ISO 27701 – Klausul 6.4 – Human Resource Security

ISO 27701 paragraf 6.4 fokuserer på menneskelig ressourcesikkerhed ved at kræve, at organisationer implementerer screeningsprocesser for personale, der håndterer PII og integrerer privatlivsansvar i ansættelseskontrakter for at sikre overholdelse af privatlivsstandarder.

Book en demo
Forfatter
Max Edwards
Opdateret 25. februar 2025
LinkedIn Twitter Twitter

ISO 27701 paragraf 6.4: Styrkelse af menneskelig ressourcesikkerhed

En del af at fremme en proaktiv tilgang til beskyttelse af privatlivets fred involverer implementering af robuste menneskelige ressourcesikkerhedskontroller, der styrer egnetheden og kompetencen for alt personale, der er forventes at interagere med PII på organisationens vegne.

ISO klassificerer sådanne mål i to kategorier:

  1. Screening før ansættelse (referencer, ID-tjek osv.).
  2. De kontraktlige forpligtelser, som personalet forventes at overholde, når de bliver en del af organisationen.

Hvad er dækket af ISO 27701 klausul 6.4

Punkt 6.4 indeholder to hovedunderpunkter, der indeholder specifik vejledning knyttet til tilsvarende information inden for ISO 27002, dog under dække af beskyttelse af privatlivets fred, snarere end generel informationssikkerhed:

  1. ISO 27701 6.4.1.1 – Screening (Referencer ISO 27002 kontrol 6.1)
  2. ISO 27701 6.4.1.2 – Ansættelsesvilkår (Referencer ISO 27002 Kontrol 6.2)

I modsætning til andre dele af ISO 27701 er ingen af ​​klausulerne relevante for noget specifikt område af GDPR, og de indeholder heller ikke nogen yderligere vejledning for PIMS-relaterede aktiviteter.

På grund af en række lovgivningsmæssige og kontraktmæssige faktorer indeholder ISO 27701 6.4.1.2 (omhandler hovedsageligt ansættelseskontrakter) information, der kræver krydshenvisning med forskellige andre klausuler indeholdt i ISO 27002. Organisationer bør derfor se nøje på deres kontraktmæssige vilkår og betingelser, og tilpasse deres HR-drift derefter.



Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo


ISO 27701 Klausul 6.4.1.1 – Screening

Referencer ISO 27002 Kontrol 6.1

Organisationer bør skabe en screeningsproces for at styrke sikkerheden for menneskelige ressourcer, inklusive alt fuldtids- og deltidspersonale, og bør også udvides til tredjepartskontrahenter gennem de relevante leverandøraftaler.

Organisationer bør sikre, at de er opmærksomme på deres ansvar som PII-behandler, når de indsamler oplysninger om kandidater og leverandører, herunder at holde sig på den rigtige side af national og decentraliseret lovgivning, der styrer, hvordan kandidater informeres om screeningsaktiviteter, før de udføres.

Baggrundstjek bør som minimum omfatte:

  • Referencer (ideelt set en virksomhed og en personlig reference).
  • En komplet verifikation af kandidatens CV.
  • Verifikation af akademiske, faglige og erhvervsmæssige kvalifikationer og certificeringer.
  • IDV (Identity Verification), der tager højde for offentligt udstedt ID-materiale eller et passende verifikationsniveau, hvor sådanne dokumenter ikke kan fremvises (f.eks. kontoudtog eller korrespondance fra lokale myndigheder).

Hvis kandidaten skal ansættes i en rolle, der er kommercielt følsom, eller giver kandidaten en stor mængde tillid, hvis de skulle få succes med deres ansøgning, bør organisationer også overveje at udføre forbedrede vurderingsprocedurer – såsom kredittjek og/ eller kontrol af straffeattest – alt efter hvad der er relevant.

Organisationer bør også overveje måder, hvorpå de kan verificere løbende egnethed af alt personale, der er ansat i en kritisk rolle. Sådanne procedurer bør besluttes på en job-for-job basis, og der bør ikke skelnes mellem nyt personale eller eksisterende personale, der er blevet forfremmet til en rolle, der indeholder et større ansvar.

Beskæftigelsesscreening er ikke altid i stand til at gennemføres rettidigt. Hvor dette sker, bør organisationer overveje alternative handlingsmuligheder, der minimerer de risici, der er forbundet med en ikke-screenet medarbejder, herunder:

  • Forsinket onboarding.
  • Begrænset adgang til systemer.
  • Tilbageholdelse af virksomhedens aktiver og udstyr.
  • Ophør af ansættelsesforhold.


