ISO 27001:2022 Bilag A Kontrol 6.4

Disciplinær proces

Book en demo

bund,visning,af,moderne,skyskrabere,i,forretning,distrikt,mod,blå

Hvad er ISO 27001:2022 Annex A 6.4?

ISO 27001:2022 Bilag A 6.4 kræver, at organisationer etablerer en disciplinær proces for at virke afskrækkende over for informationssikkerhed overtrædelser.

Formel kommunikation af denne proces bør implementeres, og der bør etableres en sanktion, der er egnet til medarbejdere og andre interessenter, der overtræder informationssikkerhedspolitikken.

Overtrædelse af informationssikkerheden forklaret

Information sikkerhedspolitik overtrædelser udgør en overtrædelse af reglerne for forsvarlig behandling af oplysninger. Organisationer etablerer disse politikker for at beskytte fortrolige, proprietære og personlige data, såsom kunderegistre og kreditkortnumre. Derudover er computersikkerhedspolitikker også inkluderet i disse for at sikre, at data gemt på computere forbliver sikre og intakte.

Hvis du bruger virksomhedens e-mail til at sende personlig kommunikation uden tilladelse fra din supervisor, kan dette udgøre et brud på virksomhedens politik. Skulle du desuden begå en fejl, mens du bruger virksomhedens udstyr eller software, hvilket resulterer i skader på enten udstyret eller de data, der er lagret på det, er dette også et brud på informationssikkerhedspolitikken.

Hvis en medarbejder overtræder en organisations informationssikkerhedspolitik, kan det medføre disciplinære handlinger eller afskedigelse. I visse situationer kan en virksomhed vælge ikke at afskedige en medarbejder, der bryder sin computerbrugspolitik, men at tage andre passende skridt for at stoppe enhver yderligere overtrædelse af virksomhedens politik.

Gå til emne

Formålet med ISO 27001:2022 bilag A 6.4?

Formålet med den disciplinære proces er at sikre, at personale og andre interesserede parter anerkender resultaterne af et brud på informationssikkerhedspolitikken.

Bilag A 6.4 er designet til både at afskrække og hjælpe med at håndtere enhver overtrædelse af informationssikkerhedspolitikker og sikre, at medarbejdere og andre relaterede interessenter er opmærksomme på konsekvenserne.

Et effektivt informationssikkerhedsprogram skal omfatte kapaciteten til at administrere passende disciplinære foranstaltninger for arbejdstagere, der overtræder reglerne om informationssikkerhed. Dette sikrer, at personalet forstår implikationerne af at se bort fra foruddefinerede regler, hvilket mindsker sandsynligheden for bevidst eller utilsigtet datalækage.

Eksempler på aktiviteter, der kunne inkluderes, mens denne kontrol håndhæves, er:

  • Gennemfør regelmæssige træningssessioner for at holde personalet opdateret om politikændringer.

  • Design disciplinære foranstaltninger for manglende overholdelse af informationssikkerhedspolitikker.

  • Giv hver medarbejder en kopi af organisationens disciplinære procedurer.

  • I lignende situationer skal du sikre dig, at disciplinære procedurer følges konsekvent.

De disciplinære foranstaltninger, der er skitseret i rammen, bør implementeres hurtigt efter en hændelse for at modvirke yderligere brud på organisationens politikker.

Hvad er involveret, og hvordan man opfylder kravene

At møde kravene i bilag A 6.4, skal der træffes disciplinære foranstaltninger, når der er bevis for ikke at overholde organisationens politikker, procedurer eller regler. Dette omfatter også enhver gældende lovgivning og regler.

I henhold til bilag A 6.4 skal den formelle disciplinære proces tage højde for følgende elementer, når der tages en gradueret tilgang:

  • Der skal tages hensyn til omfanget af bruddet, dets karakter, alvor og konsekvenser.

  • Om lovovertrædelsen var bevidst eller utilsigtet.

  • Uanset om dette er den første eller gentagelsesforseelse.

  • Det skal overvejes, om overtræderen har fået tilstrækkelig oplæring.

