ความมั่นคงปลอดภัยเมื่อสิ้นสุดหรือเปลี่ยนการจ้างงาน (Termination or change of employment) พนักงานสามารถเปลี่ยนที่ทำงานไม่วาเปลี่ยนโดยสมัครใจหรือจำยอม(จ้างออก,ไล่ออก) ในกรณีที่เป็นการเปลี่ยนการจ้างงานโดยจำยอม มีความเสี่ยงสูงกับความมั่นคงความปลอดภัย เพราะพนักงานอาจเจตนาต้องการให้องค์กรเกิดความเสียหายได้ มากกว่านั้นแม้ว่าโดยสมัครใจข้อมูลความลับทางเทคนิคของท่านหรือของลูกค้าของท่านย่อมมีความเสี่ยงอย่างยิ่งในการถูกนำไปใช้ให้มีประโยชน์กับคู่แข่งหรือผู้ที่ต้องการก่อให้เกิดภัยคุกคามกับองค์กรท่าน เมื่อสิ้นสุดการจ้างงานหรือเปลี่ยนการจ้างงานต่อพนักงาน จึงควรต้องมีมาตรการในการควบคุมความเสี่ยงนี้
หลักการ/มาตรการ
หน้าที่ความรับผิดชอบที่ผู้รับการว่าจ้างต้องปฏิบัติตามเมื่อสิ้นสุดหรือเปลี่ยนลักษณะการจ้างงานควรมีการกำาหนดไว้อย่างชัดเจน รวมทั้งกำหนดให้มีการปฏิบัติตาม
แนวทางปฏิบัติ
(ก) องค์กรควรทำการกำหนดระเบียบวิธีปฏิบัติในกรณีที่สิ้นสุดการจ้างงาน กำหนดให้พนักงานจ้างต้องปฏิบัติตามกฎหมาย ระเบียบ ข้อบังคับ เงื่อนไขการจ้างงานและ/หรือข้อกำหนดต่างๆ ที่ได้กำหนดไว้
(ข) ให้มีระบบระเบียบบันทึกที่ทำให้มั่นใจได้ว่า ฝ่ายบุคคล หัวหน้างาน หรือผู้บังคับบัญชาได้เน้นย้ำให้ผู้รับการว่าจ้างทราบถึง
1) การปฏิบัติตามเงื่อนไขในสัญญาจ้างจนกว่าจะสิ้นสุดการจ้างงาน
2) การปฏิบัติตามข้อตกลงการรักษาความลับขององค์กร
(ค) ระบบระเบียบนี้ ควรมีการระบุให้ครอบคลุม ทั้งฝ่ายบุคคล หัวหน้างานและหรือผู้บังคับบัญชาให้มีส่วนร่วมกำหนดให้ผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานต้องปฏิบัติตามข้อกำหนดต่างๆที่องค์กรได้กำหนดไว้จนกว่าจะสิ้นสุดสัญญาจ้าง ทั้งนี้เพื่อให้กระบวนการไม่ขาดตกบกพร่องในแง่ของการรักษาความปลอดภัย เนื่องจากหัวหน้างานจะเป็นผู้ที่ทราบดีที่สุดว่ามีข้อมูล วัสดุ เอกสารอะไรบ้างที่อาจตกค้างกันพนักงานผู้นั้น
(ง) กรณีที่ผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานยังคงต้องปฏิบัติหน้าที่ที่ตนรับผิดชอบต่อไปอีกช่วงระยะเวลาหนึ่ง สัญญาจ้างงานควรครอบคลุมเงื่อนไขและระยะเวลาดังกล่าวด้วย รวมทั้งเน้นย้ำให้พนักงานรับทราบ
(จ) ฝ่ายบุคคล หัวหน้างาน หรือผู้บังคับบัญชาควรแจ้งให้ผู้รับการว่าจ้างทราบถึงการเปลี่ยนแปลงที่เกี่ยวข้องกับบุคลากรขององค์กร สวัสดิการ เงื่อนไขการปฏิบัติงาน หรือการเปลี่ยนแปลงอื่นๆ ที่กระทบต่อผู้รับการว่าจ้าง
หลักการ/มาตรการ
พนักงานควรคืนทรัพย์สินขององค์กรที่ตนถือครองหรือใช้งานอยู่เมื่อสิ้นสุดการจ้างงาน
แนวทางปฏิบัติ
(ก) กระบวนการสิ้นสุดหรือเปลี่ยนการจ้างงานควรแจ้งให้ผู้รับการว่าจ้างคืนทรัพย์สินขององค์กรดังนี้
1) ซอฟต์แวร์
2) เอกสารหรือคู่มือสำคัญ
3) ข้อมูล ซึ่งรวมถึงข้อมูลบนสื่อบันทึกข้อมูลต่าง
4) อุปกรณ์ ซึ่งรวมถึงอุปกรณ์ประเภทพกพา
