| 要求 | 應在人員入職前及後續定期進行背景驗證核查,並考量適用法律、法規與道德規範,且需與業務需求、所存取資訊的分類及感知風險相稱。 |
| 說明 | 此控制措施旨在檢視新進人員是否值得信賴且適任。其包含入職前的背景審查與持續性核查,並在法律與風險間取得平衡,以避免聘用可能危害資料安全的人員。 |
| 範例 | 一家公司在聘用簿記員前,會核實其履歷、推薦信與犯罪紀錄,以確保其能安全處理財務資料。 |
答: 應在人員入職前及後續定期進行,特別是針對關鍵職位。
答: 推薦信、履歷準確性、資格、身分,以及針對敏感職位可能需要的信用或犯罪紀錄核查。
答: 應在與供應商的合約中納入審查要求。
| 要求 | 聘用合約協議應載明人員與組織對於資訊安全的責任。 |
| 說明 | 工作合約應清楚列出員工與公司的安全職責,以確保所有人從第一天起就清楚如何保護資訊安全。 |
| 範例 | 新員工的合約中包含不分享密碼及遺失設備需通報等規定,並在開始工作前簽署。 |
答: 保密協議、法律責任、資產處理,以及違反安全要求時的處置措施。
答: 在聘僱前的過程中。
答: 依條款與條件所載,持續一段特定時間。
| 要求 | 組織的人員及相關利害關係人應接受適當的資訊安全意識、教育與訓練,並定期更新組織的資訊安全政策、特定主題政策及程序,以符合其職務功能所需。 |
| 說明 | 所有人員都需要接受安全規則的訓練,以避免錯誤。這包含定期課程與更新,使員工能依其職責保護資料。 |
| 範例 | 一家商店每月發送電子郵件並進行測驗,教導員工如何識別網路釣魚,協助他們避免在處理客戶郵件時受騙。 |
答: 應定期進行,並為新進人員或職務變更者提供初始訓練。
答: 管理階層的承諾、合規要求、個人責任歸屬、基本程序,以及諮詢聯絡窗口。
答: 在活動結束時測試知識。
| 要求 | 應正式建立並傳達懲戒程序,以對違反資訊安全政策的人員及其他相關利害關係人採取行動。 |
| 說明 | 制定明確的程序來處理違反安全規定的情況。其能遏止問題並公平處理,並在確認違規後啟動。 |
| 範例 | 若有員工分享密碼,公司將根據情節嚴重程度,依循警告或訓練等步驟處理。 |
答: 在確認違規行為已發生後。
答: 違規的性質與嚴重性、是否為故意、是否重複發生,以及已接受的訓練。
答: 旨在遏止違規行為並予以適當處理。
| 要求 | 應定義、執行並傳達在終止或變更聘用後仍然有效的資訊安全責任與義務,對象包含相關人員及其他利害關係人。 |
| 說明 | 即使在離職或職務變更後,某些安全責任(如保密)仍然持續。應在合約中明確定義這些責任,以保護公司資訊。 |
| 範例 | 一位前經理的合約中載明,其在離職後一年內不得分享客戶名單。 |
答: 將其視為舊職務的終止與新職務的開始。
答: 識別並轉移給其他人員。
答: 在其合約或工作結束或變更時,應用此程序。
| 要求 | 應識別、文件化、定期審查並由人員及其他相關利害關係人簽署能反映組織保護資訊需求的保密或非揭露協議。 |
| 說明 | 使用協議來保護敏感資訊的機密性。定期審查這些協議,並讓所有需要存取的人員簽署。 |
| 範例 | 新進員工簽署一份NDA,承諾不分享公司配方。 |
答: 受保護資訊的定義、有效期限、終止時的處置措施、責任歸屬、所有權、允許使用範圍、稽核權、通報程序、歸還條款,以及未遵守時的處置行動。
答: 定期審查,並在變更影響需求時進行。
答: 人員及供應商等利害關係人。
| 要求 | 當人員在組織處所以外之地點存取、處理或儲存資訊時,應實施安全措施以保護該資訊。 |
| 說明 | 針對在家或遠距工作,制定規則以確保資料安全,例如安全連線與居家環境檢查。 |
| 範例 | 一家公司為在家工作的員工提供安全的筆記型電腦與VPN。 |
答: 實體安全、環境規範、通訊、虛擬桌面、未經授權存取的威脅、網路使用、安全措施、設備支援、保險、備份、稽核與權限撤銷。
答: 若不允许使用私人設備,則需提供合適的裝置與家具。
答: 提供硬體/軟體支援與維護。
| 要求 | 組織應提供機制,使人員能透過適當管道及時通報觀察到或疑似發生的資訊安全事件。 |
| 說明 | 讓員工能輕鬆快速地通報安全問題,例如可疑電子郵件,以便及早阻止問題發生。 |
| 範例 | 員工使用熱線電話通報疑似駭客攻擊。 |
答: 為了預防或最小化事件的影響。
答: 清晰的程序、多元管道、匿名選項,以及對通報事項的認知。
答: 透過訓練與非懲罰性文化。
