Sigurnost i ljudski resursi

Cilj – smanjiti rizik od ljudske pogreške, krađa, prijevara i zlouporabe resursa.

Uloge i odgovornosti

Uloga osiguranja i odgovornost zaposlenika, ugovornih djelatnika i treće strane moraju biti definira i dokumentirana u skladu s sigurnosnom politikom organizacije.

Uloge i odgovornosti moraju uključiti potrebu za:

  • zaštitom resursa od neovlaštenog pristupa, otkrivanja, mijenjanja, uništavanja ili ometanja,
  • postupanjem u skladu s politikom sigurnosti,
  • potpunim izvršavanjem sigurnosnih postupaka,
  • prijavljivanjem prijetnji ili mogućih prijetnji nadležnim tijelima.

Provjera

Provjera (eng. screening) u svrhu kontrole potencijalnih zaposlenika, ulagača ili poslovnih partnera jedna je od preventivnih metoda kojima organizacija može djelovati na sigurnost informacijskog sustava.

Proces provjere i ispitivanja mora uzeti u obzir sva prava i zakonske odredbe privatnosti, te ukoliko je dopušteno uključiti sljedeće:

  • raspoložive reference karaktera, poslovanja itd.,
  • pregled dostupnih CV-a (curriculum vitae), kontrola dostavljenih podataka,
  • potvrde o školovanju, profesionalnim kvalifikacijama,
  • dokazi identiteta (putovnica),
  • da li postoji kreditna zaduženost,
  • da li je osoba kazneno gonjena itd.

Uvjeti zaposlenja

Prije zaposlenja radnika, sklapanja partnerstva s drugom organizacijom ili uključivanja u posao treće strane neophodno je u ugovor uključiti dio koji sve strane obavezuje na pridržavanje pravila definiranih sigurnosnom politikom.

Ugovor treba sadržavati dodatak s pojašnjenjima i stavovima:

  • da svaki zaposlenik, partner ili treća strana, prije dobivanja prava pristupa imovini organizacije, mora potpisati ugovor o povjerenju,
  • o zakonskim pravima i odgovornostima svakog zaposlenika,
  • korisnika i poslovnog partnera,
  • o odgovornostima organizacije o čuvanju i rukovanju informacijama o zaposlenicima,
  • o odgovornostima u slučaju obavljanja posla izvan radnog vremena ili izvan prostorija organizacije, npr. kod kuće,
  • o akcijama koje je potrebno poduzeti ukoliko se utvrdi nepridržavanje pravila definiranih sigurnosnom politikom.

Odgovornosti rukovoditelja

Rukovoditelja moraju zahtijevati i insistirati na pridržavanju pravila definiranih sigurnosnom politikom od strane zaposlenika, korisnika, poslovnih partnera i treće strane.

Njihova je zadaća sve zaposlenike, korisnike, partnere i treće strane:

  • pravilno i jasno informirati o njihovim ulogama u provedbi sigurnosti, te o njihovim odgovornostima prije dodjeljivanja prava pristupa osjetljivim informacijama,
  • pružiti im uvid u obliku smjernica o tome što se očekuje od njih ovisno o njihovim ulogama,
  • motivirati da se pridržavaju pravila definiranih sigurnosnom politikom,
  • osigurati potrebnu razinu svijesti o potrebi za sigurnošću, ovisno o ulogama.

Edukacija o informacijskoj sigurnosti

Svi zaposlenici organizacije, i ukoliko se ukaže potreba, partneri i osoblje treće strane moraju proći odgovarajuću obuku o svijesti o informacijskoj sigurnosti, te pravovremeno biti upoznati s dopunama ili promjenama u sigurnosnoj politici organizacije.

Osnovni pojmovi o sigurnosti i obuka o svijesti o informacijskoj sigurnosti moraju biti prezentirani zaposlenicima, partnerima i trećoj strani prije dodjeljivanja prava pristupa informacijama. Edukacija korisnika mora biti prikladna s ulogom, sposobnosti i odgovornosti pojedinca.

Raskid ugovora

Postupci i odgovornosti kod prekida radnog odnosa, raskida ugovora ili promjene radnog mjesta moraju biti jasno propisani. Zaposlenik, partner ili treća strana mora vratiti u posjed organizacije sve materijalne vrijednosti koje je dobio na korištenje tijekom radnog odnosa osim ukoliko je ugovorom drugačije dogovoreno. Zaposleniku, partneru ili trećoj strani nakon raskida ugovora moraju biti oduzeta sva prava pristupa informacijama i drugim osjetljivim vrijednostima. Sve odgovornosti nad imovinom koju je dosad imao zaposlenik moraju biti dodijeljene drugoj odgovornoj osobi.

Primjena norme u sigurnosnoj politici

Velik broj vrlo osjetljivih i tajnih podataka koje informacijski sustav ZEMRIS sadrži razlog su potrebe za visokim stupnjem sigurnosti. Jedna od preventivnih metoda kojima možemo utjecati na sigurnost je i kontrola korisnika (zaposlenici, studenti, treće strane..) kojima dodjeljujemo prava pristupa osjetljivim podacima. Ova vrsta kontrole definirana je u dokumentu Pravilnik o sklapanju i raskidu ugovora, a definira na koje je predradnje potrebno poduzeti prilikom sklapanja ugovora, koje sve mjere sigurnosti treba definirati ugovor, te kako osigurati kvalitetan raskid ugovora.