5.2.3  人力資源安全

人力資源安全包含3個(gè)控制目標(biāo)6個(gè)控制措施。

　　在相關(guān)的隱私、個(gè)人數(shù)據(jù)保護(hù)和／或與任用相關(guān)的法律允許下，要對(duì)所有任用的候選者與承包商委派的人員的背景進(jìn)行核驗(yàn)，包括個(gè)人資料、個(gè)人履歷、學(xué)術(shù)和專(zhuān)業(yè)資質(zhì)、個(gè)人身份核查，以及其他如信用卡核查或犯罪記錄核查。未能通過(guò)審查或未能提供相關(guān)證明資料的人員不能夠使用組織信息系統(tǒng)。

對(duì)于特定的信息安全崗位（例如系統(tǒng)管理員、安全管理員、日志審計(jì)員等），還要確定該候選人具備執(zhí)行該安全角色所必須的能力，并且擔(dān)當(dāng)該角色時(shí)是可被信任的，尤其該角色對(duì)組織而言至關(guān)重要時(shí)。必要時(shí)可以開(kāi)展針對(duì)性的任前考核，必須在考核通過(guò)后才臺(tái)皂夠擔(dān)任相關(guān)崗位。不應(yīng)由承包商委派人員擔(dān)任以上崗位。

在任用前與候選者或承包商委派人員簽訂的合同協(xié)議中應(yīng)該有專(zhuān)門(mén)的條款和條件要反映組織的安全方針，包括關(guān)于保密性、數(shù)據(jù)保護(hù)、道德規(guī)范、組織設(shè)備和設(shè)施的適當(dāng)使用以及組織期望的信譽(yù)良好的實(shí)踐等。對(duì)于擬擔(dān)任特定信息安全崗位的候選人在任用之前，要和候選人交流信息安全角色和職責(zé)相關(guān)信息并留存取得一致認(rèn)識(shí)的正式文件，例如承諾書(shū)、任務(wù)書(shū)等。