在信息安全领域中,人力资源的安全是各类安全目标达成的保证,是安全目标实现的基础。在我国公安部发布的信息安全等级保护中并没有关于此类内容的阐述或要求,而在ISO27001中有与人力资源安全相关专门的领域或控制点,故本章以ISO27001为蓝本以进行描述。
人力资源安全主要被划分为如下三个章节来阐述:
1.
人员雇用前
在对相关人员雇用前应明确如下内容:
1.人员的角色和职责:应根据机构的信息安全策略定义雇员、承包商及第三方用户的安全角色和职责;具体包括:
n职位描述:关于信息安全方面的具体责任
n如何对所有雇员在信息安全方面的遵从情况
2.人员筛选:机构应根据相关法律、法规和道德规范以及相应业务要求、将被访问的信息密级和可预见的风险,对员工、承包商和第三方用户的所有候选对象进行背景审查;具体包括:
n求职者的信息
n求职者的信用审查
n求职者的生活方式信息
n向求职者透露信息
n非自愿离职员工的重聘
n新员工应有一定期限的试用期并可在试用期无理由地解雇
n信息安全敏感职位风险绑定(投保)
n只有具备一定工作年限的员工方可参与核心产品及其它敏感项目的工作
n拒绝有犯罪历史的员工
3.雇佣的条款和条件:作为约定义务的一部分,雇员、承包商和第三方用户都应该同意并签订其雇佣合同中的条款和条件,阐明其自身与机构的信息安全责任;具体包括:
n知识产权的归属
n雇员创意所有权的归属
人员雇用期
1.管理职责:管理层应该要求雇员、承包商和第三方用户依照机构的既定策略和程序实现安全;具体包括:
n信息安全责任
n信息安全协议遵从
n如何接受外部的安全援助
n雇员的团体外出方式(尽量避免同乘一架飞机)
n安排内部举报人
n竞争情况
n人事档案的发放(这条可能在国内不适用)
n健康和安全信息
n工作场所的危险
n雇员的股票交易
n性、种族和人种骚扰
n场外开发的知识产权
n第二职业和第二职业的坦白
n身份标牌的保护
n担任要职人员的年度收入披露
n不满人员的跨职能账号
n报告同事的可疑行为
2.信息安全意识、教育和培训:机构的所有雇员,包括承包商和第三方用户,在机构策略和程序方面都应该接受与他们的工作职能相关的适当培训并定期更新;具体包括:
n安全策略考试
n远程访问培训
n互联网培训
n发放信息安全策略手册
n信息安全培训
n信息安全策略的变更通知
n工作协议
n生产系统培训
n技术培训和继续教育
n软件缺陷检测和校正培训
n基本IT功能和员工岗位交叉培训
n信息安全培训记录
n基于角色的安全意识培训
n基于角色的培训要求检查
n年度信息安全培训
n培训和意识教育方案检查
3.惩戒过程:机构应建立正式的违纪处罚流程,用以处罚那些破坏或被怀疑破坏了安全的人员;具体包括:
n不合规的后果
n违规的后果
n剥夺员工股权或取消员工优先认股权
n立即解雇
人员雇用关系解除或变更
1.终止责任:机构应明确定义和指派需要在发生离职或雇用变动情况时需要履行的手续;具体包括:
n员工的离职手续
n雇员离职为竞争对手工作
n员工离职通报(包括通报相关第三方)
n非自愿离职的处理
n员工离职时的信息保留
n保管人责任的转移
n删除离职人员的文件
2.资产归还:所有雇员、承包商和第三方用户在结束雇佣、合同或协议关系时应归还自己保管的所用资产;具体包括:
n财产归还
n标牌归还
n资产归还的信息抹除
n资产归还知识转交
3.删除访问权:所有雇员、承包商和第三方用户在结束语机构的雇佣、合同或协议关系时,他们的访问权应该予以取消或根据变动调整;具体包括:
n离职人员的物理访问权
n相关信息资产的强制初始化