Kontrol 6.1 omhandler baggrundskontrol som kræves af alle medarbejdere og udvalgte leverandører, før de tiltræder organisationen.
Kontrol 6.1 fortaler for en proportional tilgang til verifikationstjek, der er knyttet til organisationens unikke krav, og som omfatter alle de relevante love, regler og etiske standarder, som en organisation holder sig til, uanset hvor de opererer.
Når de udfører kontrol, bør organisationer være opmærksomme på typen af oplysninger, som hver enkelt medarbejder/leverandør vil komme i kontakt med gennem hele deres jobrolle og eventuelle tilknyttede risici.
Kontrol 6.1 er en forebyggende kontrollere det fastholder risiko ved at etablere en screeningsproces, der behandler alle fuldtidsansatte, deltidsansatte og tilfældige/midlertidige medarbejdere og leverandører, for at sikre, at kun egnet og ordentligt personale er i stand til at få adgang til information.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Human Resource Security | #Governance og økosystem |
Beskæftigelsesverifikationstjek udføres normalt før en person starter på sit job. Som sådan bør ejerskabet af 6.1 ligge hos en organisations HR Manager.
Screeningsaktiviteter bør omfatte følgende kontroller:
Baggrundsverifikation omfatter ofte indsamling, behandling og overførsel af PII og/eller beskyttede karakteristika (britisk lov). Som sådan bør organisationer sikre streng overholdelse af enhver gældende beskæftigelseslovgivning, uanset hvor de opererer.
Dette involverer normalt at informere kandidaten om screeningsprocessen (både med hensyn til data, der behandles og hvad det bruges til), før verifikationen udføres.
Screening procedurerne bør klart angive det ansvarlige personale for at udføre screeningen på vegne af organisationen, og den bagvedliggende årsag til, at der i første omgang foretages screening.
Hvis der skal udføres screening på leverandører, er det vigtigt at medtage dette krav i eventuelle kontraktlige aftaler, før ydelser udføres.
Når en medarbejder/leverandør er blevet undersøgt og ansat, skal den organisationen bør tage skridt til at sikre, at kandidaten har evnen til at udføre deres rolle som annonceret og har vist sig at være en pålidelig person, især hvis deres rolle omfatter informationssikkerhedsrelaterede aktiviteter.
Kontrol 6.1 giver organisationer et betydeligt spillerum med hensyn til de omstændigheder, der kræves, før de påbegynder forbedrede kontrolkontroller.
Sådanne procedurer bør besluttes fra job til job, og der bør ikke skelnes mellem nyt personale eller eksisterende personale, der er blevet forfremmet til en rolle, der indeholder et større ansvar.
Roller, der kræver udvidet screening, kan defineres som enhver, der omhandler informationsbehandling som en daglig aktivitet (f.eks. HR), eller enhver rolle, der omfatter håndtering eller behandling af PII, finansiel information eller enhver anden type følsomme data.
Organisationer bør også overveje måder, hvorpå de kan verificere den løbende egnethed af personale, der er ansat i en kritisk rolle.
Under visse omstændigheder (hastende ansættelser, tredjeparts forsinkelser, ansøgningsfejl osv.), er screeningen ikke altid i stand til at gennemføres rettidigt.
Hvor dette sker, bør organisationer overveje alternative handlingsmuligheder, der minimerer de risici, der er forbundet med en ikke-screenet medarbejder, herunder:
27002:2022-6.1 erstatter 27002:2013-7.1.1 (Screening).
27002:2022-6.1 indeholder de samme grundlæggende vejledningspunkter som 27002:2013-7.1.1, i at rådgive organisationer om, hvilke oplysninger der skal verificeres, før en medarbejder/leverandør starter deres job (referencer, CV, identitet osv.).
Med udgangspunkt i den tilbudte grundlæggende vejledning indeholder 27002:2022-6.1 også yderligere oplysninger om, hvordan organisationer skal reagere på ufuldstændige verifikationer, herunder potentiel opsigelse.
ISMS.online platformen tilbyder en række kraftfulde værktøjer, der forenkler den måde, du kan dokumentere, implementere, vedligeholde og forbedre din informationssikkerhedsstyringssystem (ISMS) og opnå overensstemmelse med ISO 27002.
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Vi er omkostningseffektive og hurtige