四:  Al赋能的网络攻击

    攻击者利用 AI 技术进行更精准的钓鱼攻击、漏洞发现和权限突破。2026 年两会网络安全议题中强调,AI 被赋予人类数据权限,突破了传统角色权限管理体系。

    风险五:  第三方Al 工具的供应链风险

    第三方供应商引入新型风险向量:模型泄露、未经授权的数据暴露、未经验证的机器学习流程。

    3、中医药企业AI安全治理框架

    行业 AI 安全治理体系以“端到端、分层解耦”为核心思路,构建“1+3+1”(基础设施+数据/模型/Agent+运营管理) 的全生命周期协同框架:
    (1) 数据安全:遵循分类分级、全链防护、合规可控三大原则,覆盖数据采集、存储、使用、传输、销毁五大阶段
    (2) 模型安全:通过供应链安全管理、对抗训练、后门防御等措施实现模型的可信根基
    (3) Agent 安全:聚焦运行、交互、内容、业务逻辑安全及可解释性与审计五大方面

    4、引导讨论

    (1)  贵企业是否有员工在使用 ChatGPT 、DeepSeek 等 AI 工具处理工作?是否有相应的使用规范?

    (2) 如果 AI 生成的错误数据影响了中药配方推荐,责任如何划分?

    四、职业经理人的信息安全主体责任

    依据《数据安全法》第二十七条及《网络数据安全管理条例》第九条规定,网络数据处理者“对所处理网络数据的安全承担主体责任”。该主体责任明确界定为企业主要负责人及管理层,而非仅限于信息技术部门。

    职业经理人需承担的三大法律责任如下:

    (1) 制度建设责任:建立并完善全流程数据安全管理制度,组织数据安全教育培训活动。

    (2) 技术保障责任:实施加密、备份、访问控制、安全认证等技术措施, 以确保数据安全。

    (3) 事件处置责任:在数据安全事件发生时,须立即启动应急预案,采取遏制措施防止危害扩大,并及时向主管部门报告。

    2、处罚后果—管理者的“高压线”

    行政处罚:对直接负责的主管人员可处一万元以上十万元以下罚款;造成严重后果的,处五万元以上二十万元以下罚款,并可责令暂停相关业务、停业整顿、吊销营业执照- 刑事责任:非法获取数据罪、侵犯商业秘密罪等均可追究刑事责任。案例:某医药代表非法获取医疗数据被判处有期徒刑五年三个月,并处罚金 100 万元

    3、职业经理人日常履职的“安全履职清单”

    履职事项执行频率责任人
    审查信息安全管理制度落实情况季度总经理
    参与数据安全应急演练半年度所有管理层成员
    审阅数据安全事件报告实时分管副总经理
    参与重要数据出境安全评估事前分管副总经理及法务部门
    审阅数据分类分级清单更新年度数据安全负责人
    参加数据安全合规培训年度所有管理层成员

    4、实操建议

    (1) 建立“信息安全责任制”书面文件, 明确每位管理层成员的具体职责

    (2) 将数据安全合规纳入职业经理人的年度绩效考核指标

    (3) 建立“安全合规一票否决”机制,重大安全事件可影响晋升与奖金

    五、离职人员安全管理—从入职到离职的“全周期管控”

    1、离职人员安全风险全景

    离职人员是中医药企业数据泄露的最大风险源之一。案例中的问止中医商业秘密案,正是前核心技术人员离职后带走核心技术数据导致的。离职人员泄密通常发生在三个时间点:

    (1)  离职前:主动或被动下载/复制敏感数据

    (2)  离职交接期:利用交接漏洞获取未授权数据

    (3) 离职后:利用未注销的账号或记忆中的数据开展竞争

    2、入职即管理—防范于未然

    入职安全管理的“三道关”:

    (1)背景调查关:对核心岗位(研发、IT、高管)进行背景调查,重点关注前雇主关系、竞业限制协议履行情况

    (2)保密协议关:入职即签订保密协议,明确保密范围(包括处方、配方、工艺、客户信息等)、保密期限、违约责任

    (3)权限分配关:按照“最小必要原则”分配数据访问权限,新员工入职初期仅开放与工作直接相关的数据权限

    3、在职期间的安全管理

    持续管控措施:

