ISO 27001:2022 Bilag A 6.5 – Ansvar efter opsigelse eller ændring af ansættelse

• Se ISO 27002:2022 Kontrol 6.5 for mere information.
• Se ISO 27001:2013 Bilag A 7.3.1 for mere information.

Hvad er ISO 27001:2022 Annex A 6.5?

ISO 27001:2022 Annex A 6.5 pålægger organisationer at specificere informationssikkerhedsroller og -ansvar, der forbliver effektive, selvom personale forlader eller omplaceres. Kommuniker disse pligter og ansvar til medarbejderen og enhver relevant tredjepart.

Oplysningspligter og -ansvar forklaret

Medarbejdere er juridisk forpligtet til at holde enhver information, som deres arbejdsgiver overlader dem fortroligt. Det er vigtigt for personalet at forstå kravene til beskyttelse af deres arbejdsgivers data.

Arbejdsgivere har generelt ret til at forudse, at deres medarbejdere beskytter fortrolige data og ikke udnytter dem til personlig fortjeneste, f.eks. gennem insiderhandel eller andre ulovlige aktiviteter.

Et par eksempler på informationssikkerhedsopgaver og -ansvar omfatter:

• Det er yderst vigtigt at sikre fortroligheden af ​​personlige oplysninger.
• Det er vigtigt at føre en log over hvordan Personlig data administreres, anvendes og deles.
• Det er altafgørende at sikre nøjagtighed og pålidelighed af data. Dette nødvendiggør indsamling fra pålidelige kilder, sikker opbevaring og sikker bortskaffelse, når det ikke længere er nødvendigt.
• Sørg for, at kun autoriserede personer har adgang til oplysninger.
• Gør brug af og videregive personoplysninger lovligt og retfærdigt i overensstemmelse med gældende lovgivning.

Det er vigtigt for organisationer at være bevidste om deres forpligtelser, når de håndterer personlige data, for at undgå at krænke enhver privatlivslovgivning, da konsekvenserne for både virksomheden og dens personale kan være alvorlige.

Hvad er formålet med ISO 27001:2022 Annex A 6.5?

Bilag A 6.5 bør implementeres ved en medarbejders eller entreprenørs afgang fra organisationen, eller når en kontrakt udløber inden dens udløb.

Denne kontrol varetager organisationens informationssikkerhedsinteresser i tilfælde af ansættelsesændringer eller kontraktophør.

Dette bilag A-kontrol sikrer mod muligheden for, at medarbejdere drager fordel af deres adgang til fortrolige oplysninger og processer til personlig vinding eller ondsindet hensigt, især efter deres afgang fra organisationen eller jobbet.

Bilag A Kontrol 6.5 Forklaret

ISO 27001: 2022 Bilag A 6.5 søger at varetage organisationens datasikkerhedsinteresser i tilfælde af ændring eller ophør af ansættelse eller kontrakter. Dette dækker medarbejdere, entreprenører og tredjeparter, der får adgang til fortrolige data.

Vurder, om nogen personer (herunder kontrakterede personer) med adgang til dine følsomme personlige data forlader din organisation, og tag foranstaltninger for at sikre, at de ikke beholder og fortsætter med at få adgang til dine følsomme personlige data, efter de forlader dem.

Hvis du opdager, at en person rejser, og der er en chance for, at fortrolige personlige oplysninger kan blive afsløret, skal du tage passende skridt, enten før de går eller så hurtigt som muligt bagefter for at sikre, at dette ikke sker.

Hvad er involveret, og hvordan man opfylder kravene

For at opfylde kriterierne i bilag A 6.5 bør en persons ansættelseskontrakt eller aftale specificere evt informationssikkerhedsansvar og pligter, der stadig står efter forholdets indgåelse.

Informationssikkerhedsansvar kan indgå i andre kontrakter eller aftaler, der varer længere end en medarbejders ansættelsesperiode.

Ved at forlade en rolle eller skifte job, skal den etablerede operatør sikre, at deres sikkerhedsansvar er overført, og at alle adgangsoplysninger slettes og erstattes.

For yderligere detaljer om denne proces, se ISO 27001:2022 standarddokumentet.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 6.5 er en tilpasning af ISO 27001:2013 Bilag A 7.3.1 snarere end en ny bilag A-kontrol.

