9.2 人員聘用前的管理（MPS_PEM）

9.2.1　安全保障管理目的

確保員工、合約方和第三方用戶理解其職責并與他們的角色相匹配，以降低偷竊、欺騙或誤用工具的風險。雇傭者的工作期間的工作描述和狀況應提前記錄在案。
應和信息處理設施的員工、合約方和第三方用戶明確其安全角色、職責，簽署協議。

9.2.2　MPS_PEM.1崗位和職責

9.2.2.1　管理保障控制組件控制

員工、合約方和第三方用戶的安全角色和職責的定義和存檔應與組織機構的信息安全策略相一致。

9.2.2.2　管理保障控制組件注解

安全角色和職責應包含對下列內容的要求：
a) 執行和操作應與組織機構的信息安全策略相一致；
b) 保護資產免受非授權的訪問、暴露、修改、破壞或干擾；
c) 執行特定的安全過程或活動；
d) 確保安全職責被分配到個人；
e) 向組織報告安全事件或潛在安全事件或其它安全風險。
在聘用前過程時，應定義安全角色和職責并同應聘者進行清晰地溝通。

9.2.3　MPS_PEM.2 人員審查

9.2.3.1　管理保障控制組件控制

應根據相關的法律、法規和道德以及業務的需求、要訪問信息的類別以及所認識到的風險，來對所有應聘人員、合約方和第三方用戶進行背景驗證檢查。

9.2.3.2　管理保障控制組件注解

驗證檢查應考慮所有相關的隱私、個人數據的保護和/或基于法律的招聘，并且應，在允許的情況下，包含下列內容：
a) 要有滿意的推薦人，例如，一個業務上行為的推薦，一個關于個人品德的推薦；
b) 檢查應聘人員的簡歷（是否完整和準確）；
c) 確認有沒有考取所稱述的學歷及職業資格；
d) 獨立的身份檢查（護照或其它文件）；
e) 更多的細節檢查，例如誠信問題和犯罪紀錄。
如果某崗位（第一次職位分派或升職）需要某人進入信息處理設備，特別是要處理敏感信息（例如財務信息或特別機要信息），組織機構應進一步檢查更多的細節信息。
應為確認檢查的流程定義標準和限制（誰可以合法檢查并于何時何因如何進行驗證檢查）
應對承包人和第三方用戶執行審查過程。如果承包人是通過中介機構介紹的，在與中介機構的合同中應明確定義中介機構的審查職責，當沒有進行審查或是審查結果給出了令人質疑理由時應定義中介機構需遵循的通告流程。同樣的，同第三方的協議應明確定義各自的職責和通告審查的流程。
當組織機構考慮內部崗位的候選人時，在搜集和處理人員信息時應符合法律規定的權限。在執行審查活動之前，應通知候選人。

9.2.4　MPS_PEM.3 人員聘用條款

9.2.4.1　管理保障控制組件控制

雇傭條款中應說明員工信息安全的責任。如適當，這些責任應在雇傭期滿后持續一段時間，還應包括員工如果不領會安全要求所要采取的行動。

9.2.4.2　管理保障控制組件注解

聘用條款應反映組織機構的安全策略并說明情形：
a) 所有員工、合約方和第三方用戶在對信息處理設施的敏感信息進行存取時，應事先標識信息的機密性或簽署保密協議；
b) 雇員的，承包者的和任何其它用戶的合法責任和權力，例如，關于版權保護和數據保護立法；
c) 信息責任的分配和組織機構資產的管理關系到信息系統和員工、承包人和第三方用戶的服務；
d) 員工、合約方或第三方用戶在接收其它公司或外部信息時的處理的職責；
e) 組織機構在處理個人信息時的職責，包括組織機構雇傭過程中或最終的信息；
f) 應定義在組織外面辦公的前提和職責，以及正常的外部工作時間，例如在家工作；
g) 若員工、合約方或第三方用戶忽略了組織機構的安全要求后應采取的措施。
組織機構應確保員工、合約方和第三方用戶對合約中關于訪問權限的信息安全條款達成一致意見，這些訪問權限是他們訪問組織機構中與信息系統和信息服務相關的資產所需的訪問權限。
在可能的情況下，聘用條款中還應包含預先定義的雇傭之后的職責。