Bezpečnost lidských zdrojů

A.8.1 Před vznikem pracovního vztahu8

Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro

jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití

prostředků organizace.

A.8.1.1 Role a odpovědnosti Opatření

Role a odpovědnosti zaměstnanců, smluvních a třetích

stran v oblasti bezpečnosti informací by měly být

stanoveny a zdokumentovány v souladu

s bezpečnostní politikou organizace.

A.8.1.2 Prověrka Opatření

Všichni uchazeči o zaměstnání, smluvní a třetí strany by

měly být prověřeni dle platných zákonů, předpisů a

v souladu s etikou. Prověření by měla být prováděna na

základě požadavků stanovených organizací, dále

s ohledem na klasifikaci informací, ke kterým by měli

získat přístup, ale také z hlediska jejich spolehlivosti9 a

potenciálních rizik.

7 Pojmem „vlastník“ je myšlen jedinec nebo entita, který má vedením organizace přidělenou odpovědnost za výrobu,

vývoj, údržbu, použití a bezpečnost aktiv. Pojmem „vlastník“ není myšleno skutečné vlastnictví aktiva.

8 Pracovním vztahem je myšleno: zaměstnání lidí (pracovní poměr na dobu určitou nebo neurčitou), přidělení pracovní

role, změna pracovní role, dohoda o pracovní činnosti, dohoda o provedení práce a nebo ukončení jakéhokoliv z těchto

vazeb.

9 V případech, které se týkají ochrany utajovaných skutečností, tj. v případech stanovených zákonem, musí mít

odpovídající prověrku.

A.8.1.3 Podmínky výkonu pracovní

činnosti

A.8.2 Během pracovního vztahu

Opatření

Pracovní smlouvy uzavřené se zaměstnanci, smluvními a

třetími stranami by měly obsahovat ustanovení o jejich

odpovědnostech za bezpečnost informací.

Cíl: Zajistit, aby si zaměstnanci, smluvní a třetí strany byli vědomi bezpečnostních hrozeb a problémů

s nimi spjatých, svých odpovědností a povinností a byli připraveni podílet se na dodržování politiky

bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby.

A.8.2.1 Odpovědnosti vedoucích

zaměstnanců

A.8.2.2 Povědomí, vzdělávání a

školení v oblasti

bezpečnosti informací

Opatření

Vedoucí zaměstnanci by měly po uživatelích, smluvních

a třetích stranách, požadovat dodržování bezpečnosti

v souladu se zavedenými politikami a směrnicemi.

Opatření

Všichni zaměstnanci organizace, a je-li to důležité

i pracovníci smluvních a třetích stran, by měli s ohledem

na svoji pracovní náplň, projít odpovídajícím a

pravidelně se opakujícím školením v oblasti bezpečnosti

informací, bezpečnostní politiky a směrnicím

organizace.

A.8.2.3 Disciplinární řízení Opatření

Mělo by existovat formalizované disciplinární řízení vůči

zaměstnancům, kteří se dopustili narušení bezpečnosti.

A.8.3 Ukončení nebo změna pracovního vztahu

Cíl: Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran

proběhla řádným způsobem.

A.8.3.1 Odpovědnosti za ukončení

pracovního vztahu

A.8.3.2 Navrácení zapůjčených

předmětů

Opatření

Měly by být jasně definovány a přiděleny odpovědnosti

pro případ ukončení nebo změny pracovního vztahu.

Opatření

Při ukončení pracovního vztahu by měli zaměstnanci,

pracovníci smluvních a třetích stran odevzdat veškeré

jim svěřené předměty, které jsou majetkem organizace.

A.8.3.3 Odebrání přístupových práv Opatření

Při ukončení pracovního vztahu by měla být uživatelům,

smluvním a třetím stranám odejmuta nebo pozměněna

přístupová práva k informacím a zařízení pro

zpracování informací.