6People controls 人员控制ISO/IEC 27001: 2022 附录A)
6.1Screening
审查
Control 控制
Background verification checks on all candidates to become personnel shall be carried out prior to joining the organization and on an ongoing basis taking into consideration applicable laws, regulations and ethics and be proportional to the business requirements, the classification of the information to be accessed and the perceived risks.
在其加入组织之前,应对所有任用候选者的背景进行验证核查,并在其基础之上,考虑适用的法律、法规和道德规范,以及与业务要求、访问信息的等级和察觉的风险相适宜。
6.2Terms and conditions of employment
任用条款及条件
Control 控制
The employment contractual agreements shall state the personnel’s and the organization’s responsibilities for information security.
雇佣合同协议应声明员工和组织对信息安全的职责。
6.3Information security awareness, education and training
信息安全意识、教育和培训
Control 控制
Personnel of the organization and relevant interested parties shall receive appropriate information security awareness, education and training and regular updates of the organization’s information security policy, topic-specific policies and procedures, as relevant for their job function.
组织和相关方的员工,应按其工作职能,接受适当的意识、教育和培训,以及定期更新的组织信息安全策略、特定主题策略及规程。
6.4Disciplinary process
违规处理过程
Control 控制
A disciplinary process shall be formalized and communicated to take actions against personnel and other relevant interested parties who have committed an information security policy violation.
应有正式的、且已被传达的违规处理过程以对信息安全违规的员工和其他相关方采取措施。
6.5Responsibilities after termination or change of employment
任用终止或变更的职责
Control 控制
Information security responsibilities and duties that remain valid after termination or change of employment shall be defined, enforced and communicated to relevant personnel and other interested parties.
应确定任用终止或变更后仍有效的信息安全职责和义务,传达至相关员工和其他相关方并执行。
6.6Confidentiality or non-disclosure agreements
保密或不泄露协议
Control 控制
Confidentiality or non-disclosure agreements reflecting the organization’s needs for the protection of information shall be identified, documented, regularly reviewed and signed by personnel and other relevant interested parties.
应识别、文件化和定期评审反映组织信息保护需要的保密性或不泄露协议,并由员工和其他相关方签署。
6.7Remote working
远程工作
Control 控制
Security measures shall be implemented when personnel are working remotely to protect information accessed, processed or stored outside the organization’s premises.
当员工远程工作时,应实施安全措施,以保护在组织场所以外所访问的、处理的或存储的信息。
6.8Information security event reporting
信息安全事态报告
Control 控制
The organization shall provide a mechanism for personnel to report observed or suspected information security events through appropriate channels in a timely manner.
组织应提供一种机制,使人员能够通过适当的渠道及时报告观察到的或可疑的信息安全事态。
A.6 信息安全组织(ISO/IEC 27001: 2013 附录A)
A.6.2 移动设备和远程工作
目标:确保移动设备远程工作及其使用的安全。
A.6.2.2远程工作控制
应实现相应的策略及其支持性的安全措施,以保护在远程工作地点上所访问的、处理的或存储的信息。
A.7 人力资源安全(ISO/IEC 27001: 2013 附录A)
A.7.1 任用前
目标:确保员工和合同方理解其责任,并适合其角色
A.7.1.1审查控制
应按照相关法律法规和道德规范,对所有任用候选者的背景进行验证核查,并与业务要求、访问信息的等级和察觉的风险相适宜。
A.7.1.2任用条款及条件控制
应在员工和合同方的合同协议中声明他们和组织对信息安全的责任。
A.7.2 任用中
目标:确保员工和合同方意识到并履行其信息安全责任。
A.7.2.2信息安全意识、教育和培训控制
组织所有员工和相关的合同方,应按其工作职能,接受适当的意识教育和培训,及组织策略及规程的定期更新的信息。
A.7.2.3违规处理过程控制
应有正式的、且已被传达的违规处理过程以对信息安全违规的员工采取措施。
A.7.3 任用的终止和变更
目标:在任用变更或终止过程中保护组织的利益。
A.7.3.1任用终止或变更的责任控制
应确定任用终止或变更后仍有效的信息安全责任及其职责,传达至员工或合同方并执行。
A.13 通信安全
A.13.2 信息传输
目标:维护在组织内及与外部实体间传输信息的安全。
A.13.2.4保密或不泄露协议控制
应识别、定期评审和文件化反映组织信息保护需要的保密性或不泄露协议的要求。
A.16 信息安全事件管理(ISO/IEC 27001: 2013 附录A)
A.16.1 信息安全事件的管理和改进
目标:确保采用一致和有效的方法对信息安全事件进行管理,包括对安全事态和弱点的沟通。
A.16.1.2报告信息安全事态控制
应通过适当的管理渠道尽快地报告信息安全事态。
A.16.1.3报告信息安全弱点控制
应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点。

