Formål med kontrol 6.1
Kontrol 6.1 omhandler baggrundskontrol som kræves af alle medarbejdere og udvalgte leverandører, før de tiltræder organisationen.
Kontrol 6.1 fortaler for en proportional tilgang til verifikationstjek, der er knyttet til organisationens unikke krav, og som omfatter alle de relevante love, regler og etiske standarder, som en organisation holder sig til, uanset hvor de opererer.
Når de udfører kontrol, bør organisationer være opmærksomme på typen af oplysninger, som hver enkelt medarbejder/leverandør vil komme i kontakt med gennem hele deres jobrolle og eventuelle tilknyttede risici.
Attributter Kontroltabel 6.1
Kontrol 6.1 er en forebyggende kontrollere det fastholder risiko ved at etablere en screeningsproces, der behandler alle fuldtidsansatte, deltidsansatte og tilfældige/midlertidige medarbejdere og leverandører, for at sikre, at kun egnet og ordentligt personale er i stand til at få adgang til information.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | #Human Resource Security | #Governance og økosystem |
| #Integritet | ||||
| #Tilgængelighed |
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af kontrol 6.1
Beskæftigelsesverifikationstjek udføres normalt før en person starter på sit job. Som sådan bør ejerskabet af 6.1 ligge hos en organisations HR Manager.
Generel vejledning om kontrol 6.1
Screeningsaktiviteter bør omfatte følgende kontroller:
- Referencer, herunder både forretningsmæssige og personlige attester.
- CV-bekræftelse for at sikre, at kandidaten hverken har udeladt nogen relevant information og kun har inkluderet nøjagtige og sandfærdige oplysninger.
- Bekræftelse af akademiske, faglige og faglige kvalifikationer og certificeringer.
- Identitetsbekræftelse, som bekræftet af en tredjeparts statslig eller offentlig organisation (pas- og/eller kørekortkontrol).
- Kredittjek og kontrol af straffeattest, for alle roller, der anses for at være egnede til forbedret kontrol.
Baggrundsverifikation omfatter ofte indsamling, behandling og overførsel af PII og/eller beskyttede karakteristika (britisk lov). Som sådan bør organisationer sikre streng overholdelse af enhver gældende beskæftigelseslovgivning, uanset hvor de opererer.
Dette involverer normalt at informere kandidaten om screeningsprocessen (både med hensyn til data, der behandles og hvad det bruges til), før verifikationen udføres.
Screening procedurerne bør klart angive det ansvarlige personale for at udføre screeningen på vegne af organisationen, og den bagvedliggende årsag til, at der i første omgang foretages screening.
Hvis der skal udføres screening på leverandører, er det vigtigt at medtage dette krav i eventuelle kontraktlige aftaler, før ydelser udføres.
Når en medarbejder/leverandør er blevet undersøgt og ansat, skal den organisationen bør tage skridt til at sikre, at kandidaten har evnen til at udføre deres rolle som annonceret og har vist sig at være en pålidelig person, især hvis deres rolle omfatter informationssikkerhedsrelaterede aktiviteter.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Vejledning – Forbedret vetting
Kontrol 6.1 giver organisationer et betydeligt spillerum med hensyn til de omstændigheder, der kræves, før de påbegynder forbedrede kontrolkontroller.
Sådanne procedurer bør besluttes fra job til job, og der bør ikke skelnes mellem nyt personale eller eksisterende personale, der er blevet forfremmet til en rolle, der indeholder et større ansvar.
Roller, der kræver udvidet screening, kan defineres som enhver, der omhandler informationsbehandling som en daglig aktivitet (f.eks. HR), eller enhver rolle, der omfatter håndtering eller behandling af PII, finansiel information eller enhver anden type følsomme data.
Organisationer bør også overveje måder, hvorpå de kan verificere den løbende egnethed af personale, der er ansat i en kritisk rolle.
Vejledning – ufuldstændige verifikationer
Under visse omstændigheder (hastende ansættelser, tredjeparts forsinkelser, ansøgningsfejl osv.), er screeningen ikke altid i stand til at gennemføres rettidigt.
Hvor dette sker, bør organisationer overveje alternative handlingsmuligheder, der minimerer de risici, der er forbundet med en ikke-screenet medarbejder, herunder:
- Forsinket onboarding.
- Begrænset adgang til systemer.
- Tilbageholdelse af virksomhedens aktiver og udstyr.
- Ophør af ansættelsesforhold.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27002:2013
27002:2022-6.1 erstatter 27002:2013-7.1.1 (Screening).
27002:2022-6.1 indeholder de samme grundlæggende vejledningspunkter som 27002:2013-7.1.1, i at rådgive organisationer om, hvilke oplysninger der skal verificeres, før en medarbejder/leverandør starter deres job (referencer, CV, identitet osv.).
Med udgangspunkt i den tilbudte grundlæggende vejledning indeholder 27002:2022-6.1 også yderligere oplysninger om, hvordan organisationer skal reagere på ufuldstændige verifikationer, herunder potentiel opsigelse.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | NY | Trusselsintelligens |
| 5.23 | NY | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | NY | IKT-parathed til forretningskontinuitet |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 8.9 | NY | Konfigurationsstyring |
| 8.10 | NY | Sletning af oplysninger |
| 8.11 | NY | Datamaskering |
| 8.12 | NY | Forebyggelse af datalækage |
| 8.16 | NY | Overvågning af aktiviteter |
| 8.23 | NY | Webfiltrering |
| 8.28 | NY | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Hvordan ISMS.online hjælper
ISMS.online platformen tilbyder en række kraftfulde værktøjer, der forenkler den måde, du kan dokumentere, implementere, vedligeholde og forbedre din informationssikkerhedsstyringssystem (ISMS) og opnå overensstemmelse med ISO 27002.
Kontakt i dag for book en demo.
