Download
1 / 249
2.54k likes | 2.92k Views
CNS 17799. 資訊技術 資訊安全管理作業要點. ENTER. 為何需要瞭解 CNS 17799 資訊安全管理作業要點 ?. NEXT. 一個單位之資訊安全系統若能依據 CNS 17799 資訊安全管理作業要點內控制措施之要求而考量與建置並符合,則整體資訊系統必能通過 ISO 27001 之評鑑與驗證。. NEXT. 資訊與資訊安全 之概念. NEXT. 資訊對組織而言就是一種資產,和其它重要的營運資產一樣有價值,因此需要持續給予妥善保護。 資訊安全可保護資訊不受各種威脅,確保持續營運、將營運損失降到最低、得到最豐厚的投資報酬率及商機。
E N D
CNS 17799 資訊技術資訊安全管理作業要點 ENTER
為何需要瞭解 CNS 17799 資訊安全管理作業要點? NEXT
一個單位之資訊安全系統若能依據CNS 17799資訊安全管理作業要點內控制措施之要求而考量與建置並符合,則整體資訊系統必能通過ISO 27001之評鑑與驗證。 NEXT
資訊與資訊安全 之概念 NEXT
資訊對組織而言就是一種資產,和其它重要的營運資產一樣有價值,因此需要持續給予妥善保護。資訊對組織而言就是一種資產,和其它重要的營運資產一樣有價值,因此需要持續給予妥善保護。 • 資訊安全可保護資訊不受各種威脅,確保持續營運、將營運損失降到最低、得到最豐厚的投資報酬率及商機。 • 要達到資訊安全目標,就必須實施適當的控制措施。 • 資訊安全之特徵=『維護』: • a) 機密性:確保只有經授權的人才能存取資訊。 • b) 完整性:保護資訊與處理方法的正確性與完整性。 • c) 可用性:確保經授權的使用者在需要時可以取得資訊 • 及相關資產。 NEXT
CNS 17799 資訊安全管理作業要點簡介 NEXT
安全政策 組織 資訊安全 資產管理 標題頁 人力 資源安全 實體與 環境安全 CNS 17799 通訊與作業 管理 存取控制 請以滑鼠點選進入 資訊系統 開發及維護 資訊安全 事故管理 營運持續 管理 遵循性
EXIT 安全政策 • 5.1 資訊安全政策 • 目標:依照營運要求及相關法律規章,提供管理階層對資訊安全的指示與支持。 • 管理階層宜設定與營運目標一致、明確的政策方向,經由發佈與維護整個組織的資訊安全政策,展現對資訊安全的支持與承諾。
EXIT 安全政策 • 5.1 資訊安全政策 • 5.1.1資訊安全政策文件 • 控制:資訊安全政策文件宜由管理階層核准,並公佈傳達給所有受雇人員與相關外部人員。 • 實作指引:資訊安全政策文件宜陳述管理階層的承諾,提出組織的方法以管理資訊安全。 • 資訊安全、其整體目標及範圍的定義,以及資訊共享時,安全不可或缺的機制有何重要性。 • 管理階層的意圖以及對資訊安全目標及原則支持的一份聲明。 • 設定控制目標與控制的框架,包括風險評鑑與風險管理的結構。 • 說明安全政策、原則、標準以及符合性要求,例如: • (1)符合法令和合約的要求; • (2)安全教育要求; • (3)營運持續管理; • (4)違反安全政策的後果;
EXIT 安全政策 5.1 資訊安全政策 5.1.1資訊安全政策文件 f)確定資訊安全管理的責任,包括通報安全事件; g)支援政策的文件索引。 本政策應以讀者可取得、能瞭解的形式向整個組織宣達。
