new-iso-iec-27001-2022-blog-dqs-project managers converse when using a tablet in a central room

ISO 27001 人員控制：從招募到離職實施關鍵資訊安全實踐

Brad Fabiny

DQS Product Manager - Cyber Security and ISO 27001, ISO 9001 auditor

10月 14 , 2024

本週的文章將介紹ISO 27001標準中歸類為「人員控制」的所有控制措施。這涵蓋了員工或承包商在與貴組織合作的整個生命週期中的資料安全，從篩選、離職到離職後的責任，包括僱傭合約、條款和條件以及保密和不披露義務。此外，還包括遠距辦公和資訊安全事件報告。

A.6.1 篩檢

本小節的要求旨在確保您的候選人（員工和承包商）了解如果他們獲得該職位，他們的職責是什麼，並且適合他們正在考慮的職位。

為了實現這一目標，你需要做好充分的計劃，並明確各項職責。這可以透過一份完整的職位描述來實現，職位描述除了列明職責外，還應概述所需的技能和經驗。你可以將職位描述作為篩選候選人的工具，確保他們具備勝任該職位所需的技能。
面試時也會詳細討論這些內容，讓您清楚了解職責。您可以透過與推薦人面談來獨立核實面試中所說的內容。

根據您所在的行業，確保完成監管機構要求的所有檢查也至關重要。這些檢查可能包括無犯罪記錄證明、執照檢查以及針對國際員工的簽證檢查。

A.6.2 僱用條款與條件

您的個人僱傭協議 (IEA) 和承包商協議也需要妥善處理。一個好的開始是請您的律師或其他相關人員審核您的僱傭合約和所有承包商協議，以確保其中包含有關資訊安全的具體細節。

這些內容應包括公司資料處理方面的規則和預期，其中涵蓋個人識別資訊 (PII)、客戶數據，以及至關重要的公司智慧財產權。此外，也應列明因違反這些規則和預期而可能採取的措施。

A.6.3 資訊安全意識、教育與培訓

本節的目標是確保員工和承包商在工作期間了解並履行其資訊安全責任。這可以透過多種方式實現。

首先，要從完善的新進員工入職培訓計畫著手。更新你的入職培訓體系，將資訊安全納入其中。根據你現有的體系，你需要涵蓋所有政策、資產管理、系統存取、樓宇存取、密碼強度、惡意軟體、備份、軟體控制、網路安全、採購、安全事件處理和業務連續性等方面的內容。將這些項目添加到你的入職培訓清單中是一個非常明智的做法。

接下來，為所有員工實施持續的培訓和教育計劃，涵蓋上述所有事項。這是一個持續的過程。一次性的訓練和教育課程通常效果不佳，因為人們過一段時間就會忘記。制定一個不斷提醒員工資料安全的計劃，可以讓他們始終牢記資料安全的重要性，並幫助他們養成良好的自我保護習慣。這類計畫也能讓員工了解在這個快速發展的產業中出現的最新威脅。
您可以在所有員工或團隊會議中加入培訓內容。然後，您可以將參加會議的員工的培訓/教育完成情況記錄下來。