[Day19]ISO 27001 附录 A.7 人力资源安全

欸不是，我在验证资讯管理系统，跟人力资源有关系吗？

当然有关系啦！
由於【人】就是公司最重要的资产，当然应该将人力列入资源中，
而且在人员异动时，都会有相应的程序及能力的评估，所以当然也有相关要求。

A.7 人力资源安全

A.7.1 聘用前

目标：确保员工及承包者了解其将承担之责任，且适任其角色。

A.7.1.1 筛选

对所有可能被聘用者所进行之背景调查，应依相关法律、法规及伦理，并应相称於营运要求及其将存取之资讯的保密等级及组织所察觉之风险聘用。

• 到职前资格筛选：学历、经历
• 到职前面试记录
• 到职前徵信

A.7.1.2 聘用条款及条件

组织与员工及承包者签订之契约化协议书，应叙明双方对资讯安全的责任。

• 聘雇契约、契约进用人员契约书
• 背景徵信、良民证、保证人、推荐函
• 厂商合约

A.7.2 聘用期间

目标：确保员工及承包者认知并履行其资讯安全责任。

• 员工及厂商保密切结书
• 员工及厂商智财权归属

7.2.1 管理阶层责任

管理阶层应要求所有员工及承包者，依组织所建立政策及程序施行资讯安全事宜。

• 是否人力资源相关之资安政策有推行实施即可

A.7.2.2 资讯安全认知、教育及训练

组织所有员工及相关之承包者，均应接受与其工作职能相关的组织政策及程序之适切认知、教育及训练，并定期更
新。

• 教育训练实施的方式及有效量测的方式
• 资讯安全教育训练记录
• 考取资讯安全相关认证
  如果法规或客户有特别要求，则会要会一定的时数，例如：资通安全法

A.7.2.3 惩处过程

应具备正式及已传达之惩处过程，以对违反资讯安全之员工采取行动。

• 惩处公告及记录
• 或是确认有相关的惩处流程公告
  这项话题比较敏感啦，如果客户近期有资安事件才会进一步讨论相关惩处

A.7.3 聘用之终止及变更

目标：将保护组织利益纳入聘用变更或终止聘用过程之一部分。

A.7.3.1 聘用责任之终止或变更

应对员工及承包者定义、传达於聘用终止或变更後，资讯安全责任及义务仍保持有效，并执行之。

• 人员离职是否有交接程序
• 人员离职时停用权限
• 厂商驻点工程师离职时，应缴回进出识别证

参考文献

国家标准(CNS)网路服务系统：https://www.cnsonline.com.tw/

恐怖游戏推荐：

纸人

《纸人》是一款以东方文化为背景的第一人称恐怖冒险解谜游戏。患有抑郁症的杨明远驾车途中突遭车祸，与女儿失散，醒来时却发现置身一座荒废的清末古宅之中。为了寻找女儿，为了逃出这里，却发现这个幽暗阴森的百年古宅背後隐藏着不为人知的恐怖真相。

卡关了，後来直接看直播了 =_________="