EXIT 安全政策 • 5.1 資訊安全政策 • 5.1.2審查資訊安全政策文件 • 控制:資訊安全政策宜定期或有重大變更時審查,以確保持續的適當性、充分性、及有效性。 • 實作指引:資訊安全政策宜有經核准管理權責的擁有者,以發展、審查、及評估安全政策。 • 審查宜包括評鑑組織資訊安全政策改善的機會,以及管理資訊安全的方法,以因應組織環境、營運情況、法令條件、或技術環境的改變。 • 管理階層審查的投入宜包括下列資訊: • 利益相關各方的回饋。 • 獨立審查的結果 。 • 預防及矯正動作的狀態。 • 前次管理階層審查的結果。 • 過程執行績效與資訊安全政策遵循性。
EXIT 安全政策 • 5.1 資訊安全政策 • 5.1.2審查資訊安全政策文件 • 可能影響組織管理資訊安全管理方法的變更,包括組織環境、營運情況、資源可用性、合約、管理、法令等條件、或技術環境的改變; • 威脅及脆弱性的相關趨勢。 • 通報的資訊安全事故。 • 有關當局提供的建議。 • 管理階層審查的產出宜包括任何關於下列的決定與行動: • 組織管理資訊安全及其過程的方法之改善; • 控制目標及控制措施之改善; • 資源及/或職責分配之改善。 • 宜維護管理階層審查的記錄。
EXIT 組織資訊安全 • 6.1 內部組織 • 目標:在組織內管理資訊安全。 • 管理階層宜核准資訊安全政策、指派安全角色、及協調與審查全組織安全的實作。 • 必要時,宜建立資訊安全專家建議的管道,供整個組織使用。 • 宜發展與包括有關當局等外部安全專家或團體的聯繫,以跟上業界趨勢、監控標準與評鑑方法、並提供處理資訊安全事故時合適的聯絡點。 • 宜鼓勵資訊安全的多種訓練方法。
EXIT 組織資訊安全 • 6.1 內部組織 • 6.1.1管理階層對資訊安全的承諾 • 控制:管理階層在組織內宜經由清楚的指示、顯示承諾、明顯的指派、及承認資訊安全責任,主動地支持安全有關計畫。 • 實作指引:管理階層宜 • 確保識別資訊安全目標、達到組織要求,並整合相關過程。 • 制定、審查、及核准資訊安全政策。 • 審查資安全政策實作的有效性。 • 提供清楚的指示與可見的對安全主動性之管理支援。 • 提供資訊安全所需的資源。 • 核准整個組織資訊安全特定角色職責的指派。 • 發起規畫與計畫以維護資安全認知。 • 確保協調整個組織資訊安全控制的實作。
EXIT 組織資訊安全 • 6.1 內部組織 • 6.1.2資訊安全協調工作 • 控制:資訊安全活動宜由組織內擁有相關角色與工作功能,不同部門的代表協調。 • 實作指引:一般而言,資訊安全協調工作宜涉及管理人員、使用者、行政管理人員、應用系統設計人員、稽核、安全人員,以及保險、法律事務、人力、IT或風險管理等領域的專家技巧。其活動宜: • 確保安全活動的執行符合資訊安全政策。 • 識別如何處理不遵循。 • 核准資訊安全的方法與過程,如風險評鑑,資訊分類。 • 識別重大的威脅改變,以及資訊與資訊處理設施對威脅的暴露。 • 評鑑資訊安全控制措施的充分性與協調其實作。 • 有效地在全組織推廣資訊安全教育、訓練、及認知。 • 評估資訊由監控所收到的資訊、審查資訊安全事故、及建議適當的動作以回應已識別的資訊安全事故。
