Hvad er kontrol 6.4?
ISO 27002: 2022, Kontrol 6.4. Disciplinær proces taler om behovet for, at organisationer indfører en form for disciplinær proces for at virke afskrækkende, så personalet ikke begår brud på informationssikkerheden.
Denne proces bør kommunikeres formelt, og en passende straf skal udformes til medarbejdere og andre relevante interesserede parter, der begår en informationssikkerhedspolitik overtrædelse.
Overtrædelse af informationssikkerheden forklaret
Overtrædelse af informationssikkerhedspolitikken er et brud på reglerne eller lovene for korrekt håndtering af oplysninger. Informationssikkerhedspolitikker er etableret af organisationer for at beskytte fortrolige, proprietære og personlige data, såsom kunderegistre og kreditkortnumre. Informationssikkerhedspolitikker omfatter også computersikkerhedspolitikker, der hjælper med at sikre sikkerheden og integriteten af data, der er gemt på computere.
For eksempel, hvis du ikke har tilladelse fra din supervisor til at bruge virksomhedens e-mail til at sende personlige e-mails, kan det resultere i en overtrædelse af virksomhedens politik. Derudover, hvis du laver en fejl, mens du bruger virksomhedens udstyr eller software og forårsager skade på det eller de data, der er gemt på det, kan det også betragtes som en overtrædelse af informationssikkerhedspolitikken.
Hvis en medarbejder overtræder en organisations informationssikkerhedspolitik, kan han eller hun blive udsat for disciplinære sanktioner eller opsigelse fra ansættelsen. I nogle tilfælde kan en virksomhed vælge ikke at opsige en medarbejder, der bryder sin computerbrugspolitik, men i stedet træffe andre passende foranstaltninger for at forhindre fremtidige overtrædelser af virksomhedens politik.
Attributter tabel
Kontrolelementer kan grupperes ved hjælp af attributter. Når man ser på kontrollens attributter, kan man nemmere relatere den til etablerede branchekrav og terminologi. Følgende attributter er i kontrol 6.4.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | #Human Resource Security | #Governance og økosystem |
| #Korrigerende | #Integritet | #Svare | ||
| #Tilgængelighed |
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Hvad er formålet med kontrol 6.4?
Formålet med den disciplinære proces er at sikre, at personale og andre relevante interesserede parter forstår konsekvenserne af en overtrædelse af informationssikkerhedspolitikken.
Udover at sikre, at medarbejdere og andre relevante interesserede parter forstår konsekvenserne af overtrædelser af informationssikkerhedspolitikken, er kontrol 6.4 designet til at afskrække og hjælpe med at håndtere dem, der overtræder disse politikker.
Et nøgleelement i et effektivt informationssikkerhedsprogram er evnen til at implementere passende disciplinære handlinger for medarbejdere, der overtræder informationssikkerhedspolitikker og -procedurer. Denne måde, medarbejderne er klar over konsekvenserne krænkelse af etablerede politikker og procedurer, hvilket reducerer risikoen for forsætlige eller utilsigtede databrud.
Følgende er eksempler på aktiviteter, der kan inkluderes ved implementering af denne kontrol:
- Afholde periodiske træningssessioner om politiske ændringer;
- Udforme disciplinære handlinger for manglende overholdelse af informationssikkerhedspolitikker;
- Giv en kopi af organisationens disciplinære procedurer til hver medarbejder;
- Sørg for, at disciplinære procedurer følges konsekvent i lignende situationer.
De disciplinære handlinger, der er beskrevet i rammen/dokumentet, bør tages straks efter en hændelse for at afskrække andre, der måtte ønske at overtræde organisationens politikker.
Hvad er involveret, og hvordan man opfylder kravene
For at opfylde kravene i kontrol 6.4 skal der træffes disciplinære foranstaltninger, når der er bevis for manglende overholdelse af organisationens politikker, procedurer eller regler. Dette omfatter manglende overholdelse af love og regler, der gælder for organisationen.
I henhold til kontrol 6.4 skal den formelle disciplinære proces give mulighed for et gradueret svar, der tager hensyn til følgende faktorer:
- Arten (hvem, hvad, hvornår, hvordan), tyngdekraften og konsekvenserne af bruddet;
- Om lovovertrædelsen var ondsindet (forsætlig) eller utilsigtet (utilsigtet);
- Om dette er den første eller anden forseelse;
- Hvorvidt overtræderen har modtaget tilstrækkelig træning eller ej.
Handlingen bør tage højde for alle relevante juridiske, lovgivningsmæssige, regulatoriske, kontraktmæssige og virksomhedsmæssige forpligtelser samt alle andre relevante omstændigheder.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Ændringer og forskelle fra ISO 27002:2013
Hvis du er bekendt med ISO 27002:2013, vil du vide, at selvom kontrolidentiteten/-nummeret er blevet ændret, er kontrol 6.4 i ISO 27002:2022 ikke just en ny kontrol. Det er snarere en modificeret version af kontrol 7.2.3 i ISO 27002:2013.
