ISO 27001:2022 bilag A 6.6 angiver, at organisationer skal indføre foranstaltninger for at beskytte fortrolige oplysninger mod uautoriseret videregivelse. Dette omfatter indgåelse af fortrolighedsaftaler med interesserede parter og personale.
Organisationer bør skabe vilkår for deres aftaler med andre parter efter at have overvejet organisationens informationssikkerhed behov, typen af information, der skal administreres, dens klassifikationsniveau, formålet, den er beregnet til, og den adgang, den anden part har.
En fortroligheds- eller fortrolighedsaftale (NDA) er et juridisk dokument, der udelukker afsløring af forretningshemmeligheder og andre fortrolige oplysninger.
Fortrolige oplysninger kan omfatte en virksomheds forretningsplan, økonomiske tal, kundelister og andre eksklusive detaljer. Disse kontrakter bruges i en række forskellige omstændigheder, såsom:
Partnerskaber indeholder ofte fortrolighedsklausuler i deres partnerskabsaftale, hvorved hver partner accepterer at holde alle fortrolige oplysninger erhvervet under partnerskabet fuldstændigt fortrolige.
Fortrolighedsaftaler bruges ofte af både enkeltpersoner og virksomheder. De tjener en række formål, herunder:
Book en 30 minutters chat med os, så viser vi dig hvordan
ISO 27001:2022 Bilag A 6.6 bør anvendes for at sikre datasikkerheden, når personale, partnere og leverandører samarbejder med en organisation.
Denne kontrol er designet til at sikre organisationens data og informere underskrivere om deres forpligtelse til at administrere og beskytte information ansvarligt og lovligt. Det fungerer også som et værktøj til at bevare intellektuelle ejendomsrettigheder, for eksempel patenter, varemærker, forretningshemmeligheder og ophavsrettigheder.
Arbejdsgivere bør sikre, at en fortrolighedsaftale er på plads, før nogen fortrolig information videregives til en medarbejder eller entreprenør. Aftalen vil tydeliggøre den enkeltes ansvar for at bevare oplysningernes hemmeligholdelse og varigheden af tavshedsperioden efter ansættelsesforholdets ophør.
ISO 27001:2022 Bilag A Kontrol 6.6 er designet til at beskytte din organisations intellektuelle ejendomsret og forretningsinteresser ved at stoppe videregivelsen af fortrolige data til tredjeparter. Det involverer etableringen af en juridisk aftale eller ordning mellem din organisation og dens personale, associerede, entreprenører, leverandører og andre udenforstående, der kontrollerer brugen af klassificerede oplysninger.
Fortrolig information er enhver data, der ikke er blevet offentliggjort eller delt med andre organisationer i samme sektor. Dette omfatter forretningshemmeligheder, kunderegistre, formler og forretningsstrategier.
Vurder kontrol, når det besluttes, om en tredjepart skal have adgang til følsomme personoplysninger, og om der skal tages skridt til at sikre, at de ikke opbevarer eller fortsætter med at få adgang til organisationens følsomme personoplysninger, når de forlader dem.
Når en tredjepart forlader en organisation, og der er mulighed for, at følsomme data bliver afsløret, skal organisationen tage de nødvendige skridt til at forhindre videregivelse før eller kort efter deres afgang.
ISO 27001: 2022 Bilag A 6.6 kræver, at aftaleparter afholder sig fra at videregive fortrolige oplysninger, der falder ind under dens anvendelsesområde. Samtykke fra organisationen er nødvendig i alle tilfælde, hvor videregivelse er nødvendig, bortset fra en retskendelse. Denne bestemmelse er væsentlig for at beskytte data vedrørende forretningsaktiviteter, intellektuel ejendomsret og forskning og udvikling.
For at overholde bilag A 6.6 skal der udarbejdes en fortroligheds- og tavshedspligt/kontrakt med præcision for at beskytte alle forretningshemmeligheder og følsomme data/oplysninger relateret til virksomhedens aktiviteter og transaktioner. Det er vigtigt, at begge parter forstår deres pligter og ansvar i henhold til aftalen under og efter indgåelsen af forretningspartnerskabet.
En fortrolighedsklausul kan indgå i kontrakter, der strækker sig ud over medarbejderens ansættelse eller inddragelse af tredjemand. Dette bør gøres for at sikre, at oplysningerne forbliver sikre.
