6.4 人員安全（PS）

6.4.1　人員安全的方針策略及規程（PS-1）

本項要求包括：

a) 應制定并發布人員安全的方針策略，內容至少應包括：目的、范圍、角色、責任、管理層承諾、相關部門的協調、合規性；

b) 應制定并發布人員安全的規程，以推動人員安全的方針策略及與相關安全控制的實施；

c) 應定期對人員安全的方針策略及規程進行評審和更新。

6.4.2　崗位風險（PS-2）

本項要求包括：

a) 應建立ICS崗位分類機制；

b) 應評估ICS所有崗位的風險；

c) 應建立人員審查制度，尤其對控制和管理ICS的關鍵崗位的人員進行審查；

d) 應定期對崗位風險進行評審和更新。

6.4.3　人員審查（PS-3）

本項要求包括：

a) 應在授權訪問ICS之前進行人員審查；

b) 應在人員離職或崗位調動時對其進行審查；

c) 組織應確保每個訪問涉及組織秘密信息處理、存儲或傳輸ICS的用戶，按該ICS最高信息秘密等級進行人員審查，并對訪問人員進行了相應的保密教育；

d) 組織確保每個訪問涉及敏感信息處理、存儲或傳輸ICS的用戶，按該系統敏感信息的最高秘密等級進行人員審查，并對訪問人員進行了相應的保密教育。

6.4.4　人員離職（PS-4）

本項要求包括：

a) 應終止離職人員對ICS系統的訪問權限；

b) 應刪除與離職人員相關的任何身份鑒別信息；

c) 應與離職人員簽訂安全保密協議；

d) 應收回離職人員所有與安全相關的系統的相關所有權；

e) 應確保離職人員移交信息和ICS的可用性。

6.4.5　人員調動（PS-5）

本項要求包括：

a) 應在人員調動至其他崗位時，評審該人員對ICS的邏輯和物理訪問權限并根據評審結果調整訪問權限。

6.4.6　訪問協議（PS-6）

本項要求包括：

a) 應制定ICS的訪問協議并形成文件；

b) 應定期評審并更新訪問協議；

c) 應確保在人員授權訪問ICS之前與其簽訂訪問協議，并在訪問協議更新或到期后重新簽訂；

d) 組織應確保特殊保護措施ICS的訪問，僅授權給：

1) 具有有效訪問授權的人；

2) 滿足相關人員安全準則的人。

e) 組織應確保特殊保護措施的秘密信息的訪問，僅授權給：

    1) 具有有效訪問授權的人；

    2) 滿足相關的、符合可用的法律的人員安全準則的人；

    3) 已閱讀、理解已簽署保密協議的人。

6.4.7　第三方人員安全（PS-7）

本項要求包括：

a) 應為第三方提供商建立包含安全角色和責任的人員安全要求，并形成文件；

b) 第三方提供商應遵守已制定的人員安全方針策略和規程；

c) 應要求第三方提供商在任何人員調動或離職時予以告知；

d) 應監視第三方提供商的合規性。

6.4.8　人員處罰（PS-8）

本項要求包括：

a) 應對違反信息安全方針策略和規程的人員建立違規處罰制度。