EXIT 組織資訊安全 • 6.1 內部組織 • 6.1.3資訊安全責任的配置 • 控制:宜明確定義所有資訊安全責任。 • 實作指引:資訊安全責任的配置宜依據資訊安全政策。保護個別資產與執行特定安全作業過程的責任宜明確的識別。 • 必要時,宜為特定場所與資訊處理設施補充更詳細的指引。 • 保護資產與執行特定安全作業過程(如營運持續管理規劃)的當地責任宜明確的定義。 • 宜明確的陳述各個人所負責的範圍;特別要做到以下事項: • 宜識別與明確定義與每一特定系統有關的資產及安全作業過程。 • 宜指派負責各個資產或安全作業過程的實體,其責任的細節宜文件化。 • 宜明確定義授權層級並文件化。
EXIT 組織資訊安全 • 6.1 內部組織 • 6.1.4資訊處理設施的授權程序 • 控制:宜定義與實作新資訊處理設施的管理階層授權過程。 • 實作指引:授權過程宜考慮以下指導綱要: • 新設施宜有適當的使用者管理階層授權,核准其用途及使用。另外宜獲得負責維護該區資訊系統安全環境的管理人員授權,以確保符合所有相關安全政策和要求。 • 必要時宜核對硬體和軟體,以確保與其他系統組件相容。 • 使用如筆記型電腦、家用電腦或手持設備等個人或私人擁有的資訊處理設施處理營運資訊,可導致新的脆弱性,宜識別並實作必要的控制措施。
EXIT 組織資訊安全 • 6.1 內部組織 • 6.1.5保密協議 • 控制:宜識別與定期審查反映組織對保護資訊需求的機密要求或保密協定要求。 • 實作指引:機密或保密協定宜使用可實施的法律名詞處理保護機密資訊的要求。為識別機密或保密協定的要求,宜考慮以下元件 • 要被保護資訊的定義(如機密資訊)。 • 期望協議的持續期間,包括機密可能需要無限期維持的案例。 • 協議終止時所需的動作。 • 簽名者的責任與動作,以避免未經授權的資訊揭露 • 資訊、交易秘密與智慧財產權的擁有以及與機密資訊保護的關聯。 • 機密資訊的准許使用,與簽名者使用資訊的權利。 • 稽核與監控涉及機密資訊活動的權利。 • 通知與通報未經授權的揭露或機密資訊破壞的過程。 • 協議中斷時資訊歸還或銷毀的期限。 • 一旦違反該協議時期望採取的動作。
EXIT 組織資訊安全 6.1 內部組織 6.1.6與有關當局的聯繫 控制:宜與有關當局維持適當聯繫。 實作指引:組織宜有指定若懷疑可能違反法規時,何時與有關當局(如執法單位、消防單位、主管機關)聯繫,如何及時通報已識別的資訊安全事故的合適程序。
EXIT 組織資訊安全 • 6.1 內部組織 • 6.1.7與特殊利益團體的聯繫 • 控制:宜與特殊利益團體或其它專業人員安全論壇及專業協會維持適當聯繫。 • 實作指引:特殊利益團體或論壇的會員資格宜視為達到下列目的的方法: • 改進關於最佳實務與維持最新的相關安全資訊的知識 。 • 確保對資訊安全環境的了解是最近的與完整的。 • 收到有關攻擊與脆弱性的早期警告、公告及修補程式 。 • 取得專家的資訊安全建議。 • 分享與交換關於新技術、產品、威脅或脆弱性的資訊 。 • 在處理資訊安全事故時提供合適的聯繫點 。
EXIT 組織資訊安全 • 6.1 內部組織 • 6.1.8獨立的資訊安全審查 • 控制:宜定期或當安全實作發生重大變更時,獨立審查組織管理資訊安全的方法與其實作 。 • 實作指引: • 獨立審查宜由管理階層發起。為確保持續組織管理資訊安全方法的合適性、充分性及有效性,獨立審查是必要的。 • 審查宜包括評鑑含政策及控制目標的安全方法之改進機會與變更的需要。 • 審查宜由獨立於需審查範圍的個人執行,例如內部稽核部門、獨立管理人員或專門提供此類審查的第三方組織。執行審查的個人宜具備適當技能與經驗。 • 獨立審查的結果宜予以記錄並向發起審查的管理階層報告。宜保留該紀錄。