Det er vigtigt, at en afgående medarbejder eller et skiftende job får overført deres sikkerhedsopgaver og -ansvar til en ny, med alle adgangsoplysninger fjernet og nye oprettet.
Når man vurderer fortroligheds- og tavshedspligtaftaler, bør man have flere elementer for øje.
Organisationen bør sikre, at fortroligheds- og tavshedspligtaftaler overholder lovene i den relevante jurisdiktion.
Med jævne mellemrum, og når ændringer påvirker deres krav, er det nødvendigt at gennemgå fortroligheds- og tavshedspligtaftaler.
Yderligere detaljer om denne proces kan findes i ISO 27001:2022-standarden.
ISO 27001:2022 Bilag A 6.6 er en modifikation af ISO 27001:2013 Bilag A 13.2.4, snarere end en ny kontrol.
De to bilag A-kontroller har forskellige paralleller, selvom de ikke er identiske. For eksempel er implementeringsinstruktionerne for begge ens, men ikke de samme.
Den første del af ISO 27001:2013 implementeringsvejledning, bilag A 13.2.4, understreger, at:
"Fortroligheds- eller tavshedspligtaftaler bør behandle kravet om at beskytte fortrolige oplysninger ved hjælp af juridisk håndhævede vilkår. Fortroligheds- eller tavshedspligtaftaler gælder for eksterne parter eller medarbejdere i organisationen.
Elementer bør vælges eller tilføjes under hensyntagen til den anden parts type og dens tilladte adgang eller håndtering af fortrolige oplysninger."
Bilag A 6.6 i ISO 27001:2022 erklærer, at enhver organisation skal træffe passende foranstaltninger for at:
"Fortroligheds- eller tavshedspligtaftaler bør behandle kravet om at beskytte fortrolige oplysninger ved hjælp af juridisk håndhævede vilkår. Fortroligheds- eller tavshedspligtaftaler gælder for interesserede parter og personale i organisationen.
Baseret på en organisations informationssikkerhedskrav bør vilkårene i aftalerne fastlægges under hensyntagen til typen af information, der vil blive håndteret, dets klassifikationsniveau, dets brug og den tilladte adgang for den anden part.”
Begge kontroller har en analog struktur og funktion i deres individuelle sammenhænge, selvom de varierer i semantisk betydning. Bilag A 6.6 bruger et mere ligetil, brugervenligt sprog, der gør det lettere at forstå indholdet og konteksten. Derfor kan brugere lettere identificere sig med standarden.
2022 rate af ISO 27001 omfatter hensigtserklæringer og egenskabstabeller i henhold til bilag A kontrol, for at hjælpe med forståelse og vellykket implementering. Dette er ikke angivet i 2013-udgaven.
I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Organisatoriske kontroller | Bilag A 5.1 | Bilag A 5.1.1 Bilag A 5.1.2 | Politikker for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.2 | Bilag A 6.1.1 | Informationssikkerhedsroller og -ansvar |
Organisatoriske kontroller | Bilag A 5.3 | Bilag A 6.1.2 | Adskillelse af opgaver |
Organisatoriske kontroller | Bilag A 5.4 | Bilag A 7.2.1 | Ledelsesansvar |
Organisatoriske kontroller | Bilag A 5.5 | Bilag A 6.1.3 | Kontakt med myndigheder |
Organisatoriske kontroller | Bilag A 5.6 | Bilag A 6.1.4 | Kontakt med særlige interessegrupper |
Organisatoriske kontroller | Bilag A 5.7 | NY | Threat Intelligence |
Organisatoriske kontroller | Bilag A 5.8 | Bilag A 6.1.5 Bilag A 14.1.1 | Informationssikkerhed i projektledelse |
Organisatoriske kontroller | Bilag A 5.9 | Bilag A 8.1.1 Bilag A 8.1.2 | Fortegnelse over oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.10 | Bilag A 8.1.3 Bilag A 8.2.3 | Acceptabel brug af oplysninger og andre tilknyttede aktiver |
Organisatoriske kontroller | Bilag A 5.11 | Bilag A 8.1.4 | Tilbagelevering af aktiver |
