Kontrol 6.6 i ISO 27002:2022 dækker organisationers behov for at forhindre lækage af fortrolig information ved at etablere fortrolighedsaftaler med interesserede parter og personale.
Organisationer bør bestemme vilkårene for deres aftaler med andre parter baseret på organisationens krav til informationssikkerhed, under hensyntagen til typen af information, der skal håndteres, dets klassifikationsniveau, dets påtænkte anvendelse og tilladt adgang for den anden part.
En fortroligheds- eller fortrolighedsaftale (NDA) er et juridisk dokument, der forhindrer frigivelse af forretningshemmeligheder og andre fortrolige oplysninger.
Fortrolig oplysninger kan omfatte virksomhedens forretningsplan, finansielle data, kundelister og andre proprietære oplysninger. Disse aftaler kan bruges i en lang række situationer, herunder:
Partnerskaber inkluderer ofte fortrolighedsklausuler som en del af deres partnerskabsaftale, så hver partner accepterer ikke at afsløre nogen fortrolig information, der er opnået under deres partnerskab.
Fortrolighedsaftaler indgås af både private og virksomheder. De har mange formål, såsom:
Kontroller klassificeres ved hjælp af attributter. Ved at bruge disse kan du hurtigt matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer.
Attributter til kontrol 6.5 er:
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | # Asset Management #Informationsbeskyttelse #Fysisk sikkerhed #System- og netværkssikkerhed | #Beskyttelse |
Kontrol 6.6 bør implementeres for at sikre informationssikkerheden, når personale, partnere og leverandører arbejder med en organisation.
Denne kontrol har til formål at sikre organisationens information og at informere underskrivere om deres ansvar at håndtere og beskytte oplysninger på en ansvarlig og autoriseret måde. Det bruges også som et værktøj til at beskytte intellektuelle ejendomsrettigheder, såsom patenter, varemærker, forretningshemmeligheder og ophavsrettigheder.
Det er vigtigt for arbejdsgivere at have en hemmeligholdelsesaftale på plads, før de videregiver nogen fortrolig information til en medarbejder eller entreprenør. Aftalen vil fastlægge, hvor tæt den enkelte skal værne om de oplysninger, vedkommende bliver udsat for, og hvor længe tavshedsperioden løber efter ansættelsesforholdets ophør.
Kontrol 6.6 har til formål at beskytte din organisations intellektuelle ejendomsret og forretningsinteresser ved at forhindre videregivelse af følsomme oplysninger til tredjeparter. Den henviser til en juridisk kontrakt eller en aftale mellem din organisation og dens medarbejdere, partnere, entreprenører, leverandører og andre tredjeparter der regulerer brugen af fortrolige oplysninger.
Fortrolig information er enhver information, der ikke er gjort tilgængelig for offentligheden eller andre virksomheder i en lignende branche. Eksempler omfatter forretningshemmeligheder, kundelister, formler og forretningsplaner.
Kontrollen bør gennemføres ved vurdering af, om en tredjepart vil have adgang til følsomme personoplysninger, og om der skal tages skridt til at sikre, at de ikke beholder og fortsætter med at få adgang til organisationens følsomme personoplysninger efter deres afgang.
Når en organisation fastslår, at en tredjepart forlader forretningsforholdet, og der er risiko for, at følsomme organisations- eller virksomhedsdata kan blive videregivet som følge heraf, skal organisationen tage rimelige skridt, før denne tredjepart forlader, eller så hurtigt som muligt efter at de er gået, for at forhindre en sådan videregivelse.
Jeg vil bestemt anbefale ISMS.online, det gør opsætning og administration af dit ISMS så nemt som det kan blive.
Kontrol 6.6 betyder, at aftaleparterne ikke videregiver fortrolige oplysninger omfattet af aftalen. Oplysningerne må kun videregives med skriftligt samtykke fra organisationen eller i overensstemmelse med en retskendelse. Dette er vigtigt for at beskytte følsomme oplysninger om forretningspraksis, intellektuel ejendomsret og forskning og udvikling.
For at opfylde kravene i kontrol 6.6 skal en "fortroligheds"- og "hemmeligholdelsesaftale"-aftale/-kontrakt omhyggeligt udformes, så den dækker alle forretningshemmeligheder og følsomme data/informationsaspekter af organisationens handler og transaktioner. Det er vigtigt, at begge parter forstår deres forpligtelser i henhold til kontrakten og forpligtelser under og efter afslutningen af forretningsforholdet.
En fortrolighedsklausul kan også inkluderes i andre kontrakter, der strækker sig ud over afslutningen af medarbejderens ansættelsesforhold eller tredjemands engagement.
Det er bydende nødvendigt, at den person, der forlader et forretningsforhold eller skifter job, får overdraget sit sikkerhedsansvar og -pligter til en ny person, og alle adgangsoplysninger slettet og en ny oprettet.
Følgende elementer bør overvejes, når fortroligheds- og tavshedspligtaftaler identificeres:
Organisationen bør sikre, at fortroligheds- og tavshedspligtaftaler er i overensstemmelse med lovene i den jurisdiktion, hvor de gælder.
En gennemgang af fortroligheds- og fortrolighedsaftaler bør finde sted med jævne mellemrum, og når ændringer påvirker deres krav.
Mere information om, hvordan dette fungerer, er tilgængelig i ISO 27002:2022 standarddokumentet.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Kontrol 6.6 i den nye ISO 27002:2022 er ikke en ny kontrol, men det er en modificeret version af kontrol 13.2.4 i ISO 27002:2013.
