ISO 27002: 2022, Kontrol 6.4. Disciplinær proces taler om behovet for, at organisationer indfører en form for disciplinær proces for at virke afskrækkende, så personalet ikke begår brud på informationssikkerheden.
Denne proces bør kommunikeres formelt, og en passende straf skal udformes til medarbejdere og andre relevante interesserede parter, der begår en informationssikkerhedspolitik overtrædelse.
Overtrædelse af informationssikkerhedspolitikken er et brud på reglerne eller lovene for korrekt håndtering af oplysninger. Informationssikkerhedspolitikker er etableret af organisationer for at beskytte fortrolige, proprietære og personlige data, såsom kunderegistre og kreditkortnumre. Informationssikkerhedspolitikker omfatter også computersikkerhedspolitikker, der hjælper med at sikre sikkerheden og integriteten af data, der er gemt på computere.
For eksempel, hvis du ikke har tilladelse fra din supervisor til at bruge virksomhedens e-mail til at sende personlige e-mails, kan det resultere i en overtrædelse af virksomhedens politik. Derudover, hvis du laver en fejl, mens du bruger virksomhedens udstyr eller software og forårsager skade på det eller de data, der er gemt på det, kan det også betragtes som en overtrædelse af informationssikkerhedspolitikken.
Hvis en medarbejder overtræder en organisations informationssikkerhedspolitik, kan han eller hun blive udsat for disciplinære sanktioner eller opsigelse fra ansættelsen. I nogle tilfælde kan en virksomhed vælge ikke at opsige en medarbejder, der bryder sin computerbrugspolitik, men i stedet træffe andre passende foranstaltninger for at forhindre fremtidige overtrædelser af virksomhedens politik.
Kontrolelementer kan grupperes ved hjælp af attributter. Når man ser på kontrollens attributter, kan man nemmere relatere den til etablerede branchekrav og terminologi. Følgende attributter er i kontrol 6.4.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende #Korrigerende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte #Svare | #Human Resource Security | #Governance og økosystem |
Formålet med den disciplinære proces er at sikre, at personale og andre relevante interesserede parter forstår konsekvenserne af en overtrædelse af informationssikkerhedspolitikken.
Udover at sikre, at medarbejdere og andre relevante interesserede parter forstår konsekvenserne af overtrædelser af informationssikkerhedspolitikken, er kontrol 6.4 designet til at afskrække og hjælpe med at håndtere dem, der overtræder disse politikker.
Et nøgleelement i et effektivt informationssikkerhedsprogram er evnen til at implementere passende disciplinære handlinger for medarbejdere, der overtræder informationssikkerhedspolitikker og -procedurer. Denne måde, medarbejderne er klar over konsekvenserne krænkelse af etablerede politikker og procedurer, hvilket reducerer risikoen for forsætlige eller utilsigtede databrud.
Følgende er eksempler på aktiviteter, der kan inkluderes ved implementering af denne kontrol:
De disciplinære handlinger, der er beskrevet i rammen/dokumentet, bør tages straks efter en hændelse for at afskrække andre, der måtte ønske at overtræde organisationens politikker.
For at opfylde kravene i kontrol 6.4 skal der træffes disciplinære foranstaltninger, når der er bevis for manglende overholdelse af organisationens politikker, procedurer eller regler. Dette omfatter manglende overholdelse af love og regler, der gælder for organisationen.
I henhold til kontrol 6.4 skal den formelle disciplinære proces give mulighed for et gradueret svar, der tager hensyn til følgende faktorer:
Handlingen bør tage højde for alle relevante juridiske, lovgivningsmæssige, regulatoriske, kontraktmæssige og virksomhedsmæssige forpligtelser samt alle andre relevante omstændigheder.
Hvis du er bekendt med ISO 27002:2013, vil du vide, at selvom kontrolidentiteten/-nummeret er blevet ændret, er kontrol 6.4 i ISO 27002:2022 ikke just en ny kontrol. Det er snarere en modificeret version af kontrol 7.2.3 i ISO 27002:2013.
Når det er sagt, er der ingen væsentlige forskelle mellem de to kontroller i begge versioner af ISO 27002. Den lille forskel du vil bemærke er, at kontrolnummeret er blevet ændret fra 7.23 til 6.4. Også i 2022-versionen af standarden er attributtabellen og formålserklæringen inkluderet. Disse to funktioner er ikke i 2013-versionen.
Bortset fra deres forskellige ordlyd er disse kontroller grundlæggende identiske med hensyn til deres indhold og kontekst. Brugervenlig terminologi blev brugt i ISO 27002:2022 for at sikre, at standardens brugere bedre kunne forstå dens indhold.
I de fleste tilfælde varetages den disciplinære proces af afdelingsleder eller personale repræsentant. Det er ikke ualmindeligt, at HR-repræsentanten uddelegerer ansvar for disciplinære handlinger til en anden i organisationen, såsom en informationssikkerhedsspecialist.
Hovedformålet med disciplinære handlinger er at beskytte organisationen mod eventuelle yderligere krænkelser fra medarbejderens side. Det har også til formål at forhindre lignende hændelser fra gentagelse ved at sikre, at alle medarbejdere forstår betydningen af brud på informationssikkerheden.
For at sikre, at der tages disciplinære foranstaltninger mod en medarbejder, der har overtrådt en organisations politikker eller procedurer, er det vigtigt, at der er klare retningslinjer for håndtering af sådanne situationer. Disse retningslinjer bør indeholde specifikke instruktioner om, hvordan man udfører undersøgelser, og de handlinger, der skal træffes, efter undersøgelser er afsluttet.
Hvis du undrer dig over, hvad disse ændringer betyder for dig, er her en kort oversigt over de vigtigste punkter:
Strukturen af standarden forbliver uændret. Nogle kontroller er dog blevet ændret for at tydeliggøre deres betydning eller forbedre overensstemmelsen med andre dele af standarden.
Men hvis du har tænkt dig opnå ISMS-certificering, skal du muligvis undersøge dine sikkerhedsprocedurer for at bekræfte, at de er i overensstemmelse med den reviderede standard.
For at lære mere om, hvordan den nye ISO 27002 kan påvirke dine informationssikkerhedsoperationer og ISO 27001 certificering, tjek venligst vores gratis ISO 27002:2022 guide.
ISMS.Online er den førende ISO 27002 ledelsessystemsoftware, der understøtter overholdelse med ISO 27002, og hjælper virksomheder med at tilpasse deres sikkerhedspolitikker og -procedurer til standarden.
Den cloud-baserede platform giver et komplet sæt værktøjer til at hjælpe organisationer med at opsætte en informationssikkerhedsstyringssystem (ISMS) i henhold til ISO 27002.
Disse værktøjer inkluderer:
ISMS.Online giver også brugere mulighed for at:
ISMS.Online giver også vejledning i, hvordan du bedst implementerer dit ISMS ved at give tips om, hvordan du opretter politikker og procedurer relateret til aspekter såsom risikostyring, træning i personalesikkerhedsbevidsthed og planlægning af hændelser.
Vores platform er designet fra bunden med hjælp fra informationssikkerhedseksperter fra hele verden, og vi har udviklet det på en måde, der gør det nemt for folk uden teknisk viden om informationssikkerhedsstyringssystemer (ISMS) at bruge det.
Vil du se det i aktion?
Kontakt i dag for book en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