EXIT 組織資訊安全 • 6.2 外部團體 • 6.2.1識別與外部團體有關的風險 • 控制:授權外部團體存取之前,宜識別涉及外部團體營運過程的組織資訊及資訊處理設施的風險,與實作適當控制措施 。 • 實作指引:若需要允許外部團體存取組織的資訊處理設施或資訊,宜執行風險評鑑以識別特定控制措施的要求。關於外部團體存取的風險識別宜考慮下列議題: • 外部團體所需存取的資訊處理設施 。 • 外部團體對資訊與資訊處理設施存取的型式。 • (1)實際存取,如辦公室、機房、檔案櫃 ; • (2)邏輯存取,如組織的資料庫、資訊系統 ; • (3)組織與外部團體的網路連線,如固定連線、遠端存取 ; • (4)存取發生於現場或場外 ; • 涉及資訊的價值與敏感性,以及其對營運作業的重要性 。 • 保護不打算被外部團體存取的資訊所需要的控制措施 。 • 涉及處理組織資訊的外部團體人員 。
EXIT 組織資訊安全 • 6.2 外部團體 • 6.2.1識別與外部團體有關的風險 • 如何能識別組織或人員被授權存取、查證該授權、以及需要多久再次確認 。 • 外部團體在儲存、處理、傳輸、分享與交換資訊時使用的不同方法與控制措施 。 • 外部團體在需要時無法存取、外部團體進入或收到不精確或誤導資訊的衝擊 。 • 處理資訊安全事故與潛在損害的實務與程序,資訊安全事故發生時外部團體繼續存取的條件與情況; • 相關於宜考慮的外部團體之法律與管理要求與其他合約義務; • 該安排可影響到任何其他利害關係人的利益。
EXIT 組織資訊安全 • 6.2 外部團體 • 6.2.2應付客戶時的安全處理 • 控制:在給予客戶存取組織資訊或資產的權限之前,宜處理所有已識別的安全要求。 • 實作指引:在給予客戶存取任何組織資產之前,宜考慮下列條件: • 資產保護,包括: • (1)保護組織資產的程序,包括資訊及軟體,以及管理已知的脆弱性。 • (2)決定資產是否遭受破壞的程序,如資料遺失或被修改。 • (3)完整性。 • (4)複製或揭露資訊的限制。 • 描述所提供的產品與服務。 • 客戶存取的不同原因、要求與利益。
EXIT 組織資訊安全 • 6.2 外部團體 • 6.2.2應付客戶時的安全處理 • 存取控制政策,涵蓋: • (1)允許使用的存取方法,以及控制措施與使用唯一識別符,如使用者識別符和通行碼 。 • (2)使用者存取和特權的授權過程 。 • (3)禁止非明確授權的所有存取之聲明 。 • (4)撤銷存取權限或中斷系統間連線的過程 。 • 資訊不精確(如個人細節)、資訊安全事故與違反安全的通報、通知與調查等安排。 • 描述所提供的每項服務。 • 服務水準標的與無法接受的服務水準。 • 監控、撤銷與組織資產相關之任何活動的權利。 • 組織與客戶各自的責任。
EXIT 組織資訊安全 • 6.2 外部團體 • 6.2.2應付客戶時的安全處理 • 法律責任及如何確保達到法律要求,例如,資料保護立法,如果該合約涉及與其他國家的客戶進行合作時,更應考慮到各國法律系統的差異。 • 智慧財產權(IPRs)和著作權轉讓以及對共同著作的保護。
