ISO 27002:2022, Kontrol 6.6 – Fortroligheds- eller tavshedspligtaftaler

Attributter tabel

Kontroller klassificeres ved hjælp af attributter. Ved at bruge disse kan du hurtigt matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer.

Attributter til kontrol 6.5 er:

Hvad er formålet med kontrol 6.6?

Kontrol 6.6 bør implementeres for at sikre informationssikkerheden, når personale, partnere og leverandører arbejder med en organisation.

Denne kontrol har til formål at sikre organisationens information og at informere underskrivere om deres ansvar at håndtere og beskytte oplysninger på en ansvarlig og autoriseret måde. Det bruges også som et værktøj til at beskytte intellektuelle ejendomsrettigheder, såsom patenter, varemærker, forretningshemmeligheder og ophavsrettigheder.

Det er vigtigt for arbejdsgivere at have en hemmeligholdelsesaftale på plads, før de videregiver nogen fortrolig information til en medarbejder eller entreprenør. Aftalen vil fastlægge, hvor tæt den enkelte skal værne om de oplysninger, vedkommende bliver udsat for, og hvor længe tavshedsperioden løber efter ansættelsesforholdets ophør.

Kontrol 6.6 Forklaret

Kontrol 6.6 har til formål at beskytte din organisations intellektuelle ejendomsret og forretningsinteresser ved at forhindre videregivelse af følsomme oplysninger til tredjeparter. Den henviser til en juridisk kontrakt eller en aftale mellem din organisation og dens medarbejdere, partnere, entreprenører, leverandører og andre tredjeparter der regulerer brugen af ​​fortrolige oplysninger.

Fortrolig information er enhver information, der ikke er gjort tilgængelig for offentligheden eller andre virksomheder i en lignende branche. Eksempler omfatter forretningshemmeligheder, kundelister, formler og forretningsplaner.

Kontrollen bør gennemføres ved vurdering af, om en tredjepart vil have adgang til følsomme personoplysninger, og om der skal tages skridt til at sikre, at de ikke beholder og fortsætter med at få adgang til organisationens følsomme personoplysninger efter deres afgang.

Når en organisation fastslår, at en tredjepart forlader forretningsforholdet, og der er risiko for, at følsomme organisations- eller virksomhedsdata kan blive videregivet som følge heraf, skal organisationen tage rimelige skridt, før denne tredjepart forlader, eller så hurtigt som muligt efter at de er gået, for at forhindre en sådan videregivelse.

Hvad er involveret, og hvordan man opfylder kravene

Kontrol 6.6 betyder, at aftaleparterne ikke videregiver fortrolige oplysninger omfattet af aftalen. Oplysningerne må kun videregives med skriftligt samtykke fra organisationen eller i overensstemmelse med en retskendelse. Dette er vigtigt for at beskytte følsomme oplysninger om forretningspraksis, intellektuel ejendomsret og forskning og udvikling.

For at opfylde kravene i kontrol 6.6 skal en "fortroligheds"- og "hemmeligholdelsesaftale"-aftale/-kontrakt omhyggeligt udformes, så den dækker alle forretningshemmeligheder og følsomme data/informationsaspekter af organisationens handler og transaktioner. Det er vigtigt, at begge parter forstår deres forpligtelser i henhold til kontrakten og forpligtelser under og efter afslutningen af ​​forretningsforholdet.

En fortrolighedsklausul kan også inkluderes i andre kontrakter, der strækker sig ud over afslutningen af ​​medarbejderens ansættelsesforhold eller tredjemands engagement.

Det er bydende nødvendigt, at den person, der forlader et forretningsforhold eller skifter job, får overdraget sit sikkerhedsansvar og -pligter til en ny person, og alle adgangsoplysninger slettet og en ny oprettet.