控制解析:

  1. 新版的A.6人员控制基本与ISO/IEC 27001: 2013中A.7人力资源安全保持一致,但有部分调整。ISO/IEC 27001: 2013中A.7.2.1管理责任在新版中移入了A.5组织控制,同时ISO/IEC 27001: 2013中A.13.2.4、A.6.2.2、A.16.1.2和A.16.1.3(A.16.1.2和A.16.1.3在新版中合并)在新版中移入了A.6人员控制,分别对应A.6.6、A.6.7和A.6.8。
  2. “A.6 人员控制”与正文“7.2”和“7.3”都属于人力资源模块,组织应建立人力资源信息安全管理过程,并形成书面的程序文件,可以把内容整合到《人力资源管理程序》,或单独形成《人力资源安全管理程序》。
  3. 候选人在任用前,需要结合岗位的重要性,业务过程中接触的信息敏感程度,并在法律法规允许的情况下,进行相应的背景调查(A.6.1)。
  4. 候选人在任用前,应签订信息安全相关协议,明确组织和员工相关信息安全责任和义务(A.6.2)。
  5. 必须策划全体员工的信息安全培训教育,如全体员工定期的意识培训,信息安全专职岗位技能培训,公司信息安全策略和规范宣导等(A.6.3)。
  6. 必须建立信息安全处罚流程和处罚细则,如建立《信息安全奖惩管理程序》和《信息安全奖惩实施细则》(A.6.4)。
  7. 员工离职或调岗后,员工仍需负有的信息安全职责,必须传达给员工本人,如员工离职后,仍需要对敏感信息保密,需要明确告知离职员工(A.6.5)。
  8. 应根据组织保密性要求、相关方(如客户、法律法规等)保密性要求,形成书面员工保密协议(内部)、供应商保密协议(外部)等,并定期进行评审,并组织员工和供方进行签署(A.6.6)。
  9. 对于公司远程工作的场景,如在家办公或出差办公,应识别出相关风险,并明确相关安全措施和要求(如使用VPN访问内部系统等)(A.6.7)。
  10. 信息安全弱点,可能是技术上的,也可能是管理上的,是客观存在的;信息安全事态是可能违反信息安全策略和规范,可能造成了一定的后果,需要进一步确定是否已经发展为信息安全事件。组织明确信息安全弱点和信息安全事态的报告渠道和方式,并告知所有员工和外部合同方(如外包员工、供方员工等)(A.6.8)。

实施本控制应输出的文档:

  1. 《人力资源管理程序》《人力资源安全管理程序》。
  2. 《信息安全奖惩管理程序》《信息安全奖惩实施细则》。
  3. 背景调查记录、员工信息安全协议、员工保密协议。
  4. 信息安全培训计划、员工信息安全意识培训记录等。
  5. 信息安全奖惩记录。
  6. 信息安全事态报告记录。
  7. 员工离职或调岗时,信息安全义务和责任告知记录。

本控制审核要点:

  1. 检查《人力资源管理程序》或《人力资源安全管理程序》是否涵盖了“A.6”全部要求。
  2. 抽查信息安全关键岗位背景调查记录和保密协议签订记录。
  3. 抽查员工是否清楚本岗位信息安全的角色和职责,是否有进行相关的培训,并检查培训记录和考核记录。
  4. 检查信息安全年度培训计划,培训教材、培训记录和考核记录等。
  5. 检查《信息安全奖惩管理程序》、《信息安全奖惩实施细则》以及奖惩记录。
  6. 抽查离职或调岗员工,是否有信息安全义务和责任告知记录。
  7. 信息安全事态报告记录。
  8. 审核员工离开工作场所(如出差)时,相关操作是否符合信息安全要求,如远程访问公司信息系统是否使用VPN。