Overvej alle relevante juridiske, lovgivningsmæssige, regulatoriske, kontraktlige og virksomhedsmæssige forpligtelser samt alle andre relevante faktorer, når du handler.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 6.4 erstatter ISO 27001:2013 Bilag A 7.2.3 i den reviderede 2022-version af ISO 27001.

ISO 27001:2022 anvender et brugervenligt sprog for at sikre, at standardens brugere kan forstå dens indhold. Der er mindre variationer i ordlyden, men den overordnede kontekst og indhold forbliver det samme.

Den eneste forskel, du vil observere, er, at bilag A-kontrolnummeret er blevet ændret fra 7.2.3 til 6.4. Desuden har 2022-standarden den ekstra fordel af en attributtabel og en formålserklæring, som er fraværende i 2013-versionen.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

ISO 27001:2022 Organisationskontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Organisatoriske kontrollerBilag A 5.1Bilag A 5.1.1
Bilag A 5.1.2		Politikker for informationssikkerhed
Organisatoriske kontrollerBilag A 5.2Bilag A 6.1.1Informationssikkerhedsroller og -ansvar
Organisatoriske kontrollerBilag A 5.3Bilag A 6.1.2Adskillelse af opgaver
Organisatoriske kontrollerBilag A 5.4Bilag A 7.2.1Ledelsesansvar
Organisatoriske kontrollerBilag A 5.5Bilag A 6.1.3Kontakt med myndigheder
Organisatoriske kontrollerBilag A 5.6Bilag A 6.1.4Kontakt med særlige interessegrupper
Organisatoriske kontrollerBilag A 5.7NYThreat Intelligence
Organisatoriske kontrollerBilag A 5.8Bilag A 6.1.5
Bilag A 14.1.1		Informationssikkerhed i projektledelse
Organisatoriske kontrollerBilag A 5.9Bilag A 8.1.1
Bilag A 8.1.2		Fortegnelse over oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.10Bilag A 8.1.3
Bilag A 8.2.3		Acceptabel brug af oplysninger og andre tilknyttede aktiver
Organisatoriske kontrollerBilag A 5.11Bilag A 8.1.4Tilbagelevering af aktiver
Organisatoriske kontrollerBilag A 5.12Bilag A 8.2.1Klassificering af oplysninger
Organisatoriske kontrollerBilag A 5.13Bilag A 8.2.2Mærkning af information
Organisatoriske kontrollerBilag A 5.14Bilag A 13.2.1
Bilag A 13.2.2
Bilag A 13.2.3		Informationsoverførsel
Organisatoriske kontrollerBilag A 5.15Bilag A 9.1.1
Bilag A 9.1.2		Adgangskontrol
Organisatoriske kontrollerBilag A 5.16Bilag A 9.2.1Identitetsstyring
Organisatoriske kontrollerBilag A 5.17Bilag A 9.2.4
Bilag A 9.3.1
Bilag A 9.4.3		Autentificeringsoplysninger
Organisatoriske kontrollerBilag A 5.18Bilag A 9.2.2
Bilag A 9.2.5
Bilag A 9.2.6		Adgangsrettigheder
Organisatoriske kontrollerBilag A 5.19Bilag A 15.1.1Informationssikkerhed i leverandørforhold
Organisatoriske kontrollerBilag A 5.20Bilag A 15.1.2Håndtering af informationssikkerhed inden for leverandøraftaler
Organisatoriske kontrollerBilag A 5.21Bilag A 15.1.3Håndtering af informationssikkerhed i IKT-forsyningskæden
Organisatoriske kontrollerBilag A 5.22Bilag A 15.2.1
Bilag A 15.2.2		Overvågning, gennemgang og ændringsstyring af leverandørservices
Organisatoriske kontrollerBilag A 5.23NYInformationssikkerhed til brug af skytjenester
Organisatoriske kontrollerBilag A 5.24Bilag A 16.1.1Informationssikkerhed Incident Management Planlægning og forberedelse
Organisatoriske kontrollerBilag A 5.25Bilag A 16.1.4Vurdering og beslutning om informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.26Bilag A 16.1.5Reaktion på informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.27Bilag A 16.1.6Lær af informationssikkerhedshændelser
Organisatoriske kontrollerBilag A 5.28Bilag A 16.1.7Indsamling af beviser
Organisatoriske kontrollerBilag A 5.29Bilag A 17.1.1
Bilag A 17.1.2
Bilag A 17.1.3		Informationssikkerhed under afbrydelse
Organisatoriske kontrollerBilag A 5.30NYIKT-beredskab til forretningskontinuitet
Organisatoriske kontrollerBilag A 5.31Bilag A 18.1.1
Bilag A 18.1.5		Juridiske, lovpligtige, regulatoriske og kontraktlige krav
Organisatoriske kontrollerBilag A 5.32Bilag A 18.1.2Intellektuelle ejendomsrettigheder
Organisatoriske kontrollerBilag A 5.33Bilag A 18.1.3Beskyttelse af optegnelser
Organisatoriske kontrollerBilag A 5.34 Bilag A 18.1.4Privatliv og beskyttelse af PII
Organisatoriske kontrollerBilag A 5.35Bilag A 18.2.1Uafhængig gennemgang af informationssikkerhed
Organisatoriske kontrollerBilag A 5.36Bilag A 18.2.2
Bilag A 18.2.3		Overholdelse af politikker, regler og standarder for informationssikkerhed
Organisatoriske kontrollerBilag A 5.37Bilag A 12.1.1Dokumenterede driftsprocedurer

