信息安全等级保护之管理要求→人员安全管理→人员录用

 1301浏览

一、要求内容 

a)应指定或授权专门的部门或人员负责人员录用; 

b)应严格规范人员录用过程,对被录用人员的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核; 

c)应签署保密协议; 

d)应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。 

二、实施建议 

人员招聘工作主要是由人力资源部门负责,对与人员录用涉及到与安全相关的要求应当尽量满足以上的要求内容,对于缺少的内容可以在安全部门的帮助下增加制定。 

三、常见问题 

曾遇到过有的单位没有要求员工签署保密协议,对于人员身份、背景的验证也没有实际做到。 

四、实施难点 

无。 

五、测评方法 

形式 访谈,检查。 对象 人事负责人,人员录用负责人员,人员录用要求管理文档,人员审查文档或记录,考核文档或记录,保密协议,岗位安全协议,审查记录。 

实施 

a)应访谈安全主管,询问是由何部门/何人负责安全管理和技术人员的录用工作; 

b)应访谈人员录用负责人员,询问在人员录用时对人员条件有哪些要求,目前录用的安全管理和技术人员是否有能力完成与其职责相对应的工作; 

c)应访谈人员录用负责人员,询问在人员录用时是否对被录用人的身份、背景、专业资格和资质进行审查,对技术人员的技术技能进行考核,录用后是否与其签署保密协议; 

d)应访谈人员录用负责人员,询问对从事关键岗位的人员是否从内部人员中选拔,是否要求其签署岗位安全协议; 

e)应检查人员录用要求管理文档,查看是否说明录用人员应具备的条件,如学历、学位要求,技术人员应具备的专业技术水平,管理人员应具备的安全管理知识等; 

f)应检查是否具有人员录用时对录用人身份、背景、专业资格和资质等进行审查的相关文档或记录,查看是否记录审查内容和审查结果等; 

g)应检查技能考核文档或记录,查看是否记录考核内容和考核结果等; 

h)应检查保密协议,查看是否有保密范围、保密责任、违约责任、协议的有效期限和责任人的签字等内容;

i)应检查岗位安全协议,查看是否有岗位安全责任、违约责任、协议的有效期限和责任人签字等内容。 

六、参考资料 

ISO17799中对人员录用选拔的要求有指导方法: 

8.1.2 选拔 

控制: 

应根据相关的法律、法规和道德,对所有的求职者、合同方和第三方用户进行背景验证检查,该检查应与业务要求、接触信息的类别及已知风险相适宜 

实施指南: 

验证检查应考虑所有相关的隐私、个人数据保护和/或与雇用相关的法律,并应包括以下内容(允许时): 

a) 获得令人满意的品质资料(如,一项业务和一个个人); 

b) 申请人履历的核查(针对完整性和准确性); 

c) 声称的学术、专业资质的证实; 

d) 独立的身份核查(身份证或护照或相似的文件); 

e) 更多细节的检查,例如信用卡检查或犯罪记录检查。 当一个职务(原先任命的或提升的)涉及到对信息处理设施进行访问的人时,特别是,如果这些设施正在处理敏感信息,例如,财务信息或高度保密的信息,那么,该组织还要考虑进一步的、更详细的检查。 程序应确定验证检查的准则和限制,例如谁有资格筛选人员、如何、何时、为什么执行验证检查。 对于合同方和第三方用户也要执行筛选过程。若合同方是通过代理提供的,那么,与代理的合同要清晰地规定代理对筛选的职责,以及如果未完成筛选或结果引起怀疑或关注时,这些代理需要遵守的通知程序。同样,与第三方(也见6.2.3)的协议应清晰的指定筛选的所有职责和通知程序。 关于所有被考虑在组织内录用的候选者的信息应按照在相关权限中存在的合适的法律来收集和处理。依据适用的法律,应将筛选活动提前通知候选者。

流行热度:超过1301次围观
生产日期:2014-10-30 03:34:38
上次围观:2016-09-18 16:07:55
转载时必须以链接形式注明原始出处及本声明。