    (1)定期安全培训:每半年进行一次信息安全意识培训,内容包括数据分类识别、保密义务、泄密后果

    (2)权限动态审查:每季度审查员工的数据访问权限,调岗及时调整权限

    (3)异常行为监控:部署数据防泄漏(DLP )系统,监控异常的大规模数据下载、复制、外发行为

    (4)核心数据接触记录:对研发、配方、患者等核心数据的访问进行详细日志记录,定期审计

    4、离职安全沟通与交流流程

    标准化离职安全流程(七步法)

    步骤一:  离职意向确认

    责任方:人力资源部( HR)

    操作流程:

    (1)员工提出离职意向后,HR 需第一时间通知信息安全负责人。

    (2)由信息安全负责人评估该员工的涉密等级(一般/重要/核心)。

    步骤二: 安全面谈

    责任方:信息安全负责人 + 员工直属上级

    操作流程:与离职员工进行一对一安全面谈,内容须涵盖:

    (1)重申其在职及离职后的持续保密义务与法律责任。

    (2)确认其已归还或计划归还所有公司资产(包括电子设备、存储介质、文件资料等)。

    (3)签署《离职保密承诺书》。

    (4) 如适用, 明确说明竞业限制条款的执行安排。

    执行要点:面谈过程应保持专业、客观,  并完整记录、归档。

    步骤三:权限即时冻结

    责任方:信息安全团队

    操作流程:

    (1)于安全面谈结束后当日,立即冻结该员工所有系统账号。

    (2) 同步中止其邮箱、VPN、各业务系统及云存储平台等一切访问权限。

    (3)根据需要,为其工作邮箱设置邮件自动转发规则。

    步骤四:  离职前数据审计

    责任方:信息安全团队

    操作流程:

    (1)审计该员工离职前 30 至 90 天的数据访问与操作日志。

    (2)重点核查是否存在异常行为,包括:非常规时间访问、批量数据下载或导出、向外部邮箱发送敏感数据等。

    (3)若发现任何异常,立即启动专项调查程序。

    步骤五:  公司资产回收与处理

    责任方:人力资源部 + 行政部

    操作流程:

    (1)全面回收并清点该员工所持的所有公司资产,包括但不限于:办公电脑、手机、移动存储设备、门禁卡及纸质文件。

    (2)对回收的电子设备进行专业级数据擦除或系统重装,确保数据不可恢复。

    步骤六:  工作交接与安全审查

    责任方:业务部门 + 信息安全团队

    操作流程:

    (1)完成工作内容、待办事项及相关资料的书面交接。

    (2)所有交接文件需提交信息安全团队审查,确保不包含未授权的敏感信息。

    (3)交接清单与审查结果需由交接双方及信息安全团队签字确认。

    步骤七:  离职后持续跟踪

    责任方:人力资源部 + 信息安全团队

    操作流程:

    (1)在员工离职后三个月内,持续监控其原账号是否存在异常访问尝试。

    (2)若签有竞业限制协议,需按规定跟踪其离职后的就业状况。

    5、离职安全管理模板

    《离职安全面谈记录模板》

    《离职保密确认书模板》

    《离职数据访问审计报告模板》

    六、课程要点与行动建议

    1、课程核心要点回顾

    (1)形势认知:中医药企业的数据资产具有极高战略价值,也是网络攻击和内部泄密的高风险目标

    (2)法律底线:职业经理人对数据安全承担“主体责任”,违法将面临行政处罚乃至刑事责任

    (3)AI 挑战:AI 时代安全风险从数据泄露扩展到模型安全、Agent 安全和 AI 赋能攻击

    (4)人员管理:从入职到离职全周期管控涉密人员,离职安全管理是重中之重

    (5) 流程规范:建立标准化的安全事件处理流程和应急预案

    2、行动清单—给中医药企业管理层的五件事

    行动项责任部门/人员
    开展企业数据资产全面盘点与分类分级工作总经理与信息安全负责人
    制定并发布企业信息安全管理制度分管副总经理
    组织实施全员信息安全意识培训人力资源部与信息安全团队
    建立离职人员信息安全管理标准化流程人力资源部与信息安全团队
    完成数据跨境传输情况专项排查法务部与信息安全团队

    3、现场答疑与讨论

  • 《习惯的力量》卓越素养实战

    《习惯的力量》卓越素养实战

    【适学情境】

    • 新员工入职集中培训期
    • 企业全员通用素质提升
    • 团队凝聚力建设活动
    • 青年员工职业发展规划
    • 基层管理者基础能力培养

    【目标学员】

    • 入职0—3年的职场新人
    • 企业各部门基层员工
    • 需要提升工作效率与协作能力的团队成员
    • 寻求自我成长与职业突破的青年员工

    【课程时长】

    1天(6~7小时)