Organisatoriske kontroller | Bilag A 5.12 | Bilag A 8.2.1 | Klassificering af oplysninger |
Organisatoriske kontroller | Bilag A 5.13 | Bilag A 8.2.2 | Mærkning af information |
Organisatoriske kontroller | Bilag A 5.14 | Bilag A 13.2.1 Bilag A 13.2.2 Bilag A 13.2.3 | Informationsoverførsel |
Organisatoriske kontroller | Bilag A 5.15 | Bilag A 9.1.1 Bilag A 9.1.2 | Adgangskontrol |
Organisatoriske kontroller | Bilag A 5.16 | Bilag A 9.2.1 | Identitetsstyring |
Organisatoriske kontroller | Bilag A 5.17 | Bilag A 9.2.4 Bilag A 9.3.1 Bilag A 9.4.3 | Autentificeringsoplysninger |
Organisatoriske kontroller | Bilag A 5.18 | Bilag A 9.2.2 Bilag A 9.2.5 Bilag A 9.2.6 | Adgangsrettigheder |
Organisatoriske kontroller | Bilag A 5.19 | Bilag A 15.1.1 | Informationssikkerhed i leverandørforhold |
Organisatoriske kontroller | Bilag A 5.20 | Bilag A 15.1.2 | Håndtering af informationssikkerhed inden for leverandøraftaler |
Organisatoriske kontroller | Bilag A 5.21 | Bilag A 15.1.3 | Håndtering af informationssikkerhed i IKT-forsyningskæden |
Organisatoriske kontroller | Bilag A 5.22 | Bilag A 15.2.1 Bilag A 15.2.2 | Overvågning, gennemgang og ændringsstyring af leverandørservices |
Organisatoriske kontroller | Bilag A 5.23 | NY | Informationssikkerhed til brug af skytjenester |
Organisatoriske kontroller | Bilag A 5.24 | Bilag A 16.1.1 | Informationssikkerhed Incident Management Planlægning og forberedelse |
Organisatoriske kontroller | Bilag A 5.25 | Bilag A 16.1.4 | Vurdering og beslutning om informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.26 | Bilag A 16.1.5 | Reaktion på informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.27 | Bilag A 16.1.6 | Lær af informationssikkerhedshændelser |
Organisatoriske kontroller | Bilag A 5.28 | Bilag A 16.1.7 | Indsamling af beviser |
Organisatoriske kontroller | Bilag A 5.29 | Bilag A 17.1.1 Bilag A 17.1.2 Bilag A 17.1.3 | Informationssikkerhed under afbrydelse |
Organisatoriske kontroller | Bilag A 5.30 | NY | IKT-beredskab til forretningskontinuitet |
Organisatoriske kontroller | Bilag A 5.31 | Bilag A 18.1.1 Bilag A 18.1.5 | Juridiske, lovpligtige, regulatoriske og kontraktlige krav |
Organisatoriske kontroller | Bilag A 5.32 | Bilag A 18.1.2 | Intellektuelle ejendomsrettigheder |
Organisatoriske kontroller | Bilag A 5.33 | Bilag A 18.1.3 | Beskyttelse af optegnelser |
Organisatoriske kontroller | Bilag A 5.34 | Bilag A 18.1.4 | Privatliv og beskyttelse af PII |
Organisatoriske kontroller | Bilag A 5.35 | Bilag A 18.2.1 | Uafhængig gennemgang af informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.36 | Bilag A 18.2.2 Bilag A 18.2.3 | Overholdelse af politikker, regler og standarder for informationssikkerhed |
Organisatoriske kontroller | Bilag A 5.37 | Bilag A 12.1.1 | Dokumenterede driftsprocedurer |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
People Controls | Bilag A 6.1 | Bilag A 7.1.1 | Screening |
People Controls | Bilag A 6.2 | Bilag A 7.1.2 | Ansættelsesvilkår |
People Controls | Bilag A 6.3 | Bilag A 7.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
People Controls | Bilag A 6.4 | Bilag A 7.2.3 | Disciplinær proces |
People Controls | Bilag A 6.5 | Bilag A 7.3.1 | Ansvar efter opsigelse eller ændring af ansættelse |
People Controls | Bilag A 6.6 | Bilag A 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
People Controls | Bilag A 6.7 | Bilag A 6.2.2 | Fjernbetjening |
People Controls | Bilag A 6.8 | Bilag A 16.1.2 Bilag A 16.1.3 | Informationssikkerhed begivenhedsrapportering |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Fysiske kontroller | Bilag A 7.1 | Bilag A 11.1.1 | Fysiske sikkerhedsomkredse |
