信息安全管理13_人力资源安全控制要点与管理策略
2020-11-06 09:42 微言晓意 阅读(760) 评论(0) 编辑 收藏 举报人力资源安全管理的目的是定义人员安全职责,规范人员安全行为,规避或降低日常工作中因人员因素所导致的信息安全风险。人力资源安全管理范围包括内部员工、承包方人员和第三方人员。
01.雇佣前
应对任用的候选人员进行充分的筛选审查,特别是对于关键岗位、关键职务人员,以及其他会大量接触敏感信息的人员。人力资源部门负责组织人员需求部门共同对各个职位的应聘人员进行筛选与面试。对内部员工的背景调查应在申请职位时进行。调查包括以下内容:
-
申请人的工作能力和个人职业道德情况;
-
检查申请人的简历是否完整及准确;
-
确认其声明的学历和职业资格是否真实;
-
身份证明(包括身份证、护照或其它文件)检查;
- 其它需要调查的内容。
人员需求部门可根据对上岗员工的特殊要求,提出必要的附加调查内容,并反馈给人力资源部门,以便选出合适的人员。对于长期驻场的承包方也要考虑人员背景控制。与承包方的合同中要清晰地规定承包方负有对其派遣的服务人员进行人员背景调查的职责,并对背景调查的结果负责。出于背景调查目的收集、处理被调查人员信息时,应在不违反相关的法律法规的前提下进行。
所有能够接触到敏感信息的员工应签订保密协议,能够接触到组织战略信息及核心业务、研发、销售、管理信息的岗位人员应签订竞业协议。承包方与第三方人员应签订保密协议或信息安全承诺书,并以此作为其获准为组织提供服务、接触组织敏感信息的前提条件。保密条款或保密协议具有法律效力,保密协议或包含保密条款的合同在签订前,要经过法律部门的合规性审查,以避免法律法规风险。
02.雇佣中
员工安全角色和职责应通过书面形式进行描述和说明。承包方和第三方人员的安全角色和职责,应按照相关信息安全制度进行定义,并且清晰地传达给相关人员。安全职责应包括但不限于以下要求:
-
遵守信息安全方面的各项规章制度。
-
按照的要求实施各项安全措施控制。
-
按照要求参与或配合各项信息安全检查活动。
-
保护信息资产免受非授权访问、泄露、修改和破坏。
-
积极参加各项信息安全培训。
-
报告安全事件、潜在安全事件、以及其他可能引发安全风险的事件。
从事信息安全管理工作的人员,每年至少参加一次专门的信息安全管理培训。从事信息安全技术工作的人员,每年至少参加一次与其工作相关的信息安全技术与产品培训。每年至少进行一次全员信息安全培训,全员培训内容包括与其业务相关的基本的信息安全知识和信息安全意识等。新员工入职时必须参加信息安全培训,培训内容包括工作人员信息安全守则、其岗位和其业务部门相关的安全职责,基本的信息安全意识等。
03.雇佣终止与变更
雇佣关系变更或终止的传达应包括信息安全要求和法律职责,必要时,在雇佣合同、保密协议、信息安全承诺书中应包含在任用终止后仍然有效的信息安全职责和义务内容。
所有人员在终止任用合同或协议时,应归还其使用的所有组织资产。需要交接的信息资产包括但不限于计算机设备、身份识别卡、纸质文件资料和存储于电子介质中的文档、数据等。所有人员对信息和信息处理设施的访问权限应在岗位发生变更时进行调整或在任用终止时注销或删除。应注销或删除或改变访问权的内容包括物理访问授权、逻辑访问授权。必要时,在对信息和信息处理设施的访问权限进行变更或终止前需要进行风险评估。