### 人力资源安全管理指南
#### 一、概述
ISO 27001 是国际标准化组织(ISO)制定的一套信息安全管理体系(ISMS)的标准。本文档(ISMS-MG-A.08-01 人力资源安全管理指南)是ISO 27001体系下的一项重要组成部分,旨在规范人力资源管理过程中与信息安全相关的行为,确保员工、合同访问者和第三方用户能够正确履行其职责,降低因人为因素导致的信息安全风险。
#### 二、目的
本文档的主要目的是确保所有员工、合同方和第三方用户了解他们在信息安全方面的责任和义务,并在日常工作中支持公司的信息安全政策。具体目标包括:
- **提高意识**:确保员工了解信息安全威胁和相关事宜。
- **减少风险**:降低盗窃、滥用或误用设施的风险。
- **有序离职**:确保员工、合同方和第三方用户在离职或职位变动时能够有序进行,减少潜在的信息安全隐患。
#### 三、适用范围
本文档适用于已经建立信息安全管理体系的企业或组织。随着信息技术的发展和信息安全风险的变化,文档将会适时更新以适应新的情况。
#### 四、定义
本文档引用了GB/T19000-2000 idt ISO9000:2000标准中的术语以及ISO/IEC 17799:2005标准中的术语。
#### 五、程序
##### 5.1 雇佣前
在雇佣前阶段,需要明确员工、合同方和第三方用户的安全角色和职责,并确保这些职责在岗位描述中清晰表达。此外,还需要进行背景审查,以确保候选人符合相关法律法规的要求,并具备适当的品质。
- **角色和职责**:规定员工、合同方和第三方用户的安全角色和职责,包括但不限于执行特定的安全过程或活动、保护资产免受未经授权的访问等。
- **背景验证检查**:根据业务需求、接触信息的类别以及已知风险,对求职者进行相应的背景审查,如学历验证、身份确认等。
##### 5.2 雇佣条款和条件
为了确保员工了解并遵守信息安全政策,需要在雇佣条款和条件中明确规定员工和组织双方的信息安全责任。
- **保密协议**:所有能够接触到敏感信息的员工、合同方和第三方用户,在获取信息处理设施的访问权限之前,必须签署保密协议。
- **法律职责和权利**:明确员工、合同方和其他用户在版权法、数据保护法等方面的法律责任。
- **信息分类与资产管理**:定义员工在信息系统和服务中的职责,包括信息分类和资产管理。
- **外部信息责任**:规定员工在处理来自其他公司或外部团体信息时的责任。
- **扩展职责**:明确员工在非工作时间和非工作场所(如家中)的职责。
- **漠视行为的后果**:规定如果员工漠视安全要求,将采取何种行动。
#### 六、总结
ISMS-MG-A.08-01 人力资源安全管理指南为组织提供了在人力资源管理过程中确保信息安全的重要指导。通过明确的安全角色和职责、严格的背景审查以及详细的雇佣条款和条件,可以有效地降低由人为因素引起的信息安全风险,保障组织的信息安全管理体系的有效运行。随着信息技术的不断发展和信息安全威胁的变化,组织应当定期更新人力资源安全管理的相关政策和程序,以应对新的挑战。
