ISO 27001 人员控制：实施从招聘到离职的关键信息安全实践

A.6.1 筛选

本小节中的要求旨在确保您的候选人（员工和承包商）了解他们在获得职位后的责任，并适合他们正在考虑的工作。

要做到这一点，您需要制定周密的计划，并明确责任所在。这可以通过完善的职位描述来实现，职位描述和职责一起，概述了所需的技能和经验。您可以将此作为筛选应聘者的工具，以确保他们拥有能够胜任工作所需的技能。
这也将在面试时详细讨论，以便您明确职责。可以通过与推荐人面谈来独立核实他们在面试中所说的话。

根据您所从事的行业，确保进行监管机构要求的任何检查也很重要。这些检查包括警方检查、执照检查、对国际公民员工的签证检查。

A.6.2 雇佣条款和条件

您的个人就业协议 (IEA) 和承包商协议也需要符合规定。一个好的开始是让律师或其他相关人员审查您的雇佣合同和任何承包商协议，以纳入有关信息安全的具体细节。

其中应包括有关处理公司数据（包括任何 PII、客户数据以及重要的公司知识产权）的规则和期望。您还应包括因违反这些规则和期望而可能采取的任何行动。

A.6.3 信息安全意识、教育和培训

本节的目的是让员工和承包商在工作期间了解并履行信息安全责任。 可以通过多种方式做到这一点。

首先，从强有力的入职培训计划开始。更新入职培训系统，将信息安全纳入其中。根据您的系统，您将涵盖所有政策、资产管理、系统访问、建筑物访问、密码强度、恶意软件、备份、软件控制、网络、采购、事故和业务连续性。将这些项目列入入职清单是一个非常好的主意。

其次，对所有员工实施持续培训和教育计划。涵盖上述项目。这是一个持续的过程。一次性的培训和教育课程通常不够好，因为一段时间后人们就会忘记。制定一项计划，不断提醒员工注意数据安全，可以让他们时刻牢记这一点，并帮助他们养成保护自己的良好习惯。这种计划还能让员工了解这个瞬息万变的行业中最新出现的威胁。
为此，您可以在所有员工或团队会议上安排教育项目。然后，您可以将参加培训/教育的员工记录为已完成培训/教育。

A.6.4 纪律程序

对违反信息安全政策的员工、承包商或其他相关方应规定相应的后果，以起到威慑作用，并对违反信息安全政策的员工、承包商或其他相关方进行适当处理。

这可纳入现有的任何纪律处分程序，并应考虑到违反行为的性质和严重程度及其后果，是否故意、初犯或重犯，以及有关人员是否接受过适当培训。

A.6.5 终止或变更雇用关系后的责任

这是一个经常被忽视的信息安全领域，应从两个方面加以解决。

当员工或承包商离职或改变角色时，您的系统需要覆盖：

• 系统的完整性会发生什么变化？
• 哪些访问权限需要改变？
• 密码是否需要更改？
• 是否需要更改建筑物或区域的访问密码？
• 移动设备数据会发生什么变化？
• 还有更多...

有很多事情需要监督，以确保您的系统不被泄露。这些都可以纳入您的流程中，以确保在有人离开某个岗位时，您有一个记录在案、经过深思熟虑的方法来应对风险。

第二个考虑因素是，确保即将离职的员工或承包商了解作为其合同一部分所签署的责任，其中可能包括保护知识产权的非竞争性条款，以及更重要的保密和不披露协议，我们现在就来谈谈......

A.6.6 保密或不披露协议

这里的目的是通过确保签订适当的保密和非披露协议，维护组织内部以及与任何外部实体之间的信息传输安全。

这些协议应与员工和承包商以及任何其他相关方签订，例如可能需要获取信息的供应商。协议中包含的要求应考虑将处理的信息的类型和分类（见 A.5.12 节，上一篇博客）。

A.6.7 远程工作

在企业中越来越多地使用远程工作人员，这可能会给企业带来相当大的风险。对于远程工作的员工，你应该审查和更新你的政策和程序，以确保他们的安全和良好保护。
为加强远程工作人员及其设备的安全，你可以做以下几件事：

1. 提高密码强度
2. 改用双因素身份验证
3. 定期更新应用程序
4. 检查应用程序隐私

A.6.8 信息安全事件报告

在 ISO 27002 中，信息安全事件的定义是 "系统、服务或网络状态的确定发生，表明可能违反了信息安全政策或控制失效，或以前未知的可能与安全有关的情况"。

因此，需要尽快通过适当的管理渠道报告这些事件。并非所有的安全事件都是事故，因此需要谨慎对待，因为假以时日，它们可能会成为事故。在"当系统出现故障时：一次全球性故障给我们的网络安全和质量启示"一文中，我们讨论了一个现实世界中区别对待的例子。

例如，在澳大利亚，ACSC 会就已知的安全问题发出警报。新西兰的 CERTNZ 也做了类似的工作。如果您订阅了这些信息，相关员工就会收到这些事件的通知，并可将其作为信息安全事件记录在您的系统中。

在公司内部，你的员工和承包商必须注意并报告在系统或服务中观察到的或怀疑存在的信息安全弱点。

由于黑客和恶意软件越来越狡猾，您的员工和承包商需要时刻警惕奇怪的行为或弱点。 即使没有问题，也需要报告任何可疑情况。

相关团队应在定期会议上讨论这些问题，确保他们了解新事件以及如何识别这些事件。

收获

我们在本文中介绍了很多内容。需要注意的一些关键事项是

• 为组织内的职位制定经过深思熟虑的工作描述，以便在筛选候选人时使用。
• 确保在合同中概述您的数据安全期望和规则。此外，还应向他们传达纪律处分程序。
• 组织一项持续的信息安全意识计划，让员工了解最新的最佳实践安全行动，并将其牢记于心，以创建数据安全文化。
• 随着远程工作或员工利用资产远程访问系统的出现，确保考虑到这些风险，并采取适当的控制措施来降低风险。
• 实施员工可报告数据安全事件的流程，以便对这些事件进行调查。

• 查看本系列的上一篇文章：控制措施 A.5.35 - A.5.37 中政策合规性和 ISMS 独立审查的实用步骤