【内容解析】

 

有效的信息安全一定会关联到人员及其行为。应使各类人员在被任用前理解其在信息安全上的角色和职责，并通过任用前的筛查和任用合同的条款等手段以降低人员对信息安全的风险。

 

ISO27001标准附录 A.8.1.1　角色和职责

 

【内容解析】

 

访问组织信息处理设施、接触或使用组织信息的全体人员都应承担信息安全责任。组织的信息安全方针通常只是简述信息安全的角色和职责，在人力资源管理或各单位的人员管理文件（如，岗位职责说明）中应详细规定各类人员在信息安全方面负有的职责。

 

ISO27001标准附录 A.8.1.2　审查

 

【内容解析】

 

对所有待任用候选者（包括雇员、承包方人员和第三方人员）的背景都要进行审查，确保任用的职位和对组织的风险是相协调的。通常任用候选者对组织保密和敏感信息的访问范围越深对其审查力度越严。对背景的审查应与相关法规和具体的业务要求相一致。

 

ISO27001标准附录 A.8.1.3　任用条款和条件

 

【内容解析】

 

任用合同的条款和条件应清晰地说明进入到本组织所要承担的有关信息安全的职责。任用合同通常是较为复杂的法律文书，以保护组织的业务利益，包括组织对违反信息安全方针和要求而要采取的措施，有的条款甚至覆盖了离职后一段时间的责任。

 

ISO27001标准附录 A.8.2　任用中

 

【内容解析】

 

使组织内部和外部的各方人员了解其工作环境关联的信息安全威胁、知晓对安全违规的处置，在业务运行中遵循安全方针、安全管理制度和规程，减少人为失误。

 

ISO27001标准附录 A.8.2.1　管理职责

 

【内容解析】

 

管理层对制定、发布和监督执行信息安全方针策略、规程和指南以保护组织和员工的利益负有责任。为确保所有各方（内部或外部的）都能理解、遵守发布的方针策略、规程和指南，管理层应安排对安全方针策略的宣贯和执行状况进行监督；如果信息处理设施的用户未能清晰地意识到自身的信息安全职责，那么管理层也就不能确保安全方针策略得到遵循。

 

ISO27001标准附录 A.8.2.2　信息安全意识、教育和培训

 

【内容解析】

 

组织信息处理设施的用户（包括雇员、承包方人员、合作方人员和第三方人员）都应接受针对其在组织内的角色和职能为具体目标的信息安全意识宣贯、教育或培训。培训意味着要培养新的概念并建立初步的基本技能；而教育则要提供相关的知识并进一步提升能力。

 

ISO27001标准附录 A.8.2.3　纪律处理过程

 

【内容解析】

 

针对违反信息安全方针策略和相关规定的员工，管理层要明确地规定、发布和执行纪律处理措施和过程。纪律处理过程应纳入信息安全意识的宣贯中以产生警示作用。

 

ISO27001标准附录 A.8.3　任用的终止或变化

 

【内容解析】

 

内部和外部各方人员的任用终止或任用状况的改变需要按书面的管理规定进行，避免信息安全的负面后果。

 

ISO27001标准附录 A.8.3.1　终止职责

 

【内容解析】

 

当一个员工或组织信息处理设施的外部用户被终止其职责或调动岗位时，管理层应有明确的过程确保工作的终止、交接或转换，充分考虑到对信息安全的保障。

 

ISO27001标准附录 A.8.3.2　资产的归还

 

【内容解析】

 

所有的内部或是外部人员当其雇佣、协议或合同终止时都必须要求返还其所持有的全部组织资产（包括文件）。组织的管理文件或用人协议（或合同）的条款对此应有明确的规定；届时组织应指派专人接受并查验返还的资产。

 

ISO27001标准附录 A.8.3.3　撤销访问权

 

【内容解析】

 

员工或外部相关人员一旦被终止职责或个人状况发生显著变化时应立即终止或消除其全部访问权，包括物理的和逻辑的。