5.2.3  人力資源安全

人力資源安全包含3個控制目標6個控制措施。

　　在相關的隱私、個人數據保護和／或與任用相關的法律允許下，要對所有任用的候選者與承包商委派的人員的背景進行核驗，包括個人資料、個人履歷、學術和專業資質、個人身份核查，以及其他如信用卡核查或犯罪記錄核查。未能通過審查或未能提供相關證明資料的人員不能夠使用組織信息系統。

對于特定的信息安全崗位（例如系統管理員、安全管理員、日志審計員等），還要確定該候選人具備執行該安全角色所必須的能力，并且擔當該角色時是可被信任的，尤其該角色對組織而言至關重要時。必要時可以開展針對性的任前考核，必須在考核通過后才臺皂夠擔任相關崗位。不應由承包商委派人員擔任以上崗位。

在任用前與候選者或承包商委派人員簽訂的合同協議中應該有專門的條款和條件要反映組織的安全方針，包括關于保密性、數據保護、道德規范、組織設備和設施的適當使用以及組織期望的信譽良好的實踐等。對于擬擔任特定信息安全崗位的候選人在任用之前，要和候選人交流信息安全角色和職責相關信息并留存取得一致認識的正式文件，例如承諾書、任務書等。