Personnel Politiques de sécurité - mannequins

Une organisation a besoin de politiques et de procédures de sécurité du personnel clairement documentées afin de faciliter l'utilisation et la protection de l'information. Il existe de nombreuses meilleures pratiques conceptuelles pour protéger l'entreprise et ses actifs informationnels importants. Ces meilleures pratiques ont toutes à voir avec la façon dont les gens - et non la technologie - travaillent ensemble pour soutenir l'entreprise.

Collectivement appelé gestion et contrôle administratif.

Projection d'un candidat à l'emploi

Avant même de poster un signe «Aidez-vous» (Est-ce que les gens le font toujours?!) Ou une annonce sur un site de recherche d'emploi, l'employeur devrait s'assurer être rempli est clairement documenté et contient une description complète des exigences du poste, des qualifications et de l'étendue des responsabilités et des pouvoirs.

La description de l'emploi (ou du poste) doit être le résultat d'une collaboration entre le gestionnaire recruteur - qui comprend parfaitement les exigences fonctionnelles du poste à pourvoir - et le responsable des ressources humaines - qui comprend parfaitement les lois du travail applicables. exigences organisationnelles à traiter.

Avoir une description d'emploi (ou de poste) clairement documentée peut bénéficier à une organisation pour plusieurs raisons:

• Le gestionnaire d'embauche sait (et peut clairement exprimer) quelles compétences un certain travail exige.
• Le gestionnaire des ressources humaines peut présélectionner les candidats rapidement et avec précision.
• Les candidats potentiels peuvent s'assurer qu'ils postulent uniquement pour les postes pour lesquels ils sont qualifiés et qu'ils peuvent se préparer adéquatement aux entrevues (par exemple, en jumelant leurs compétences et expériences aux exigences spécifiques du poste).
• Une fois que l'organisation a comblé le poste, la description du poste (dans certains cas, le contrat de travail) aide à réduire la confusion quant aux attentes du nouvel employé et fournit des critères objectifs d'évaluation du rendement.

Des descriptions d'emploi concises qui identifient clairement la responsabilité et l'autorité d'un individu, en particulier sur les questions de sécurité de l'information, peuvent aider

• à réduire la confusion et l'ambiguïté.
• Fournir une base légale pour l'autorité ou les actions d'une personne.
• Démontrer toute négligence ou manquement dans l'exécution des tâches assignées.

Une organisation doit effectuer des vérifications des antécédents et vérifier les informations d'application pour tous les employés et sous-traitants potentiels. Ce processus peut aider à exposer tout candidat indésirable ou non qualifié.Par exemple

• Une condamnation criminelle antérieure peut immédiatement disqualifier un candidat de certains postes au sein d'une organisation.
• Même si l'existence d'un casier judiciaire ne disqualifie pas automatiquement un candidat, si le candidat ne divulgue pas cette information dans la demande d'emploi ou l'entrevue, cela devrait être un signe d'avertissement clair pour un employeur potentiel.
• Certains postes nécessitant une habilitation de sécurité du gouvernement américain ne sont accessibles qu'aux citoyens des États-Unis.
• Les antécédents de crédit d'un candidat devraient être examinés si le poste a des responsabilités financières importantes ou gère des actifs de grande valeur, ou s'il existe une forte possibilité de fraude.
• On estime que jusqu'à 40% des demandeurs d'emploi «exagèrent la vérité» sur leurs curriculum vitae et leurs demandes. Les sources courantes d'informations omises, exagérées ou carrément trompeuses comprennent les dates d'emploi, l'historique salarial, l'éducation, les certifications et les réalisations. Bien que l'information elle-même ne soit pas disqualifiante, un candidat malhonnête ne devrait pas avoir la possibilité de devenir un employé malhonnête.

La plupart des vérifications d'antécédents nécessitent le consentement écrit du demandeur et la divulgation de certaines informations privées (telles que le numéro de sécurité sociale du demandeur). Les informations privées obtenues dans le cadre d'une vérification des antécédents, ainsi que les résultats de la vérification des antécédents, doivent être correctement gérés et sauvegardés conformément aux lois applicables et aux politiques de conservation et de destruction des dossiers de l'organisation.

