管理人力资源

    一、员工招募和晋升

    控制目标

    管理层应该执行并定期察看所需流程，来确保员工招募和晋升条例是基于目标准则、并考虑到教育、经验和责任感。这些流程应该与整个机构的策略相一致。另外也应与涉及到的如雇佣、定位、培训、评估、辅导、晋升、补缺和规范训练等程序相一致。管理层应确保知识和技术需要能被持续的察看，并确保机构能够获得一个员工团体，该员工团体拥有能达成机构目标所必要的能力。

    二、员工资格

    控制目标

    IT管理层应该定期验证关于员工晋升的特定行动，是在所需的适当教育、培许或经验的基础上被证明是具有资格的。管理层应该鼓励员工成为机构专业人士中的成员。

    三、角色和责任

    控制目标

    对于员工，管理层应该清晰的定义角色和责任，包括需要遵守管理策略和程序，道德和专业条例的准则。工作的条款和环境应要着重强调雇员对于信息安全性和内部控制的责任感。

    四、员工培训

    控制目标

    管理层应该确保能提供给雇员以雇佣职员的定位和不断提供的培训。这些培训用以在有效执行所需的层次上，维持员工的知识、技术、能力和安全意识。实行教育和培训用以有效提升员工的技术和管理能力的项目应该定期回顾。

    五、跨领域培训或员工后援

    控制目标

    管理层应该提供足够的在关键员工职位上的跨领域培训或后援，用以解决员工不足的问题。管理层应该为所有关键职能和位置设立持续的计划。应要求在敏感职位上的员工享有安静而足够充分的假期，来培养机构所需的处理员工不足的能力，并且避免和监测欺诈性的行动。

    六、员工信息清除程序

    控制目标

    IT管理层应该根据职位的敏感度，确保他们的员工在他们被雇佣、调职或晋升执行了安全性的信息清除程序。当一个员工首次被雇佣时没有执行这样的程序，则直到一个安全性的信息清除程序在进行之前，不应该被放置到敏感性的职位。

    七、雇员工作表现评估

    控制目标

    管理层应该执行一个雇员表现评估流程，由一个有效的奖惩机制推动。该机制用以帮助雇员理解他们的表现与机构的成功之间的联系。应参照在定期的基础上建立起来的标准和特定的工作职责，来进行相应的评估。员工应能获得（或是在适当的时候获得）关于绩效的相关咨询。

    八、职位变迁和中止

    控制目标

    对于职位的变迁和中止，管理层应确保能采取适当和及时的行动，以便内部控制和安全不会在此种情况出现下被削弱。

    关键目标的实现

    以获取和维护一个有推动力和竞争力的员工团体，并最大限度的发挥员工对IT进程的贡献的目标来控制IT流程的人力资源管理，从而确保符合所需信息标准的业务信息传递，并确保信息经由关键目标指标评估。这个目标通过以下实现：公平、公正、公开的员工管理条例来对职员进行招聘、规范、调整、补充、培训、评估、提升和解职；并考虑关键权衡特定IT资源的、且由关键绩效指标评估的关键成功要素。