Fysiske kontroller | Bilag A 7.2 | Bilag A 11.1.2 Bilag A 11.1.6 | Fysisk adgang |
Fysiske kontroller | Bilag A 7.3 | Bilag A 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
Fysiske kontroller | Bilag A 7.4 | NY | Fysisk sikkerhedsovervågning |
Fysiske kontroller | Bilag A 7.5 | Bilag A 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
Fysiske kontroller | Bilag A 7.6 | Bilag A 11.1.5 | Arbejde i sikre områder |
Fysiske kontroller | Bilag A 7.7 | Bilag A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Bilag A 7.8 | Bilag A 11.2.1 | Udstyrsplacering og beskyttelse |
Fysiske kontroller | Bilag A 7.9 | Bilag A 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
Fysiske kontroller | Bilag A 7.10 | Bilag A 8.3.1 Bilag A 8.3.2 Bilag A 8.3.3 Bilag A 11.2.5 | Storage Media |
Fysiske kontroller | Bilag A 7.11 | Bilag A 11.2.2 | Understøttende hjælpeprogrammer |
Fysiske kontroller | Bilag A 7.12 | Bilag A 11.2.3 | Kabler sikkerhed |
Fysiske kontroller | Bilag A 7.13 | Bilag A 11.2.4 | Vedligeholdelse af udstyr |
Fysiske kontroller | Bilag A 7.14 | Bilag A 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Bilag A Kontroltype | ISO/IEC 27001:2022 Bilag A Identifikator | ISO/IEC 27001:2013 Bilag A Identifikator | Bilag A Navn |
---|---|---|---|
Teknologisk kontrol | Bilag A 8.1 | Bilag A 6.2.1 Bilag A 11.2.8 | Brugerendepunktsenheder |
Teknologisk kontrol | Bilag A 8.2 | Bilag A 9.2.3 | Privilegerede adgangsrettigheder |
Teknologisk kontrol | Bilag A 8.3 | Bilag A 9.4.1 | Begrænsning af informationsadgang |
Teknologisk kontrol | Bilag A 8.4 | Bilag A 9.4.5 | Adgang til kildekode |
Teknologisk kontrol | Bilag A 8.5 | Bilag A 9.4.2 | Sikker godkendelse |
Teknologisk kontrol | Bilag A 8.6 | Bilag A 12.1.3 | Kapacitetsstyring |
Teknologisk kontrol | Bilag A 8.7 | Bilag A 12.2.1 | Beskyttelse mod malware |
Teknologisk kontrol | Bilag A 8.8 | Bilag A 12.6.1 Bilag A 18.2.3 | Håndtering af tekniske sårbarheder |
Teknologisk kontrol | Bilag A 8.9 | NY | Configuration Management |
Teknologisk kontrol | Bilag A 8.10 | NY | Sletning af oplysninger |
Teknologisk kontrol | Bilag A 8.11 | NY | Datamaskering |
Teknologisk kontrol | Bilag A 8.12 | NY | Forebyggelse af datalækage |
Teknologisk kontrol | Bilag A 8.13 | Bilag A 12.3.1 | Backup af information |
Teknologisk kontrol | Bilag A 8.14 | Bilag A 17.2.1 | Redundans af informationsbehandlingsfaciliteter |
Teknologisk kontrol | Bilag A 8.15 | Bilag A 12.4.1 Bilag A 12.4.2 Bilag A 12.4.3 | Logning |
Teknologisk kontrol | Bilag A 8.16 | NY | Overvågningsaktiviteter |
Teknologisk kontrol | Bilag A 8.17 | Bilag A 12.4.4 | Ursynkronisering |
Teknologisk kontrol | Bilag A 8.18 | Bilag A 9.4.4 | Brug af Privileged Utility-programmer |
Teknologisk kontrol | Bilag A 8.19 | Bilag A 12.5.1 Bilag A 12.6.2 | Installation af software på operationelle systemer |
Teknologisk kontrol | Bilag A 8.20 | Bilag A 13.1.1 | Netværkssikkerhed |
Teknologisk kontrol | Bilag A 8.21 | Bilag A 13.1.2 | Sikkerhed af netværkstjenester |
Teknologisk kontrol | Bilag A 8.22 | Bilag A 13.1.3 | Adskillelse af netværk |
Teknologisk kontrol | Bilag A 8.23 | NY | Webfiltrering |
Teknologisk kontrol | Bilag A 8.24 | Bilag A 10.1.1 Bilag A 10.1.2 | Brug af kryptografi |
Teknologisk kontrol | Bilag A 8.25 | Bilag A 14.2.1 | Sikker udviklingslivscyklus |
Teknologisk kontrol | Bilag A 8.26 | Bilag A 14.1.2 Bilag A 14.1.3 | Applikationssikkerhedskrav |
