| A.7 人力资源安全 | ||
| A.7.1 任用前 | ||
| 目标:确保员工和合同方理解其责任,并适合其角色 | ||
| A.7.1.1 | 审查 | 控制 应按照相关法律法规和道德规范,对所有任用候选者的背景进行验证核查,并与业务要求、访问信息的等级和察觉的风险相适宜。 |
| A.7.1.2 | 任用条款及条件 | 控制 应在员工和合同方的合同协议中声明他们和组织对信息安全的责任。 |
| A.7.2 任用中 | ||
| 目标:确保员工和合同方意识到并履行其信息安全责任。 | ||
| A.7.2.1 | 管理责任 | 控制 管理者应宜要求所有员工和合同方按照组织已建立的策略和规程应用信息安全。 |
| A.7.2.2 | 信息安全意识、教育和培训 | 控制 组织所有员工和相关的合同方,应按其工作职能,接受适当的意识教育和培训,及组织策略及规程的定期更新的信息。 |
| A.7.2.3 | 违规处理过程 | 控制 应有正式的、且已被传达的违规处理过程以对信息安全违规的员工采取措施。 |
| A.7.3 任用的终止和变更 | ||
| 目标:在任用变更或终止过程中保护组织的利益。 | ||
| A.7.3.1 | 任用终止或变更的责任 | 控制 应确定任用终止或变更后仍有效的信息安全责任及其职责,传达至员工或合同方并执行。 |
控制解析:
- “A.7 人力资源安全”与正文“7.2”和“7.3”都属于人力资源模块,可以结合实施,可以把内容整合到《人力资源管理程序》,或单独形成《人力资源安全管理程序》。
- 候选人在任用前,需要结合岗位的重要性,业务过程中接触的信息敏感程度,并在法律法规允许的情况下,进行相应的背景调查。
- 候选人在任用前,应签订相关协议,明确信息安全责任和义务,如员工保密协议。
- 任用中的员工和合同方(如外包方),必须清楚公司的信息安全策略和规范,以及岗位的信息安全角色和职责,可以通过宣导、培训和考核以确保本要求的实现。
- 必须策划全体员工的信息安全培训教育,如全体员工定期的意识培训,信息安全专职岗位技能培训,公司信息安全策略和规范宣导等。
- 必须建立信息安全处罚流程和处罚细则,如建立《信息安全奖惩管理程序》和《信息安全奖惩实施细则》。
- 员工离职或调岗后,员工仍需负有的信息安全职责,必须传达给员工本人,如员工离职后,仍需要对敏感信息保密,需要明确告知离职员工。
实施本控制应输出的文档:
- 《人力资源管理程序》《人力资源安全管理程序》《信息安全奖惩管理程序》和《信息安全奖惩实施细则》。
- 背景调查记录。
- 员工保密协议。
- 信息安全培训计划,信息安全培训教材,信息安全培训记录以及考核记录等。
- 信息安全奖惩记录。
- 员工离职或调岗时,信息安全义务和责任告知记录。
本控制审核要点:
- 检查《人力资源管理程序》或《人力资源安全管理程序》是否涵盖了“A.7 人力资源安全”全部要求。
- 抽查信息安全关键岗位背景调查记录和保密协议签订记录。
- 抽查员工是否清楚本岗位信息安全的角色和职责,是否有进行相关的培训,并检查培训记录和考核记录。
- 检查信息安全年度培训计划,培训教材、培训记录和考核记录等。
- 检查《信息安全奖惩管理程序》、《信息安全奖惩实施细则》以及奖惩记录。
- 抽查离职或调岗员工,是否有信息安全义务和责任告知记录。
