9.1 人員安全策略和流程（MPS_PPP）

人員安全是信息安全管理的基礎。應建立人員安全策略和流程，對組織機構的聘用人員在聘用前、聘用中和聘用后這三個階段進行安全管理，明確人員的崗位和職責，對新聘用人員進行審查并簽訂聘用條款，建立聘用考核制度，當人員聘用終止時及時終止其各項服務。加強人員的安全意識培訓和教育，使信息安全融至組織機構的整個環境和文化中，信息安全才能真正滿足安全策略和風險管理的要求，實現保障組織機構資產和使命的最終目的。

人員安全管理保障控制類的目的是建立完善的人員安全管理體系，減少有意、無意的內部威脅，確保組織機構順利完成系統使命。

圖7描述了人員安全管理保障控制類的組成結構。
。

9.1　人員安全策略和流程（MPS_PPP）

9.1.1　安全保障管理目的

組織機構應建立完善的人員安全管理體系，以合理管理組織機構系統內部的相關人員。
人員安全策略和流程是組織機構信息安全策略體系的組成部分，組織機構應制定、批準、發布、實施和審核人員安全的策略方針、制度規范與程序指南以及第三層表單和程序文件。
人員安全策略應是一組法律、法規和措施的總合，是對聘用人員管理規則的正式描述，是組織機構內所有人員都必須遵守的規則，它包括人員聘用前、人員聘用時、人員聘用終止和人事變更時的管理，以及相應的安全意識、培訓和教育。

9.1.2　MPS_PPP.1 人員安全策略和流程

9.1.2.1　管理保障控制組件控制

組織機構應開發、分發和定期審核/更新：（i）一份正式的、文檔化的人員安全策略方針，包括目的、范圍、角色、職責和符合性；（ii）正式、文檔化的制度規范和程序指南以幫助實施人員安全策略和相關的人員安全控制；（iii）正式、文檔化的表單文件和過程幫助記錄并明確信息安全管理與運行的過程實施步驟、內容、結果。

9.1.2.2　管理保障控制組件注解

人員安全策略和流程應符合可適用的法律、指令、策略、規范、標準和指南。人員安全策略應作為組織機構信息安全策略的一部分. 可根據需要，為信息安全規程整體或為某個特定系統來編制人員安全流程。
在編制具體的策略方針、制度規范與程序指南以及第三層表單和過程記錄時，參考信息安全策略體系（MSP）管理保障控制類的具體描述和要求。