云电同方客服工程师职责

9.3.8　人力资源安全

8.1　雇用前

目标：确保员工、合同方和第三方用户了解他们的责任并适合于他们所考虑的角色，减少盗窃、滥用或设施误用的风险。

安全职责应于雇用前在适当的岗位描述、雇用条款和条件中指出。

应充分筛选所有应聘者、合同方和第三方用户，特别是对敏感岗位的成员。

员工、合同方和信息处理设施的第三方用户要签署关于他们的安全角色和职责的协议。

8.1.1　角色和职责

控制

应根据组织的信息安全方针，规定员工、合同方和第三方用户的安全角色和职责并形成文件。

实施指南

安全角色和职责应包括以下要求：

a) 按照组织的信息安全方针（见5.1）实施和运作；

b) 保护资产免受未授权访问、泄露、修改、销毁或干扰；

c) 执行特定的安全过程或活动；

d) 确保职责分配给可采取措施的个人；

e) 报告安全事件或潜在事件或对组织的其他安全风险。安全角色和职责应被定义并在雇前阶段清晰地传达给岗位候选者。

其他信息

岗位描述能被用来将安全角色和职责形成文件。还应清晰地定义并传达没有在组织雇用过程（例如通过第三方组织雇用）中雇用的个人的安全角色和职责。

8.1.2　选拔

控制

应根据相关的法律、法规和道德，对所有的求职者、合同方和第三方用户进行背景验证检查，该检查应与业务要求、接触信息的类别及已知风险相适宜。

实施指南

验证检查应考虑所有相关的隐私、个人数据保护和/或与雇用相关的法律，并应包括以下内容（允许时）：

a) 获得令人满意的品质资料（如一项业务和一个个人）；

b) 申请人履历的核查（针对完整性和准确性）；

c) 声称的学术、专业资质的证实；

d) 独立的身份核查（身份证或护照或相似的文件）；

e) 更多细节的检查，例如信用卡检查或犯罪记录检查。

当一个职务（原先任命的或提升的）涉及对信息处理设施进行访问的人时，特别是，如果这些设施正在处理敏感信息，例如，财务信息或高度保密的信息，那么，该组织还要考虑进一步的、更详细的检查。

应确定验证检查的准则和限制，例如谁有资格筛选人员、如何、何时、为什么执行验证检查。

对于合同方和第三方用户也要执行筛选过程。若合同方是通过代理提供的，那么，与代理的合同要清晰地规定代理对筛选的职责，以及如果未完成筛选或结果引起怀疑或关注时，这些代理需要遵守的通知程序。同样，与第三方（见6.2.3）的协议应清晰的指定筛选的所有职责和通知程序。

关于所有被考虑在组织内录用的候选者的信息应按照在相关权限中存在的合适的法律来收集和处理。依据适用的法律，应将筛选活动提前通知候选者。

8.1.3　雇用条款和条件

控制

作为合同责任的一部分，员工、合同方和第三方用户应统一并签署他们的雇用合同的条款和条件。这些条款和条件应规定他们和组织对于信息安全的责任。

实施指南

雇用的条款和条件除澄清和声明以下内容外，还应涉及组织的安全策略：

a) 所有访问敏感信息的雇员、合同方和第三方用户要在能访问信息处理设施前签署保密或不泄密协议；

b) 雇员、合同方和其他用户的法律职责和权利，例如关于版权法、数据保护法（见15.1.1和15.1.2）；

c) 与雇员、合同方或第三方用户操作的信息系统和服务有关的信息分类和组织资产管理的职责（见7.2.1和10.7.3）；

d) 雇员、合同方或第三方用户操作来自其他公司或外部团体的信息的责任；

e) 组织处理人员信息的职责，包括由于组织雇用或在组织雇用过程中产生的信息（见15.1.4）；

f) 扩充到组织办公地点之外和正常工作时间之外的职责，例如在家中工作的情形（见9.2.5和11.7.1）；

g) 如果雇员、合同方或第三方用户漠视安全要求所要采取的行动（见8.2.3）。

h) 组织应确保雇员、合同方和第三方用户同意关于信息安全的条款和条件，那些适于他们对信息系统和服务有关的组织资产的访问性质和程度。

i) 若合适，包含于雇用条款和条件中的职责应在雇用结束后持续一段规定的时间（见8.3）。

其他信息

一个行为规范可用于覆盖雇员、合同方或第三方用户关于机密性、数据保护、道德规范、组织设备和设施适当使用及组织期望的规范实践的职责。合同方或第三方用户可能与一个外部组织有关，此外部组织可能需要使用契约来代表已签约的个体。

8.2　雇用中

目标：确保所有的员工、合同方和第三方用户了解信息安全威胁和相关事宜、他们的责任和义务，并在他们的日常工作中支持组织的信息安全方针，减少人为错误的风险。

应确定管理职责来确保安全应用于组织内个人的整个雇用期。

为尽可能减小安全风险，应对所有雇员、合同方和第三方用户提供安全程序和信息处理设施的正确使用方面的适当程度的意识、教育和培训。还应建立一个正式的处理安全违规的纪律处理。

