作为信息安全审核员,我们常说"人是最薄弱的环节"。这个判断并非贬低,而是基于大量信息安全事件的统计事实。ISO 27001:2022(等同采用GB/T 22080-2025)在附录A第6章中专门设置了"人员控制"这一章节,包含A.6.1至A.6.8共8个控制措施,覆盖了人员从入职到离职的全生命周期管理。本文将从审核实务角度,逐一解析这8项控制措施的审核要点、常见不符合项及典型案例。
A.6.1 筛选——人员筛选
这一措施要求组织在录用人员之前进行背景调查和筛选,且筛选过程应符合相关法律法规并与其业务需求、信息获取权限和预期风险相适应。
审核要点:首先检查组织是否制定了人员筛选的管理制度,制度的覆盖范围是否包括正式员工、临时工、外包人员等各类人员。其次查看筛选的深度是否与岗位的信息安全风险匹配——例如财务系统管理员、数据库管理员等关键岗位的筛选标准应高于普通办公人员。
现场审核时,可抽查近半年入职人员的筛选记录,重点关注以下几项:身份核实(身份证、护照等有效证件)、教育背景和职业资格验证(特别是IT运维和安全岗位)、工作履历核实、无犯罪记录查询(针对敏感岗位)。需要注意的是,在涉及个人信息保护法(PIPL)的背景下,筛选过程中的个人信息收集必须取得当事人的明确同意。
常见不符合项:一是筛选制度不覆盖外包人员,但外包人员实际接触核心业务系统;二是所有岗位使用同一套筛选标准,没有区分岗位风险等级;三是已入职人员换岗到敏感岗位后未进行补充筛选。
A.6.2 雇佣条款与条件
此措施要求雇佣协议中应明确人员和组织在信息安全方面的职责。说白了,就是让每个人在入职时就清楚地知道:什么能做、什么不能做、违规了会怎样。
审核时,首先检查雇佣合同或保密协议中是否包含信息安全条款。条款内容应至少包括:信息处理的责任和义务、对组织信息的保密要求、信息资产的使用规范(特别是BYOD场景)、违反信息安全规定后的纪律处分措施。如果使用外包人员,还需检查外包协议中是否明确了信息安全职责。
实务中一个很容易被忽视的点是:合同终止后的信息安全义务。比如员工离职后,保密义务应持续有效,员工离职后不得利用在职期间获取的商业秘密为自己或他人牟利。审核时应抽查几份已签署的合同和保密协议,确认相关条款的完整性和签署时间——不可以「事后补签」。
A.6.3 信息安全意识、教育与培训
这是人员控制中最重要的措施之一,也是审核员投入审核时间最多的地方。A.6.3要求组织的所有相关人员应接受与其工作职责相适应的信息安全意识培训和组织专项培训。
审核要点分三个层次:第一层是意识提升。组织的最高管理层是否定期传达信息安全的重要性?是否有年度信息安全宣传周、钓鱼邮件模拟演练等活动?这些活动的覆盖率和效果如何?第二层是教育培训。是否有针对不同岗位的差异化培训计划?比如开发人员应接受安全编码培训(OWASP Top 10)、财务人员应接受反社会工程学培训、IT运维人员应接受安全操作培训。第三层是培训效果的验证。只记录培训签到是不够的,审核员需要看到组织如何评估培训效果——是课后考试、操作考核还是安全意识问卷调查?
需要特别关注的是新员工入职培训。很多组织只做了一次入职培训就认为员工已经具备了足够的安全意识,这是不现实的。信息安全意识培训应持续进行,建议至少每年度开展一次全体培训,并针对最新威胁(如AI深度伪造诈骗、勒索软件等)及时更新培训内容。
常见不符合项:培训计划没有分层覆盖,全员培训内容雷同;培训记录只有签到表,没有效果评估;培训覆盖率不足(通常要求95%以上);未针对远程办公人员开展安全培训。
A.6.4 纪律处分流程
有规矩还得有执行。这一措施要求组织建立正式且明确的纪律处分流程,对违反信息安全政策和制度的人员进行相应处理。
审核要点包括:是否建立了成文的纪律处分制度?制度中是否明确了违规行为的严重程度分类?(一般违规、严重违规、特别严重违规)对应的处分措施是什么?(口头警告、书面警告、降薪停职、解雇等)处分流程是否包含调查环节?是否给予当事人申诉权?
