ISO 27001 – Bilag A.7: Human Resource Security

Hvad er formålet med bilag A.7.1?

Bilag A.7.1 handler om før ansættelse. Formålet med dette bilag er at sikre, at medarbejdere og entreprenører forstår deres ansvar og er egnede til de roller, som de overvejes til. Det dækker også, hvad der sker, når disse mennesker forlader eller skifter rolle.

Det er en vigtig del af informationssikkerhedsstyringssystemet (ISMS), især hvis du gerne vil opnå ISO 27001-certificering.

A.7.1.1 Screening

En god kontrol dækker over baggrundsverifikation og kompetencetjek på alle ansættelseskandidater. Disse skal udføres i overensstemmelse med de relevante love, regler og etik, og bør være proportionale med forretningskravene, klassificeringen af ​​de oplysninger, der vil blive tilgået, og de opfattede risici, der er forbundet hermed.

For eksempel kan personale, der får adgang til informationsaktiver på et højere niveau, der indebærer større risiko, være underlagt meget strengere kontrol end personale, der kun nogensinde får adgang til offentlig information eller håndterer aktiver med begrænset trussel. Indførelse af passende og forholdsmæssige HR-kontroller på alle stadier af ansættelsen hjælper med at reducere sandsynligheden for utilsigtede eller ondsindede trusler.

Screeningen bør også finde sted for entreprenører (medmindre deres moderorganisation opfylder dine bredere sikkerhedskontroller, f.eks. har deres egen ISO 27001 og udfører deres egne baggrundstjek).

En revisor vil forvente at se en screeningsproces med klare procedurer, der drives konsekvent hver gang for også at hjælpe med at undgå præference-/fordommerisici. Ideelt set vil dette være tilpasset den overordnede ansættelsesproces i organisationen.

A.7.1.2 Ansættelsesvilkår og -betingelser

Aftalen med medarbejdere og entreprenører skal angive deres og organisationens ansvar for informationssikkerhed. Disse aftaler er et godt sted at give nøgleinformationssikkerhed generelle og individuelle ansvarsområder, da de har juridisk vægt - hvilket betyder, at de er bakket op af loven.

Dette er også meget vigtigt med hensyn til GDPR og den nye databeskyttelseslov 2018. De bør referere til og dække en lang række kontrolområder, herunder overordnet overholdelse af ISMS samt mere specifikt acceptabel brug, IPR-ejerskab, returnering af aktiver osv.

Vi anbefaler at samarbejde med en HR-advokat, hvis du er usikker, da konsekvenserne for at få ansættelseskontrakter forkert set ud fra et informationssikkerhedsperspektiv (og andre dimensioner) kan være betydelige.

Hvad er formålet med bilag A.7.2?

Formålet med dette bilag er at sikre, at medarbejdere og kontrahenter er opmærksomme på og opfylder deres ansvar for informationssikkerhed under ansættelsen.

A.7.2.1 Ledelsesansvar

En god kontrol beskriver, hvordan medarbejdere og entreprenører anvender informationssikkerhed i overensstemmelse med organisationens politikker og procedurer.

Det ansvar, der pålægges ledere, bør omfatte krav til; Sikre, at de, de er ansvarlige for, forstår de informationssikkerhedstrusler, sårbarheder og kontroller, der er relevante for deres jobroller, og modtager regelmæssig træning (i henhold til A7.2.2); Sikre buy-in til proaktiv og tilstrækkelig support til relevante informationssikkerhedspolitikker og kontroller; og Styrke kravene i ansættelsesvilkårene.

Ledere spiller en afgørende rolle i at sikre sikkerhedsbevidsthed og samvittighedsfuldhed i hele organisationen og i at udvikle en passende "sikkerhedskultur".

A.7.2.2 Informationssikkerhedsbevidsthed, uddannelse og træning

Alle medarbejdere og relevante entreprenører skal modtage passende bevidsthedsundervisning og -træning for at udføre deres arbejde godt og sikkert. De skal modtage regelmæssige opdateringer i organisatoriske politikker og procedurer, når de også ændres, sammen med en god forståelse af den gældende lovgivning, der påvirker dem i rollen.

Det er almindeligt, at informationssikkerhedsteamet samarbejder med HR eller et lærings- og udviklingsteam for at udføre færdigheds-, viden-, kompetence- og bevidsthedsvurderinger og planlægge og implementere et program for bevidsthed, uddannelse og træning gennem hele ansættelsens livscyklus (ikke kun kl. induktion). Du skal være i stand til at demonstrere den uddannelse og overholdelse over for revisorer.

Overvej også nøje, hvordan træningen og bevidstheden leveres for at give personalet og entreprenørens ressource den bedste chance for at forstå og følge den – det betyder omhyggelig opmærksomhed på indhold og medium til levering.

Hvad er formålet med bilag A.7.3?

Bilag A.7.3 handler om opsigelse og ændring af ansættelsesforhold. Formålet i dette bilag er at beskytte organisationens interesser som led i processen med at ændre og afslutte ansættelsen.

A.7.3.1 Opsigelse eller ændring af ansættelsesansvar

Informationssikkerhedsansvar og -forpligtelser, der forbliver gyldige efter opsigelse eller ændring af ansættelsesforhold, skal defineres, kommunikeres til medarbejderen eller kontrahenten og håndhæves. Eksempler omfatter at holde oplysninger fortrolige og ikke forlade med oplysninger, der tilhører organisationen.

Det er virkelig vigtigt at sikre, at information forbliver beskyttet, efter at en medarbejder eller entreprenør forlader organisationen, da folk selv går i datalagre. De kontraktlige vilkår og betingelser bør forstærke dette, og forladerens proces og/eller kontraktopsigelsesproces (inklusive returnering af aktiver) bør omfatte en påmindelse til enkeltpersoner om, at de har et vist ansvar over for organisationen, selv efter at de er forladt.

En revisor vil gerne se beviser for, at forladere har returneret deres aktiver, og at processen lukkes af og dokumenteres for at påvise, at aktiver også er opdateret i aktivopgørelsen (A8.1.1), hvor det er relevant.

Dette handler ikke kun om opsigelse og exit. Hvis en medarbejder skifter rolle, f.eks. ved at flytte fra drift til salg, bør du lave en gennemgang for at påvise, at de ikke længere har adgang til informationsaktiver, som ikke er påkrævet i den nye rolle, og er forsynet med adgang til informationsaktiver, der er nødvendige for fremtiden.

A.7.2.3 Disciplinær proces

Der skal være en dokumenteret disciplinær proces på plads og kommunikeret (i overensstemmelse med A7.2.2 ovenfor). Selvom det her er fokuseret på disciplinære handlinger efter sikkerhedsbrud, kan det også hænge sammen med andre disciplinære årsager. Hvis din organisation allerede har en anerkendt HR-disciplinær proces, så sørg for, at den dækker informationssikkerhed på den måde, der kræves i henhold til ISO 27001:2013-standarden.