4.2信息安全组织 信息安全组织一般分为内部组织和外部组织。社区卫生服务中心内部组织的信息安全控制目标是指在中心内管理信息安全。组织的安全建立在每一位人员不同责任分工的划分，不同的责任会有不同的工作指导原则。其中应当包括信息安全的管理承诺、信息安全协调、信息安全职责的分配、信息处理的授权、保密协议、信息安全的独立评审等。社区卫生服务中心外部组织的信息安全控制目标是保持中心被外部各方访问、处理、管理或与外部进行通信的信息和信息处理的安全。主要包括中心与系统外单位信息通信相关风险的识别、处理相关的安全问题和处理第三方协议中的安全问题等。

    4.3人力资源安全 人员在中心的信息安全管理中是一个最重要的因素，有资料表明，70%的安全问题是来自人员管理的疏漏，为了对人员有一个有效的管理，需要从任用之前、任用中、任用的终止或变更三项控制目标进行管理。

    4.3.1任用之前控制是指社区卫生服务中心任用人员之前为了确保人力资源的安全，需考虑到角色是否适合相应岗位，以降低设施被窃、信息泄露和误用的风险，这一目标的实现需通过角色和职责、审查、任用条款和条件三项控制措施的落实来保障。

    4.3.2任用中社区卫生服务中心的信息安全控制目标就是确保所有的员工、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针，以减少人为过失的风险。

    4.3.3社区卫生服务中心发生任用的终止或变更时，应确保信息的安全不外泄，确保员工、承包方人员和第三方人员以一个规范的方式退出或改变其任用关系。可以通过终止职责、资产的归还、撤销访问权限等控制措施来实现 ......