|
|
这是《国家注册ISMS审核员培训教程》中对ISO/IEC27000-2005信息安全管理体系第6.2.5.4 第8章:人力资源安全的培训讲解。您认真学习一下,对照GB/T19001-2008,8.2.2要求,会明白需要认证的“人员安全”与内审员的区别。
6 }/ z _$ ~# r4 D$ V
, Z6 ^( c. ?3 |" I0 R/ f1 z6.2.5.4.1概述' g* o( v' t5 F
“人”在信息安全活动中既是主体,也是客体。主体是指许多信息安全控制措施的实现是由“人”来完成;客体则是指“人”本身也是信息安全活动中要保护的对象。经验告诉我们,一个组织重要的、有价值的信息大多数存在员工的大脑中,许多信息安全事件的发生是由人而起。“人”在信息安全活动中也是最复杂、最难控制的保护对象。
1 r/ h& h; |- j在这一个章节中,标准提供了与“人”有关的3个控制目标,这3个控制目标是从人员 任用的生命周期来考虑的。分别从任用前、任用中、任用后(包括任用的变化)阐述了相应的控制措施。
4 _6 e, K$ b7 e在人员任用之前,必须首先确定岗位安全职责,并于任用前在适当的岗位描述、任用条款和条件中指出。 对于所有要雇用、承包方人员和第三方人员的候选者应进行充分的审查,特别是对敏感岗位的人员任用。在人员通过审查,决定任用后,他们应签署关于他们安全角色和职责的协议。 ( J, W2 I4 f: B
在任用过程中,为尽可能减小安全风险,应对所有雇员、承包方人员和第三方人员提供安全程序的适当程度的意识、教育培训,而且还需要建立一个正式的处理安全违规的纪律处理过程,以对安全违规进行处理,也可用于对雇员、承包方人员和第三方人员的一种威慑。 $ u+ h4 k* n C. k3 @7 J2 G
在任用终止时,应有合适的职责确保管理雇员、承包方人员和第三方人员从组织退出,并确保他们归还所有设备及删除他们的所有访问权。组织内任用变化的职贵管理与任用终止的管理相似。
: R8 _: m( b( U9 I6.2.5.4.2控制目标和控制措施 " |, X0 ^; \# p( a; W( [2 c
本章的安全控制目标和安全控制措施如下:
' Q, ?/ l9 d+ o2 ~' ~(1) 控制目标: 0 @8 l8 |- ?7 p5 f( S* Y
* 确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的,以降低设施被窃、欺诈和误用的风险。
- b4 q* W' |; R* 确保所有的雇员、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职贵和义务,并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。
8 D8 d; z( Y& C& s) K6 c4 q* 确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织成改变其任用关系。
; j R# Q% d/ F/ v6 B(2) 控制指施: $ R& h# l7 A* e7 v) J3 f
* 任用之前3 \2 j I% S8 Q. B" `7 P
---- 角色和职责:雇员、承包方人员和第三方人员的安全角色和职责应按照组织的信息安全方针定义并形成文件。 - I9 x8 d% N: x1 D* I3 I( d
---- 审查:关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应按照相关法律法规、道德规范和对应的业务要求、被访问信息的类别和察觉的风险来执行。; z0 A4 {) E, \" v
---- 任用条款和条件:作为他们合同义务的一部分,雇员、承包方人员和第三方人员应同意并签署他们的任用合同的条款和条件,这些条款和条件要声明他们和组织的信息安全职责。
/ J. a3 i1 t3 y, C*任用中
$ q& t. k. x; C l0 a4 O ---- 管理职责:管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针策略和程序对安全尽心尽力;% ^: D% h# H9 k- Y& a4 {
---- 信息安全意识、教育和培训:- _) v% J, j9 d. C2 B
组织的所有雇员,适当时,包括承包方人员和第三方人员,应受到与其工作职能相关的适当的意识培训和组织方针策略及程序的定期更新培训。
4 O, y, D9 {9 F* j; q' C---- 纪律处理过程:3 C; }3 T& @9 O+ x
对于安全违规的雇员,应有一个正式的纪律处理过程。
& t& L" @9 Q6 i! q2 ~+ k( l( | *任用的终止或变化
# i/ Z7 e6 F- w ---- 终止职责:任用终止或任用变化的职责应清晰地定义和分配。
3 [) @( o( {' S: q ---- 资产的归还:所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时, # J0 T% Q. b5 X) d! x+ V0 R) Q' K( I
应归还他们使用的所有组织资产。 1 N; h( D" D7 L8 u/ [* Q6 h
一 撤销访问权:所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问
1 i( z& ?) L9 X" t$ L 权应在任用、合同或协议终止时删除,或在变化时调整。 |
|
匿名
发表于 2-13 21:46:39
IP卡
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
显身卡
悔悟卡
匿名卡