关于人力资源安全

在信息安全领域中，人力资源的安全是各类安全目标达成的保证，是安全目标实现的基础。在我国公安部发布的信息安全等级保护中并没有关于此类内容的阐述或要求，而在ISO27001中有与人力资源安全相关专门的领域或控制点，故本章以ISO27001为蓝本以进行描述。人力资源安全主要被划分为如下三个章节来阐述：1.

人员雇用前

在对相关人员雇用前应明确如下内容：1.人员的角色和职责：应根据机构的信息安全策略定义雇员、承包商及第三方用户的安全角色和职责；具体包括：n职位描述：关于信息安全方面的具体责任n如何对所有雇员在信息安全方面的遵从情况2.人员筛选：机构应根据相关法律、法规和道德规范以及相应业务要求、将被访问的信息密级和可预见的风险，对员工、承包商和第三方用户的所有候选对象进行背景审查；具体包括：n求职者的信息n求职者的信用审查n求职者的生活方式信息n向求职者透露信息n非自愿离职员工的重聘n新员工应有一定期限的试用期并可在试用期无理由地解雇n信息安全敏感职位风险绑定（投保）n只有具备一定工作年限的员工方可参与核心产品及其它敏感项目的工作n拒绝有犯罪历史的员工3.雇佣的条款和条件：作为约定义务的一部分，雇员、承包商和第三方用户都应该同意并签订其雇佣合同中的条款和条件，阐明其自身与机构的信息安全责任；具体包括：n知识产权的归属n雇员创意所有权的归属

人员雇用期

1.管理职责：管理层应该要求雇员、承包商和第三方用户依照机构的既定策略和程序实现安全；具体包括：n信息安全责任n信息安全协议遵从n如何接受外部的安全援助n雇员的团体外出方式（尽量避免同乘一架飞机）n安排内部举报人n竞争情况n人事档案的发放（这条可能在国内不适用）n健康和安全信息n工作场所的危险n雇员的股票交易n性、种族和人种骚扰n场外开发的知识产权n第二职业和第二职业的坦白n身份标牌的保护n担任要职人员的年度收入披露n不满人员的跨职能账号n报告同事的可疑行为2.信息安全意识、教育和培训：机构的所有雇员，包括承包商和第三方用户，在机构策略和程序方面都应该接受与他们的工作职能相关的适当培训并定期更新；具体包括：n安全策略考试n远程访问培训n互联网培训n发放信息安全策略手册n信息安全培训n信息安全策略的变更通知n工作协议n生产系统培训n技术培训和继续教育n软件缺陷检测和校正培训n基本IT功能和员工岗位交叉培训n信息安全培训记录n基于角色的安全意识培训n基于角色的培训要求检查n年度信息安全培训n培训和意识教育方案检查3.惩戒过程：机构应建立正式的违纪处罚流程，用以处罚那些破坏或被怀疑破坏了安全的人员；具体包括：n不合规的后果n违规的后果n剥夺员工股权或取消员工优先认股权n立即解雇

人员雇用关系解除或变更

1.终止责任：机构应明确定义和指派需要在发生离职或雇用变动情况时需要履行的手续；具体包括：n员工的离职手续n雇员离职为竞争对手工作n员工离职通报（包括通报相关第三方）n非自愿离职的处理n员工离职时的信息保留n保管人责任的转移n删除离职人员的文件2.资产归还：所有雇员、承包商和第三方用户在结束雇佣、合同或协议关系时应归还自己保管的所用资产；具体包括：n财产归还n标牌归还n资产归还的信息抹除n资产归还知识转交3.删除访问权：所有雇员、承包商和第三方用户在结束语机构的雇佣、合同或协议关系时，他们的访问权应该予以取消或根据变动调整；具体包括：n离职人员的物理访问权n相关信息资产的强制初始化