G Ghid · ISO 27001

ISO 27001: securitatea resurselor umane (A.6)

8 controale A.6 din ISO 27001 pentru securitatea resurselor umane: verificare la angajare conform GDPR, confidențialitate, proces disciplinar și offboarding.

Elena Tudor
Elena Tudor
Specialist ISO 27001 & GDPR
7 min citire Publicat 22 iun. 2026
ISO 27001: securitatea resurselor umane (A.6)

Ce înseamnă securitatea resurselor umane în ISO 27001? Sunt cele 8 controale din categoria A.6 a Anexei A, controalele pentru personal, care reduc riscul ca un angajat să devină, din neatenție sau intenționat, sursa unei breșe. Acoperă tot parcursul unui angajat, de la verificarea dinainte de angajare până la retragerea accesului în ziua plecării.

Controalele fac parte din certificarea ISO 27001 și completează restul controalelor din Anexa A. În versiunea ISO/IEC 27001:2013 erau grupate în domeniul A.7, „securitatea resurselor umane”. Versiunea 2022 le-a mutat în categoria A.6, dar conținutul a rămas aproape același. Dacă lucrezi cu documentație mai veche care vorbește de A.7, controalele sunt aceleași.

Pornește de la cele 8 controale de personal

Fiecare control acoperă un moment din relația de muncă. Tabelul de mai jos arată ce cere fiecare și când intervine.

ControlCe cereCând intervine
A.6.1 Verificare la angajareVerifici candidatul proporțional cu riscul postuluiÎnainte de angajare
A.6.2 Termeni și condițiiTreci responsabilitățile de securitate în contract și fișa postuluiLa angajare
A.6.3 Conștientizare și instruireTraining de securitate adaptat pe roluriPe durata angajării
A.6.4 Proces disciplinarTratezi abaterile de securitate printr-o procedură formalăLa incident
A.6.5 Responsabilități după plecareStabilești ce obligații rămân valabile după încetarea contractuluiLa plecare sau schimbare de rol
A.6.6 ConfidențialitateSemnezi clauze de confidențialitateLa angajare și după
A.6.7 Munca la distanțăReguli de securitate pentru lucrul remotePe durata angajării
A.6.8 Raportarea evenimentelorCanal prin care angajații raportează incidente de securitatePe durata angajării

Doar trei dintre ele se închid cu un document semnat la angajare (A.6.2, A.6.6 și parțial A.6.1). Restul cer dovezi pe tot parcursul anului: înregistrări de training, decizii disciplinare, formulare de plecare. La audit, organismul de certificare verifică aceste dovezi, nu existența unei proceduri pe hârtie.

Două controale au ghiduri separate, pentru că sunt subiecte ample în sine: conștientizarea și trainingul de securitate (A.6.3) și securitatea muncii la distanță (A.6.7). Mai jos tratăm restul controalelor, cu accent pe ce cere legislația din România.

Verifică angajatul fără să încalci GDPR

Controlul A.6.1 cere o verificare a candidatului proporțională cu sensibilitatea informațiilor la care va avea acces. Standardul îți lasă libertatea metodei, dar legislația din România îți pune limite clare.

Codul muncii (art. 29) spune că informațiile cerute candidatului nu pot avea alt scop decât aprecierea capacității de a ocupa postul. Referințele de la foștii angajatori le poți cere doar despre activitatea desfășurată și durata angajării, iar candidatul trebuie înștiințat în prealabil.

Greșeala frecventă este să ceri cazier judiciar tuturor candidaților. Cazierul conține date despre condamnări, iar art. 10 din GDPR permite prelucrarea lor doar când o lege o impune pentru postul respectiv. Pentru funcții de pază, gestionari sau anumite posturi reglementate, legea cere cazierul. Pentru un post de marketing, nu. Dacă îl ceri oricum, prelucrezi date fără temei legal și te expui la o amendă de la Autoritatea de supraveghere (ANSPDCP).

Aplică principiul minimizării din GDPR: ceri exact ce e relevant pentru rol și nimic în plus. O verificare a referințelor profesionale și confirmarea diplomelor sunt suficiente pentru majoritatea posturilor. Cum se leagă ISO 27001 de protecția datelor vezi în ghidul despre ISO 27001 și GDPR.

Treci responsabilitățile în contract și semnează confidențialitatea

Controlul A.6.2 cere ca responsabilitățile de securitate ale angajatului să fie scrise, nu subînțelese. În practică, le treci în fișa postului și în regulamentul intern. Un programator are în fișă obligația de a nu scoate cod sursă din mediul de lucru. Un casier are reguli despre protecția datelor de plată.

A.6.6 completează cu acordurile de confidențialitate. În Codul muncii, clauza de confidențialitate (art. 26) obligă ambele părți să nu transmită date aflate în timpul contractului, atât pe durata lui, cât și după încetare. Nerespectarea atrage plata de daune-interese. Spre deosebire de clauza de neconcurență, aceasta nu cere o indemnizație plătită angajatului, deci o poți include în orice contract.

Pune clauza direct în contractul individual de muncă, definește clar ce înseamnă informație confidențială pentru firma ta și conecteaz-o la politica de securitate a informației. Pentru colaboratorii externi și contractorii care ating date din perimetrul sistemului, folosești un acord de nedivulgare separat.

Documentează procesul disciplinar pentru abateri de securitate

Controlul A.6.4 cere o procedură formală prin care tratezi abaterile de securitate, ca angajații să știe ce consecințe au, de exemplu, partajarea unei parole sau scoaterea datelor pe un stick personal. În România, procesul disciplinar e reglementat strict de Codul muncii, așa că procedura ISO 27001 trebuie să se alinieze la el.

