ISO 27002:2022, Kontrol 6.1 – Screening

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002:2022 Reviderede kontroller

bund,visning,af,moderne,skyskrabere,i,forretning,distrikt,mod,blå

bottom,view,of,modern,skyscrapers,in,business,district,against,blue

Formål med kontrol 6.1

Kontrol 6.1 omhandler baggrundskontrol som kræves af alle medarbejdere og udvalgte leverandører, før de tiltræder organisationen.

Kontrol 6.1 fortaler for en proportional tilgang til verifikationstjek, der er knyttet til organisationens unikke krav, og som omfatter alle de relevante love, regler og etiske standarder, som en organisation holder sig til, uanset hvor de opererer.

Når de udfører kontrol, bør organisationer være opmærksomme på typen af oplysninger, som hver enkelt medarbejder/leverandør vil komme i kontakt med gennem hele deres jobrolle og eventuelle tilknyttede risici.

Attributter tabel

Kontrol 6.1 er en forebyggende kontrollere det fastholder risiko ved at etablere en screeningsproces, der behandler alle fuldtidsansatte, deltidsansatte og tilfældige/midlertidige medarbejdere og leverandører, for at sikre, at kun egnet og ordentligt personale er i stand til at få adgang til information.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed #Integritet #Tilgængelighed	#Beskytte	#Human Resource Security	#Governance og økosystem

Ejerskab af kontrol 6.1

Beskæftigelsesverifikationstjek udføres normalt før en person starter på sit job. Som sådan bør ejerskabet af 6.1 ligge hos en organisations HR Manager.

Gå til emne

Formål med kontrol 6.1
Kontrolattributter 6.1
Ejerskab af kontrol 6.1
Generel vejledning om kontrol 6.1
Vejledning – Forbedret vetting
Vejledning – ufuldstændige verifikationer
Ændringer og forskelle fra ISO 27002:2013
Hvordan ISMS.online hjælper

Få et forspring på ISO 27001

Alt sammen opdateret med 2022 kontrolsættet
Foretag 81 % fremskridt fra det øjeblik, du logger ind
Enkel og nem at bruge

Book din demo

Generel vejledning om kontrol 6.1

Screeningsaktiviteter bør omfatte følgende kontroller:

Referencer, herunder både forretningsmæssige og personlige attester.

CV-bekræftelse for at sikre, at kandidaten hverken har udeladt nogen relevant information og kun har inkluderet nøjagtige og sandfærdige oplysninger.

Bekræftelse af akademiske, faglige og faglige kvalifikationer og certificeringer.

Identitetsbekræftelse, som bekræftet af en tredjeparts statslig eller offentlig organisation (pas- og/eller kørekortkontrol).

Kredittjek og kontrol af straffeattest, for alle roller, der anses for at være egnede til forbedret kontrol.

Baggrundsverifikation omfatter ofte indsamling, behandling og overførsel af PII og/eller beskyttede karakteristika (britisk lov). Som sådan bør organisationer sikre streng overholdelse af enhver gældende beskæftigelseslovgivning, uanset hvor de opererer.

Dette involverer normalt at informere kandidaten om screeningsprocessen (både med hensyn til data, der behandles og hvad det bruges til), før verifikationen udføres.

Screening procedurerne bør klart angive det ansvarlige personale for at udføre screeningen på vegne af organisationen, og den bagvedliggende årsag til, at der i første omgang foretages screening.

Hvis der skal udføres screening på leverandører, er det vigtigt at medtage dette krav i eventuelle kontraktlige aftaler, før ydelser udføres.

Når en medarbejder/leverandør er blevet undersøgt og ansat, skal den organisationen bør tage skridt til at sikre, at kandidaten har evnen til at udføre deres rolle som annonceret og har vist sig at være en pålidelig person, især hvis deres rolle omfatter informationssikkerhedsrelaterede aktiviteter.

Vejledning – Forbedret vetting

Kontrol 6.1 giver organisationer et betydeligt spillerum med hensyn til de omstændigheder, der kræves, før de påbegynder forbedrede kontrolkontroller.

Sådanne procedurer bør besluttes fra job til job, og der bør ikke skelnes mellem nyt personale eller eksisterende personale, der er blevet forfremmet til en rolle, der indeholder et større ansvar.

Roller, der kræver udvidet screening, kan defineres som enhver, der omhandler informationsbehandling som en daglig aktivitet (f.eks. HR), eller enhver rolle, der omfatter håndtering eller behandling af PII, finansiel information eller enhver anden type følsomme data.

Organisationer bør også overveje måder, hvorpå de kan verificere den løbende egnethed af personale, der er ansat i en kritisk rolle.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Opdateret til ISO 27001 2022

81 % af arbejdet udført for dig
Assured Results Metode til certificeringssucces
Spar tid, penge og besvær

Book din demo

Vejledning – ufuldstændige verifikationer

Under visse omstændigheder (hastende ansættelser, tredjeparts forsinkelser, ansøgningsfejl osv.), er screeningen ikke altid i stand til at gennemføres rettidigt.

Hvor dette sker, bør organisationer overveje alternative handlingsmuligheder, der minimerer de risici, der er forbundet med en ikke-screenet medarbejder, herunder:

Forsinket onboarding.

Begrænset adgang til systemer.

Tilbageholdelse af virksomhedens aktiver og udstyr.

Ophør af ansættelsesforhold.

Ændringer og forskelle fra ISO 27002:2013

27002:2022-6.1 erstatter 27002:2013-7.1.1 (Screening).

27002:2022-6.1 indeholder de samme grundlæggende vejledningspunkter som 27002:2013-7.1.1, i at rådgive organisationer om, hvilke oplysninger der skal verificeres, før en medarbejder/leverandør starter deres job (referencer, CV, identitet osv.).

Med udgangspunkt i den tilbudte grundlæggende vejledning indeholder 27002:2022-6.1 også yderligere oplysninger om, hvordan organisationer skal reagere på ufuldstændige verifikationer, herunder potentiel opsigelse.

Hvordan ISMS.online hjælper

ISMS.online platformen tilbyder en række kraftfulde værktøjer, der forenkler den måde, du kan dokumentere, implementere, vedligeholde og forbedre din informationssikkerhedsstyringssystem (ISMS) og opnå overensstemmelse med ISO 27002.

Kontakt i dag for book en demo.

Er du klar til
den nye ISO 27002

Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.7	Ny	Trusselsintelligens
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.30	Ny	IKT-parathed til forretningskontinuitet
7.4	Ny	Fysisk sikkerhedsovervågning
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.16	Ny	Overvågning af aktiviteter
8.23	Ny	Webfiltrering
8.28	Ny	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	Ny	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	Ny	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	Ny	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	Ny	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	Ny	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	Ny	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Vi er omkostningseffektive og hurtige

Find ud af, hvordan det vil øge dit investeringsafkast

Få dit tilbud