ISMS体系人员安全控制.docVIP

中国3000万经理人首选培训网站 更多免费资料下载请进： 好好学习社区 ISMS体系人员安全控制 岗位定义和资源分配的安全 目标：降低人为错误、盗窃、诈骗或误用设备的风险。 应该在新员工聘用阶段就提出安全责任问题，包括在聘用合同中，并且在员工的雇佣期间进行监督。 应该对可能的新员工进行充分的筛选，尤其是从事敏感工作的员工。所有雇员以及信息处理设施的第三方用户都应该签署保密（不泄密）协议。 1. 岗位责任中的安全 安全任务和责任，如同在组织的信息安全方针中规定的（见3.1），应该在适当的情况下形成文件。这些任务和责任既应该包括实现或保持安全方针的任何一般责任，又应该包括保护特定资产或执行特定的安全过程或活动的任何具体责任。 2. 人员选拔及方针 对终身员工的核实检查应该在招聘时进行。这应该包括以下控制措施： 具有令人满意的能力、人品推荐材料，如针对工作或针对个人的； 应聘者相关阅历的检查（针对完整性和准确性）； 声称的学术或专业资格的确认； 独立的身份检查（护照或类似证件）。 无论是初次任命还是提升，当一项工作涉及的人员具有访问信息处理设备的机会，特别是如果这些设备处理敏感信息，如财务信息或高度机密的信息时，组织应该同样进行信用检查。对于处在有相当权力位置的人员，这种检查应该定期重复。 对于合同方和临时员工应该执行相似的筛选程序。若这些人员是由代理机构推荐的，则在与代理机构签订的合同中应该明确规定该代理机构的筛选责任，以及如果没有完成筛选工作或者如果有理由对筛选结果怀疑或担心，它们必须遵循的通知程序。 管理层应该对有权访问敏感系统的新员工和缺乏经验的员工的监督工作进行评价。每一名员工的工作都应该定期经过一名更高层职员的评审和批准程序。 各经理应该意识到员工的个人环境可以影响他们的工作。个人或财政问题、行为或生活方式的改变、重复的缺勤以及压力或抑郁可能导致欺诈、偷窃、错误或其他安全隐患。应该依据相应权限范围内适当的规定来处理这类信息。 3. 保密协议 保密或不泄密协议用于告知信息是保密的或秘密的。雇员通常应该签署此类协议作为他们受雇的先决条件。 应该要求现存合同（含保密协议）尚未包括的临时员工和第三方用户在被给予信息处理设备访问权之前签署一个保密协议。 在雇用条款或合同发生变化时，特别是员工要离开组织或合同将到期时，应该对保密协议进行评审。 4. 雇佣条款和条件 雇佣条款和条件应该阐明雇员对信息安全的责任。适当时，在雇佣结束后，这些责任应该继续一定的时间。应该包括如果雇员无视安全要求时所采取的行动。 雇员的法律责任和权利，如涉及到的版权法或数据保护法，应该阐明并包括在雇佣条款和条件中。还应该包括分类和管理雇主数据的责任。只要适当，雇佣条款和条件应该说明这些责任是延伸到组织范围以外和正常工作时间以外，例如在家工作时。 用户培训 目标：确保用户意识到信息安全的威胁和利害关系，并具有在日常工作过程中支持组织安全方针的能力。 应对用户进行安全程序和正确使用信息处理设备的培训，以尽量降低可能的安全风险。 1. 信息安全教育和培训 组织中所用员工以及相关的第三方用户，应该接受适当的培训并且根据组织方针和程序的变化定期再培训。这包括安全要求、法律责任和商业控制措施，还包括在被授权访问信息或服务之前正确使用信息处理设备，如登录程序、软件包的使用的培训。  ISO27001信息安全管理标准理解及内审员培训 培训热线：075525936264 李小姐  客服QQ：1484093445、675978375   ISO27001信息安全管理标准理解及内审员培训    下载报名表   内训调查表 【课程描述】 ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 【课程帮助】 如果你想对本课程有更深入的了解，请参考 德信诚ISO27001内审员相关资料手册 【课程对象】 信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 【课程大纲】 第一部分：ISO27001：2005信息安全概述、标准条款讲解◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。◆ 风险评估与管理：风险管理要素，过程，定