安全管理人员-（一）人员录用

安全管理人员

人是安全管理中最关键的因素。等级保护对象的整个生命周期都需要人的参与，包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果参与人员的安全意识和业务能力没有保障，那么等级保护对象不可能实现真正的安全。只有对等级保护对象相关人员实施科学、完善的管理，才有可能降低人为操作失误所带来的风险。

安全管理人员针对人员管理提出了安全控制要求，涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

以下将以三级等级保护对象为例，描述安全管理人员管理各个控制要求项的测评内容、测评方法、证据、案例等。

控制点

1.人员录用

等级保护对象的安全运行依赖于安全管理人员的有效管理，安全管理人员既是等级保护对象安全的主体，也是系统安全管理的对象。所以，要想确保等级保护对象的安全，首先应该加强对人员录用的管理。

a)

安全要求（一般）：应指定或授权专门的部门或人员负责人员录用。

要求解读：对员工的安全要求应该从聘用阶段开始实施。无论是对长期聘用的员工，还是对合同员工、临时员工，都应在聘用合同中明确说明员工在网络安全方面应遵守的规定和应承担的责任，并在员工的聘用期内实施监督。为保证人员录用过程的规范性，应由专门的部门和人员负责此项工作。

测评方法

访谈信息/网络安全主管是否由专门的部门或人员负责人员的录用工作。

期望结果

1.由相关的职能部门专门负责人员录用工作。

2.通过相关制度明确规定了负责人员录用工作的部门或人员的制度。

b)

安全要求（重要）：应对被录用人员的身份、安全背景、专业资格或资质等进行审查，对其所具有的技术技能进行考核。

要求解读：在聘用员工时，应充分筛选、审查、特别是对那些可能接触敏感信息的员工，需要进行身份、背景、专业资格和资质方面的审查和技术技能的考核等。

测评方法

1.考核人员安全管理文档是否说明录用人员应具备的条件（如学历、学位要求，技术人员应具备的专业技术水平，管理人员应具备的安全管理知识等）。

2.考核是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录，以及是否记录了审查内容和审查结果等。

3.考核录用人员时的技能考核文档或记录是否记录考核内容和考核结果等。

期望结果

1.人员录用管理文档说明了不同岗位录用人员的条件。

2.具有人员录用的审查记录。

3.具有人员录用的技能考核记录。

c)

安全要求（关键）：应与被录用人员签署保密协议，与关键岗位人员签署岗位责任协议。

要求解读：保密协议面向所有被录用人员，岗位安全协议则主要面向关键岗位，并根据岗位不同约束其在岗位上的安全责任。

关键岗位的人员主要是涉及到本单位核心业务或者核心技术的岗位的人员，包括从事系统安全管理的安全管理员、系统管理员、网络管理员等。岗位职责协议不同于保密协议，其与岗位职责有关，主要用于明确相关人员因未履行岗位职责或因失职而引发安全事件时应该承担的安全责任。

测评方法

1.核查保密协议文档，检查所有被录用人员是否签署保密协议，以及是否有明确的保密范围、保密责任、违约责任、协议的有效期限和责任人的签字的内容。

2.核查岗位安全协议文档，检查关键岗位人员是否签署岗位安全协议，以及是否有明确的岗位安全责任、协议的有效期限和责任人签字等。

期望结果

1.有相关人员签字的保密协议，明确保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等。

2.有关键岗位人员签字的岗位责任协议，其中包括明确的岗位安全责任、协议的有效期限和责任人签字等内容。