Bezpečnost lidských zdrojů
A.8.1 Před vznikem pracovního vztahu8
Cíl: Zajistit, aby zaměstnanci, smluvní a třetí strany byli srozuměni se svými povinnostmi, aby pro
jednotlivé role byli vybráni vhodní kandidáti a snížit riziko lidské chyby, krádeže, podvodu nebo zneužití
prostředků organizace.
A.8.1.1 Role a odpovědnosti Opatření
Role a odpovědnosti zaměstnanců, smluvních a třetích
stran v oblasti bezpečnosti informací by měly být
stanoveny a zdokumentovány v souladu
s bezpečnostní politikou organizace.
A.8.1.2 Prověrka Opatření
Všichni uchazeči o zaměstnání, smluvní a třetí strany by
měly být prověřeni dle platných zákonů, předpisů a
v souladu s etikou. Prověření by měla být prováděna na
základě požadavků stanovených organizací, dále
s ohledem na klasifikaci informací, ke kterým by měli
získat přístup, ale také z hlediska jejich spolehlivosti9 a
potenciálních rizik.
7 Pojmem „vlastník“ je myšlen jedinec nebo entita, který má vedením organizace přidělenou odpovědnost za výrobu,
vývoj, údržbu, použití a bezpečnost aktiv. Pojmem „vlastník“ není myšleno skutečné vlastnictví aktiva.
8 Pracovním vztahem je myšleno: zaměstnání lidí (pracovní poměr na dobu určitou nebo neurčitou), přidělení pracovní
role, změna pracovní role, dohoda o pracovní činnosti, dohoda o provedení práce a nebo ukončení jakéhokoliv z těchto
vazeb.
9 V případech, které se týkají ochrany utajovaných skutečností, tj. v případech stanovených zákonem, musí mít
odpovídající prověrku.
A.8.1.3 Podmínky výkonu pracovní
činnosti
A.8.2 Během pracovního vztahu
Opatření
Pracovní smlouvy uzavřené se zaměstnanci, smluvními a
třetími stranami by měly obsahovat ustanovení o jejich
odpovědnostech za bezpečnost informací.
Cíl: Zajistit, aby si zaměstnanci, smluvní a třetí strany byli vědomi bezpečnostních hrozeb a problémů
s nimi spjatých, svých odpovědností a povinností a byli připraveni podílet se na dodržování politiky
bezpečnosti informací během své běžné práce a na snižování rizika lidské chyby.
A.8.2.1 Odpovědnosti vedoucích
zaměstnanců
A.8.2.2 Povědomí, vzdělávání a
školení v oblasti
bezpečnosti informací
Opatření
Vedoucí zaměstnanci by měly po uživatelích, smluvních
a třetích stranách, požadovat dodržování bezpečnosti
v souladu se zavedenými politikami a směrnicemi.
Opatření
Všichni zaměstnanci organizace, a je-li to důležité
i pracovníci smluvních a třetích stran, by měli s ohledem
na svoji pracovní náplň, projít odpovídajícím a
pravidelně se opakujícím školením v oblasti bezpečnosti
informací, bezpečnostní politiky a směrnicím
organizace.
A.8.2.3 Disciplinární řízení Opatření
Mělo by existovat formalizované disciplinární řízení vůči
zaměstnancům, kteří se dopustili narušení bezpečnosti.
A.8.3 Ukončení nebo změna pracovního vztahu
Cíl: Zajistit, aby ukončení nebo změna pracovního vztahu zaměstnanců, smluvních a třetích stran
proběhla řádným způsobem.
A.8.3.1 Odpovědnosti za ukončení
pracovního vztahu
A.8.3.2 Navrácení zapůjčených
předmětů
Opatření
Měly by být jasně definovány a přiděleny odpovědnosti
pro případ ukončení nebo změny pracovního vztahu.
Opatření
Při ukončení pracovního vztahu by měli zaměstnanci,
pracovníci smluvních a třetích stran odevzdat veškeré
jim svěřené předměty, které jsou majetkem organizace.
A.8.3.3 Odebrání přístupových práv Opatření
Při ukončení pracovního vztahu by měla být uživatelům,
smluvním a třetím stranám odejmuta nebo pozměněna
přístupová práva k informacím a zařízení pro
zpracování informací.