ISO 27002:2022, kontrol 6.3. Informationssikkerhedsbevidsthed, uddannelse og træning dækker behovet for, at medarbejdere i en organisation modtager passende informationssikkerhedsbevidsthed, uddannelse og træning samt regelmæssige opdateringer af organisationens informationssikkerhedspolitik, især når det gælder deres jobfunktion.
Bevidsthed om informationssikkerhed, uddannelse og træning (it-sikkerhedsbevidsthed) er processen med at informere brugere om vigtigheden af informationssikkerhed og tilskynde dem til at forbedre deres egne computersikkerhedsvaner.
Brugere skal gøres opmærksomme på sikkerheden risici, der kan komme fra deres aktiviteter, og hvordan de kan beskytte sig mod disse risici.
Informationssikkerhedsbevidsthed, uddannelse og træning er kritiske komponenter for enhver organisations succes. Det er afgørende, at alle medarbejdere forstår vigtigheden af informationssikkerhed, og hvordan den påvirker alle.
Jo mere medarbejderne forstår, hvordan de beskytter sig selv mod cybertrusler, jo mere sikker vil din organisation være.
Kontrolelementer kan grupperes ved hjælp af attributter. Når man ser på kontrollens attributter, kan man nemmere relatere den til etablerede branchekrav og terminologi. Følgende attributter er i kontrol 6.3.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Human Resource Security | #Governance og økosystem |
Formålet med Kontrol 6.3 er at sikre, at personale og relevante interesserede parter er opmærksomme på og er ordentligt uddannet til at opfylde deres informationssikkerhedsansvar.
Kontrol 6.3 dækker en række aktiviteter, der hjælper med at sikre, at folk har den viden og de færdigheder, der kræves for at operere inden for en organisations informationssikkerhed rammer. Hovedfokus i dette kontrollen er på bevidstgørelsesaktiviteter om vigtigheden af informationssikkerhed, tilskyndelse til god praksis og fremme af overholdelse af relevante politikker og procedurer.
Informationssikkerhedsbevidsthed, uddannelse og træning er en kritisk komponent i en organisations overordnede risikostyringsstrategi og bør betragtes som en integreret del af organisationens sikkerhedspolitik.
Kontrol 6.3 definerer behovet for, at organisationer har et informationssikkerhedsprogram, der giver alle medarbejdere den nødvendige viden og færdigheder til at beskytte informationsaktiver. Den giver vejledning om, hvad der bør indgå i et effektivt oplysningsprogram.
For eksempel kan organisationen have behov for at etablere sikkerhedsbevidsthedstræning mindst årligt, eller som krævet af risikovurderingen, for alle medarbejdere og entreprenører, der er blevet tildelt roller, hvor de har adgang til følsomme informationsaktiver eller andre typer information systemer, der gemmer, behandler eller overfører følsomme data.
Kravet til kontrol 6.3 er, at en organisation skal have en proces, der sikrer, at medarbejderne er tilstrækkeligt uddannet i, hvordan de udfører deres arbejdsopgaver sikkert og sikkert på en måde, som kompromitterer ikke informationssikkerheden. Dette kan opnås gennem træningssessioner. Det kan også opnås ved hjælp af onlineressourcer såsom videoer eller webinarer.
Informationssikkerhedsbevidsthed, uddannelse og træningsprogrammer bør udvikles i overensstemmelse med organisationens informationssikkerhedspolitik, emnespecifikke politikker og relevante informationssikkerhedsprocedurer. Den bør også tage hensyn til organisationens oplysninger, der skal beskyttes, og de informationssikkerhedskontroller, der er implementeret for at beskytte dem. Dette bør ske med jævne mellemrum.
Introduktionsbevidsthed, uddannelse og træning kan gælde for nye medarbejdere såvel som dem, der skifter til nye stillinger eller opgaver, der kræver væsentligt forskellige niveauer af informationssikkerhed.
Oplysningskampagnen bør omfatte en række aktiviteter for at øge bevidstheden. Dette omfatter kampagner, hæfter, plakater, nyhedsbreve, hjemmesider, informationsmøder, briefinger, e-læringsmoduler og e-mails.
