Kontrol 6.5 i ISO 27002:2022 dækker organisationers behov for at definere de informationssikkerhedsopgaver og -ansvar, der forbliver gyldige, hvis personale stopper arbejdet eller flytter til en ny afdeling.
Disse pligter og ansvar skal kommunikeres til medarbejderen såvel som enhver anden relevant part.
Informationspligter og -ansvar er de forpligtelser, som en medarbejder har over for sin arbejdsgiver, når det kommer til at håndtere fortrolige oplysninger. Pligten til at holde oplysninger fortrolige er en juridisk forpligtelse i de fleste stater, så det er vigtigt for medarbejdere at forstå, hvad de er forpligtet til at gøre, når det kommer til at beskytte deres arbejdsgivers oplysninger.
I de fleste tilfælde har arbejdsgivere ret til at forvente, at deres ansatte ikke kun beskytter fortrolige oplysninger oplysninger, men heller ikke bruge disse oplysninger til personlige vinde såsom gennem insiderhandel eller andre ulovlige aktiviteter.
Eksempler på informationssikkerhedsopgaver og -ansvar omfatter:
Som organisation er det vigtigt at forstå din ansvar ved håndtering af personoplysninger fordi det vil hjælpe dig med at undgå at overtræde privatlivslovgivningen, hvilket kan have alvorlige konsekvenser for både din virksomhed og dine medarbejdere.
Kontroller klassificeres ved hjælp af attributter. Ved at bruge disse kan du hurtigt matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer.
Attributter til kontrol 6.5 er:
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Human Resource Security # Asset Management | #Governance og økosystem |
Kontrol 6.5 er en kontrol, der bør implementeres, når en medarbejder eller entreprenør forlader organisationen, eller kontrakten opsiges, inden den udløber.
Formålet med denne kontrol er at beskytte organisationens informationssikkerhedsinteresser som led i processen med ændring eller opsigelse af ansættelse eller kontrakter.
Denne kontrol kan også arbejde for at beskytte mod risiko for medarbejdere, der har adgang til følsomme oplysninger og processer, misbruger deres position til personlig vinding eller ondsindet hensigt, især efter at de har forladt organisationen eller jobrollen.
Kontrol 6.5 sigter mod at beskytte organisationens informationssikkerhedsinteresser som en del af processen med at ændre eller opsige ansættelse eller kontrakter. Dette omfatter medarbejdere, entreprenører og tredjeparter, der har adgang til dine følsomme oplysninger.
Implementering af kontrollen betyder at vurdere, om nogen personer (herunder dem, der er ansat af en tredjepart), som har adgang til dine følsomme personoplysninger, forlader din organisation, og om det er nødvendigt at tage skridt til at sikre, at de ikke beholder og fortsætter med at få adgang til dine følsomme data. personoplysninger efter deres afrejse.
Hvis du oplever, at nogen tager af sted, og der er risiko for, at følsomme personoplysninger kan blive videregivet, så skal du tage rimelige skridt, inden de rejser, eller hurtigst muligt efter, at de er rejst, så det ikke sker.
For at opfylde kravene til kontrol 6.5 bør vilkårene og betingelserne for en persons ansættelse, kontrakt eller aftale specificere eventuelle informationssikkerhedsansvar og pligter som forbliver i kraft efter afslutningen af forholdet.
Informationssikkerhedsopgaver kan også indgå i andre kontrakter eller aftaler, der strækker sig ud over en medarbejders ophør.
Enhver, der siger op eller skifter job, skal have deres informationssikkerhedsansvar og -pligter overdraget til en ny person, og alle adgangsoplysninger skal slettes og oprettes et nyt.
Mere information om, hvordan dette fungerer, kan findes i ISO 27002:2022 standarddokument.
Kontrol 6.5 i den nye ISO 27002:2022 er ikke en ny kontrol, men det er en modificeret version af kontrol 7.3.1 i ISO 27002:2013.
Selvom det grundlæggende i disse to kontroller ligner hinanden, er der små variationer. For eksempel er implementeringsvejledningen i begge versioner lidt anderledes.
