7.1 任用前

7.1 任用前

7.1.1審查

控制
宜按照相關法律法規和道德規范，對所有任用候選者的背景進行驗證核查，并與業務要求、訪問信息的等級和察覺的風險相適宜。
實現指南
驗證宜考慮所有相關的隱私、個人身份信息的保護以及與任用相關的法律，且允許時，宜包括以下內容：
a) 有效的可接受的推薦材料（例如，企業出具和個人出具的文字材料）；
b) 申請人履歷的驗證（針對該履歷的完備性和準確性）；
c) 聲稱的學歷、專業資質的證實；
d) 獨立的個人身份驗證（護照或類似文件）；
e) 更多細節的驗證，例如信用核查或犯罪記錄核查。
當組織聘用人員擔任一個特定的信息安全角色時，組織宜確認該候選人，是否：
a) 具有執行該安全角色所必須的能力；
b) 可被信任擔任該角色，特別是當該角色對組織是十分重要的。
當為一項工作所初始任命的或晉升的人員有權訪問信息處理設施，特別是如果該設施正在處理保密信息，例如，財務信息或高度保密的信息，該組織也宜考慮進一步的、更詳細的驗證。
宜有規程確定驗證評審的準則和限制，例如誰有資格審查人員，以及如何、何時、為什么執行驗證評審。
宜確保對合同方人員審查的過程。在這種情況下，組織和合同方的協議宜規定執行審查的責任，以及當審查未完成或審查結果引起懷疑或關注時，需遵守的通告規程。

7.1.2任用條款及條件

控制
宜在員工和合同方的合同協議中聲明他們和組織對信息安全的責任。
實現指南
員工或合同方的合同義務宜反映組織的信息安全策略，并澄清和聲明：
a) 所有訪問保密信息的員工和合同方人員宜在給予訪問信息處理設施權限之前簽署保密或不泄露協議（見13.2.4）；
b) 員工、合同方的法律責任和權利，例如關于版權法、數據保護法（見18.1.2和18.1.4）；
c) 信息分級的責任，以及對與由員工或合同方處理的信息、信息處理設施和信息服務有關的其他資產進行管理的責任（見第8章）；
d) 雇員或合同方處理來自其他公司或外部方的信息的責任；
e) 雇員或合同方漠視組織的安全要求所要采取的措施（見7.2.3）。
在任用之前，宜和候選人交流信息安全角色和責任相關信息。
組織宜確保員工和合同方同意與信息安全相關的條款和條件，這些條款和條件與他們對信息系統和服務相關組織資產進行訪問的類型和范圍相適宜。
若適用，包含于任用條款和條件中的責任宜在任用結束后延續一段規定的時間（見7.3）。
其他信息