Når det er sagt, er der ingen væsentlige forskelle mellem de to kontroller i begge versioner af ISO 27002. Den lille forskel du vil bemærke er, at kontrolnummeret er blevet ændret fra 7.23 til 6.4. Også i 2022-versionen af standarden er attributtabellen og formålserklæringen inkluderet. Disse to funktioner er ikke i 2013-versionen.
Bortset fra deres forskellige ordlyd er disse kontroller grundlæggende identiske med hensyn til deres indhold og kontekst. Brugervenlig terminologi blev brugt i ISO 27002:2022 for at sikre, at standardens brugere bedre kunne forstå dens indhold.
Hvem er ansvarlig for denne proces?
I de fleste tilfælde varetages den disciplinære proces af afdelingsleder eller personale repræsentant. Det er ikke ualmindeligt, at HR-repræsentanten uddelegerer ansvar for disciplinære handlinger til en anden i organisationen, såsom en informationssikkerhedsspecialist.
Hovedformålet med disciplinære handlinger er at beskytte organisationen mod eventuelle yderligere krænkelser fra medarbejderens side. Det har også til formål at forhindre lignende hændelser fra gentagelse ved at sikre, at alle medarbejdere forstår betydningen af brud på informationssikkerheden.
For at sikre, at der tages disciplinære foranstaltninger mod en medarbejder, der har overtrådt en organisations politikker eller procedurer, er det vigtigt, at der er klare retningslinjer for håndtering af sådanne situationer. Disse retningslinjer bør indeholde specifikke instruktioner om, hvordan man udfører undersøgelser, og de handlinger, der skal træffes, efter undersøgelser er afsluttet.
Hvad betyder disse ændringer for dig?
Hvis du undrer dig over, hvad disse ændringer betyder for dig, er her en kort oversigt over de vigtigste punkter:
- Det er ikke en væsentlig ændring, så du behøver ikke at gencertificere.
- Du kan beholde din eksisterende certificering, indtil den udløber (hvis den stadig er gyldig).
- Der er ingen større ændringer i indholdet af ISO 27002.
- Fokus er mere på at opdatere standarden, så den stemmer overens med nuværende bedste praksis og standarder.
Strukturen af standarden forbliver uændret. Nogle kontroller er dog blevet ændret for at tydeliggøre deres betydning eller forbedre overensstemmelsen med andre dele af standarden.
Men hvis du har tænkt dig opnå ISMS-certificering, skal du muligvis undersøge dine sikkerhedsprocedurer for at bekræfte, at de er i overensstemmelse med den reviderede standard.
For at lære mere om, hvordan den nye ISO 27002 kan påvirke dine informationssikkerhedsoperationer og ISO 27001 certificering, tjek venligst vores gratis ISO 27002:2022 guide.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | NY | Trusselsintelligens |
| 5.23 | NY | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | NY | IKT-parathed til forretningskontinuitet |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 8.9 | NY | Konfigurationsstyring |
| 8.10 | NY | Sletning af oplysninger |
| 8.11 | NY | Datamaskering |
| 8.12 | NY | Forebyggelse af datalækage |
| 8.16 | NY | Overvågning af aktiviteter |
| 8.23 | NY | Webfiltrering |
| 8.28 | NY | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Hvordan ISMS.Online hjælper
ISMS.Online er den førende ISO 27002 ledelsessystemsoftware, der understøtter overholdelse med ISO 27002, og hjælper virksomheder med at tilpasse deres sikkerhedspolitikker og -procedurer til standarden.
Den cloud-baserede platform giver et komplet sæt værktøjer til at hjælpe organisationer med at opsætte en informationssikkerhedsstyringssystem (ISMS) i henhold til ISO 27002.
Disse værktøjer inkluderer:
- Et bibliotek med skabeloner til almindelige virksomhedsdokumenter;
- Et sæt foruddefinerede politikker og procedurer;
- An revisionsværktøj til at understøtte interne revisioner;
- En grænseflade til tilpasning ismer politikker og procedurer;
- En godkendelsesworkflow for alle ændringer foretaget i politikker og procedurer;
- En tjekliste til at sikre, at dine politikker og informationssikkerhedsprocesser følger de godkendte internationale standarder.
ISMS.Online giver også brugere mulighed for at:
- Administrer alle aspekter af ISMS livscyklus med lethed.
- Få indsigt i realtid i deres sikkerhedsposition og manglende overholdelse.
- Integrer med andre systemer som HR, økonomi og projektledelse.
- Demonstrere overholdelse af deres ISMS med ISO 27001-standarder.
ISMS.Online giver også vejledning i, hvordan du bedst implementerer dit ISMS ved at give tips om, hvordan du opretter politikker og procedurer relateret til aspekter såsom risikostyring, træning i personalesikkerhedsbevidsthed og planlægning af hændelser.
Vores platform er designet fra bunden med hjælp fra informationssikkerhedseksperter fra hele verden, og vi har udviklet det på en måde, der gør det nemt for folk uden teknisk viden om informationssikkerhedsstyringssystemer (ISMS) at bruge det.
Vil du se det i aktion?
Kontakt i dag for book en demo.
