下载掌阅APP,畅读海量书库
立即打开
如果说安全管理机构是软件供应链安全管理机构的骨架,那么其中的安全管理人员就是支撑软件供应链安全管理机构日常运行的血液。本节将对安全管理人员的招聘、培训、离岗提出建议。
软件供应链安全管理机构人员的招聘录用应由指定机构监督,对于关键岗位人员需进行全面的安全调查并签署保密协议、责任协议,尽量做到从组织内部选拔。
(1)指定一个专门的部门或经授权的人员来监督与安全有关的职位的招聘。他们应与其他部门密切合作,确定每个职位所需的必要资格、技能组合和专业知识。这种方法可以确保招聘决定的一致性,并与组织的安全目标保持一致。
(2)对候选人实施彻底的筛选过程,包括背景调查、专业资格的验证和技术技能的评估,尤其是安全管理机构的负责人和关键岗位的人员,需要对其进行安全背景审查和安全技能考核,符合要求的人员方能上岗。当安全管理机构的负责人和关键岗位人员的身份、安全背景等发生变化(如取得非中国国籍)或必要时,应根据情况重新按照相关要求进行安全背景审查。这种全面的评估将雇用可能构成安全威胁的个人的风险降到最低,并确保新雇员具备有效履行其职责的必要技能。
(3)制定和执行保密和职位责任协议,与关键岗位人员签署岗位责任协议,以加强数据保护的重要性和对安全政策的遵守。定期审查和更新这些协议,以确保它们在面对不断变化的安全威胁和行业最佳实践时保持相关性和有效性。
(4)鼓励从组织内部选拔关键安全岗位的人员。这种方法可以促进企业内部培养互相信任、具备连续性的安全文化,因为内部候选人已经熟悉了组织的安全政策和程序。
对于离岗的软件供应链安全管理机构成员,及时调整或终止相关权限。对于离职员工,明确其离职后的保密义务。
(1)对于离职员工,实施正式的离职程序,在人员离岗时,及时终止离岗人员的所有访问权限,收回与身份鉴别相关的软硬件设备,包括各种身份证件、钥匙等及组织提供的软硬件设备。这一程序可以确保前雇员在离职后不能访问敏感信息或系统。
(2)与离职员工进行离职面谈,重申他们持续的保密义务,明确离岗后的脱密期限等,承诺调离后的保密义务后方可离开。
(3)在人员发生内部岗位调动时,重新评估调动人员对关键信息基础设施的逻辑和物理访问权限,修改访问权限并通知相关人员或角色。
软件供应链安全管理机构成员需要具备相关的安全意识和安全能力,为此,组织需要开展安全意识培训、安全技能培训。
(1)针对各类人员,指定并进行全面安全意识教育培训,宣贯安全制度,并告知相关的安全责任和惩戒措施。常态化开展软件供应链安全意识宣传培训,通过科技大讲堂、制度直播培训课和漫画文章等形式,对全员尤其是软件供应链密切相关人员进行持续培训和宣贯。将软件供应链相关安全工作纳入绩效考核,对供应商违规行为、软件开发低级漏洞等行为进行处罚。
(2)定期安排安全管理机构人员参加国家、行业或业界网络安全相关活动,及时获取网络安全动态。
(3)建立网络安全教育培训制度,定期开展网络安全教育培训和技能考核。法规要求关键信息基础设施从业人员每人每年教育培训时长不得少于30个学时。教育培训内容应包括网络安全相关法律法规、政策标准,以及网络安全保护技术、网络安全管理等。
针对不同岗位制定不同的培训计划,对安全基础知识、岗位技能、岗位操作规程等进行培训。定期对不同岗位人员进行技术技能考核。
表3-5为一个可供参考的安全培训计划案例。
表3-5 安全培训计划案例