Følgende elementer bør overvejes, når fortroligheds- og tavshedspligtaftaler identificeres:

1. En beskrivelse af de oplysninger, der skal beskyttes (f.eks. fortrolige data);
2. Varighed af en aftale, herunder situationer, hvor fortroligheden skal opretholdes på ubestemt tid eller indtil oplysningerne bliver offentlige;
3. De nødvendige handlinger i tilfælde af opsigelse af en aftale;
4. Ansvar og handlinger, som underskrivere bør tage for at forhindre uautoriseret videregivelse af oplysninger;
5. Hvordan ejerskab af oplysninger, forretningshemmeligheder og intellektuel ejendom påvirker fortroligheden;
6. Den tilladte brug af fortrolige oplysninger sammen med underskriverens rettigheder til at bruge dem;
7. Retten til at overvåge eller revisionsaktiviteter, der involverer meget følsomme oplysninger;
8. Proceduren for at underrette og rapportere uautoriserede videregivelser eller lækager af fortrolige oplysninger;
9. Vilkårene for returnering eller destruktion af oplysninger ved opsigelse af aftalen;
10. De handlinger, der skal træffes, hvis aftalen ikke overholdes.

Organisationen bør sikre, at fortroligheds- og tavshedspligtaftaler er i overensstemmelse med lovene i den jurisdiktion, hvor de gælder.

En gennemgang af fortroligheds- og fortrolighedsaftaler bør finde sted med jævne mellemrum, og når ændringer påvirker deres krav.

Mere information om, hvordan dette fungerer, er tilgængelig i ISO 27002:2022 standarddokumentet.

Ændringer og forskelle fra ISO 27002:2013

Kontrol 6.6 i den nye ISO 27002:2022 er ikke en ny kontrol, men det er en modificeret version af kontrol 13.2.4 i ISO 27002:2013.

Selvom disse to kontroller indeholder lignende funktioner, er de lidt forskellige. For eksempel, mens implementeringsvejledningen i begge versioner er ens, er de ikke identiske.

Den første del af implementeringsvejledningen i kontrol 13.2.4 i ISO 27002:2013 hedder det, at:

"Fortroligheds- eller tavshedspligtaftaler bør behandle kravet om at beskytte fortrolige oplysninger ved hjælp af juridisk håndhævede vilkår. Fortroligheds- eller tavshedspligtaftaler gælder for eksterne parter eller medarbejdere i organisationen. Elementer bør vælges eller tilføjes under hensyntagen til den anden parts type og dens tilladte adgang eller håndtering af fortrolige oplysninger."

Det samme afsnit i kontrol 6.6 i ISO 27002:2022 siger, at:

"Fortroligheds- eller tavshedspligtaftaler bør behandle kravet om at beskytte fortrolige oplysninger ved hjælp af juridisk håndhævede vilkår. Fortroligheds- eller tavshedspligtaftaler gælder for interesserede parter og personale i organisationen.

Baseret på en organisations informationssikkerhedskrav bør vilkårene i aftalerne fastlægges under hensyntagen til typen af ​​information, der vil blive håndteret, dets klassifikationsniveau, dets brug og den tilladte adgang for den anden part.”

Begge kontroller, selvom de adskiller sig i semantisk betydning, har lignende struktur og funktion i deres respektive kontekster. Kontrol 6.6 bruger dog et mere forenklet og brugervenligt sprog, så indholdet og konteksten er lettere at forstå. Det betyder, at de, der skal bruge standarden, lettere kan relatere til dens indhold.

Derudover indeholder 2022-versionen af ​​ISO 27002 formålserklæringer og attributtabeller for hver kontrol, som hjælper brugerne med at forstå og implementere kontrollerne mere effektivt. Disse to sektioner er ikke tilgængelige i 2013-udgaven.

Hvem er ansvarlig for denne proces?

I henhold til kontrol 6.6 i ISO 27002-standarden administrerer personaleafdelingen normalt udarbejdelsen og implementeringen af ​​fortroligheds- eller tavshedspligtaftalen i de fleste organisationer, hvilket involverer samarbejde med den tilsynsførende leder eller afdeling for den pågældende tredjepart.

Den tilsynsførende leder kan være informationssikkerhedsansvarlig, salgs- eller produktionschef.

