管理者应该表现对信息安全政策,程序和控制措施的支持,并以身作则。管理职责要确保雇员和承包商委派人员都了解其应遵守的信息安全政策、程序和控制措施,并遵守相应的条款和条件。
组织委托人力资源管理部门或信息安全管理部门建立信息安全意识教育培训计划,并定期组织信息安全宣传、教育和培训。信息安全教育和培训应涵盖以下方面:
1)说明管理层对整个组织的信息安全的承诺;
2)各类信息安全方针、标准、法律法规、合同和协议中定义的要求和遵守适用的信息安全规则和义务的需要;
3)对个人作为和不作为的问责制度,以及保护组织和外部各方信息安全的一般责任;
4)基本信息安全规程(如信息安全事件报告)和底线控制措施(如密钥安全性、恶意代码控制和清除桌面等);
5)外部办公地点和其他信息资源的信息安全问题的建议,包括信息安全的进一步教育和培训的素材。
组织要建立正式的信息安全违规纪律处理制度和处置流程,确保正确和公平的对待被怀疑安全违规的雇员。纪律处理过程要规定分级的响应处置规程,根据违规的性质、重要性及对于业务的影响等因素决定处罚的方式和程度,严重的可能需要追究其相关法律责任、终止业务合同等。
在雇员离职或调岗、承包商委派人员完成工作离场时,应由组织安全管理人员与其就在任用终止或变化后一定的信息安全职责和义务取得一致并留存正式文件,例如《离职信息安全保密协议》,其中应包括组织的安全要求和法律职责。适当时,还包括保密协议规定的职责。在雇员、承包方人员的合同中也应该有相应条款,并且确保在职责或任用变更后仍然受到必要的信息管理。