人力资源安全一

5.2.3  人力资源安全

人力资源安全包含3个控制目标6个控制措施。

　　在相关的隐私、个人数据保护和／或与任用相关的法律允许下，要对所有任用的候选者与承包商委派的人员的背景进行核验，包括个人资料、个人履历、学术和专业资质、个人身份核查，以及其他如信用卡核查或犯罪记录核查。未能通过审查或未能提供相关证明资料的人员不能够使用组织信息系统。

对于特定的信息安全岗位（例如系统管理员、安全管理员、日志审计员等），还要确定该候选人具备执行该安全角色所必须的能力，并且担当该角色时是可被信任的，尤其该角色对组织而言至关重要时。必要时可以开展针对性的任前考核，必须在考核通过后才台皂够担任相关岗位。不应由承包商委派人员担任以上岗位。

在任用前与候选者或承包商委派人员签订的合同协议中应该有专门的条款和条件要反映组织的安全方针，包括关于保密性、数据保护、道德规范、组织设备和设施的适当使用以及组织期望的信誉良好的实践等。对于拟担任特定信息安全岗位的候选人在任用之前，要和候选人交流信息安全角色和职责相关信息并留存取得一致认识的正式文件，例如承诺书、任务书等。