8 人力资源安全
8.1 雇用(注3)前
目标:确保员工、合同工和第三方用户了解他们的责任并适合于他们所担任的角色,减少盗窃、滥用或设施误用的风险。
在雇用前应在岗位说明书、雇用条款和雇用条件中指出安全职责。
应对员工、合同工和第三方用户的候选者进行充分地筛选,尤其是敏感岗位。
与信息处理设施相关的员工、合同工和第三方用户应签署关于他们的安全角色和职责的协议。
注3:术语“雇用”是指以下所有情况:人员雇用(临时的或长期的),工作角色的任命,工作角色的变化、合同的指派,以及所有这些活动的终止。
8.1.1 角色和职责
控制
应根据组织的信息安全策略,定义员工、合同工和第三方用户的安全角色和职责并形成文件。
实施指南
安全角色和职责应包括下列要求:
a) 执行和行动要符合组织的信息安全策略(见5.1);
b) 保护资产免受未授权访问、泄露、修改、破坏或干扰;
c) 执行与其相关的安全过程或活动;
d) 确保职责分配给能履行的人员;
e) 报告安全事件或潜在事件或对其他安全风险。
应定义安全角色和职责并在雇用前阶段清晰地传达给岗位候选者。
其他信息
可以采用岗位说明书来阐明安全角色和职责。对于在组织雇用过程中不知晓安全角色和职责的人员(例如通过第三方组织雇用),应将其安全角色和职责定义清晰并沟通到位。
8.1.2 筛选
控制
应依据相关的法律、法规和道德,对所有候选者(员工、合同工和第三方用户)进行背景验证检查,检查要与业务要求、接触信息的类别和已察觉的风险相适宜。
实施指南
验证检查应考虑所有相关的隐私、个人数据保护和/或与雇用相关的法律,如果允许的话应包括以下内容:
a) 获取符合要求的推荐人,例如企业和个人;
b) 对申请人履历进行检查(针对完整性和准确性);
c) 对声称的学历和专业资质进行证实;
d) 独立的身份检查(护照或类似的文件);
e) 更细节的检查,例如信用检查或犯罪记录检查。
当一个职位(初始任职的或提拔的)涉及到对信息处理设施进行访问时,特别是,如果这些设施处理敏感信息,例如财务信息或高度保密的信息,那么组织还要考虑对这个职位的候选者做进一步的、更详细的检查。
筛选程序应为验证检查定义检查标准和限制条件,例如谁有资格筛选人员,如何、何时、为什么执行验证检查。
对于合同工和第三方用户也要执行筛选过程。如果合同工是通过代理提供的,那么与代理的合同要清晰地规定代理执行筛选的职责,以及如果未完成筛选或结果存在疑点或需要关注时,代理要遵循通知程序通知组织。同样,与第三方(也见6.2.3)的协议也应清晰地规定筛选的所有职责和通知程序。
所有应聘组织工作职位的候选者的信息应按照相关法律的要求进行收集和处理。依据适用的法律,应将筛选活动事先通知到候选者。
8.1.3 雇用条款和条件
控制
作为合同责任的一部分,员工、合同工和第三方用户应同意并签署他们雇用合同的条款和条件。这些条款和条件应规定他们和组织对于信息安全的责任。
实施指南
雇用的条款和条件应反映组织的安全策略,并澄清和明确以下内容:
a) 所有访问敏感信息的雇员、合同工和第三方用户要在能访问信息处理设施前签署保密或非扩散协议;
b) 雇员、合同工和其他用户的法律职责和权利,例如关于版权法、数据保护法(也见15.1.1 和15.1.2);
c) 与雇员、合同工或第三方用户处理的信息系统和服务有关的信息分类和组织资产管理的职责(也见7.2.1 和10.7.3);
d) 雇员、合同工或第三方用户处理来自其他公司或外部团体信息的职责;
e) 组织处理人员信息的职责,包括由于组织雇用或在组织雇用过程中产生的信息(也见15.1.4);
f) 在组织办公场所之外和正常工作时间之外的职责,例如在家办公(也见9.2.5 和11.7.1);
g) 如果雇员、合同工或第三方用户漠视组织安全要求所要采取的行动(也见8.2.3)。
组织应确保雇员、合同工和第三方用户同意关于信息安全的条款和条件,这些条款和条件与他们对信息系统和服务有关的组织资产的访问性质和程度是相适合的。
如果合适,包含于雇用条款和条件中的职责在雇用结束后应持续一段合适的时间(也见8.3)。
其他信息
一个行为规范可用于覆盖雇员、合同工或第三方用户关于保密性、数据保护、道德规范、组织设备和设施的合理使用及组织期望的良好实践的职责。合同工或第三方用户可能与一个外部组织有关,组织可以要求此外部组织代表已签约的个人签订合约。
