ISO 27001:2022 Bilag A 6.4 kræver, at organisationer etablerer en disciplinær proces for at virke afskrækkende over for informationssikkerhed overtrædelser.
Formel kommunikation af denne proces bør implementeres, og der bør etableres en sanktion, der er egnet til medarbejdere og andre interessenter, der overtræder informationssikkerhedspolitikken.
Information sikkerhedspolitik overtrædelser udgør en overtrædelse af reglerne for forsvarlig behandling af oplysninger. Organisationer etablerer disse politikker for at beskytte fortrolige, proprietære og personlige data, såsom kunderegistre og kreditkortnumre. Derudover er computersikkerhedspolitikker også inkluderet i disse for at sikre, at data gemt på computere forbliver sikre og intakte.
Hvis du bruger virksomhedens e-mail til at sende personlig kommunikation uden tilladelse fra din supervisor, kan dette udgøre et brud på virksomhedens politik. Skulle du desuden begå en fejl, mens du bruger virksomhedens udstyr eller software, hvilket resulterer i skader på enten udstyret eller de data, der er lagret på det, er dette også et brud på informationssikkerhedspolitikken.
Hvis en medarbejder overtræder en organisations informationssikkerhedspolitik, kan det medføre disciplinære handlinger eller afskedigelse. I visse situationer kan en virksomhed vælge ikke at afskedige en medarbejder, der bryder sin computerbrugspolitik, men at tage andre passende skridt for at stoppe enhver yderligere overtrædelse af virksomhedens politik.
Book en 30 minutters chat med os, så viser vi dig hvordan
Formålet med den disciplinære proces er at sikre, at personale og andre interesserede parter anerkender resultaterne af et brud på informationssikkerhedspolitikken.
Bilag A 6.4 er designet til både at afskrække og hjælpe med at håndtere enhver overtrædelse af informationssikkerhedspolitikker og sikre, at medarbejdere og andre relaterede interessenter er opmærksomme på konsekvenserne.
Et effektivt informationssikkerhedsprogram skal omfatte kapaciteten til at administrere passende disciplinære foranstaltninger for arbejdstagere, der overtræder reglerne om informationssikkerhed. Dette sikrer, at personalet forstår implikationerne af at se bort fra foruddefinerede regler, hvilket mindsker sandsynligheden for bevidst eller utilsigtet datalækage.
Eksempler på aktiviteter, der kunne inkluderes, mens denne kontrol håndhæves, er:
De disciplinære foranstaltninger, der er skitseret i rammen, bør implementeres hurtigt efter en hændelse for at modvirke yderligere brud på organisationens politikker.
At møde kravene i bilag A 6.4, skal der træffes disciplinære foranstaltninger, når der er bevis for ikke at overholde organisationens politikker, procedurer eller regler. Dette omfatter også enhver gældende lovgivning og regler.
I henhold til bilag A 6.4 skal den formelle disciplinære proces tage højde for følgende elementer, når der tages en gradueret tilgang:
Overvej alle relevante juridiske, lovgivningsmæssige, regulatoriske, kontraktlige og virksomhedsmæssige forpligtelser samt alle andre relevante faktorer, når du handler.
ISO 27001:2022 Bilag A 6.4 erstatter ISO 27001:2013 Bilag A 7.2.3 i den reviderede 2022-version af ISO 27001.
ISO 27001:2022 anvender et brugervenligt sprog for at sikre, at standardens brugere kan forstå dens indhold. Der er mindre variationer i ordlyden, men den overordnede kontekst og indhold forbliver det samme.
Den eneste forskel, du vil observere, er, at bilag A-kontrolnummeret er blevet ændret fra 7.2.3 til 6.4. Desuden har 2022-standarden den ekstra fordel af en attributtabel og en formålserklæring, som er fraværende i 2013-versionen.
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
I de fleste tilfælde overvåges den disciplinære proces af afdelingslederen eller HR-repræsentanten. Det er ikke ualmindeligt, at HR-repræsentanten giver ansvaret for disciplinære handlinger til en anden i organisationen, som en informationssikkerhedsekspert.
Det primære mål med disciplinære handlinger er at beskytte organisationen mod eventuelle yderligere krænkelser fra personalemedlemmet. Det har endvidere til formål at afskrække enhver yderligere forekomst af lignende hændelser ved at sikre, at alle medarbejdere er opmærksomme på betydningen af brud på informationssikkerheden.
Det er vigtigt for enhver organisation at sikre, at der træffes disciplinære foranstaltninger, når en medarbejder har overtrådt nogen af dens politikker eller procedurer. For at sikre dette skal der etableres en klar vejledning om, hvordan sådanne situationer håndteres, herunder instrukser om, hvordan undersøgelser skal udføres, og hvilke handlinger der skal foretages efterfølgende.
Hvis du overvejer, hvordan disse ændringer påvirker dig, er her en kort oversigt over de mest kritiske punkter:
Hvis du sigter efter at vinde ISMS certificering, bør du vurdere dine sikkerhedsforanstaltninger for at sikre, at de overholder den reviderede standard.
For at få indsigt i den indflydelse, den nye ISO 27001:2022 kan have på dine datasikkerhedsprocedurer og ISO 27001-akkreditering, henvises til vores gratis ISO 27001:2022-vejledning.
ISMS.online er førende ISO 27001 management system software, der hjælper med at overholde ISO 27001-standarden. Det hjælper virksomheder med at sikre, at deres sikkerhedspolitikker og -procedurer er i overensstemmelse med kravet.
Denne skybaseret platform tilbyder et komplet udvalg af værktøjer til at hjælpe organisationer med at etablere et Information Security Management System (ISMS) baseret på ISO 27001.
Disse værktøjer består af:
ISMS.Online giver brugerne mulighed for at:
ISMS.Online tilbyder råd om, hvordan du eksekverer dit ISMS optimalt, med vejledning om udformning af politikker og protokoller forbundet med risikostyring, uddannelse af personales sikkerhedsbevidsthed og forberedelse af hændelsesreaktioner.
Kontakt os nu for at planlægge en demonstration.
Vores seneste succes med at opnå ISO 27001, 27017 & 27018 certificering skyldtes i høj grad ISMS.online.