ISO 27001: Selección del personal
Sistema de Gestión de Seguridad de la Información
Según establece la norma ISO 27001 se tienen que llevar a cabo listas de verificación antes de que estén todos los candidatos para el empleo, los contratistas y terceras personas. Se debe encontrar en concordancia con la legislación vigente y la ética, al igual que debe ser proporcional a los requisitos del Sistema de Gestión de Seguridad de la Información, clasificar la información y los riesgos.
El listado de verificación debe tener en cuenta la privacidad, la protección de todos los datos del personal y el empleo tiene que estar basado en la legislación e incluir lo siguiente:
- La disponibilidad de referencias satisfactorias sobre todas las actitudes, como por ejemplo, una del personal y otra de la empresa.
- La comprobación del Curriculum Vitae del candidato.
- La confirmación de la certificación académica y profesional.
- Comprobación independiente de a identificación.
- Comprobación mucho más detallada.
La empresa tiene que considerar la realización de una comprobación mucho más detallada a lo largo del tiempo, cuando una persona acceda a un puesto de trabajo, con un contrato inicial, teniendo en cuenta los recursos necesarios para tratar la información y en particular se trata de información sensible, es decir, información financiera.
Todos los procedimientos tienen que definir los criterios y las limitaciones que realizan la verificación, por lo que alguien es el encargado de elegir a las personas y como, cuando y porque todas las verificaciones se realizan.
Un proceso parecido a la selección normal se tiene que realizar para el personal temporal, cuando dicho personal provenga de una agencia de contrato temporal se tendrá que realizar una especificación de forma clara, ya que tiene responsables de la selección, además de los procedimientos requeridos con las pruebas de selección no han sido completadas si los resultados son dudosos. De la misma forma, el acuerdo con terceras personas tiene que especificar de forma clara todas las responsabilidades y los procedimientos que se han notificado durante la selección del personal.
La información de todos los candidatos se han considerado en la empresa para poder ser seleccionados de forma que cumplan con la legislación de una manera apropiada. Depende de la legislación aplicable, que todos los candidatos tienen que ser informados sobre las actividades que van a realizar.
Acuerdos de confidencialidad
Como parte de la obligación de los empleados, los contratistas y terceras personas se debe aceptar y firmar los términos y condiciones del contrato de trabajo en el que se establezcan las obligaciones de los empleados y las obligaciones de la empresa con cumplir con la Seguridad de la Información según establece la norma ISO 27001.
Todos los términos y las condiciones del trabajador tienen que reflejar la política de la empresa además de aclarar los siguientes términos:
- Todos los empleados, contratistas y terceros a los que se la ha concedido acceso a la información sensible que debe firmar un acuerdo de confidencialidad, ya que no pueden divulgar el acceso a las instalaciones del procesamiento de información.
- Las responsabilidades y los derechos de las subcontratas, por ejemplo en relación con toda la legislación de la protección de datos personales.
- Las responsabilidades de la clasificación de la información y de la gestión de activos que se encuentran asociados a los Sistemas de Gestión de Seguridad de la Información y los servicios que son utilizados por el trabajador o la empresa subcontratada.
- Las responsabilidades de los trabajadores o terceras personas necesarias para maniobrar con la información que reciben las compañías.
- Todas las responsabilidades por parte de la empresa para informar al personal, en la que se incluye información utilizada por el trabajo realizado por la organización.
- Las responsabilidades se extienden fuera de las hipótesis establecidas por la organización y que se encuentran fuera del periodo normal de trabajo.
- Las acciones que se toman si el trabajador o contratista no cumple con todos los requisitos establecidos para la Seguridad de la Información de la organización.
La empresa tiene que estar completamente segura de que los trabajadores, contratista y terceras personas acepten todas las condiciones y los términos que se refieren a la Seguridad de la Información que se encuentra asociada a la naturaleza y al grado de acceso que tiene lugar en los activos de la empresa que están asociados a los Sistemas de Gestión de Seguridad de la Información y todos los servicios relacionados con la información.
Cuando sea apropiado, todas las responsabilidades que se encuentran dentro de los términos y las condiciones del trabajo tienen que continuar por un periodo que se ha definido después de que éste acabe.
Un código de conducta se puede utilizar para cubrir todas las responsabilidades en función a la confidencialidad, a la protección de datos, a la ética, a la utilización apropiada del equipo de la empresa, además de todos los trabajadores, contratistas o terceras personas ya que son prácticas que se espera por parte de la empresa. El contratista se puede asociar a una empresa externa que se pueda requerir según los diferentes acuerdos contractuales a favor de la persona contratada.
Software para ISO 27001
El Software ISOTools Excellence para ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes: disponibilidad, integridad y confidencialidad.