В период действия трудового договора
Безопасность человеческих ресурсов
До назначения
Цель: обеспечить, чтобы сотрудники и подрядчики понимали свои обязанности и
подходили для своей роли в организации.
Отбор
Проверка всех кандидатов на работу, должна осуществляться в соответствии с
соответствующими законами, правилами и этикой и должна быть пропорциональна бизнес-требованиям, включает в себя классификацию информации, которая будет доступна и учтены предполагаемые риски.
Проверка должна учитывать всю соответствующую конфиденциальность, защиту личной
информации и основ трудового законодательства, включает в себя следующее:
а) наличие удовлетворительных отзывов, например одного от предыдущего места
работы и одного личного;
б) проверка полноты и точности биографии заявителя;
в) подтверждение заявленных академических и профессиональных квалификаций;
г) независимая проверка документов удостоверяющих личность (паспорт или
аналогичный документ);
е) более детальная проверка, такая как кредитная история или наличие судимостей.
Когда человек нанимается на должность специалиста по информационной безопасности,
организации должны убедиться, что кандидат:
а) обладает необходимой квалификацией для выполнения работ по ИБ;
б) имеет высокую степень доверия, способен взять на себя обязанности, особенно если
такие обязанности имеют решающее значение для организации.
Если при первоначальном назначении или при продвижении по службе, работа включает
обработку информации, особенно, если это связано с обработкой конфиденциальной
информации, например, финансовой информации или информации, имеющей высокую
ценность для организации, требуется предусмотреть дальнейшие подробные проверки.
Процедуры должны определять критерии и ограничения для проверки, например, кто имеет право на проверку соискателей, как, когда и почему должны осуществляться интервью.
Процесс отбора также должен быть обеспечен для временного персонала и подрядчиков. В этих случаях, соглашение между организацией и подрядчиком должно содержать
обязанности по проведению отбора и процедурам уведомления, которые необходимо
предпринять в случае если процедура отбора (проверки) показала неудовлетворительные
результаты или если результаты дают повод для сомнений и беспокойства.
Информация по всем кандидатам, которые рассматриваются на должности в организации
должны быть собраны и обработаны в соответствии с законами и нормами, действующими в соответствующей юрисдикции. В зависимости от действующего законодательства, кандидаты должны быть заблаговременно проинформированы о скрининговых (проверочных) мероприятиях.
Условия занятости
В договорных соглашениях с сотрудниками и подрядчиками следует указать и их
обязанности в области ИБ.
Договорные обязательства для сотрудников или подрядчиков должны отражать политику
организации в области ИБ:
а) все сотрудники и подрядчики, которым предоставляется доступ к
конфиденциальной информации должны подписать соглашение о неразглашении до того,
как получили доступ к такой информации и средствам ее обработки;
б) юридические права и обязанности работника, а также права подрядчика, например,
в отношении законов об авторском праве или о защите данных;
в) обязанности по классификации информации и управлению организационными
активами, связанными с информацией, обработки информации и информационных услуг,
осуществляемых работником или подрядчиком;
г) обязанности работника или подрядчика по обработке информации, полученной от
других компаний или третьих сторон;
е) действия, предпринимаемые, если работник или подрядчик игнорирует требования
безопасности организации.
Обязанности по безопасности информации должны быть доведены до кандидатов в процессе приема на работу.
Организация должна убедиться, что сотрудники и подрядчики соглашаются с условиями
информационной безопасности, соответствующими характеру и степени доступа к
предоставляемым активам организации, связанным с информационными системами и
услугами.
В случае необходимости, ответственность, содержащаяся в условиях труда должна быть
продлена на определенный период после окончания работы.
Дополнительная информация.
Менеджмент должен требовать от всех работников и подрядчиков выполнять нормы
информационной безопасности, установленные в политике и в процедурах организации.
В период действия трудового договора
Цель: обеспечить знание и выполнение своих обязанностей по информационной
безопасности сотрудниками и подрядчиками.
Обязанности руководства
Руководство должно требовать от всех сотрудников и подрядчиков применять установленные правила и процедуры организации в области ИБ.
Обязанности руководства должны включать в себя обеспечение выполнение следующих
условий в отношении сотрудников и подрядчиков:
а) должным образом осведомить сотрудников и подрядчиков о своих обязанностях в
области ИБ и об обязанностях до получения доступа к конфиденциальной информации
или информационным системам;
б) обеспечиваются инструкциями, которые заявляют ожидания в области ИБ и их
ролях в организации;
в) мотивировать для выполнения политик ИБ;
г) повысить уровень осведомленности по ИБ, имеющих в отношении своих позиций в
рамках организации;
е) соответствовать условиям занятости, которая включает разработку политики
информационной безопасности организации и соответствующие методы работы;
е) поддерживать соответствующие навыки и квалификацию и получать образование в
области ИБ на регулярной основе;
г) обеспечить анонимный канал для сообщений о нарушениях политик или процедур
информационной безопасности ("информирование руководства о фактах нарушения").
Руководство должно продемонстрировать поддержку политику, процедур, контроля
информационной безопасности, и выступать в качестве образца для подражания.
Если сотрудники и подрядчики не осведомлены о своих обязанностях по обеспечению
информационной безопасности, они могут нанести значительный ущерб организации.
Мотивированный персонал, вероятно, будут более надежными и вызывают меньше
инцидентов информационной безопасности.
Плохое управление может привести к ощущению неполноценности персонала в результате негативного воздействия нарушений ИБ в организации. Например, плохое управление может привести к пренебрежению нормами ИБ или использованию ресурсов организации в личных целях.