Disse afdelinger og ledere er også ansvarlige for at sikre, at eventuelle tredjepartsleverandører, der bruges af organisationen, har tilstrækkelige sikkerhedsforanstaltninger på plads for at beskytte fortrolige oplysninger mod uautoriseret videregivelse eller brug.

De bør sørge for, at alle medarbejdere underskriver en fortrolighedsaftale, når de begynder at arbejde for virksomheden.

I de fleste tilfælde (afhængigt af hvor stor organisationen er) underskrives fortroligheds- eller tavshedspligtaftaler af alle medarbejdere, der har adgang til fortrolige oplysninger.

Dette omfatter typisk enhver medarbejder, der arbejder i salg, marketing, kundeservice eller andre afdelinger, hvor de kan komme i kontakt med fortrolige oplysninger om kunder, kunder eller leverandører.

I nogle tilfælde, selvom der ikke er en egentlig skriftlig aftale mellem to parter, bør organisationer have politikker på plads, der kræver, at medarbejdere underskriver en fortrolighedsaftale, før de får adgang til følsomme oplysninger om kunder eller leverandører.

Nogle risici forbundet med ikke at have en tilstrækkelig fortrolighedspolitik på plads omfatter:

• Medarbejdere kan utilsigtet lække følsomme oplysninger til nogen uden for virksomheden, som ikke burde have adgang til dem, hvilket forårsager skade på organisationen.
• En medarbejder kan videregive følsomme data til en konkurrent.
• En utilfreds medarbejder kan stjæle virksomhedens intellektuelle ejendom (IP) og bruge den til sin egen fordel.
• Medarbejdere kan ved et uheld efterlade følsomme oplysninger på deres computers skrivebord på arbejdet eller på deres bærbare computer derhjemme, som kan blive stjålet af en hacker.

Hvad betyder disse ændringer for dig?

ISO 27002:2013-standarden er ikke blevet væsentligt ændret. Standarden blev kun opdateret for at lette brugervenligheden. Organisationer, der i øjeblikket overholder ISO 27002:2013, behøver ikke at tage yderligere skridt for at opretholde overholdelse med standarden.

For at overholde revisionerne i ISO 27002:2022 kan organisationen finde det nødvendigt at foretage nogle mindre ændringer af sine eksisterende processer og procedurer, især hvis der er behov for at gencertificere.

For at lære mere om, hvordan disse ændringer til kontrol 6.6 vil påvirke din organisation, se venligst vores vejledning om ISO 27002:2022.

Hvordan ISMS.Online hjælper

ISO 27002 er en bredt anerkendt informationssikkerhedsstandard der giver et sæt krav til en organisation for at beskytte fortroligheden, integriteten og tilgængeligheden af ​​dens oplysninger. Standarden er udviklet af International Organization for Standardization (ISO), en ikke-statslig organisation, der sætter, gennemgår og udgiver internationale standarder.

ISMS.Online hjælper organisationer og virksomheder med at opfylde kravene i ISO 27002 ved at give dem en platform, der gør det nemt at administrere deres fortroligheds- eller fortrolighedspolitikker og -procedurer, opdatere dem efter behov, teste dem og overvåge deres effektivitet.

Vi leverer en cloud-baseret platform til styring af fortroligheds- og informationssikkerhedsstyringssystemer, herunder hemmeligholdelsesklausuler, risikostyring, politikker, planer og procedurer, på ét centralt sted. Platformen er nem at bruge og har en intuitiv brugerflade, der gør det nemt at lære at bruge.

ISMS.Online giver dig mulighed for at:

• Dokumenter dine processer. Denne intuitive grænseflade giver dig mulighed for at dokumentere dine processer uden at installere software på din computer eller netværk.
• Automatiser din risikovurdering proces.
• Demonstrer nemt overholdelse med online rapporter og tjeklister.
• Hold et register over fremskridt, mens du arbejder hen imod certificering.

ISMS.Online tilbyder en fuld række funktioner at hjælpe organisationer og virksomheder med at opnå overholdelse af industristandarden ISO 27001 og/eller ISO 27002 ISMS.

Kontakt os venligst i dag for at planlæg en demo.