员工雇佣中

5.2.2　员工雇佣中

将安全需求列入员工工作职责，组织在信息安全方针中所规定的安全角色及责任，应适度地书面化于工作职责说明书中。把对信息安全的要求，从新员工签订劳动合同的那一刻起，就烙印在员工的意识中，比在工作中逐渐教育具有更直接的、更明显的效果。应当在员工工作职责说明书中记录组织安全政策中所设定的安全角色和安全责任。工作职责说明书中的责任应当包含执行、维护组织安全政策的所有一般责任及与员工相关的保护特定信息资产的特殊责任，有关执行特殊安全管理程序或者活动的责任也可以写入说明书中，并通过适宜的方式把相关安全责任要求传达到每一个员工，使其理解并遵照执行。确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险。

应确定管理职责来确保安全应用于组织内个人的整个雇用期。为尽可能减小安全风险，应对所有雇员、合同方和第三方用户提供安全程序和信息处理设施的正确使用方面的教育和培训。还应建立一个正式的处理安全违规的纪律处理。管理者应要求所有的员工、合同方和第三方用户按照组织已建立的方针和程序实施安全行动。

管理职责应包括确保员工、合同方和第三方用户：

（1）在被授权访问敏感信息或信息系统前知道其信息安全角色和职责；

（2）从组织获得声明他们角色的安全期望的指南；

（3）被激励以实现组织的安全方针；

（4）对于他们在组织内的角色和职责的相关安全问题的意识程度达到一定级别；

（5）遵守雇用的条款和条件，包括组织的信息安全方针和工作的合适方法；

（6）持续拥有适当的技能和资质。

如果雇员、合同方和第三方用户没有意识到他们的安全职责，他们会对组织造成相当大的破坏。被激励的人员更可靠并能减少信息安全事故的发生。缺乏有效的管理会使员工感觉被忽视，并由此导致对组织的负面安全影响。例如，缺乏有效的管理可能导致安全被忽视或组织资产的潜在误用。应当定期对组织的所有员工及相关的第三方使用者进行信息安全的教育与培训，并且教育培训的内容要经常更新。

为确保用户意识到信息安全威胁和隐患，并在他们正常工作时遵守组织的信息安全政策，需要组织提供必要的信息安全教育与培训。这种教育与培训有时要扩大到有关的第三方用户。

根据工作岗位对从业者的能力需求、从业者本身的实际能力以及从业者所面临的信息安全风险，确定培训内容。也就是说培训应考虑不同层次的职责、能力、文化程度以及所面临的风险。

培训与教育的目的不同，培训是使受训者获得目前工作上所需要的知识与技能；教育是使受教育者获得未来用到的知识。

信息技术的发展日新月异，信息安全教育虽然面临着一个庞大的并不断增长的知识体，但可以把基本的信息安全概念与框架作为培训与教育的基础，核心知识体一般由以下方面组成：

不同类型的目标听众应当有不同的教育类型：

主管部门根据各部门提出的培训需求及组织对培训的基本要求，制订培训计划，培训计划包括培训项目、主要内容、主要负责人、培训日程安排（时间、地点）、培训方式、培训对象等。

按培训计划实施培训，培训前要写好培训方案，并通知相关人员，主要有以下培训方式：

（1）内部培训、外部培训、实习、自学考试、学术交流；

（2）采用不同媒体来宣传信息安全，如公司邮件、网页、视频；

（3）安全规则的可视化执行；

（4）模拟安全事故以改善安全规程；

（5）员工通过签订保密协议，了解安全需求。

培训后要进行考核。考核内容有理论考核、实际操作技能考核等；考核形式有问答、问卷、技术演示等。根据培训考核的结果发上岗证或重新培训。

应建立一个正式的员工违反安全的惩戒过程。惩戒过程之前应有一个安全违规的验证过程。正式的惩戒过程应确保正确和公平的对待被怀疑安全违规的雇员。无论违规是第一次或是已发生过，无论违规者是否经过适当的培训，正式的惩戒过程应规定一个分级的响应，要考虑诸如违规的性质、重要性及对于业务的影响等因素，相关法律、业务合同和其他因素也是需要考虑的。对于严重的明知故犯的情况，应立即免职、删除访问权限和特权，如果需要可直接带离现场。惩戒过程也可用于对雇员、合同方和第三方用户的一种威慑，防止他们违反组织的安全方针和程序以及其他安全违规。