Ifølge kontrol 6.3 skal dette program dække:
ISO 27002: 2022 er ikke en helt ny kontrol. Denne version af ISO 27002, som blev udgivet i februar 2022, er en opdatering til den tidligere version, som blev udgivet i 2013. Som følge heraf er kontrol 6.3 i ISO 27002:2022 ikke en helt ny kontrol. Det er en let modificeret version af kontrol 7.2.2 i ISO 27002:2013.
Kontrol 7.2.2 i ISO 27002:2013 har ikke en attributtabel eller en formålserklæring, som er inkluderet i kontrol 6.3 i ISO 27002:2022-versionen.
Når det er sagt, bortset fra ændringen i kontrolnummeret, er der ingen anden mærkbar forskel mellem de to kontroller. På trods af at formuleringen af de to kontroller er forskellig, er substansen og konteksten af de to kontroller i det væsentlige den samme.
Sproget i kontrol 6.3 er lavet til at være mere brugervenligt, så folk, der vil bruge standarden, bliver bedre i stand til at forholde sig til dens indhold.
Svaret på dette spørgsmål afhænger af din organisation. I mange organisationer administreres informationssikkerhedsbevidsthed, uddannelse og træningsprogrammer af sikkerhedsteamet. I andre organisationer varetages det af HR-afdelingen eller en anden funktion.
Det vigtige er at sikre, at nogen er ansvarlig for at skabe og implementere din organisations sikkerhedsbevidsthedsprogram. Denne person eller afdeling bør også overvåges af informationssikkerhedschefen (hvis en anden person er ansvarlig for denne rolle).
Denne person skal have en god forståelse af informationssikkerhed og være i stand til at kommunikere med medarbejdere om forskellige emner relateret til bedste praksis for sikkerhed. Denne person bør også være i stand til at udvikle indhold til dine træningsprogrammer og holde regelmæssige træningssessioner for medarbejdere.
Det er vigtigt at forstå, at informationssikkerhed ikke kun er IT-ansvaret. Det er alles ansvar. Organisationer skal have et team af mennesker, der er ansvarlige for sikkerhed, men de skal også sørge for, at alle forstår vigtigheden af fortrolighed og integritet.
Vi er omkostningseffektive og hurtige
Du behøver ikke gøre meget, fordi ISO 27002: 2022 ikke er en ny standard, men en revision af 2013-versionen. Det forventes derfor, at de fleste organisationer ikke behøver at foretage ændringer.
Men hvis du allerede har implementeret 2013-versionen af ISO 27002, skal du vurdere, om disse ændringer er relevante for din organisation. Du skal også gennemgå dine sikkerhedsprocesser, hvis du er det planlægning af ISMS-certificering. Dette vil sikre, at dine processer er i overensstemmelse med den gennemgåede standard.
Vores ISO 27002:2022-vejledning, der kan downloades gratis på vores hjemmeside, har yderligere information om, hvordan den nye ISO 27002 kan påvirke dine informationssikkerhedsoperationer og ISO 27001 certificering.
ISMS.Online er en komplet løsning til ISO 27002 implementering. Det er et webbaseret system, som giver dig mulighed for vise, at dit informationssikkerhedsstyringssystem (ISMS) er kompatibelt med de godkendte standarder ved hjælp af gennemtænkte processer, procedurer og tjeklister.
Det er ikke kun en brugervenlig platform til at administrere din ISO 27002-implementering, men også et fremragende værktøj til at træne dit personale i bedste praksis og processer for informationssikkerhed samt dokumentere alle dine anstrengelser.
Fordele ved at bruge ISMS.Online:
ISMS.Online forenkler processen med at implementere ISO 27002 ved at levere alle de nødvendige ressourcer, informationer og værktøjer på ét sted. Det giver dig mulighed for at kontrollere, at dit ISMS lever op til standarden med blot et par klik med musen, hvilket ellers ville tage lang tid, hvis det blev gjort manuelt.
Vil du se det i aktion?
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
