ISO 27001:2022 Bilag A Kontrol 6.2

Ansættelsesvilkår

Book en demo

flere,forretningsfolk,gå,i,korridoren

Hvad er ISO 27001:2022 Bilag A 6.2 – Ansættelsesvilkår og -vilkår?

ISO 27001:2022 Bilag A 6.2 diskuterer behovet for en kontraktlig aftale for at informere enhver ny medarbejder om deres og virksomhedens ansvar for informationssikkerhed.

Det betyder, at medarbejderne skal være bekendt med virksomhedens oplysninger sikkerhedspolitik og roller og ansvar for dem, der arbejder i det. Det er muligt at opnå dette ved at kræve, at personalet underskriver en ansættelseskontrakt eller en form for aftale.

I en sådan kontrakt er de generelle krav til beskyttelse af informationsaktiver skitseret, herunder fysisk sikkerhed, miljøkontrol, adgangskontrol, beredskabsplanlægning og en fortrolighedsaftale, hvis de vil arbejde med personligt identificerbare oplysninger.

Hvad er formålet med ISO 27001:2022 Annex A 6.2?

Formålet med bilag A 6.2 er at sikre, at alle medarbejdere forstår, hvordan de er ansvarlige for at beskytte virksomhedens aktiver og fortrolige oplysninger i deres rolle.

Forpligtelser i henhold til ISO 27001:2022 bilag A 6.2

ISO 27001:2022 Bilag A 6.2 beskriver ansættelsesvilkårene i din organisations informationssikkerhedsstyringssystem (ISMS). Det hjælper dig med at overholde ISO 27001, GDPR og andre lovkrav vedrørende behandling af personoplysninger og informationssikkerhed.

For at hjælpe med at opnå dette bør medarbejderne være opmærksomme på deres tavshedspligt og andre relevante vilkår og betingelser, før de påbegynder arbejdet. Det kan også omfatte restriktioner for brug af teknologi eller sociale medier.

Bilag A 6.2 bør revideres årligt for at sikre, at eventuelle ændringer i organisationsstruktur eller procedurer afspejles i medarbejderdokumentation.

Gå til emne
Opdateret til ISO 27001 2022
  • 81 % af arbejdet udført for dig
  • Assured Results Metode til certificeringssucces
  • Spar tid, penge og besvær
Book din demo
img

Hvad er involveret, og hvordan opfylder du kravene i ISO 27001:2022 bilag 6.2?

En ansættelseskontrakt eller tilbudsbrev, som beskriver alle vilkår og betingelser for deres ansættelse, især inden for informationssikkerhed, er den nemmeste måde at overholde ISO 27001:2022 bilag A 6.2.

Kontraktlige forpligtelser for personalet bør også tage hensyn til organisationens informationssikkerhedspolitik og relevante emnespecifikke politikker. En ansættelseskontrakt skal omfatte følgende punkter:

  • Personer, der får adgang til fortrolige oplysninger, bør underskrive fortroligheds- eller fortrolighedsaftaler, før de får adgang til informationsaktiverne.

  • En beskrivelse af juridiske ansvar og rettigheder (f.eks. love om ophavsret eller love om databeskyttelse).

  • Ansvar for klassificering af information & forvaltning af organisationens informationsaktiver.

  • informationsaktiver og andre tilhørende aktiver, informationsbehandlingsfaciliteter og informationstjenester, der håndteres af personalet.

  • Ansvaret for håndtering af oplysninger modtaget fra interesserede parter.

  • Hvis personale tilsidesætter organisatoriske informationssikkerhedskrav, skal der tages handlinger og forklares, hvad de er.

Derudover bør organisationen sikre, at personalet accepterer vilkår og betingelser vedrørende informationssikkerhed.

Hvad er ændringerne fra ISO 27001:2013?

ISO 27001:2022 Bilag A 6.2 erstatter ISO 27001:2013 Bilag A 7.1.2 ('Ansættelsesvilkår').

Der er ingen forskel mellem de to versioner bortset fra ændringen i bilagsnummeret. Selvom formuleringen af ​​de to er forskellig, er indholdet og konteksten stort set den samme.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrollere.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvem er ansvarlig for ISO 27001:2022 Annex A 6.2?

En mindre virksomhed kan have én person med ansvar for alle HR-funktioner (f.eks. kontrakter, rekruttering, uddannelse). Fra den administrerende direktør og ned kan ledelse og supervisorer i hele organisationen dele ansvaret for denne funktion.

Ikke desto mindre er det bedst, hvis HR-chefen er ansvarlig for dette bilag, med ismer leder, der fører tilsyn.

Hvordan ISMS.online Hjælp

ISMS.online er en cloud-baseret SaaS-løsning, der hjælper virksomheder med at vise overholdelse af ISO 27001:2022.

ISMS.online kan bruges til at administrere kravene i ISO 27001:2022 og sikre, at din organisation forbliver i overensstemmelse med den reviderede standard. Det ISO 27001-standard er blevet opdateret for at afspejle de voksende cybertrusler, vi står over for som samfund.

Vi leverer en brugervenlig ramme til dokumentation af informationssikkerhedspolitikker og -procedurer. Vi tilbyder også et centraliseret sted, hvor du kan gemme al din compliance-dokumentation, så den let kan tilgås af forskellige interessenter i virksomheden (f.eks. HR, IT).

Kontakt i dag for arrangere en demo.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Med ISMS.online er udfordringer omkring versionskontrol, politikgodkendelse og politikdeling fortid.
Dean Fields
IT-direktør NHS fagfolk
100 % af vores brugere består certificeringen første gang
Book din demo

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere