ISO 27001:2022 Bilag A Kontrol 6.6

Hvad er formålet med ISO 27001:2022 Annex A 6.6?

ISO 27001:2022 Bilag A 6.6 bør anvendes for at sikre datasikkerheden, når personale, partnere og leverandører samarbejder med en organisation.

Denne kontrol er designet til at sikre organisationens data og informere underskrivere om deres forpligtelse til at administrere og beskytte information ansvarligt og lovligt. Det fungerer også som et værktøj til at bevare intellektuelle ejendomsrettigheder, for eksempel patenter, varemærker, forretningshemmeligheder og ophavsrettigheder.

Arbejdsgivere bør sikre, at en fortrolighedsaftale er på plads, før nogen fortrolig information videregives til en medarbejder eller entreprenør. Aftalen vil tydeliggøre den enkeltes ansvar for at bevare oplysningernes hemmeligholdelse og varigheden af ​​tavshedsperioden efter ansættelsesforholdets ophør.

Bilag A 6.6 Forklaret

ISO 27001:2022 Bilag A Kontrol 6.6 er designet til at beskytte din organisations intellektuelle ejendomsret og forretningsinteresser ved at stoppe videregivelsen af ​​fortrolige data til tredjeparter. Det involverer etableringen af ​​en juridisk aftale eller ordning mellem din organisation og dens personale, associerede, entreprenører, leverandører og andre udenforstående, der kontrollerer brugen af ​​klassificerede oplysninger.

Fortrolig information er enhver data, der ikke er blevet offentliggjort eller delt med andre organisationer i samme sektor. Dette omfatter forretningshemmeligheder, kunderegistre, formler og forretningsstrategier.

Vurder kontrol, når det besluttes, om en tredjepart skal have adgang til følsomme personoplysninger, og om der skal tages skridt til at sikre, at de ikke opbevarer eller fortsætter med at få adgang til organisationens følsomme personoplysninger, når de forlader dem.

Når en tredjepart forlader en organisation, og der er mulighed for, at følsomme data bliver afsløret, skal organisationen tage de nødvendige skridt til at forhindre videregivelse før eller kort efter deres afgang.

Hvad er involveret, og hvordan man opfylder kravene

ISO 27001: 2022 Bilag A 6.6 kræver, at aftaleparter afholder sig fra at videregive fortrolige oplysninger, der falder ind under dens anvendelsesområde. Samtykke fra organisationen er nødvendig i alle tilfælde, hvor videregivelse er nødvendig, bortset fra en retskendelse. Denne bestemmelse er væsentlig for at beskytte data vedrørende forretningsaktiviteter, intellektuel ejendomsret og forskning og udvikling.

For at overholde bilag A 6.6 skal der udarbejdes en fortroligheds- og tavshedspligt/kontrakt med præcision for at beskytte alle forretningshemmeligheder og følsomme data/oplysninger relateret til virksomhedens aktiviteter og transaktioner. Det er vigtigt, at begge parter forstår deres pligter og ansvar i henhold til aftalen under og efter indgåelsen af ​​forretningspartnerskabet.

En fortrolighedsklausul kan indgå i kontrakter, der strækker sig ud over medarbejderens ansættelse eller inddragelse af tredjemand. Dette bør gøres for at sikre, at oplysningerne forbliver sikre.

Det er vigtigt, at en afgående medarbejder eller et skiftende job får overført deres sikkerhedsopgaver og -ansvar til en ny, med alle adgangsoplysninger fjernet og nye oprettet.

Når man vurderer fortroligheds- og tavshedspligtaftaler, bør man have flere elementer for øje.

• De fortrolige data, der skal beskyttes.
• Aftalens varighed, herunder tilfælde, hvor fortroligheden skal opretholdes til stadighed eller indtil oplysningerne offentliggøres, fastlægges.
• I tilfælde af opsigelse af en aftale, de nødvendige skridt, der skal tages.
• Underskrivere skal træffe alle nødvendige foranstaltninger for at forhindre uautoriseret videregivelse af oplysninger.
• Ejerskab af data, fortrolig forretningsviden og intellektuel ejendom, der har en effekt på fortroligheden.
• Underskriveren har ret til at bruge fortrolige oplysninger i overensstemmelse med bemyndigelsen.
• Retten til at overvåge eller evaluere aktiviteter, der involverer ekstremt klassificerede data.
• Processen for at informere og informere om ikke-godkendte afsløringer eller udslip af private oplysninger skal følges.
• Ved opsigelse af denne aftale skal alle data eller oplysninger, der deles mellem parterne, returneres eller destrueres.
• Hvis aftalen ikke overholdes, hvilke foranstaltninger vil der blive taget.

Organisationen bør sikre, at fortroligheds- og tavshedspligtaftaler overholder lovene i den relevante jurisdiktion.

Med jævne mellemrum, og når ændringer påvirker deres krav, er det nødvendigt at gennemgå fortroligheds- og tavshedspligtaftaler.

Yderligere detaljer om denne proces kan findes i ISO 27001:2022-standarden.

Ændringer og forskelle fra ISO 27001:2013

ISO 27001:2022 Bilag A 6.6 er en modifikation af ISO 27001:2013 Bilag A 13.2.4, snarere end en ny kontrol.

De to bilag A-kontroller har forskellige paralleller, selvom de ikke er identiske. For eksempel er implementeringsinstruktionerne for begge ens, men ikke de samme.