Det grundlæggende i disse to kontroller er ens, selvom der er små uoverensstemmelser. For eksempel adskiller implementeringsvejledningen sig lidt i begge versioner.

Den første del af bilag A 7.3.1 i ISO 27001:2013 bestemmer, at organisationer skal:

Ved opsigelse er det væsentligt at kommunikere de nødvendige informationssikkerheds- og lovkrav samt eventuelle gældende fortrolighedsaftaler og ansættelsesvilkår, der kan løbe i en nærmere angivet periode efter afslutningen af ​​medarbejderens eller kontrahentens ansættelse.

Det samme afsnit Bilag A 6.5 i ISO 27001:2022 bestemmer, at:

Proceduren for håndtering af opsigelse eller ændring af ansættelse bør specificere, hvilke informationssikkerhedsansvar og forpligtelser, der forbliver i kraft efter opsigelse eller ændring. Dette kan omfatte opretholdelse af fortrolighed af oplysninger, intellektuel ejendom og anden erhvervet viden samt ethvert andet ansvar, der er fastsat i en fortrolighedsaftale.

Ansvar og pligter, der forbliver i kraft efter opsigelsen af ​​en persons ansættelse, kontrakt eller aftale, bør være detaljeret beskrevet i deres vilkår og betingelser. Derudover kan alle kontrakter eller aftaler, der strækker sig over en defineret periode efter afslutningen af ​​den enkeltes ansættelse, omfatte ansvar for informationssikkerhed.

På trods af forskellen i ordlyd har begge bilag A-kontroller en stort set ens struktur og formål i deres respektive sammenhænge. For at gøre bilag A 6.5 mere brugervenligt er sproget blevet forenklet, så brugerne bedre kan forstå dets indhold.

2022-versionen af ​​ISO 27001 inkluderer en formålserklæring og attributtabel for hver kontrol, der hjælper brugerne med at forstå og implementere dem. Dette er fraværende i 2013-udgaven.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvem er ansvarlig for denne proces?

I overensstemmelse med anbefalingen i ISO 27001:2022 Annex A 6.5, tager Human Resources normalt ansvaret for hele opsigelsesprocessen i de fleste organisationer, og samarbejder med den enkeltes supervisor for at sikre informationssikkerhed som en del af procedurerne.

Personale leveret af en ekstern part (f.eks. en leverandør) bør opsiges i overensstemmelse med den kontrakt, der er etableret mellem organisationen og den eksterne part.

Hvad betyder disse ændringer for dig?

ISO 27001:2022-standarden er stort set forblevet uændret, blot opdateret for forbedret brugervenlighed. Ingen organisation, der i øjeblikket overholder ISO 27001:2013, behøver at træffe ekstra foranstaltninger for at forblive i overensstemmelse med kravene.

For at imødekomme ændringerne i ISO 27001:2022 vil organisationen kun skulle foretage mindre ændringer i deres eksisterende metoder og processer, især hvis det sigter mod at forny certificeringen.

Hvordan ISMS.Online Hjælp

Virksomheder kan bruge ISMS.online til at hjælpe med deres overholdelse af ISO 27001:2022. Denne platform forenkler processen med at administrere, opdatere, teste og evaluere deres sikkerhedsprotokoller.

Vores cloud-baserede platform forenkler ISMS-styring, hvilket giver dig mulighed for effektivt at overvåge risikostyring, politikker, planer, procedurer og mere, alt sammen fra én enkelt kilde. Platformen er ligetil, og dens brugervenlige grænseflade gør den nem at hente.

ISMS.online giver din organisation mulighed for at:

• Dokumenter dine procedurer ved hjælp af en brugervenlig webgrænseflade, ingen softwareinstallation nødvendig på din computer eller netværk.
• Automatiser din farevurderingsteknik for større effektivitet.
• Det er nemt at opnå overholdelse med onlinerapporter og tjeklister.
• Overvåg dine fremskridt, mens du søger certificering.

Hvis du driver en virksomhed, der kræver overholdelse af ISO 27001, tilbyder ISMS.Online et omfattende udvalg af funktioner, der gør dig i stand til at udføre denne vigtige opgave.

Kontakt os nu for at arrangere en demonstration.