ISO 27001:2022 Personkontrol

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
People ControlsBilag A 6.1Bilag A 7.1.1Screening
People ControlsBilag A 6.2Bilag A 7.1.2Ansættelsesvilkår
People ControlsBilag A 6.3Bilag A 7.2.2Informationssikkerhedsbevidsthed, uddannelse og træning
People ControlsBilag A 6.4Bilag A 7.2.3Disciplinær proces
People ControlsBilag A 6.5Bilag A 7.3.1Ansvar efter opsigelse eller ændring af ansættelse
People ControlsBilag A 6.6Bilag A 13.2.4Aftaler om fortrolighed eller tavshedspligt
People ControlsBilag A 6.7Bilag A 6.2.2Fjernbetjening
People ControlsBilag A 6.8Bilag A 16.1.2
Bilag A 16.1.3		Informationssikkerhed begivenhedsrapportering

ISO 27001:2022 Fysiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Fysiske kontrollerBilag A 7.1Bilag A 11.1.1Fysiske sikkerhedsomkredse
Fysiske kontrollerBilag A 7.2Bilag A 11.1.2
Bilag A 11.1.6		Fysisk adgang
Fysiske kontrollerBilag A 7.3Bilag A 11.1.3Sikring af kontorer, lokaler og faciliteter
Fysiske kontrollerBilag A 7.4NYFysisk sikkerhedsovervågning
Fysiske kontrollerBilag A 7.5Bilag A 11.1.4Beskyttelse mod fysiske og miljømæssige trusler
Fysiske kontrollerBilag A 7.6Bilag A 11.1.5Arbejde i sikre områder
Fysiske kontrollerBilag A 7.7Bilag A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerBilag A 7.8Bilag A 11.2.1Udstyrsplacering og beskyttelse
Fysiske kontrollerBilag A 7.9Bilag A 11.2.6Sikkerhed af aktiver uden for lokalerne
Fysiske kontrollerBilag A 7.10Bilag A 8.3.1
Bilag A 8.3.2
Bilag A 8.3.3
 Bilag A 11.2.5		Storage Media
Fysiske kontrollerBilag A 7.11Bilag A 11.2.2Understøttende hjælpeprogrammer
Fysiske kontrollerBilag A 7.12Bilag A 11.2.3Kabler sikkerhed
Fysiske kontrollerBilag A 7.13Bilag A 11.2.4Vedligeholdelse af udstyr
Fysiske kontrollerBilag A 7.14Bilag A 11.2.7Sikker bortskaffelse eller genbrug af udstyr

