服务项目

ISO27000认证：“人力资源安全—任用中”规定

文章录入：华道众合文章来源：华道众合添加时间：2021-1-21

管理责任

管理者应宜要求所有员工和合同方按照组织已建立的策略和规程应用信息安全。

管理者责任包括确保员工和合同方：

1. 在被允许访问保密信息或信息系统前了解其信息安全角色和责任；

2. 获取了声明其组织角色的信息安全期望的指南；

3. 受到激励以实现组织的信息安全策略；

4. 对于他们在组织内的角色和责任相关的信息安全意识达到一定程度；

5. 遵守任用的条款和条件，包括组织的信息安全策略和适当的工作方法；

6. 保持适当的技能和资质，并定期接受教育；

7. 提供违反信息安全策略或规程的匿名报告通道；

信息安全意识、教育和培训

组织所有员工和相关的合同方，应按其工作职能，接受适当的意识教育和培训，组织策略及规程的定期更新的信息。

信息安全教育和培训宜覆盖通常方面，如：

（1）在整个组织范围内说明管理层对信息安全的承诺；

（2）熟悉并遵从适用的信息安全规则和义务的要求，正如策略、标准、法律、法规、合同和协议中所定义的；

（3）对个人作为和不作为的问责制度，以及确保或保护组织和外部方的信息的安全的一般责任；

（4）基本的信息安全规程（例如信息安全事件报告）和基线控制（例如口令安全、恶意软件控制和清空桌面）；

（5）可得到关于信息安全问题的更多信息和建议的联络点和资源，包括进一步的信息安全教育和培训材料。

违规处理过程

应有正式的、且已被传达的违规处理过程以及信息安全违规的员工采取措施。

正式的违规处理过程需确保对被怀疑信息安全违规的员工，给予了正确和公平的对待。无论违规是第一次或是已发生过，无论违规者是否经过适当的培训，正式的违规处理过程宜规定一个处理程度的响应，要考虑违规的性质、重要性及对于业务的影响等因素，相关法律、业务合同和其他因素等。

想了解更多的关于ISO27000认证信息可以经常关注我们

【相关文章】