ISO 27001:2022 Annex A 6.5 pålægger organisationer at specificere informationssikkerhedsroller og -ansvar, der forbliver effektive, selvom personale forlader eller omplaceres. Kommuniker disse pligter og ansvar til medarbejderen og enhver relevant tredjepart.
Medarbejdere er juridisk forpligtet til at holde enhver information, som deres arbejdsgiver overlader dem fortroligt. Det er vigtigt for personalet at forstå kravene til beskyttelse af deres arbejdsgivers data.
Arbejdsgivere har generelt ret til at forudse, at deres medarbejdere beskytter fortrolige data og ikke udnytter dem til personlig fortjeneste, f.eks. gennem insiderhandel eller andre ulovlige aktiviteter.
Et par eksempler på informationssikkerhedsopgaver og -ansvar omfatter:
Det er vigtigt for organisationer at være bevidste om deres forpligtelser, når de håndterer personlige data, for at undgå at krænke enhver privatlivslovgivning, da konsekvenserne for både virksomheden og dens personale kan være alvorlige.
Book en 30 minutters chat med os, så viser vi dig hvordan
Bilag A 6.5 bør implementeres ved en medarbejders eller entreprenørs afgang fra organisationen, eller når en kontrakt udløber inden dens udløb.
Denne kontrol varetager organisationens informationssikkerhedsinteresser i tilfælde af ansættelsesændringer eller kontraktophør.
Dette bilag A-kontrol sikrer mod muligheden for, at medarbejdere drager fordel af deres adgang til fortrolige oplysninger og processer til personlig vinding eller ondsindet hensigt, især efter deres afgang fra organisationen eller jobbet.
ISO 27001: 2022 Bilag A 6.5 søger at varetage organisationens datasikkerhedsinteresser i tilfælde af ændring eller ophør af ansættelse eller kontrakter. Dette dækker medarbejdere, entreprenører og tredjeparter, der får adgang til fortrolige data.
Vurder, om nogen personer (herunder kontrakterede personer) med adgang til dine følsomme personlige data forlader din organisation, og tag foranstaltninger for at sikre, at de ikke beholder og fortsætter med at få adgang til dine følsomme personlige data, efter de forlader dem.
Hvis du opdager, at en person rejser, og der er en chance for, at fortrolige personlige oplysninger kan blive afsløret, skal du tage passende skridt, enten før de går eller så hurtigt som muligt bagefter for at sikre, at dette ikke sker.
For at opfylde kriterierne i bilag A 6.5 bør en persons ansættelseskontrakt eller aftale specificere evt informationssikkerhedsansvar og pligter, der stadig står efter forholdets indgåelse.
Informationssikkerhedsansvar kan indgå i andre kontrakter eller aftaler, der varer længere end en medarbejders ansættelsesperiode.
Ved at forlade en rolle eller skifte job, skal den etablerede operatør sikre, at deres sikkerhedsansvar er overført, og at alle adgangsoplysninger slettes og erstattes.
For yderligere detaljer om denne proces, se ISO 27001:2022 standarddokumentet.
ISO 27001:2022 Bilag A 6.5 er en tilpasning af ISO 27001:2013 Bilag A 7.3.1 snarere end en ny bilag A-kontrol.
Det grundlæggende i disse to kontroller er ens, selvom der er små uoverensstemmelser. For eksempel adskiller implementeringsvejledningen sig lidt i begge versioner.
Den første del af bilag A 7.3.1 i ISO 27001:2013 bestemmer, at organisationer skal:
Ved opsigelse er det væsentligt at kommunikere de nødvendige informationssikkerheds- og lovkrav samt eventuelle gældende fortrolighedsaftaler og ansættelsesvilkår, der kan løbe i en nærmere angivet periode efter afslutningen af medarbejderens eller kontrahentens ansættelse.
Det samme afsnit Bilag A 6.5 i ISO 27001:2022 bestemmer, at:
Proceduren for håndtering af opsigelse eller ændring af ansættelse bør specificere, hvilke informationssikkerhedsansvar og forpligtelser, der forbliver i kraft efter opsigelse eller ændring. Dette kan omfatte opretholdelse af fortrolighed af oplysninger, intellektuel ejendom og anden erhvervet viden samt ethvert andet ansvar, der er fastsat i en fortrolighedsaftale.
Ansvar og pligter, der forbliver i kraft efter opsigelsen af en persons ansættelse, kontrakt eller aftale, bør være detaljeret beskrevet i deres vilkår og betingelser. Derudover kan alle kontrakter eller aftaler, der strækker sig over en defineret periode efter afslutningen af den enkeltes ansættelse, omfatte ansvar for informationssikkerhed.
På trods af forskellen i ordlyd har begge bilag A-kontroller en stort set ens struktur og formål i deres respektive sammenhænge. For at gøre bilag A 6.5 mere brugervenligt er sproget blevet forenklet, så brugerne bedre kan forstå dets indhold.
2022-versionen af ISO 27001 inkluderer en formålserklæring og attributtabel for hver kontrol, der hjælper brugerne med at forstå og implementere dem. Dette er fraværende i 2013-udgaven.
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
| Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
| Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
| Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
| Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
| Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
| Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
| Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
| Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
| Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
| Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
| Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
| Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
| Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
| Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
| Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
| Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
| Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
| Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
| Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
| Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
| Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
| Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
| Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
| Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
| Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
| Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
| Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
| Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
| Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
| Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
| Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
| People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
| People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
| People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
| People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
| People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
| Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
| Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
| Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
| Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
| Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
| Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
| Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
| Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
| Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
| Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
|---|---|---|---|
| Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
| Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
| Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
| Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
| Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
| Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
| Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
| Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
| Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
| Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
| Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
| Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
| Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
| Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
| Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
| Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
| Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
| Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
| Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
| Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
| Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
| Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
| Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
| Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
| Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
| Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
| Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
| Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
| Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
| Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
| Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
| Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
| Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
| Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
I overensstemmelse med anbefalingen i ISO 27001:2022 Annex A 6.5, tager Human Resources normalt ansvaret for hele opsigelsesprocessen i de fleste organisationer, og samarbejder med den enkeltes supervisor for at sikre informationssikkerhed som en del af procedurerne.
Personale leveret af en ekstern part (f.eks. en leverandør) bør opsiges i overensstemmelse med den kontrakt, der er etableret mellem organisationen og den eksterne part.
ISO 27001:2022-standarden er stort set forblevet uændret, blot opdateret for forbedret brugervenlighed. Ingen organisation, der i øjeblikket overholder ISO 27001:2013, behøver at træffe ekstra foranstaltninger for at forblive i overensstemmelse med kravene.
For at imødekomme ændringerne i ISO 27001:2022 vil organisationen kun skulle foretage mindre ændringer i deres eksisterende metoder og processer, især hvis det sigter mod at forny certificeringen.
Virksomheder kan bruge ISMS.online til at hjælpe med deres overholdelse af ISO 27001:2022. Denne platform forenkler processen med at administrere, opdatere, teste og evaluere deres sikkerhedsprotokoller.
Vores cloud-baserede platform forenkler ISMS-styring, hvilket giver dig mulighed for effektivt at overvåge risikostyring, politikker, planer, procedurer og mere, alt sammen fra én enkelt kilde. Platformen er ligetil, og dens brugervenlige grænseflade gør den nem at hente.
ISMS.online giver din organisation mulighed for at:
Hvis du driver en virksomhed, der kræver overholdelse af ISO 27001, tilbyder ISMS.Online et omfattende udvalg af funktioner, der gør dig i stand til at udføre denne vigtige opgave.
Kontakt os nu for at arrangere en demonstration.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