ISO 27001:2022 Teknologiske kontroller

Bilag A KontroltypeISO/IEC 27001:2022 Bilag A IdentifikatorISO/IEC 27001:2013 Bilag A IdentifikatorBilag A Navn
Teknologisk kontrolBilag A 8.1Bilag A 6.2.1
Bilag A 11.2.8		Brugerendepunktsenheder
Teknologisk kontrolBilag A 8.2Bilag A 9.2.3Privilegerede adgangsrettigheder
Teknologisk kontrolBilag A 8.3Bilag A 9.4.1Begrænsning af informationsadgang
Teknologisk kontrolBilag A 8.4Bilag A 9.4.5Adgang til kildekode
Teknologisk kontrolBilag A 8.5Bilag A 9.4.2Sikker godkendelse
Teknologisk kontrolBilag A 8.6Bilag A 12.1.3Kapacitetsstyring
Teknologisk kontrolBilag A 8.7Bilag A 12.2.1Beskyttelse mod malware
Teknologisk kontrolBilag A 8.8Bilag A 12.6.1
Bilag A 18.2.3		Håndtering af tekniske sårbarheder
Teknologisk kontrolBilag A 8.9NYConfiguration Management
Teknologisk kontrolBilag A 8.10NYSletning af oplysninger
Teknologisk kontrolBilag A 8.11NYDatamaskering
Teknologisk kontrolBilag A 8.12NYForebyggelse af datalækage
Teknologisk kontrolBilag A 8.13Bilag A 12.3.1Backup af information
Teknologisk kontrolBilag A 8.14Bilag A 17.2.1Redundans af informationsbehandlingsfaciliteter
Teknologisk kontrolBilag A 8.15Bilag A 12.4.1
Bilag A 12.4.2
Bilag A 12.4.3		Logning
Teknologisk kontrolBilag A 8.16NYOvervågningsaktiviteter
Teknologisk kontrolBilag A 8.17Bilag A 12.4.4Ursynkronisering
Teknologisk kontrolBilag A 8.18Bilag A 9.4.4Brug af Privileged Utility-programmer
Teknologisk kontrolBilag A 8.19Bilag A 12.5.1
Bilag A 12.6.2		Installation af software på operationelle systemer
Teknologisk kontrolBilag A 8.20Bilag A 13.1.1Netværkssikkerhed
Teknologisk kontrolBilag A 8.21Bilag A 13.1.2Sikkerhed af netværkstjenester
Teknologisk kontrolBilag A 8.22Bilag A 13.1.3Adskillelse af netværk
Teknologisk kontrolBilag A 8.23NYWebfiltrering
Teknologisk kontrolBilag A 8.24Bilag A 10.1.1
Bilag A 10.1.2		Brug af kryptografi
Teknologisk kontrolBilag A 8.25Bilag A 14.2.1Sikker udviklingslivscyklus
Teknologisk kontrolBilag A 8.26Bilag A 14.1.2
Bilag A 14.1.3		Applikationssikkerhedskrav
Teknologisk kontrolBilag A 8.27Bilag A 14.2.5Sikker systemarkitektur og ingeniørprincipper
Teknologisk kontrolBilag A 8.28NYSikker kodning
Teknologisk kontrolBilag A 8.29Bilag A 14.2.8
Bilag A 14.2.9		Sikkerhedstest i udvikling og accept
Teknologisk kontrolBilag A 8.30Bilag A 14.2.7Udliciteret udvikling
Teknologisk kontrolBilag A 8.31Bilag A 12.1.4
Bilag A 14.2.6		Adskillelse af udviklings-, test- og produktionsmiljøer
Teknologisk kontrolBilag A 8.32Bilag A 12.1.2
Bilag A 14.2.2
Bilag A 14.2.3
Bilag A 14.2.4		Change Management
Teknologisk kontrolBilag A 8.33Bilag A 14.3.1Testinformation
Teknologisk kontrolBilag A 8.34Bilag A 12.7.1Beskyttelse af informationssystemer under revisionstest

Hvem er ansvarlig for denne proces?