Den første del af implementeringsvejledningen i kontrol 7.3.1 i ISO 27002: 2013 siger, at
"Meddelelsen om opsigelsesansvar bør omfatte løbende informationssikkerhedskrav og juridiske ansvar og, hvor det er relevant, ansvar indeholdt i enhver fortrolighedsaftale og ansættelsesvilkårene og -vilkårene, der fortsætter i en defineret periode efter afslutningen af medarbejderens eller kontrahentens ansættelsesforhold. ”
Det samme afsnit i kontrol 6.5 i ISO 27002:2022 siger, at
”Processen til håndtering af opsigelse eller ændring af ansættelse bør definere, hvilke ansvars- og pligter for informationssikkerhed, der skal forblive gyldige efter opsigelse eller ændring. Dette kan omfatte fortrolighed af oplysninger, intellektuel ejendomsret og anden opnået viden samt ansvar indeholdt i enhver anden fortrolighedsaftale.
Ansvar og pligter, der stadig gælder efter ansættelses- eller kontraktophør, bør være indeholdt i den enkeltes ansættelsesvilkår, kontrakt eller aftale. Andre kontrakter eller aftaler, der fortsætter i en afgrænset periode efter ophør af den enkeltes ansættelse, kan også indeholde informationssikkerhedsansvar.”
Når det er sagt, uanset hvor meget deres formuleringer afviger, har begge kontroller en for det meste ens struktur og funktion i deres respektive sammenhænge. Sproget i kontrol 6.5 er blevet forenklet for at gøre det mere brugervenligt, så de, der skal bruge standarden, lettere kan forholde sig til dens indhold.
Det er vigtigt også at påpege, at 2022-versionen af ISO 27002 også kommer med en formålserklæring og attributtabel for hver kontrol for at hjælpe brugerne med bedre at forstå og implementere kontrollerne. Disse to afsnit mangler i 2013-udgaven.
I overensstemmelse med anbefalingerne i kontrol 6.5 HR-afdeling er sædvanligvis ansvarlig for den samlede opsigelsesprocessen i de fleste organisationer, og den samarbejder med den tilsynsførende leder for den person, der er ved overgangen, for at overvåge informationssikkerhedselementerne i de relaterede procedurer.
Personale leveret af en ekstern part (f.eks. en leverandør) opsiges af den eksterne part i overensstemmelse med vilkår og betingelser i den kontrakt, der er indgået mellem organisationen og den eksterne part.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
ISO 27002:2013-standarden er ikke blevet ændret væsentligt. Standarden er netop blevet opdateret for at lette brugervenligheden. Det er ikke nødvendigt for nogen organisation, der i øjeblikket er i overensstemmelse med ISO 27002:2013, at tage yderligere skridt for at opretholde overholdelse af ISO 27002.
For at overholde revisionerne i ISO 27002:2022 skal organisationen kun foretage mindre ændringer af sine eksisterende processer og procedurer, især hvis der er nogen hensigt om at gencertificere.
Hvis du gerne vil vide mere om, hvordan disse ændringer til kontrol 6.5 vil påvirke din organisation, så se venligst vores vejledning om ISO 27002:2022.
Virksomheder kan bruge ISMS.Online til at hjælpe dem med deres ISO 27002-overholdelsesbestræbelser ved at give dem en platform, der gør det nemt at administrere deres sikkerhedspolitikker og -procedurer, opdatere dem efter behov, teste dem og overvåge deres effektivitet.
Vores cloud-baserede platform giver dig mulighed for hurtigt og nemt administrere alle aspekter af dit ISMS, herunder risikostyring, politikker, planer, procedurer og mere på ét centralt sted. Platformen er nem at bruge og har en intuitiv brugerflade, der gør det nemt at lære at bruge.
ISMS.Online giver dig mulighed for at:
Hvis du er en virksomhed, der skal overholde ISO 27001 og/eller ISO 27002, ISMS.Online tilbyder en lang række funktioner til at hjælpe dig med at nå dette vigtige mål.
Kontakt i dag for book en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