现场抽查时,查看过去一年内是否有信息安全违规事件及其处理记录。如果组织声称「从未发生违规事件」,这本身就是一个需要关注的信号——不是管理太好,而是违规未被发现或未被报告。审查处分记录时,应确认处分的执行是否符合制度规定、处分结果是否在组织内通报(在不侵犯个人隐私的前提下)以起到警示作用,以及是否有再犯预防措施。
A.6.5 雇佣终止或变更后的责任
当人员离职或转岗时,信息安全责任并不会自动消失。A.6.5要求明确雇佣关系终止或变更后仍应履行和有效的信息安全职责和责任的条款。
审核时重点看离职流程。是否存在正式的离职交接清单?清单上是否包括:归还全部信息资产(电脑、手机、门禁卡、USB盘、纸质文档等)、撤销账号和权限、回收门禁和物理钥匙、签署离职保密承诺书。对于关键岗位(如安全管理员、网络管理员),还应要求离职人员对在职期间掌握的信息资产进行交接,必要时进行离职面谈。
实务中高频发现的漏洞是:人员离职后账号未被及时禁用或删除。审核员可以要求IT部门提供离职人员列表,与现有系统账号做交叉比对,查出一批「幽灵账号」。另一个容易遗漏的是云平台账号——有些组织只回收了本地AD账号,但SaaS平台(企业微信、钉钉、飞书、GitHub、AWS等)的账号仍然有效。
对于转岗员工,审核要点是确认其在新岗位上的权限是否重新分配,原岗位权限是否撤销。实践中经常遇到员工调岗多年,原部门的数据库权限仍然保留的情况。
A.6.6 保密协议或保密条款
A.6.6要求直接或授权访问组织信息的人员签署符合组织要求的保密协议。这一措施既是A.6.2雇佣条款的延伸,也是独立存在的要求。
审核时要关注保密协议的审查周期。保密协议不是一签管终身的,组织应定期审查保密协议的有效性和覆盖面。特别是涉及与外部合作方(供应商、合作伙伴、顾问等)的合作时,必须在信息交互之前签署保密协议。
此外,保密协议的条款应明确:保密信息的范围定义(不要使用笼统的"所有信息")、保密期限(建议设定5年或更长时间)、例外情况(如法律要求披露)、违约责任和赔偿标准。在诉讼或仲裁场景中,保密协议是否具备可执行性是审核员可以提示组织关注的潜在风险点。
A.6.7 远程工作
随着混合办公的普及,A.6.7远程工作控制措施的重要性以前所未有的速度增长。该措施要求当组织允许远程工作时,应为其提供相应的安全防护措施。
审核要点非常务实:远程办公的员工使用什么设备?是组织配发的公司电脑还是BYOD?如果是BYOD,是否实施了移动设备管理(MDM)方案?远程连接是否强制使用VPN?员工家中的Wi-Fi是否有加密要求?远程办公期间访问敏感数据是否有额外的审批流程?是否禁止在公共Wi-Fi(如咖啡厅、机场)下处理敏感业务?
实务中,很多组织允许员工将公司笔记本电脑带回家使用,但没有对电脑进行加密(全盘加密是基本要求)。另一个常见漏洞是远程办公的截屏风险——员工在家处理客户的敏感数据时,家人或其他人员是否会无意间看到屏幕内容?针对性防护措施包括防窥膜、敏感数据遮挡工具等。
审核员还应检查远程办公安全制度是否正式成文、是否经信息安全负责人审批、员工是否签署了远程办公安全承诺书。
A.6.8 信息安全事件报告
A.6.8要求组织应建立机制使人员能够及时报告已发现或疑似的信息安全事件。这是人员控制中很有温度的一项措施——它承认了人是安全的重要传感器。
审核要点包括:是否建立了信息安全事件报告流程?是否有简单易用的报告渠道(事故报告热线、邮件、即时消息工具、安全事件报告平台等)?员工是否接受过如何识别和报告安全事件的培训?是否有人因为报告安全事件而受到惩罚(即是否存在「不惩罚」文化)?
实务中做得好的组织会设立匿名报告渠道(如员工可以通过匿名问卷或第三方平台进行报告),并定期通报收到的安全事件报告数量和处理情况。同时,组织应区分「无意的安全违规」和「故意的恶意行为」——对不同性质的报告事件给予不同的处理方式,鼓励员工主动报告。
审核员可以通过抽查近期的信息安全事件台账,检查报告渠道是否畅通、报告是否得到及时处理、报告人是否得到了反馈。一个健康的报告体系应当是——报告数量不能太少(说明员工不敢报或不会报),也不能太多(说明安全控制存在系统性问题,需要从根上治理)。
章节审核总结
ISO 27001:2022 附录A第6章的8项人员控制措施构成了一个从"选人"到"用人"再到"送人"的闭环管理框架。在实际审核中,A.6.3(培训)和A.6.5(离职管理)是最容易发现不符合项的区域,A.6.7(远程工作)则因为近年来办公模式的变化而成为新的高风险领域。
给受审核组织的建议:人员控制不是HR一个部门的事,需要HR、IT、信息安全部门三方协同;制度的有效性不在于文件的厚度,而在于执行的一致性和持续改进。给同行审核员的建议:不要只看制度文件,要实地访谈员工——上至管理层下至一线操作员,他们的回答才是组织信息安全文化的真实体现。
微信关注「周知ISO」,获取更多管理体系审核实务干货。