9.3 人員聘用時的管理（MPS_DEM）

9.3.1　安全保障管理目的

應確保員工、合約方和第三方用戶意識到信息安全的威脅與他們的職責有關，并在正常工作過程中按照組織機構的安全策略以減少人為風險。
管理職責應確保安全應用貫穿于組織結構的整個雇傭過程中。
所有組織機構的員工、合約方和第三方用戶，都要接受適當的培訓和教育，及注意組織機構的安全流程和信息處理的風險。建立正式的破壞安全處罰過程。

9.3.2　MPS_DEM.1管理層職責

9.3.2.1　管理保障控制組件控制

管理層應要求員工、合約方和第三方用戶應用安全以符合所建立的組織機構的策略和流程。

9.3.2.2　管理保障控制組件注解

管理層職責應包括確保員工、合約方和第三方用戶：
a) 應事先明確員工在準予進入機要信息系統或存取敏感信息時擔當的角色和職責；
b) 組織機構內部在安排員工的安全期望時應提供指南；
c) 主動履行組織機構的安全策略；
d) 達到組織機構內與自己崗位相關的安全意識水平；
e) 工作期限應與雇用情形相一致，包括組織機構的安全策略和合適的工作方法；
f) 繼續擁有適當的技能和資格。

9.3.3　MPS_DEM.2處罰過程

9.3.3.1　管理保障控制組件控制

應有一個正式的處罰程序，對那些違反組織機構安全策略及程序的員工進行處罰。

9.3.3.2　管理保障控制組件注解

在沒有明確發生了安全破壞是不應執行處罰過程。改為:
在沒有明確發生了安全破壞時，不應執行處罰過程。
這些處罰過程確保了公平公正的處置那些被懷疑或蓄意對安全造成嚴重破壞的員工。正常的處罰過程應規定事件發生后考慮到的像自然和地球引力的因素給商務帶來的影響，無論這是首次或重復的攻擊，無論攻擊者受過何種訓練，相關的立法，商務協議和其它因素。對嚴重的明知故犯的程序應立即免去其職責，訪問權限和和特權，并有必要立即送出場地。