EXIT 組織資訊安全 • 6.2 外部團體 • 6.2.3第三方合約的安全處理 • 控制:涉及存取、處理、傳輸或管理組織的資訊或資訊處理設施,或在資訊處理設施上增加產品或服務的第三方合約,宜涵蓋所有相關的安全要求。 • 實作指引:合約宜確保在組織與第三方之間無誤解。組織宜擬定自己能接受的第三方賠償條款,包括下列條款以滿足識別的安全要求: • 資訊安全政策 : • 確保資產保護的控制措施,包括: • (1)保護組織資產的程序,包括資訊、軟體及硬體 。 • (2)所有要求的實體保護控制措施與機制 。 • (3)確保不受惡意軟體攻擊的控制措施 。 • (4)決定資產是否遭受破壞的程序,如資料、軟體及硬體的遺失或被修改 。
EXIT 組織資訊安全 • 6.2 外部團體 • 6.2.3第三方合約的安全處理 • (5)確保合約終了或互相同意的某一時間點,資訊和資產歸還或銷毀的控制措施。 • (6)資產的機密性、完整性、可用性與其他相關特性。 • (7)複製和揭露資訊的限制,以及使用保密協定。 • 使用者與管理者在方法、程序與安全上的訓練 。 • 確保使用者對資訊安全職責與議題的認知。 • 在適當時轉調員工的規定 。 • 軟硬體安裝與維運的相關職責 。 • 明確的通報架構和大家同意的通報格式 。 • 變更管理的明確規定過程 。 • 存取控制政策,包括: • (1)第三方需要存取的不同理由、要求與利益 。
EXIT 組織資訊安全 • 6.2 外部團體 • 6.2.3第三方合約的安全處理 • (2)允許使用的存取方法,以及控制措施與使用唯一識別碼,如使用者識別碼和通行碼 。 • (3)使用者存取和特權的授權過程 。 • (4)維持經授權可使用該服務的人員清單,並記錄其權利與特權的要求。 • (5)禁止非明確授權的所有存取之聲明 。 • (6)撤銷存取權限或中斷系統間連線的程序 。 • 規定如何通報、通知和調查資訊安全事故與安全破壞行為,以及違反合約中陳述的要求。 • 描述提供的產品或服務,描述安全分類下可提供的資訊。 • 服務水準標的與無法接受的服務水準。 • 定義可查證的績效準則、其監控與通報。 • 監控、撤銷與組織資產相關之任何活動的權利。
EXIT 組織資訊安全 • 6.2 外部團體 • 6.2.3第三方合約的安全處理 • 稽核定義於合約內的責任,將稽核工作交由第三方執行,列舉稽核法定權利之權利。 • 建立問題解決的升級過程。 • 持續服務的要求,包括依據組織的營運優先順序測量可用性和可靠度。 • 合約各方所應負的責任。 • 法律責任及如何確保達到法律要求,例如,資料保護立法,如果該合約涉及與其他國家的客戶進行合作時,更應考慮到各國法律系統的差異。 • 智慧財產權(IPRs)和著作權轉讓以及對共同著作的保護。 • 第三方與分包商的連帶關係,與分包商需要實作的安全控制措施。
EXIT 組織資訊安全 • 6.2 外部團體 • 6.2.3第三方合約的安全處理 • 合約重議/終止的條款: • (1)宜備有應變計畫以便任一方在合約結束前欲中止合約 。 • (2)若組織的安全要求變更,則重議合約。 • (3)相關的資產清單、使用版權、合約或權利的現行文件 。
EXIT 資產管理 • 7.1 資產責任 • 目標:達到及維護組織資產的適當保護。 • 所有資產宜有人負責,並指定所有人。 • 宜識別所有資產的所有人,並指派維護該資產適切控制措施的責任。 • 特定控制措施的實作可由所有人適當的授權,但所有人對該資產的適當保護仍要負責。