    【人数建议】

    24~48人(最佳分组规模:每组6~8人)

    【课程背景】

    在企业人才培养实践中,我们发现传统的讲座式素质培训正面临严峻挑战:内容虽经典,但形式单一枯燥,难以吸引年轻一代员工的注意力。学员普遍存在 “人在心不在” 的状态,培训参与度低、知识留存率差,最终导致培训效果大打折扣,企业投入与产出不成正比。

    针对这一行业痛点,我们结合经典著作,全新研发了《习惯的力量》卓越素养实战沙盘课程。该课程摒弃了传统的 “老师讲、学员听” 的单向灌输模式,采用沉浸式、互动式的沙盘游戏形式,将经典的职场成长理论转化为生动有趣的实战体验。通过模拟真实的工作与生活场景,让学员在游戏中感悟、在体验中成长,真正实现从 “知道” 到 “做到” 的转变。

    【课程收益】

    个人层面

    • 掌握科学的时间管理方法,提升工作效率与执行力
    • 建立清晰的目标导向思维,明确个人发展方向
    • 学会主动承担责任,培养积极主动的工作态度
    • 提升沟通协作能力,建立良好的职场人际关系
    • 养成持续学习与自我提升的良好习惯

    团队层面

    • 增强团队成员之间的信任与理解
    • 提升团队整体协作效率与问题解决能力
    • 营造积极向上、共同成长的团队文化
    • 为企业培养一批具备卓越素养的后备人才

    企业层面

    • 有效提升新员工融入速度与留存率
    • 降低企业培训成本,提高培训投资回报率
    • 打造高素质的员工队伍,增强企业核心竞争力
    • 为企业可持续发展奠定坚实的人才基础

    沙盘图片

    【课程大纲】

    模块一:课程导入与规则讲解(30 分钟)

    • 破冰活动:认识你我他
    • 课程整体框架与学习目标介绍
    • 沙盘游戏规则与注意事项说明
    • 分组与团队建设:确定队名、队呼与队长

    模块二:第一轮沙盘:个人效能提升实战(120 分钟)

    • 沙盘模拟(60分钟)

    每位学员将扮演一名年轻的职场人,面对一周内接踵而至的工作任务与生活事项。学员需要先进行”人生价值排序”,明确自己在经济成就、职业发展、家庭社交、健康爱好等方面的优先级,然后合理规划自己的时间,统筹安排各项事务。在这个过程中,学员将面临各种突发状况与两难选择,体验时间管理不当带来的后果。

    • 复盘分享与知识讲解(60 分钟)

    讲师引导学员回顾沙盘过程中的决策与行为,分享各自的体验与感悟。通过对比不同学员的结果差异,深入讲解 “主动积极”、”以终为始”、”要事第一” 三个核心习惯的内涵与应用方法,帮助学员建立个人效能提升的思维框架。

    模块三:午餐与休息(60 分钟)

    模块四:第二轮沙盘:团队协作共赢实战(150 分钟)

    • 沙盘模拟(60分钟)

    各小组将作为公司的不同部门,共同承担一场大型市场活动的筹备任务。每个小组都有自己的职责分工与资源限制,同时也需要其他小组的支持与配合。学员需要在有限的时间内,通过有效的沟通与协作,互通有无、优势互补,共同完成活动策划、场地布置、物资采购、人员安排等各项工作。

    • 复盘分享与知识讲解(60分钟)

    讲师引导学员复盘团队协作过程中的亮点与不足,分析沟通障碍与冲突产生的原因。深入讲解 “双赢思维”、”知彼解己”、”统合综效” 三个核心习惯的实践要点,帮助学员掌握高效沟通与团队协作的技巧。

    • 综合总结(30分钟)

    介绍第七个核心习惯 “不断更新”,阐述其在个人成长与团队发展中的重要意义。系统梳理七个习惯之间的内在联系与逻辑关系,构建完整的卓越素养体系。引导学员制定个人行动计划,将所学知识应用到实际工作与生活中。

    模块五:课程总结与成果展示(60 分钟)

    • 各小组分享学习心得与行动计划
    • 优秀团队与个人表彰
    • 讲师总结与寄语
    • 课程效果评估与反馈收集