8.2.1　管理职责

控制

管理者应要求所有的员工、合同方和第三方用户按照组织已建立的方针和程序实施安全。

实施指南

管理职责应包括确保员工、合同方和第三方用户：

a) 在被授权访问敏感信息或信息系统前知道其信息安全角色和职责；

b) 从组织获得声明他们角色的安全期望的指南；

c) 被激励以实现组织的安全方针；

d) 对于他们在组织内的角色和职责的相关安全问题的意识程度达到一定级别；

e) 遵守雇用的条款和条件，包括组织的信息安全方针和工作的合适方法；

f) 持续拥有适当的技能和资质。

其他信息

如果雇员、合同方和第三方用户没有意识到他们的安全职责，他们会对组织造成相当大的破坏。被激励的人员更可靠并能减少信息安全事故的发生。

缺乏有效的管理会致使员工感觉被低估，并由此导致对组织的负面安全影响。例如，缺乏有效的管理可能导致安全被忽视或组织资产的潜在误用。

8.2.2　信息安全意识、教育和培训

控制

组织的所有员工，适当时，包括合同方和第三方用户，应受到与其工作职能相关的适当的意识培训和组织方针及程序的定期更新培训。

实施指南

意识培训应从一个正式的介绍过程开始，这个过程用来在被允许访问信息或服务前介绍组织的安全方针和期望。

正在进行的培训应包括安全要求、法律职责和业务控制，还有信息处理设施正确使用的培训，例如注销程序、软件包的使用和纪律处理（见8.2.3）的信息。

其他信息

安全意识、教育和培训活动应是适当的并关联于员工的角色、职责和技能，并应包括关于已知威胁的信息，向谁咨询进一步的安全建议和合适的报告信息安全事故（见13.1）的渠道。

加强意识的培训旨在使个人认识到信息安全问题及信息安全事故，并按照他们岗位角色的需要对其响应。

8.2.3　惩戒过程

控制

应建立一个正式的员工违反安全的惩戒过程。

实施指南

惩戒过程之前应有一个安全违规的验证过程（见13.2.3的证据搜集）。

正式的惩戒过程应确保正确和公平地对待被怀疑安全违规的雇员。无论违规是第一次或是已发生过，无论违规者是否经过适当的培训，正式的惩戒过程应规定一个分级的响应，要考虑诸如违规的性质、重要性及对于业务的影响等因素，相关法律、业务合同和其他因素也是需要考虑的。对于严重的明知故犯的情况，应立即免职、删除访问权限和特权，如果需要，直接护送出现场。

其他信息

惩戒过程也可用于对雇员、合同方和第三方用户的一种威慑，防止他们违反组织的安全方针和程序，以及其他安全违规。

8.3　雇用的终止或变更

目标：确保员工、合同方和第三方用户离开组织或雇用变更时以一种有序的方式进行。

应有合适的职责确保管理雇员、合同方和第三方用户从组织的退出，并确保他们归还所有设备及删除他们的所有访问权利。

组织内职责和工作的变化管理应符合本章内容，与职责或工作的终止管理相似，任何新的雇用应遵循8.1节内容进行管理。

8.3.1　终止职责

控制

应清晰规定和分配进行雇用中止或变更的责任。

实施指南

终止职责的传达应包括正在进行的安全需求和法律职责，适当时，还包括机密性协议规定的职责（见6.1.5）和在雇员、合同方或第三方用户的雇用结束后持续一段时间仍然有效的雇用条款和条件（见8.1.3）。

规定职责和义务在雇用终止后仍然有效的内容应包含在雇员、合同方或第三方用户的合同中。

职责和工作的变化管理应与职责或工作的终止管理相似，任何新的雇用管理遵循8.1节内容。

其他信息

人力资源的职能通常是与管理相关程序的安全方面的监督经理一块负责总体的工作终止处理。在合同方的例子中，终止职责的处理可能由代表合同方的代理完成，其他情况下的用户可能由他们的组织来处理。

有必要通知员工、顾客、合同方或第三方用户组织人员的变化和运营上的安排。

8.3.2　归还资产

控制

当雇用、合同或协议终止时，员工、合同方和第三方用户应归还所使用的组织资产。

实施指南

终止过程应被正式化，且应包括所有先前发放的软件、公司文件和设备的归还。其他组织资产，例如移动计算设备、信用卡、访问卡、软件、手册和存储于电子介质中的信息也需要归还。

当雇员、合同方或第三方用户购买了组织的设备或使用他们自己的设备时，应遵循程序确保所有相关的信息已转移给组织，并且已从设备中安全删除（见10.7.1）。

当一个雇员、合同方或第三方用户拥有的知识对正在进行的操作具有重要意义时，此信息应形成文件并传达给组织。

8.3.3　撤销访问权限

控制

当雇用、合同或协议终止时，应撤销所有员工、合同方和第三方用户对信息和信息处理设施的访问权限，或根据变化调整。

实施指南

工作终止时，个人对与信息系统和服务有关的资产的访问权利应被重新考虑，这将决定是否必须删除访问权利。工作的变化应反映在不适用于新的工作的权利的删除上。应删除或改变的访问权利包括物理和逻辑访问、密钥、ID卡、信息处理设备（见11.2.4）、签名，要从标识其作为组织的现有用户的文件中删除。如果一个已离开的雇员、合同方或第三方用户知道仍保持活动状态的账户的密码，则应在工作、合同或协议终止或变化后改变密码。

对信息资产和信息处理设施的访问权利在工作终止或变化前是否减少或删除，依赖于对风险因素的评价，例如：

a) 终止或变化是由员工、合同方或第三方用户发起还是由管理者发起，终止的原因；

b) 员工、合同方或任何其他用户的现有职责；

c) 当前可访问资产的价值。

其他信息

在某些情况下，访问权利的分配基于对于多人可用而不是基于离开的雇员、合同方或第三方用户，例如群ID。在这种情况下，离开的个人应从群访问列表中删除，还应建议所有相关的其他雇员、合同方和第三方用户不应再与已离开的员工共享信息。

在管理者发起终止的情况下，不满的雇员、合同方或第三方用户可能故意破坏信息或破坏信息处理设施。在员工辞职的情况下，他们可能为将来的使用而收集必要的信息。