- Se ISO 27002:2022 Kontrol 6.5 for mere information.
- Se ISO 27001:2013 Bilag A 7.3.1 for mere information.
Hvad er ISO 27001:2022 Annex A 6.5?
ISO 27001:2022 Annex A 6.5 pålægger organisationer at specificere informationssikkerhedsroller og -ansvar, der forbliver effektive, selvom personale forlader eller omplaceres. Kommuniker disse pligter og ansvar til medarbejderen og enhver relevant tredjepart.
Oplysningspligter og -ansvar forklaret
Medarbejdere er juridisk forpligtet til at holde enhver information, som deres arbejdsgiver overlader dem fortroligt. Det er vigtigt for personalet at forstå kravene til beskyttelse af deres arbejdsgivers data.
Arbejdsgivere har generelt ret til at forudse, at deres medarbejdere beskytter fortrolige data og ikke udnytter dem til personlig fortjeneste, f.eks. gennem insiderhandel eller andre ulovlige aktiviteter.
Et par eksempler på informationssikkerhedsopgaver og -ansvar omfatter:
- Det er yderst vigtigt at sikre fortroligheden af personlige oplysninger.
- Det er vigtigt at føre en log over hvordan Personlig data administreres, anvendes og deles.
- Det er altafgørende at sikre nøjagtighed og pålidelighed af data. Dette nødvendiggør indsamling fra pålidelige kilder, sikker opbevaring og sikker bortskaffelse, når det ikke længere er nødvendigt.
- Sørg for, at kun autoriserede personer har adgang til oplysninger.
- Gør brug af og videregive personoplysninger lovligt og retfærdigt i overensstemmelse med gældende lovgivning.
Det er vigtigt for organisationer at være bevidste om deres forpligtelser, når de håndterer personlige data, for at undgå at krænke enhver privatlivslovgivning, da konsekvenserne for både virksomheden og dens personale kan være alvorlige.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvad er formålet med ISO 27001:2022 Annex A 6.5?
Bilag A 6.5 bør implementeres ved en medarbejders eller entreprenørs afgang fra organisationen, eller når en kontrakt udløber inden dens udløb.
Denne kontrol varetager organisationens informationssikkerhedsinteresser i tilfælde af ansættelsesændringer eller kontraktophør.
Dette bilag A-kontrol sikrer mod muligheden for, at medarbejdere drager fordel af deres adgang til fortrolige oplysninger og processer til personlig vinding eller ondsindet hensigt, især efter deres afgang fra organisationen eller jobbet.
Bilag A Kontrol 6.5 Forklaret
ISO 27001: 2022 Bilag A 6.5 søger at varetage organisationens datasikkerhedsinteresser i tilfælde af ændring eller ophør af ansættelse eller kontrakter. Dette dækker medarbejdere, entreprenører og tredjeparter, der får adgang til fortrolige data.
Vurder, om nogen personer (herunder kontrakterede personer) med adgang til dine følsomme personlige data forlader din organisation, og tag foranstaltninger for at sikre, at de ikke beholder og fortsætter med at få adgang til dine følsomme personlige data, efter de forlader dem.
Hvis du opdager, at en person rejser, og der er en chance for, at fortrolige personlige oplysninger kan blive afsløret, skal du tage passende skridt, enten før de går eller så hurtigt som muligt bagefter for at sikre, at dette ikke sker.
Hvad er involveret, og hvordan man opfylder kravene
For at opfylde kriterierne i bilag A 6.5 bør en persons ansættelseskontrakt eller aftale specificere evt informationssikkerhedsansvar og pligter, der stadig står efter forholdets indgåelse.
Informationssikkerhedsansvar kan indgå i andre kontrakter eller aftaler, der varer længere end en medarbejders ansættelsesperiode.
Ved at forlade en rolle eller skifte job, skal den etablerede operatør sikre, at deres sikkerhedsansvar er overført, og at alle adgangsoplysninger slettes og erstattes.
For yderligere detaljer om denne proces, se ISO 27001:2022 standarddokumentet.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Ændringer og forskelle fra ISO 27001:2013
ISO 27001:2022 Bilag A 6.5 er en tilpasning af ISO 27001:2013 Bilag A 7.3.1 snarere end en ny bilag A-kontrol.
Det grundlæggende i disse to kontroller er ens, selvom der er små uoverensstemmelser. For eksempel adskiller implementeringsvejledningen sig lidt i begge versioner.
Den første del af bilag A 7.3.1 i ISO 27001:2013 bestemmer, at organisationer skal:
Ved opsigelse er det væsentligt at kommunikere de nødvendige informationssikkerheds- og lovkrav samt eventuelle gældende fortrolighedsaftaler og ansættelsesvilkår, der kan løbe i en nærmere angivet periode efter afslutningen af medarbejderens eller kontrahentens ansættelse.
Det samme afsnit Bilag A 6.5 i ISO 27001:2022 bestemmer, at:
Proceduren for håndtering af opsigelse eller ændring af ansættelse bør specificere, hvilke informationssikkerhedsansvar og forpligtelser, der forbliver i kraft efter opsigelse eller ændring. Dette kan omfatte opretholdelse af fortrolighed af oplysninger, intellektuel ejendom og anden erhvervet viden samt ethvert andet ansvar, der er fastsat i en fortrolighedsaftale.