Les vérifications et vérifications de base peuvent inclure les informations suivantes:

• Casier judiciaire
• Citoyenneté
• Antécédents professionnels
• Études
• Certifications et licences
• Chèques de référence (personnels et professionnels) > Affiliation syndicale et associative
• Les vérifications des antécédents pré- et post-emploi peuvent fournir à un employeur des informations précieuses sur une personne qu'une organisation considère pour un emploi ou un poste au sein d'une organisation. Ces contrôles peuvent donner une indication immédiate de l'intégrité d'une personne (par exemple, en fournissant une vérification des informations dans la demande d'emploi) et peuvent aider à éliminer les candidats non qualifiés.

Le personnel occupant des postes sensibles devrait subir un examen préalable et une vérification des antécédents plus approfondis, comprenant éventuellement

Dossiers de crédit (au minimum, y compris les faillites, les saisies et les registres publics), éventuellement un rapport de solvabilité complet

• Tests de dépistage de drogues (même dans les pays ou États américains où certains stupéfiants sont légaux, si les politiques de l'organisation interdisent l'usage de stupéfiants, les tests antidrogue doivent être utilisés pour appliquer la politique)
• Enquête spéciale (FBI et INTERPOL,
• Des dépistages périodiques postérieurs à l'emploi (tels que les dossiers de crédit et les tests de dépistage de drogues) peuvent également être nécessaires, en particulier pour le personnel ayant accès à des données financières, à de l'argent ou à un risque élevé. -value des actifs, ou pour le personnel envisagé pour des promotions à des postes plus sensibles ou responsables.

Contrats et politiques d'emploi

Divers accords et politiques d'emploi devraient être signés lorsqu'un individu rejoint une organisation ou est promu à un poste plus sensible au sein d'une organisation. Les contrats d'emploi comprennent souvent des accords de non-concurrence / non-divulgation et des politiques d'utilisation acceptable. Les politiques d'emploi types peuvent inclure l'utilisation acceptable d'Internet, la politique des médias sociaux, l'accès à distance, l'utilisation d'appareils mobiles et personnels (par exemple, «Bring Your Own Device» ou BYOD) et le harcèlement / fraternisation sexuelle.

Processus de cessation d'emploi

Des procédures formelles de cessation d'emploi devraient être mises en place pour protéger l'organisation contre d'éventuelles poursuites judiciaires, vol et destruction de biens, accès non autorisé ou violence au travail. Des procédures devraient être élaborées pour divers scénarios, y compris les démissions, les licenciements, les mises à pied, les accidents ou les décès, les départs immédiats par rapport à la notification préalable et les situations hostiles. Les procédures de résiliation peuvent inclure

Avoir les clefs de remise, les badges et les permis de stationnement de l'ancien employé

• Conduire une entrevue de sortie
• Exiger que la sécurité escorte l'ancien employé pour récupérer ses effets personnels et / ou locaux
• Demander à l'ancien employé de renvoyer les documents de l'entreprise (ordinateurs portables, téléphones mobiles et périphériques, PDA, etc.)
• Modifier les verrous et les mots de passe système
• Renvoyer les tâches et responsabilités
• Suppression du réseau et accès au système et désactivation des comptes utilisateur
• Application des règles concernant la conservation des e-mails, des fichiers personnels et des enregistrements d'emploi
• Notification aux clients, partenaires, fournisseurs et sous-traitants, le cas échéant
• Contrôles fournisseur, consultant et contractant Les organisations externalisent couramment de nombreuses fonctions informatiques (en particulier le centre d'appels ou le centre de contact et le développement d'applications) aujourd'hui. Les politiques et procédures de sécurité de l'information doivent traiter de la sécurité de l'impartition et de l'utilisation de fournisseurs ou de consultants, le cas échéant. Le contrôle d'accès, l'échange et la révision de documents, les accroches de maintenance, l'évaluation sur site, l'examen des processus et des politiques et les accords de niveau de service (SLA) sont de bons exemples de considérations de sécurité.

Conformité

Les responsabilités individuelles de conformité aux politiques et règlements applicables au sein de l'organisation doivent être comprises par tout le personnel d'une organisation. Les déclarations signées qui attestent la compréhension, la reconnaissance et / ou l'acceptation par un individu de se conformer peuvent être appropriées pour certains règlements et politiques.

Confidentialité

Les règlements et politiques applicables doivent être documentés et compris par tout le personnel de l'organisation. Les déclarations signées qui attestent la compréhension, la reconnaissance et / ou l'acceptation par un individu de se conformer peuvent également être appropriées.