Selvom disse to kontroller indeholder lignende funktioner, er de lidt forskellige. For eksempel, mens implementeringsvejledningen i begge versioner er ens, er de ikke identiske.
Den første del af implementeringsvejledningen i kontrol 13.2.4 i ISO 27002:2013 hedder det, at:
"Fortroligheds- eller tavshedspligtaftaler bør behandle kravet om at beskytte fortrolige oplysninger ved hjælp af juridisk håndhævede vilkår. Fortroligheds- eller tavshedspligtaftaler gælder for eksterne parter eller medarbejdere i organisationen. Elementer bør vælges eller tilføjes under hensyntagen til den anden parts type og dens tilladte adgang eller håndtering af fortrolige oplysninger."
Det samme afsnit i kontrol 6.6 i ISO 27002:2022 siger, at:
"Fortroligheds- eller tavshedspligtaftaler bør behandle kravet om at beskytte fortrolige oplysninger ved hjælp af juridisk håndhævede vilkår. Fortroligheds- eller tavshedspligtaftaler gælder for interesserede parter og personale i organisationen.
Baseret på en organisations informationssikkerhedskrav bør vilkårene i aftalerne fastlægges under hensyntagen til typen af information, der vil blive håndteret, dets klassifikationsniveau, dets brug og den tilladte adgang for den anden part.”
Begge kontroller, selvom de adskiller sig i semantisk betydning, har lignende struktur og funktion i deres respektive kontekster. Kontrol 6.6 bruger dog et mere forenklet og brugervenligt sprog, så indholdet og konteksten er lettere at forstå. Det betyder, at de, der skal bruge standarden, lettere kan relatere til dens indhold.
Derudover indeholder 2022-versionen af ISO 27002 formålserklæringer og attributtabeller for hver kontrol, som hjælper brugerne med at forstå og implementere kontrollerne mere effektivt. Disse to sektioner er ikke tilgængelige i 2013-udgaven.
I henhold til kontrol 6.6 i ISO 27002-standarden administrerer personaleafdelingen normalt udarbejdelsen og implementeringen af fortroligheds- eller tavshedspligtaftalen i de fleste organisationer, hvilket involverer samarbejde med den tilsynsførende leder eller afdeling for den pågældende tredjepart.
Den tilsynsførende leder kan være informationssikkerhedsansvarlig, salgs- eller produktionschef.
Disse afdelinger og ledere er også ansvarlige for at sikre, at eventuelle tredjepartsleverandører, der bruges af organisationen, har tilstrækkelige sikkerhedsforanstaltninger på plads for at beskytte fortrolige oplysninger mod uautoriseret videregivelse eller brug.
De bør sørge for, at alle medarbejdere underskriver en fortrolighedsaftale, når de begynder at arbejde for virksomheden.
I de fleste tilfælde (afhængigt af hvor stor organisationen er) underskrives fortroligheds- eller tavshedspligtaftaler af alle medarbejdere, der har adgang til fortrolige oplysninger.
Dette omfatter typisk enhver medarbejder, der arbejder i salg, marketing, kundeservice eller andre afdelinger, hvor de kan komme i kontakt med fortrolige oplysninger om kunder, kunder eller leverandører.
I nogle tilfælde, selvom der ikke er en egentlig skriftlig aftale mellem to parter, bør organisationer have politikker på plads, der kræver, at medarbejdere underskriver en fortrolighedsaftale, før de får adgang til følsomme oplysninger om kunder eller leverandører.
Nogle risici forbundet med ikke at have en tilstrækkelig fortrolighedspolitik på plads omfatter:
Vi er omkostningseffektive og hurtige
ISO 27002:2013-standarden er ikke blevet væsentligt ændret. Standarden blev kun opdateret for at lette brugervenligheden. Organisationer, der i øjeblikket overholder ISO 27002:2013, behøver ikke at tage yderligere skridt for at opretholde overholdelse med standarden.
For at overholde revisionerne i ISO 27002:2022 kan organisationen finde det nødvendigt at foretage nogle mindre ændringer af sine eksisterende processer og procedurer, især hvis der er behov for at gencertificere.
For at lære mere om, hvordan disse ændringer til kontrol 6.6 vil påvirke din organisation, se venligst vores vejledning om ISO 27002:2022.
ISO 27002 er en bredt anerkendt informationssikkerhedsstandard der giver et sæt krav til en organisation for at beskytte fortroligheden, integriteten og tilgængeligheden af dens oplysninger. Standarden er udviklet af International Organization for Standardization (ISO), en ikke-statslig organisation, der sætter, gennemgår og udgiver internationale standarder.
ISMS.Online hjælper organisationer og virksomheder med at opfylde kravene i ISO 27002 ved at give dem en platform, der gør det nemt at administrere deres fortroligheds- eller fortrolighedspolitikker og -procedurer, opdatere dem efter behov, teste dem og overvåge deres effektivitet.
Vi leverer en cloud-baseret platform til styring af fortroligheds- og informationssikkerhedsstyringssystemer, herunder hemmeligholdelsesklausuler, risikostyring, politikker, planer og procedurer, på ét centralt sted. Platformen er nem at bruge og har en intuitiv brugerflade, der gør det nemt at lære at bruge.
ISMS.Online giver dig mulighed for at:
ISMS.Online tilbyder en fuld række funktioner at hjælpe organisationer og virksomheder med at opnå overholdelse af industristandarden ISO 27001 og/eller ISO 27002 ISMS.
Kontakt os venligst i dag for at planlæg en demo.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Siden migreringen har vi været i stand til at reducere tiden brugt på administration.