5) บัตรเข้าห้อง บัตรผ่าน หรือบัตรอื่นๆ
6) เสื้อผ้า สัญลักษณ์องค์กรในกรณีที่อาจนำไปใช้ในการก่อภัยคุกคามกับองค์กรในอนาคตได้
(ข) เมื่อกระบวนการสิ้นสุดหรือเปลี่ยนการจ้างงาน ควรมีระบบแจ้งให้ผู้รับว่าจ้างลบข้อมูลสำคัญขององค์กรที่เก็บไว้บนอุปกรณ์ส่วนตัวของตนเองทิ้งไป โดยที่การลบทิ้งนั้นจะต้องไม่สามารถเรียกข้อมูลกลับคืนมาได้
(ค) องค์กรควรมีกระบวนการบริหารจัดการและจัดเก็บองค์ความรู้สำคัญของผู้รับการว่าจ้างเพื่อให้ความรู้เหล่านั้นยังคงอยู่กับองค์กรต่อไปแม้บุคคลเหล่านั้นจะลาออกไปแล้ว (ซึ่งส่วนนี้เป็นเรื่องของการสกัดความรู้พนักงานมาเป็นเอกสารระเบียบปฏิบัติ มาตรฐานเทคนิควิธีการทำงานต่างๆ)
หลักการ/มาตรการ
สิทธิการเข้าถึงข้อมูล อาคาร และระบบเทคโนโลยีสารสนเทศของผู้รับการว่าจ้างควรได้รับการเพิกถอนเมื่อ
สิ้นสุดการจ้างงาน หรือควรได้รับการปรับปรุงใหม่ให้เหมาะสมตามการเปลี่ยนแปลงที่เกิดขึ้น เช่น เมื่อเปลี่ยนหรือย้ายไปอยู่อีกแผนกหนึ่ง
แนวทางปฏิบัติ
(ก) องค์กรควรมีระบบในการเพิกถอนหรือเปลี่ยนสิทธิการเข้าถึงระบบงานของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานโดยทันที หรือภายในระยะเวลาที่กำหนดไว้
(ข) องค์กรควรมีระบบในการดำเนินการเพิกถอนหรือเปลี่ยนสิทธิการเข้าถึงทางกายภาพของผู้ที่สิ้นสุดการว่า
จ้างหรือเปลี่ยนการจ้างงานโดยทันที หรือภายในระยะเวลาที่กำหนดไว้
(ค) องค์กรควรมีระบบดำเนินการเพิกถอน ลบ หรือเปลี่ยนรหัสผ่านของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานโดยทันที หรือภายในระยะเวลาที่กำหนดไว้
(ง) องค์กรควรมีระบบดำเนินการขอคืนกุญแจหรือบัตรสำหรับเข้าพื้นที่ต่างๆ และไม่อนุญาตให้ผู้ที่สิ้นสุดการว่าจ้างใช้งานกุญแจหรือบัตรเหล่านั้น
(จ) องค์กรควรมีระบบดำเนินการเพิกถอนหรือยกเลิกการลงทะเบียนหรือสมัครเป็นสมาชิกต่างๆ ของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงาน
(ฉ) องค์กรควรมีระบบดำเนินการลบหรือเปลี่ยนชื่อของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานออกจากเอกสารต่างๆ ขององค์กรที่มีชื่อของบุคคลดังกล่าวอยู่ในนั้น
(ช) องค์กรควรมีระบบดำเนินการเพิกถอน ลบ หรือลดระดับสิทธิในการเข้าถึงของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานก่อนวันสุดท้ายของการมาทำงานหรือในสัญญาจ้าง สำหรับกรณีที่
1) การเข้าถึงระบบงานหรือข้อมูลที่ยังสามารถเข้าถึงได้อยู่มีความเสี่ยงต่อความเสียหายต่อองค์กรในระดับสูง
2) ผู้บริหารคาดว่าอาจมีการแก้แค้นหรือตอบโต้กันเกิดขึ้นกับผู้ที่สิ้นสุดการว่าจ้างหรือถูกเปลี่ยนการจ้างงาน
3) บทบาทและหน้าที่ความรับผิดชอบของผู้ที่สิ้นสุดการว่าจ้างหรือเปลี่ยนการจ้างงานนั้นมีความเสี่ยงต่อความเสียหายที่อาจเกิดขึ้นกับองค์กร
4) ทรัพย์สินสารสนเทศที่ถูกเข้าถึงนั้นมีคุณค่าหรือมีความสำคัญสูงต่อองค์กร