在信息安全領域中,人力資源的安全是各類安全目標達成的保證,是安全目標實現的基礎。在我國公安部發布的信息安全等級保護中並沒有關於此類內容的闡述或要求,而在ISO27001中有與人力資源安全相關專門的領域或控制點,故本章以ISO27001爲藍本以進行描述。
人力資源安全主要被劃分爲如下三個章節來闡述:
1.
人員僱用前
在對相關人員僱用前應明確如下內容:
1.人員的角色和職責:應根據機構的信息安全策略定義僱員、承包商及第三方用戶的安全角色和職責;具體包括:
n職位描述:關於信息安全方面的具體責任
n如何對所有僱員在信息安全方面的遵從情況
2.人員篩選:機構應根據相關法律、法規和道德規範以及相應業務要求、將被訪問的信息密級和可預見的風險,對員工、承包商和第三方用戶的所有候選對象進行背景審查;具體包括:
n求職者的信息
n求職者的信用審查
n求職者的生活方式信息
n向求職者透露信息
n非自願離職員工的重聘
n新員工應有一定期限的試用期並可在試用期無理由地解僱
n信息安全敏感職位風險綁定(投保)
n只有具備一定工作年限的員工方可參與核心產品及其它敏感項目的工作
n拒絕有犯罪歷史的員工
3.僱傭的條款和條件:作爲約定義務的一部分,僱員、承包商和第三方用戶都應該同意並簽訂其僱傭合同中的條款和條件,闡明其自身與機構的信息安全責任;具體包括:
n知識產權的歸屬
n僱員創意所有權的歸屬
人員僱用期
1.管理職責:管理層應該要求僱員、承包商和第三方用戶依照機構的既定策略和程序實現安全;具體包括:
n信息安全責任
n信息安全協議遵從
n如何接受外部的安全援助
n僱員的團體外出方式(儘量避免同乘一架飛機)
n安排內部舉報人
n競爭情況
n人事檔案的發放(這條可能在國內不適用)
n健康和安全信息
n工作場所的危險
n僱員的股票交易
n性、種族和人種騷擾
n場外開發的知識產權
n第二職業和第二職業的坦白
n身份標牌的保護
n擔任要職人員的年度收入披露
n不滿人員的跨職能賬號
n報告同事的可疑行爲
2.信息安全意識、教育和培訓:機構的所有僱員,包括承包商和第三方用戶,在機構策略和程序方面都應該接受與他們的工作職能相關的適當培訓並定期更新;具體包括:
n安全策略考試
n遠程訪問培訓
n互聯網培訓
n發放信息安全策略手冊
n信息安全培訓
n信息安全策略的變更通知
n工作協議
n生產系統培訓
n技術培訓和繼續教育
n軟件缺陷檢測和校正培訓
n基本IT功能和員工崗位交叉培訓
n信息安全培訓記錄
n基於角色的安全意識培訓
n基於角色的培訓要求檢查
n年度信息安全培訓
n培訓和意識教育方案檢查
3.懲戒過程:機構應建立正式的違紀處罰流程,用以處罰那些破壞或被懷疑破壞了安全的人員;具體包括:
n不合規的後果
n違規的後果
n剝奪員工股權或取消員工優先認股權
n立即解僱
人員僱用關係解除或變更
1.終止責任:機構應明確定義和指派需要在發生離職或僱用變動情況時需要履行的手續;具體包括:
n員工的離職手續
n僱員離職爲競爭對手工作
n員工離職通報(包括通報相關第三方)
n非自願離職的處理
n員工離職時的信息保留
n保管人責任的轉移
n刪除離職人員的文件
2.資產歸還:所有僱員、承包商和第三方用戶在結束僱傭、合同或協議關係時應歸還自己保管的所用資產;具體包括:
n財產歸還
n標牌歸還
n資產歸還的信息抹除
n資產歸還知識轉交
3.刪除訪問權:所有僱員、承包商和第三方用戶在結束語機構的僱傭、合同或協議關係時,他們的訪問權應該予以取消或根據變動調整;具體包括:
n離職人員的物理訪問權
n相關信息資產的強制初始化