Pașii pe care îi cere legea:

  1. Constați abaterea și o documentezi: ce s-a întâmplat, când, ce informații au fost afectate.
  2. Convoci salariatul în scris pentru cercetarea disciplinară prealabilă (art. 251). Are dreptul să se apere și să fie asistat de un avocat sau de un reprezentant al sindicatului.
  3. Emiți decizia de sancționare (art. 252) în scris, în 30 de zile calendaristice de la data la care ai aflat de abatere, dar nu mai târziu de 6 luni de la faptă.
  4. Treci în decizie descrierea faptei, prevederile încălcate, temeiul de drept, termenul și instanța unde poate fi contestată. Fără aceste elemente, decizia este nulă.

A.6.4 nu îți cere să concediezi pe cineva. Îți cere ca regulile și consecințele să fie cunoscute dinainte și aplicate la fel pentru toți. Un proces disciplinar pe care îl aplici selectiv devine o vulnerabilitate, nu un control.

Securizează plecarea angajatului

Controlul A.6.5 acoperă momentul în care un angajat pleacă sau își schimbă rolul. Riscul este simplu: cineva care nu mai are nevoie de acces îl păstrează. Obligația de confidențialitate, în schimb, rămâne valabilă și după plecare.

Checklist pentru ziua plecării:

  • Revoci accesul la conturi, email, VPN și aplicațiile cloud, în aceeași zi
  • Recuperezi laptopul, telefonul, cardurile de acces și token-urile de autentificare
  • Schimbi parolele partajate la care a avut acces
  • Confirmi în scris că obligația de confidențialitate rămâne în vigoare
  • Documentezi totul într-un formular de plecare semnat de ambele părți

Revocarea accesului se leagă direct de controlul accesului din Anexa A. La schimbarea de rol, principiul e același: retragi drepturile vechi înainte să acorzi altele noi, ca nimeni să nu acumuleze acces de care nu mai are nevoie.

Exemplu: firmă de software cu 30 de angajați

Un SRL din Cluj cu 30 de angajați dezvoltă software pentru un client din Germania. Clientul cere certificarea ISO 27001 ca precondiție de contract. La auditul de certificare, auditorul verifică punctual controalele A.6.

Contractele au clauză de confidențialitate, iar fișele de post ale programatorilor listează responsabilități de securitate. Pentru postul de office manager, firma nu a cerut cazier judiciar, pentru că legea nu îl impune pentru acel rol. Există o procedură disciplinară documentată, aliniată la Codul muncii.

În martie, un programator a plecat din firmă. Accesul la GitLab și la contul AWS a fost revocat în aceeași zi, laptopul a fost returnat, iar formularul de plecare semnat. La audit, firma a arătat formularul ca dovadă pentru A.6.5. Niciun acces orfan, nicio neconformitate pe controalele de personal.

Întrebări frecvente

Securitatea resurselor umane este A.6 sau A.7 în ISO 27001?

În ISO/IEC 27001:2022 sunt controalele pentru personal din categoria A.6, în total 8 controale. În versiunea din 2013 erau în domeniul A.7. Numerotarea s-a schimbat, conținutul a rămas aproape același.

Pot cere cazierul judiciar oricărui candidat?

Nu. Îl poți cere doar pentru posturile unde o lege îl impune, de exemplu pază, gestiune sau anumite funcții reglementate. Pentru restul posturilor, încalci art. 10 din GDPR și riști amendă.

Ce dovezi cere auditorul pentru controalele de personal?

Cere dovezi concrete pentru cele 8 controale A.6: contracte cu clauză de confidențialitate, fișe de post cu responsabilități de securitate, înregistrări de training, decizii disciplinare și formulare de revocare a accesului la plecare.

Trebuie să plătesc angajatul pentru clauza de confidențialitate?

Nu. Spre deosebire de clauza de neconcurență, clauza de confidențialitate din art. 26 din Codul muncii nu cere o indemnizație. Nerespectarea ei atrage daune-interese.

Elena Tudor
Scris de
Elena Tudor
Specialist ISO 27001 & GDPR

Elena este specializată în securitatea informației și protecția datelor. Ajută companiile IT și fintech să obțină certificarea ISO 27001 și să demonstreze conformitatea GDPR.

Vezi toate articolele

Citește și mai departe

Toate ghidurile →
Ghid

ISO 27001 Anexa A: cele 93 de controale explicate

Ghid practic cu cele 93 de controale din Anexa A ISO 27001:2022, organizate pe 4 categorii, cu exemple si legatura cu NIS2.

Citește →
Ghid

Constientizare securitate ISO 27001: training angajati

Cum construiesti un program de constientizare conform ISO 27001 clauza 7.3 si A.6.3. Plan anual, simulari phishing, metrici si cerinte NIS2.

Citește →
Ghid

ISO 27001 munca la distanță: politica și controlul A.6.7

Controlul A.6.7 din ISO 27001:2022 cere o politică de muncă la distanță: dispozitive permise, VPN, autentificare multifactor și reguli BYOD pentru echipa ta.

Citește →
Ghid

Control acces ISO 27001: politica si implementare

Cum implementezi controlul accesului conform ISO 27001:2022. Controale A.5.15, A.5.18, A.8.5, matrice de acces, MFA, off-boarding si cerinte OUG 155/2024.

Citește →