5.2.3  人力資源安全

人力資源安全包含3個控制目標6個控制措施。

　　在相關(guān)的隱私、個人數(shù)據(jù)保護和／或與任用相關(guān)的法律允許下，要對所有任用的候選者與承包商委派的人員的背景進行核驗，包括個人資料、個人履歷、學術(shù)和專業(yè)資質(zhì)、個人身份核查，以及其他如信用卡核查或犯罪記錄核查。未能通過審查或未能提供相關(guān)證明資料的人員不能夠使用組織信息系統(tǒng)。

對于特定的信息安全崗位（例如系統(tǒng)管理員、安全管理員、日志審計員等），還要確定該候選人具備執(zhí)行該安全角色所必須的能力，并且擔當該角色時是可被信任的，尤其該角色對組織而言至關(guān)重要時。必要時可以開展針對性的任前考核，必須在考核通過后才臺皂夠擔任相關(guān)崗位。不應由承包商委派人員擔任以上崗位。

在任用前與候選者或承包商委派人員簽訂的合同協(xié)議中應該有專門的條款和條件要反映組織的安全方針，包括關(guān)于保密性、數(shù)據(jù)保護、道德規(guī)范、組織設備和設施的適當使用以及組織期望的信譽良好的實踐等。對于擬擔任特定信息安全崗位的候選人在任用之前，要和候選人交流信息安全角色和職責相關(guān)信息并留存取得一致認識的正式文件，例如承諾書、任務書等。