I de fleste tilfælde overvåges den disciplinære proces af afdelingslederen eller HR-repræsentanten. Det er ikke ualmindeligt, at HR-repræsentanten giver ansvaret for disciplinære handlinger til en anden i organisationen, som en informationssikkerhedsekspert.

Det primære mål med disciplinære handlinger er at beskytte organisationen mod eventuelle yderligere krænkelser fra personalemedlemmet. Det har endvidere til formål at afskrække enhver yderligere forekomst af lignende hændelser ved at sikre, at alle medarbejdere er opmærksomme på betydningen af ​​brud på informationssikkerheden.

Det er vigtigt for enhver organisation at sikre, at der træffes disciplinære foranstaltninger, når en medarbejder har overtrådt nogen af ​​dens politikker eller procedurer. For at sikre dette skal der etableres en klar vejledning om, hvordan sådanne situationer håndteres, herunder instrukser om, hvordan undersøgelser skal udføres, og hvilke handlinger der skal foretages efterfølgende.

Hvad betyder disse ændringer for dig?

Hvis du overvejer, hvordan disse ændringer påvirker dig, er her en kort oversigt over de mest kritiske punkter:

  • Ingen grund til at gencertificere; det er kun en mindre ændring.

  • Behold din nuværende certificering, indtil den udløber, forudsat at den forbliver gyldig.

  • Der er ikke foretaget større ændringer af ISO 27001:2022 Annex A 6.4.

  • Målet er at bringe standarden i overensstemmelse med den mest opdaterede bedste praksis og standarder.

Hvis du sigter efter at vinde ISMS certificering, bør du vurdere dine sikkerhedsforanstaltninger for at sikre, at de overholder den reviderede standard.

For at få indsigt i den indflydelse, den nye ISO 27001:2022 kan have på dine datasikkerhedsprocedurer og ISO 27001-akkreditering, henvises til vores gratis ISO 27001:2022-vejledning.

Hvordan ISMS.Online Hjælp

ISMS.online er førende ISO 27001 management system software, der hjælper med at overholde ISO 27001-standarden. Det hjælper virksomheder med at sikre, at deres sikkerhedspolitikker og -procedurer er i overensstemmelse med kravet.

Denne skybaseret platform tilbyder et komplet udvalg af værktøjer til at hjælpe organisationer med at etablere et Information Security Management System (ISMS) baseret på ISO 27001.

Disse værktøjer består af:

  • Et bibliotek med skabeloner til ofte stødte på virksomhedsdokumenter er tilgængeligt.

  • En samling af præ-etablerede retningslinjer og protokoller er på plads.

  • Et revisionsværktøj til at lette interne revisioner er tilgængeligt.

  • Der er en grænseflade til at tilpasse politikker og procedurer til Information Security Management System (ISMS).

  • Alle ændringer af politikker og procedurer skal godkendes gennem en workflow-proces.

  • Opret en liste for at sikre, at dine politikker og informationsbeskyttelsesforanstaltninger er i overensstemmelse med internationale standarder.

ISMS.Online giver brugerne mulighed for at:

  • Håndter alle områder af ISMS livscyklus med lethed.

  • Få øjeblikkelig forståelse af deres sikkerhedsstatus og overholdelsesproblemer.

  • Integrer med andre systemer såsom HR, økonomi og projektledelse.

  • Sikre overensstemmelse af ISMS til ISO 27001 kriterier.

ISMS.Online tilbyder råd om, hvordan du eksekverer dit ISMS optimalt, med vejledning om udformning af politikker og protokoller forbundet med risikostyring, uddannelse af personales sikkerhedsbevidsthed og forberedelse af hændelsesreaktioner.

Kontakt os nu for at planlægge en demonstration.

Vores seneste succes med at opnå ISO 27001, 27017 & 27018 certificering skyldtes i høj grad ISMS.online.

Karen Burton
Sikkerhedsanalytiker, Trives med sundhed

Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

ISMS.online understøtter nu ISO 42001 - verdens første AI Management System. Klik for at finde ud af mere