Overholdelse behøver ikke at være kompliceret.

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo


ISO 27701 paragraf 6.4.1.2 – Ansættelsesvilkår og -betingelser

Referencer ISO 27002 Kontrol 6.2

Ansættelseskontrakter bør udarbejdes og underskrives med organisatorisk informationssikkerhed i tankerne, herunder eventuelle emnespecifikke politikker, der er udviklet for at hjælpe med at styrke beskyttelsen af ​​privatlivets fred på afdelingsbasis.

Kontrakter bør have en grad af beskyttelse af privatlivets fred, der er proportional med den rolle, de er knyttet til, og bør revideres i lyset af gældende lovgivning eller lovgivningsmæssige/kontraktlige forpligtelser.

Privatlivsbeskyttelsesroller og -ansvar bør formidles bredt til kandidater gennem hele rekrutteringsprocessen. Ansættelseskontrakter bør indeholde:

  1. NDA-klausuler, som udvides til alle medarbejdere, der beskæftiger sig med fortrolige oplysninger og/eller sikre organisatoriske aktiver (se ISO 27002 6.6).
  2. Alle organisationens og medarbejderens juridiske forpligtelser, især enhver, der omhandler IP eller privatlivsbeskyttelse, se (se ISO 27002 5.32 og 5.34).
  3. Alle relevante ansvarsområder vedrørende klassificering og styring af information, behandlingsfaciliteter og ikt-tjenester (se ISO 27002 5.9 og 5.13).
  4. Hvad konsekvenserne er for ethvert personale, der viser organisationens privatlivspolitik.
  5. Hvor det er relevant, en række ansvarsområder, der overføres i en passende periode, efter at personalet har forladt organisationen (f.eks. NDA'er, IP-bestemmelser).

Ud over det løbende ansættelsesansvar kan personalet også blive bedt om at overholde en organisationsdækkende 'adfærdskodeks', der fastlægger de grundlæggende principper for en organisations privatlivsbeskyttelse og PII-relaterede aktiviteter.

Relevante ISO 27002 kontroller

  • ISO 27002 5.9
  • ISO 27002 5.13
  • ISO 27002 5.32
  • ISO 27002 5.34
  • ISO 27002 6.4
  • ISO 27002 6.5
  • ISO 27002 6.6

Understøttende kontroller fra ISO 27002 og GDPR

ISO 27701 klausulidentifikatorISO 27701-klausulens navnISO 27002 kravTilknyttede GDPR-artikler
6.4.1.1Screening
6.1 – Screening for ISO 27002
Ingen
6.4.1.2Ansættelsesvilkår
6.2 – Ansættelsesvilkår for ISO 27002
Ingen

Hvordan ISMS.online hjælper

Vores cloud-baserede platform giver dig adgang til alle dine PIMS-ressourcer på ét sted. Du kan bruge vores brugervenlige platform til at dokumentere alt, hvad du skal bruge for at vise, at du opfylder kravene i ISO 27701.

Vores Assured Results Method (ARM) afmystificerer kravene i ISO 27701 og giver dig selvtillid, mens du gør fremskridt mod opnåelsen af ​​certificering. Vi har et internt team af informationssikkerhedseksperter, som kan give vejledning og besvare spørgsmål for at hjælpe dig på vej til ISO 27701-certificering.

Find ud af mere ved booking af en demo.

Gå til emnet

Max Edwards

Max arbejder som en del af ISMS.online marketingteamet og sikrer, at vores hjemmeside er opdateret med nyttigt indhold og information om alt, hvad ISO 27001, 27002 og compliance angår.

ISMS platform tur

Interesseret i en ISMS.online platform tour?

Start din gratis 2-minutters interaktive demo nu, og oplev magien ved ISMS.online i aktion!

Prøv gratis

Vi er førende inden for vores felt

Brugere elsker os
Netleder - forår 2025
Momentum Leader - forår 2025
Regional leder - Forår 2025 Storbritannien
Regional leder - EU forår 2025
Bedste Est. ROI Enterprise - forår 2025
Mest sandsynligt at anbefale Enterprise - forår 2025

"ISMS.Online, fremragende værktøj til overholdelse af lovgivning"

-Jim M.

"Gør ekstern revision til en leg og forbinder alle aspekter af dit ISMS problemfrit"

- Karen C.

"Innovativ løsning til styring af ISO og andre akkrediteringer"

- Ben H.

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!