EXIT 資產管理 • 7.1 資產責任 • 7.1.1資產清冊 • 控制:宜明確識別所有資產,並製作與維護所有重要資產的清冊。 • 實作指引: • 組織宜識別所有資產並記錄資產的重要性。 • 資產清冊宜包括所有需要的資訊以便從災難中復原,包括資產的形式、格式、位置、備份資訊、使用版權資訊及營運價值。 • 清冊不宜複製其它不必要的清冊,但宜確保內容一致。 • 此外,每一資產的所有權與資訊分類宜意見一致並文件化。 • 依據資產的重要性、營運價值與安全分類,宜識別與該資產重要性相稱的保護等級。 資產有許多形式,包括: • 資訊:資料庫和資料檔案、合約和協議、系統文件、研究資料、使用者手冊、訓練教材、操作或支援程序、營運持續計畫、備援作業安排、稽核存底、保存檔資訊。 • 軟體資產: 應用軟體、系統軟體、開發工具以及公用程式。
EXIT 資產管理 7.1 資產責任 7.1.1資產清冊 實體資產: 電腦設備、通訊設備、移動式媒體、其他設備。 服務:電腦和通訊服務、一般公用設施,如暖氣、照明設備、電源、空調。 人員,與其資格、技能、及經驗。 無形資產,如商譽與企業形象。 資產清冊有助於確保資產能獲得有效的保護措施,也可能是其他營運目的的要求,如健康與安全、保險或財務事項。
EXIT 資產管理 • 7.1 資產責任 • 7.1.2資產的所有權 • 控制:與資訊處理設施相關的所有資訊及資產宜由組織指定的部份『所有』 。 • “所有”(owned)指的是負有被認可管理責任的個人或個體,控制資產的生產、發展、維護、使用、及安全。 • 實作指引: • 資產所有人宜負責: • 確保與資訊處理設施有關的資訊和資產被適當的分類 。 • 定義與定期審查存取限制與分類,考量可用的存取控制政策。 所有權可分配至: • 營運程序。 • 定義的一組活動。 • 應用系統。 • 定義的一組資料。
EXIT 資產管理 • 7.1 資產責任 • 7.1.3資產的可接受使用 • 控制:與資訊處理設施相關的資訊及資產,其可接受使用的規則宜予以識別、記錄、及實作 。 • 實作指引:所有受雇人員、承包商與第三方使用者宜遵循與資訊處理設施相關的資訊及資產可接受使用的規則,包括: • 電子郵件與網際網路使用 。 • 使用行動設備的指導綱要,特別是在組織邊界以外使用 。
EXIT 資產管理 • 7.2 資訊分類 • 目標:確保資產受到適當等級的保護 。 • 資訊宜分級,以指明在處理該資訊時,保護措施的需要與否,優先順序和預期程度。 • 資訊的敏感程度和重要程度各不相同,有些資訊需要加強保護等級或特殊處理,宜使用資訊分級系統界定合適的保護等級,並解釋所需的特殊處理方式。
EXIT 資產管理 • 7.2 資訊分類 • 7.2.1分類的指導綱要 • 控制:資訊宜以其對組織的價值、法律要求、敏感性、及重要性加以分類。 • 實作指引:資訊的分類與相關的保護控制措施宜考慮分享或限制資訊的營運需要,以及與該需要相關的營運衝擊 。 • 分類指導綱要宜依據預定的存取控制政策,包括起初的分類與隨時間改變的重新分級的慣例。 • 資產所有人宜負責定義資產的分類、定期審查、確保其隨時更新且在適當等級。分級宜考慮10.7.2節所提到的聚合效應。
EXIT 資產管理 • 7.2 資訊分類 • 7.2.2資訊標示與處理 • 控制:宜依照組織所採用的分類方案,發展與實作一套適當的資訊標示與處理的程序。 • 實作指引:資訊標示的程序需要涵蓋實體與電子格式的資訊資產。 • 各系統之輸出包含之資訊,經分級類屬於敏感或重要者,宜在輸出中附上適當的分類標示。標示宜反映根據7.2.1節中建立的分類規則。需要考慮的項目包括:列印報告、螢幕顯示、記錄的媒體(media)(磁帶、磁碟、CD)、電子訊息和檔案傳輸。 • 每一分級宜定義包括安全作業、儲存、傳輸、解除機密等級與銷毀等處理程序。也包括保管鏈與任何安全相關事件日誌的程序。 • 與其它組織包含資訊共享的協議宜包括識別該資訊分類的程序,與解釋由其它組織而來的分類標示。
