信息安全等级保护之管理要求→人员安全管理→人员离岗

一、要求内容 

a)应制定有关管理规范,严格规范人员离岗过程,及时终止离岗员工的所有访问权限; 

b)应取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; 

c)应办理严格的调离手续,并承诺调离后的保密义务后方可离开。 

二、实施建议 

人员离岗需要人事部门和人员所在部门共同配合,人事部门应当制定统一的人员离岗要求,所在部门需要根据本部门的情况和员工的工作内容制定详细的工作移交和资产交换规定,制定相应的离职会签表,员工需要完成会签表上要求内容之后才可以离职。 对于重要岗位的人员其离职要求应当比普通员工更加严格。 

三、常见问题 

许多公司在执行人员离职时不够严格,有的是工作为移交完整,有的是系统中帐号未及时删除。 

四、实施难点 

人员离职需要人事部门和其他部门之间相互协调,了解人员离职阶段手续和工作的办理情况。 

五、测评方法 

形式 访谈,检查。 对象 安全主管,人员录用负责人员,人员离岗要求文档,保密承诺文档,机要人员管理办法,执行记录。 

实施 

a)应访谈安全主管,询问是否及时终止离岗人员所有访问权限,取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备等; 

b)应访谈人员录用负责人员,询问调离手续包括哪些,对关键岗位的人员调离是否按照机要人员的有关管理办法执行,是否要求调离人员在脱密期满并承诺相关保密义务后方可离开; 

c)应检查人员离岗要求文档,查看是否规定了调离手续和离岗要求等; 

d)应检查是否具有交还身份证件和设备等的记录; 

e)应检查保密承诺文档,查看是否有调离人员的签字; 

f)应检查机要人员的有关管理办法,查看是否说明机要人员条件、机要人员调离手续等相关内容; 

g)应检查关键岗位人员调离的执行记录,查看记录与管理办法要求是否一致。 

六、参考资料 

ISO17799中对人员离职有具体的指导要求: 

8.3.1 终止职责 

控制: 

应清晰规定和分配进行雇佣中止或变更的责任 

实施指南: 终止职责的传达应包括正在进行的安全需求和法律职责,适当时,还包括机密性协议规定的职责(见6.1.5)和在雇员、合同方或第三方用户的雇用结束后持续一段时间仍然有效的雇用条款和条件(见8.1.3)。 规定职责和义务在雇用终止后仍然有效的内容应包含在雇员、合同方或第三方用户的合同中。 职责和工作的变化管理应与职责或工作的终止管理相似,任何新的雇用管理遵循8.1 节内容。 

8.3.2 归还资产 控制: 当雇佣、合同或协议终止时,员工、合同方和第三方用户应归还所使用的组织资产。 实施指南: 终止过程应被正式化以包括所有先前发放的软件、公司文件和设备的归还。其他组织资产,例如移动计算设备、信用卡、访问卡、软件、手册和存储于电子介质中的信息也需要归还。 当雇员、合同方或第三方用户购买了组织的设备或使用他们自己的设备时,应遵循程序确保所有相关的信息已转移给组织,并且已从设备中安全的删除(也见10.7.1)。 当一个雇员、合同方或第三方用户拥有的知识对正在进行的操作具有重要意义时,此信息应形成文件并传达给组织。 

8.3.3 撤销访问权限 控制: 当雇佣、合同或协议终止时,应撤销所有员工、合同方和第三方用户对信息和信息处理设施的访问权限,或根据变化调整。 实施指南: 工作终止时,个人对与信息系统和服务有关的资产的访问权力应被重新考虑。这将决定是否必须删除访问权力。工作的变化应反映在不适用于新的工作的权力的删除上。应删除或改变的访问权力包括物理和逻辑访问、密钥、ID 卡、信息处理设备(也见11.2.4)、签名,要从标识其作为组织的现有用户的文件中删除。如果一个已离开的雇员、合同方或第三方用户知道仍保持活动状态的帐户的密码,则应在工作、合同或协议终止或变化后改变密码。 对信息资产和信息处理设施的访问权力在工作终止或变化前是否减少或删除,依赖于对风险因素的评价,

例如: 

a) 终止或变化是由员工、合同方或第三方用户发起还是由管理者发起,终止的原因; 

b) 员工、合同方或任何其他用户的现有职责; c) 当前可访问资产的价值。

如若转载,请注明出处:http://www.codingwhy.com/view/271.html

联系我们

在线咨询: 点击这里给我发消息

邮件:731000228@qq.com