Den første del af ISO 27001:2013 implementeringsvejledning, bilag A 13.2.4, understreger, at:

"Fortroligheds- eller tavshedspligtaftaler bør behandle kravet om at beskytte fortrolige oplysninger ved hjælp af juridisk håndhævede vilkår. Fortroligheds- eller tavshedspligtaftaler gælder for eksterne parter eller medarbejdere i organisationen.

Elementer bør vælges eller tilføjes under hensyntagen til den anden parts type og dens tilladte adgang eller håndtering af fortrolige oplysninger."

Bilag A 6.6 i ISO 27001:2022 erklærer, at enhver organisation skal træffe passende foranstaltninger for at:

"Fortroligheds- eller tavshedspligtaftaler bør behandle kravet om at beskytte fortrolige oplysninger ved hjælp af juridisk håndhævede vilkår. Fortroligheds- eller tavshedspligtaftaler gælder for interesserede parter og personale i organisationen.

Baseret på en organisations informationssikkerhedskrav bør vilkårene i aftalerne fastlægges under hensyntagen til typen af ​​information, der vil blive håndteret, dets klassifikationsniveau, dets brug og den tilladte adgang for den anden part.”

Begge kontroller har en analog struktur og funktion i deres individuelle sammenhænge, ​​selvom de varierer i semantisk betydning. Bilag A 6.6 bruger et mere ligetil, brugervenligt sprog, der gør det lettere at forstå indholdet og konteksten. Derfor kan brugere lettere identificere sig med standarden.

2022 rate af ISO 27001 omfatter hensigtserklæringer og egenskabstabeller i henhold til bilag A kontrol, for at hjælpe med forståelse og vellykket implementering. Dette er ikke angivet i 2013-udgaven.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt ISO 27001:2022 Annex A-kontrol.

Hvem er ansvarlig for denne proces?

I henhold til bilag A 6.6 i ISO 27001:2022 fører personaleafdelingen typisk tilsyn med udarbejdelsen og håndhævelsen af ​​fortroligheds-/hemmeligholdelsesaftalen i de fleste organisationer, i samarbejde med den relevante tredjeparts tilsynsførende leder/afdeling.

Informationssikkerhedschefen, salgs- eller produktionschefen kan alle fungere som tilsynsførende.

Afdelingerne og lederne skal garantere, at eventuelle tredjepartsleverandører, der er ansat af organisationen, har passende sikkerhedsforanstaltninger for at beskytte fortrolige data mod ikke-godkendt udgivelse eller brug.

Alle medarbejdere skal underskrive en tavshedspligt ved starten af ​​deres ansættelse i virksomheden.

I mange organisationer, uanset størrelse, skal alle medarbejdere, der håndterer fortrolige oplysninger, underskrive en fortroligheds- eller tavshedspligt.

Ansatte i salg, marketing, kundeservice og andre afdelinger, der interagerer med fortrolige oplysninger om kunder, kunder og leverandører, skal have undervisning.

Organisationer bør have politikker på plads, der pålægger personalet at underskrive en fortrolighedsaftale, før de får adgang til følsomme oplysninger om kunder eller leverandører, selvom der ikke foreligger en skriftlig aftale.

Undladelse af at have en fortrolighedspolitik kan føre til alvorlige risici. Disse risici omfatter:

• Medarbejdere kan utilsigtet videregive fortrolige oplysninger til personer uden for virksomheden, som ikke burde have adgang, og dermed skade organisationen.
• En medarbejder kan videregive følsomme oplysninger til en rival.
• En utilfreds medarbejder kan stjæle virksomhedens intellektuelle ejendom og anvende den til egen vindings skyld.
• Arbejdere kan utilsigtet efterlade fortrolige data på deres stationære computere på kontoret eller på deres bærbare computere derhjemme og risikere tyveri af en cyberkriminel.

Hvad betyder disse ændringer for dig?

ISO 27001-standarden forbliver stort set uændret. For at forbedre brugervenligheden blev den simpelthen opdateret. Organisationer, der overholder denne standard, behøver derfor ikke tage ekstra skridt for at forblive compliant.

For at imødekomme ændringerne i ISO 27001:2022 skal organisationen muligvis foretage mindre ændringer i deres nuværende processer og procedurer, især hvis de kræver gencertificering.

For at få yderligere indsigt i virkningen af ​​at ændre ISO 27001:2022 på din virksomhed, bedes du konsultere vores ISO 27001-vejledning.

Hvordan ISMS.Online Hjælp

ISMS.Online letter organisationer og virksomheder med at opfylde standarderne i ISO 27001:2022 ved at levere en platform, der forenkler ledelsen fortroligheds- eller hemmeligholdelsesprotokoller, så de efter behov kan opdateres, testes og spores for effektivitet.

Vi leverer en cloud-baseret platform til at administrere fortrolighed og informationssikkerhed Ledelsessystemer, inklusive klausuler om tavshedspligt, risikostyring, politikker, planer og procedurer, alt sammen på ét centraliseret sted. Platformen er brugervenlig og har en intuitiv brugerflade, der gør det nemt at lære.

ISMS.Online letter:

• Optag dine processer bekvemt med denne brugervenlige grænseflade. Ingen grund til at installere software på din maskine eller netværk!
• Strømlin din risikovurderingsproces ved at automatisere den.
• Sikre overholdelse af regler med online rapporter og tjeklister.
• Oprethold et register over fremskridt, mens du stræber efter certificering.

ISMS.Online tilbyder et omfattende udvalg af værktøjer til at hjælpe virksomheder og organisationer med at opfylde kravene i ISO 27001 og/eller ISO 27001 ISMS. Vi gør det nemt at overholde branchestandarden og giver dig ro i sindet.

Kontakt os nu for at arrangere en demonstration.