EXIT 人力資源安全 • 8.1 聘雇之前 • 目標:確保受雇人員、承包商及第三方使用者了解其職責,適合所考慮的角色,降低設施的盜竊、詐欺或誤用風險 • 安全責任宜在聘雇之前提出充分的工作職掌及聘雇的條件與限制。 • 應徵的受雇人員、承包商及第三方使用者宜進行適當篩選,尤其是敏感性工作。 • 所有使用資訊處理設施的受雇人員、承包商及第三方使用者均宜簽署其安全角色與職責的協議。 • "聘雇"一字此處意指涵蓋下列所有不同的情況:聘雇人員(臨時或長期)、指派工作角色、簽定合約以及這些安排的終止。
EXIT 人力資源安全 • 8.1 聘雇之前 • 8.1.1角色與職責 • 控制:受雇人員、承包商及第三方使用者的安全角色與職責,宜依照組織的資訊安全政策定義與文件化。 • 實作指引: • 依據組織的資訊安全政策執行與行動 。 • 保護資產不受未經授權的存取、揭露、修改、毀滅或干擾。 • 執行特定的安全程序或活動 。 • 確保已指派責任給採取行動的個人 。 • 通報組織的安全事件或潛在的事件或其它安全風險。 • 安全角色與職責宜在雇用前的過程中事先定義且明確地傳達給工作的應徵者。
EXIT 人力資源安全 • 8.1 聘雇之前 • 8.1.2篩選 • 控制:宜依照相關法律、規章與倫理,並對照營運要求、將會存取的資訊分類、及所認知的風險,實施對受雇人員、承包商及第三方使用者所有應徵者的背景查證核對。 • 實作指引:查證核對宜考慮所有相關的隱私權、個人資料保護及聘雇法令依據等,若可行時,宜包括以下控制措施: • 是否有合格的推薦信,例如某企業及某人。 • 應徵者的學經歷核對(完整性與正確性) 。 • 查證應徵者學歷與專業資格。 • 獨立的身分核對(護照或類似文件)。 • 更詳細的核對,如信用核對或犯罪記錄核對。
EXIT 人力資源安全 • 8.1 聘雇之前 • 8.1.2篩選 • 若某職務,不論是初次聘雇或內升,涉及到可以存取資訊處理設施的人員,特別是處理敏感資訊(如財務資訊或非常機密的資訊),組織宜考慮更進一步、更詳細的核對。 • 宜定義查證核對的準則與限制程序,例如,何人有資格篩選人員,以及如何、何時與為何要執行查證核對。 • 對承包商和第三方使用者,亦宜執行篩選過程。如果這些員工是仲介公司介紹的, 在與仲介公司簽訂的合約中就應該明訂仲介公司的篩選責任,以及若仲介公司未完成篩選過程、或篩選結果有疑問時,仲介公司應遵循的通知程序。同樣的,與第三方的合約(另請參閱6.2.3節)宜明確規定所有的篩選責任與通知程序。 • 組織內所有職位應徵者的資訊宜以現有相關管轄區域的適用法律收集與處理。篩選活動宜依適用法律事先通知應徵者。
EXIT 人力資源安全 8.1 聘雇之前 8.1.3聘雇條件與限制 控制:受雇人員、承包商及第三方使用者宜將同意與簽訂其聘雇合約的聘雇條件與限制視為契約責任的一部份,聘雇合約宜陳述本身與組織對資訊安全之責。 實作指引:聘雇條件與限制宜反映組織的安全政策,並澄清與陳述: 可存取敏感資訊的所有受雇人員、承包商及第三方使用者宜在被給予存取資訊處理設施權限之前簽訂機密或保密協定。 受雇人員、承包商及其他使用者的法定責任與權利,例如關於著作權法或資料保護法。 受雇人員、承包商或第三方使用者所處理的資訊系統與服務,其相關組織資產的資訊分級與管理之責任。 受雇人員、承包商或第三方使用者處理所收到來自其它公司或外部團體的資訊之責任。 組織處理包括受雇於該組織期間或之後所產生的個人資訊在內的個人資訊之責任 。
