## ISO/IEC 27001:2022 foundation IV - 附錄 A ### 6 People controls (8) 人員控制措施 #### 6.1 (A.7.1.1) 篩選 - 控制措施：對所有成為員工之候選者，應於其加入組織前，進行背景查證調查，且持續進行，同時將適用的法律、法規及倫理納入考量，並宜相稱於營運要求事項，其將存取之資訊的分類分級及所察覺之風險。 - 目的：確保所有人員皆合格及適合所考量之角色，且於其聘用期間保持合格及合適。 #### 6.2 (A.7.1.2) 聘用條款及條件 - 控制措施：聘用契約協議應敘明人員及組織對資訊安全之責任。 - 目的：確保人員瞭解其對所考量角色之資訊安全責任 #### 6.3 (A.7.2.2) 資訊安全認知及教育訓練 - 控制措施：組織及相關關注方之人員，均應接受與其工作職能相關的組織 [ 資訊安全政策 ]、[ 主題特定政策 ] 及 [ 程序 ] 之適切資訊安全認知及教育訓練，並定期更新。PIMS 延伸要求 - A.7.2.2, 資訊安全認知(本文7.3)、教育及訓練 - 目的：確保人員及相關關注方認知，並履行其資訊安全責任。 #### 6.4 (A.7.2.3) 獎懲過程 - 控制措施：應明確訂定並傳達獎懲過程，以對違反資訊安全政策之人員及其他相關關注方採取行動。 - 目的：確保人員及其他相關關注方瞭解違反資訊安全政策之後果，制止及妥善處理違反資訊安全政策的人員及其他相關關注方。 #### 6.5 (A.7.3.1) 聘用終止或變更後之責任 - 控制措施：應對相關人員及其他關注方定義、施行並傳達於聘用終止或變更後，仍保持有效之資訊安全責任及義務。 - 目的：將保護組織利益納入變更或終止聘用或契約之過程的一部分。 #### 6.6 (A.13.2.4) 機密性或保密協議 - 控制措施： 反映組織對資訊保護之需要的機密性或保密協議，應由人員及其他相關關注方，識別、[ 書面記錄 ]、定期審查及簽署。PIMS 延伸要求 - A.13.2.4, 機密性或保密協議 - 目的：維護人員或外部各方可存取之資訊的機密性。 #### 6.7 (A.6.2.2) 遠端工作 - 控制措施：應實作安全措施，當人員於遠端工作時，保護於組織場所外存取、處理或儲存之資訊。 - 目的：確保人員遠端工作時之資訊安全。 #### 6.8 (A.16.1.2, A.16.1.3) 資訊安全事件通報 - 控制措施：組織應提供機制，供人員透過適切之管道，及時通報所觀察到或可疑的資訊安全事件。 - 目的：支援及時、一致及有效通報，可由人員識別之資訊安全事件。