Ansvar og pligter, der forbliver i kraft efter opsigelsen af en persons ansættelse, kontrakt eller aftale, bør være detaljeret beskrevet i deres vilkår og betingelser. Derudover kan alle kontrakter eller aftaler, der strækker sig over en defineret periode efter afslutningen af den enkeltes ansættelse, omfatte ansvar for informationssikkerhed.
På trods af forskellen i ordlyd har begge bilag A-kontroller en stort set ens struktur og formål i deres respektive sammenhænge. For at gøre bilag A 6.5 mere brugervenligt er sproget blevet forenklet, så brugerne bedre kan forstå dets indhold.
2022-versionen af ISO 27001 inkluderer en formålserklæring og attributtabel for hver kontrol, der hjælper brugerne med at forstå og implementere dem. Dette er fraværende i 2013-udgaven.
Tabel over alle ISO 27001:2022 bilag A kontroller
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 |
Bilag A 5.1.1 Bilag A 5.1.2 |
Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 |
Bilag A 6.1.5 Bilag A 14.1.1 |
Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 |
Bilag A 8.1.1 Bilag A 8.1.2 |
Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 |
Bilag A 8.1.3 Bilag A 8.2.3 |
Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 |
Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 |
Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 |
Bilag A 9.1.1 Bilag A 9.1.2 |
Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 |
Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 |
Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 |
Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 |
Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 |
Bilag A 15.2.1 Bilag A 15.2.2 |
Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 |
Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 |
Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 |
Bilag A 18.1.1 Bilag A 18.1.5 |
Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 |
Bilag A 18.2.2 Bilag A 18.2.3 |
Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 |
Bilag A 16.1.2 Bilag A 16.1.3 |
Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 |
Bilag A 11.1.2 Bilag A 11.1.6 |
Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 |
Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 |
Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 |
Bilag A 6.2.1 Bilag A 11.2.8 |
Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 |
Bilag A 12.6.1 Bilag A 18.2.3 |
Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 |
Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 |
Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af privilegerede hjælpeprogrammer Adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.19 |
Bilag A 12.5.1 Bilag A 12.6.2 |
Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 |
Bilag A 10.1.1 Bilag A 10.1.2 |
Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 |
Bilag A 14.1.2 Bilag A 14.1.3 |
Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Principper for sikker systemarkitektur og -teknikLæring af informationssikkerhedshændelser |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 |
Bilag A 14.2.8 Bilag A 14.2.9 |
Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 |
Bilag A 12.1.4 Bilag A 14.2.6 |
Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 |
Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 |
Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
Hvem er ansvarlig for denne proces?
I overensstemmelse med anbefalingen i ISO 27001:2022 Annex A 6.5, tager Human Resources normalt ansvaret for hele opsigelsesprocessen i de fleste organisationer, og samarbejder med den enkeltes supervisor for at sikre informationssikkerhed som en del af procedurerne.
Personale leveret af en ekstern part (f.eks. en leverandør) bør opsiges i overensstemmelse med den kontrakt, der er etableret mellem organisationen og den eksterne part.
Hvad betyder disse ændringer for dig?
ISO 27001:2022-standarden er stort set forblevet uændret, blot opdateret for forbedret brugervenlighed. Ingen organisation, der i øjeblikket overholder ISO 27001:2013, behøver at træffe ekstra foranstaltninger for at forblive i overensstemmelse med kravene.
For at imødekomme ændringerne i ISO 27001:2022 vil organisationen kun skulle foretage mindre ændringer i deres eksisterende metoder og processer, især hvis det sigter mod at forny certificeringen.
[case_study_slider ids=”88859,101932,92016″ autoplay=”sand” autoplay_speed=”5000″]
Hvordan ISMS.Online Hjælp
Virksomheder kan bruge ISMS.online til at hjælpe med deres overholdelse af ISO 27001:2022. Denne platform forenkler processen med at administrere, opdatere, teste og evaluere deres sikkerhedsprotokoller.
Vores cloud-baserede platform forenkler ISMS-styring, hvilket giver dig mulighed for effektivt at overvåge risikostyring, politikker, planer, procedurer og mere, alt sammen fra én enkelt kilde. Platformen er ligetil, og dens brugervenlige grænseflade gør den nem at hente.
ISMS.online giver din organisation mulighed for at:
- Dokumenter dine procedurer ved hjælp af en brugervenlig webgrænseflade, ingen softwareinstallation nødvendig på din computer eller netværk.
- Automatiser din farevurderingsteknik for større effektivitet.
- Det er nemt at opnå overholdelse med onlinerapporter og tjeklister.
- Overvåg dine fremskridt, mens du søger certificering.
Hvis du driver en virksomhed, der kræver overholdelse af ISO 27001, tilbyder ISMS.Online et omfattende udvalg af funktioner, der gør dig i stand til at udføre denne vigtige opgave.
Kontakt os nu for at arrangere en demonstration.