EXIT 人力資源安全 8.1 聘雇之前 8.1.3聘雇條件與限制 延伸至組織邊界以外與正常工作時間以外(如在家工作)的責任 。 受雇人員、承包商或第三方使用者無視組織安全要求時採取的動作 。 組織宜確保受雇人員、承包商及第三方使用者同意關於資訊安全的條件與限制相稱於其將會取得存取權限的資訊系統和服務相關的組織資產之本質及程度 。 聘雇條件與限制的責任在結束雇用關係後宜持續一段預定的期間。
EXIT 人力資源安全 • 8.2 聘雇期間 • 目標:確保受雇人員、承包商及第三方使用者了解資訊安全的威脅與問題、本身的責任與義務、且有能力在日常工作中支持組織安全政策,降低人為錯誤的風險。 • 宜定義管理階層的責任以確保安全應用於組織內整個個人聘雇期間。 • 宜對所有受雇人員、承包商及第三方使用者提供適當等級之安全程序及資訊處理設施的正確使用的認知、教育與訓練,以將可能的安全風險降至最低。 • 宜制定正式的懲罰程序以處理安全破壞。
EXIT 人力資源安全 8.2 聘雇期間 8.2.1管理責任 控制:管理階層宜要求受雇人員、承包商及第三方使用者依照組織已制定的政策及程序應用安全。 實作指引:管理責任宜包括確保受雇人員、承包商及第三方使用者: 在被授權存取敏感的資訊或資訊系統前適當地簡要說明其資訊安全角色與職責 。 提供陳述在組織內對其角色的安全預期之指導綱要 。 被激勵以實現組織的安全政策 。 達到相關於其在組織內安全角色與職責的安全認知等級 。 符合聘雇條件與限制,包括組織安全政策與適當的工作方法 。 持續擁有適當的技巧與資格 。
EXIT 人力資源安全 • 8.2 聘雇期間 • 8.2.2資訊安全認知教育與訓練 • 控制:組織所有受雇人員及相關的承包商及第三方使用者宜接受與其工作功能相關,適當的認知訓練與組織政策及程序的定期更新。 • 實作指引: • 在授權存取資訊或服務前宜開始認知訓練,設計正式的教育程序以介紹組織的安全政策與期望。 • 不斷的訓練宜包括安全要求、法律責任和營運控制措施,以及資訊處理設施的正確使用訓練,例如登入程序、套裝軟體的使用與懲罰程序的資訊。
EXIT 人力資源安全 • 8.2 聘雇期間 • 8.2.3懲罰過程 • 控制:對違反安全的受雇人員,宜有正式的懲罰過程。 • 實作指引:未先確認違反安全發生前不宜開始懲罰過程。 • 正式的懲罰過程宜確保涉嫌從事違反安全的受雇人員得到正確、公平的處置。 • 正式的懲罰程序宜提供累進的反應,考慮違反與其對營運影響的本質與嚴重性、是否為初犯或累犯、違反者是否經過適當的訓練、相關法律、營運合約等因素與所需的其它因素。 • 嚴重的不當行為狀況下,宜允許立即移除職務、存取權限與特權,必要時立即陪同送出該場所。
EXIT 人力資源安全 • 8.3 聘雇終止或變更 • 目標:確保受雇人員、承包商及第三方使用者以有條理的方式退出組織或變更聘雇。 • 宜備有職責以管理受雇人員、承包商或第三方使用者的退出組織,並完成歸還設備與移除所有的存取權限。 • 對組織內的變更職責及聘雇。宜以與本節一致的方式管理相關職責及聘雇的結束,且任何新的聘雇宜以8.1節描述的方式管理。