Teknologisk kontrol | Bilag A 8.27 | Bilag A 14.2.5 | Sikker systemarkitektur og ingeniørprincipper |
Teknologisk kontrol | Bilag A 8.28 | NY | Sikker kodning |
Teknologisk kontrol | Bilag A 8.29 | Bilag A 14.2.8 Bilag A 14.2.9 | Sikkerhedstest i udvikling og accept |
Teknologisk kontrol | Bilag A 8.30 | Bilag A 14.2.7 | Udliciteret udvikling |
Teknologisk kontrol | Bilag A 8.31 | Bilag A 12.1.4 Bilag A 14.2.6 | Adskillelse af udviklings-, test- og produktionsmiljøer |
Teknologisk kontrol | Bilag A 8.32 | Bilag A 12.1.2 Bilag A 14.2.2 Bilag A 14.2.3 Bilag A 14.2.4 | Change Management |
Teknologisk kontrol | Bilag A 8.33 | Bilag A 14.3.1 | Testinformation |
Teknologisk kontrol | Bilag A 8.34 | Bilag A 12.7.1 | Beskyttelse af informationssystemer under revisionstest |
I henhold til bilag A 6.6 i ISO 27001:2022 fører personaleafdelingen typisk tilsyn med udarbejdelsen og håndhævelsen af fortroligheds-/hemmeligholdelsesaftalen i de fleste organisationer, i samarbejde med den relevante tredjeparts tilsynsførende leder/afdeling.
Informationssikkerhedschefen, salgs- eller produktionschefen kan alle fungere som tilsynsførende.
Afdelingerne og lederne skal garantere, at eventuelle tredjepartsleverandører, der er ansat af organisationen, har passende sikkerhedsforanstaltninger for at beskytte fortrolige data mod ikke-godkendt udgivelse eller brug.
Alle medarbejdere skal underskrive en tavshedspligt ved starten af deres ansættelse i virksomheden.
I mange organisationer, uanset størrelse, skal alle medarbejdere, der håndterer fortrolige oplysninger, underskrive en fortroligheds- eller tavshedspligt.
Ansatte i salg, marketing, kundeservice og andre afdelinger, der interagerer med fortrolige oplysninger om kunder, kunder og leverandører, skal have undervisning.
Organisationer bør have politikker på plads, der pålægger personalet at underskrive en fortrolighedsaftale, før de får adgang til følsomme oplysninger om kunder eller leverandører, selvom der ikke foreligger en skriftlig aftale.
Undladelse af at have en fortrolighedspolitik kan føre til alvorlige risici. Disse risici omfatter:
ISO 27001-standarden forbliver stort set uændret. For at forbedre brugervenligheden blev den simpelthen opdateret. Organisationer, der overholder denne standard, behøver derfor ikke tage ekstra skridt for at forblive compliant.
For at imødekomme ændringerne i ISO 27001:2022 skal organisationen muligvis foretage mindre ændringer i deres nuværende processer og procedurer, især hvis de kræver gencertificering.
For at få yderligere indsigt i virkningen af at ændre ISO 27001:2022 på din virksomhed, bedes du konsultere vores ISO 27001-vejledning.
ISMS.Online letter organisationer og virksomheder med at opfylde standarderne i ISO 27001:2022 ved at levere en platform, der forenkler ledelsen fortroligheds- eller hemmeligholdelsesprotokoller, så de efter behov kan opdateres, testes og spores for effektivitet.
Vi leverer en cloud-baseret platform til at administrere fortrolighed og informationssikkerhed Ledelsessystemer, inklusive klausuler om tavshedspligt, risikostyring, politikker, planer og procedurer, alt sammen på ét centraliseret sted. Platformen er brugervenlig og har en intuitiv brugerflade, der gør det nemt at lære.
ISMS.Online letter:
ISMS.Online tilbyder et omfattende udvalg af værktøjer til at hjælpe virksomheder og organisationer med at opfylde kravene i ISO 27001 og/eller ISO 27001 ISMS. Vi gør det nemt at overholde branchestandarden og giver dig ro i sindet.
Kontakt os nu for at arrangere en demonstration.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo