iT邦幫忙

2024 iThome 鐵人賽

DAY 23
0
Security

資訊安全管理系統制度白手起家系列 第 24

[Day 23] 人員控制措施

  • 分享至 

  • xImage
  •  

任何的管理制度的本質都是在控制人類的行為,即便是再好的管理制度,只要人這個因素沒有控制好,走鐘或失敗的機會就會很高,有再好的設備、再好的技術都一樣,人的決策經常會獨立於這些之外,而產生一些預期之外的行為,所以對人的管理會比對技術或實體的管理重要得多。

在ISMS裡面的人員控制措施是站在人這個因素對資訊安全所造成的風險而制訂的,組織除了一開始的創立時期外,人員的異動都會經由人力資源的過程,因此ISMS的控制措施是施加在人力資源過程之上,也就是由招募階段就開始了,乃至於聘用、任職過程之間的控制,最後在離職時應盡的責任義務等。人員控制措施 (People Controls) 共有8項,是全部ISMS附錄A的四大控制措施中最少的一種,一般都會與組織的人事制度或人力資源管理相扣。

組織在設計其組織結構與定義需要的人員能力時,由於人員可能會接觸到組織的敏感資訊或過程 (如財務會計、研發人員或中高階經理人),在人員的背景會有一定的要求,組織資產愈重要的愈要評估人員的能力 (尤其是非專業能力如法規、倫理意識、品格等),所以在篩選 (Screening) (A.6.1) 時就需要進行一些措施,例如背景查證、過往經驗稽核等,若人員需要一定程度的法遵要求 (例如需要指定的專業資格) 時,亦需要納入候選人員的評核之中,作為人員能力準則,運用於招募過程中。

人員能力準則要包含必要的資訊安全條件 (A.6.2),條件可能是:

  1. 專業能力要求。
  2. 經歷要求。
  3. 特定證照或受過特定訓練。

經過招募錄取的新人至組織報到時,首先要先簽署工作合約,在合約內除於組織內任職所應遵循的規則外,必須包含:

  1. 相關之資訊安全責任 (A.6.3),包含資訊安全事件通報 (A.6.8)。
  2. 獎懲條款 (A.6.4)。
  3. 保密相關條款或約定 (A.6.6)。

其中保密條款又稱為保密切結或保密聲明,亦即簽署人已對組織之秘密保護事宜有所理解並同意遵守,以確保組織敏感資訊、營業秘密受到保障;保密條款基本上都是依相關法規 (如著作權法、專利法、營業秘密法等) 制訂相關之義務,但保密條款必須要載明:

  1. 人員的保密義務。
  2. 保密義務解除的條件。
  3. 即使人員因職務異動或離職,保密條款仍然有效。

另外,即便人員已簽署保密條款,組織仍然要對需保護的敏感資訊施加其他控制措施,畢竟人是會犯錯的,無法完全避免因人員的失誤 (無心的) 造成的資料外洩,所以不能因為人員有簽保密條款就可以免除組織的其他責任;同樣的,為了要讓人員對自己應落實的資安事項有其認知 (Awareness),組織應該定期施予教育訓練,以建立人員的風險意識以及了解其應落實的作業。

教育訓練 (A.6.3) 可依照主題對全員或特定的部門、職務或團隊執行,依照組織的資訊安全政策及目標,規劃ISMS週期內要施予訓練的主題、時數、訓練資源等,並依計畫進行教育訓練,這時要注意的是要準備以下三種記錄,以作為教育訓練的有效性證明:

  1. 人員受訓的記錄 (如簽到表)
  2. 人員受訓的內容 (要與ISMS或資訊安全相關)
  3. 人員受訓的評量方式 (課後測驗或是其他證明訓練成效的方法)

為了要讓人員對資訊安全責任的重視,組織要訂定相關的獎懲條款 (A.6.4),因人員故意或過失而發生資訊安全事故時,組織需依照事故的程度施予懲處,並可將懲處的結果作為案例宣教以提示組織人員相關責任的重要性;當然若人員因察覺異常或潛在因子提報而有效預防事故發生或緩和事故的損害時,組織亦應當給予獎勵。

當人員職務發生異動 (工作輪調、調職、派任或離職) 時,組織需要安排一系列的活動,對人員現職及未來職務進行檢視,包含應移除或給予的權限 (如帳戶停用)、相關資訊的交接以及確認保密事項等,異動的過程也應留存記錄備查。

近年來因COVID-19疫情所快速發展的遠端工作 (Remote Work) 對組織的資訊安全是一項較大的挑戰,除了工作流程的變化外,遠端工作所需的IT資源的保護也是重要議題,包含組織如何提供在組織外部場域工作的人員必要的資源、遠距溝通 (如遠距會議、遠距報告等) 時所使用的IT工具與溝通過程中資料的保護、交付遠距工作成果的保護等等,因此在ISO 27001:2022中特別將遠端工作納入控制措施內 (A.6.7),組織要對遠端工作範疇進行規劃、制度建構以及施行,以有效控制遠端工作的活動。

最後,組織需依照A.5.24所制訂的資訊安全事故管理制度,要求人員落實日常的資訊安全事件通報 (A.6.8),以利組織及時對事件或事故進行應變與處理,以預防、降低或延緩事件或事故對組織所造成的影響。


上一篇
[Day 22] 組織控制措施
下一篇
[Day 24] 實體控制措施
系列文
資訊安全管理系統制度白手起家32
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言