- Se ISO 27002:2022 Kontroll 6.4 för mer information.
- Se ISO 27001:2013 bilaga A 7.2.3 för mer information.
Vad är ISO 27001:2022 bilaga A 6.4?
ISO 27001:2022 bilaga A 6.4 kräver att organisationer upprättar en disciplinär process för att fungera avskräckande mot informationssäkerhet kränkningar.
Formell kommunikation av denna process bör implementeras och en påföljd som är lämplig för anställda och andra intressenter som bryter mot informationssäkerhetspolicyn bör fastställas.
Informationssäkerhetsbrott förklaras
Information säkerhetspolicy överträdelser utgör ett brott mot bestämmelserna om korrekt hantering av information. Organisationer upprättar dessa policyer för att skydda konfidentiella, proprietära och personliga uppgifter, såsom kundregister och kreditkortsnummer. Dessutom ingår datorsäkerhetspolicyer i dessa för att säkerställa att data som lagras på datorer förblir säker och intakt.
Om du använder företagets e-post för att skicka personlig kommunikation utan tillstånd från din chef, kan detta utgöra ett brott mot företagets policy. Om du dessutom skulle göra ett fel när du använder företagets utrustning eller programvara, vilket leder till skada på antingen utrustningen eller data som lagras på den, är detta också ett brott mot informationssäkerhetspolicyn.
Om en anställd bryter mot en organisations informationssäkerhetspolicy kan disciplinära åtgärder eller uppsägning bli följden. I vissa situationer kan ett företag välja att inte säga upp en arbetare som bryter mot dess policy för datoranvändning, utan att vidta andra lämpliga åtgärder för att stoppa ytterligare överträdelser av företagets policy.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Syftet med ISO 27001:2022 bilaga A 6.4?
Syftet med den disciplinära processen är att se till att personal och andra intresserade parter känner igen resultatet av ett brott mot informationssäkerhetspolicyn.
Bilaga A 6.4 är utformad för att både avskräcka och hjälpa till att hantera eventuella överträdelser av informationssäkerhetspolicyer, för att säkerställa att anställda och andra relaterade intressenter är medvetna om konsekvenserna.
Ett effektivt informationssäkerhetsprogram måste innefatta kapacitet att administrera lämpliga disciplinära åtgärder för arbetstagare som bryter mot reglerna om informationssäkerhet. Att göra det säkerställer att personalen förstår konsekvenserna av att ignorera fördefinierade regler, vilket minskar sannolikheten för avsiktligt eller oavsiktligt dataläckage.
Exempel på aktiviteter som kan inkluderas när denna kontroll upprätthålls är:
- Genomför regelbundna utbildningar för att hålla personalen uppdaterad om policyändringar.
- Utforma disciplinära åtgärder för underlåtenhet att följa informationssäkerhetspolicyer.
- Förse varje anställd med en kopia av organisationens disciplinära rutiner.
- I liknande situationer, se till att disciplinära procedurer följs konsekvent.
De disciplinära åtgärderna som beskrivs i ramverket bör implementeras snabbt efter en incident, för att motverka ytterligare brott mot organisationens policyer.
Vad är inblandat och hur man uppfyller kraven
För att möta kraven i bilaga A 6.4, disciplinära åtgärder måste vidtas när det finns bevis på att organisationens policyer, procedurer eller föreskrifter inte följs. Detta inkluderar även eventuell tillämplig lagstiftning och förordningar.
Enligt bilaga A 6.4 bör den formella disciplinära processen ta hänsyn till följande delar när man tar ett graderat tillvägagångssätt:
- Överträdelsens omfattning, dess karaktär, allvar och konsekvenser måste alla beaktas.
- Oavsett om brottet var avsiktligt eller oavsiktligt.
- Oavsett om detta är det första eller upprepade brottet.
- Huruvida överträdaren har fått tillräcklig utbildning ska övervägas.
Tänk på alla relevanta juridiska, lagstiftande, reglerande, avtalsenliga och företagsförpliktelser, såväl som andra relevanta faktorer, när du vidtar åtgärder.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Ändringar och skillnader från ISO 27001:2013
ISO 27001:2022 bilaga A 6.4 ersätter ISO 27001:2013 Bilaga A 7.2.3 i den reviderade 2022 års version av ISO 27001.
ISO 27001:2022 använder ett användarvänligt språk för att säkerställa att standardens användare kan förstå dess innehåll. Det finns mindre variationer i formuleringen, men det övergripande sammanhanget och innehållet förblir detsamma.
Den enda skillnaden du kommer att observera är att bilaga A-kontrollnumret har ändrats från 7.2.3 till 6.4. Dessutom har 2022-standarden den extra fördelen av en attributtabell och syftesförklaring som saknas i 2013 års version.
Tabell över alla ISO 27001:2022 bilaga A kontroller
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 |
Bilaga A 5.1.1 Bilaga A 5.1.2 |
Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NYA | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 |
Bilaga A 6.1.5 Bilaga A 14.1.1 |
Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 |
Bilaga A 8.1.1 Bilaga A 8.1.2 |
Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 |
Bilaga A 8.1.3 Bilaga A 8.2.3 |
Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 |
Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 |
Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 |
Bilaga A 9.1.1 Bilaga A 9.1.2 |
Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 |
Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 |
Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 |
Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 |
Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 |
Bilaga A 15.2.1 Bilaga A 15.2.2 |
Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 |
Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 |
Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NYA | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 |
Bilaga A 18.1.1 Bilaga A 18.1.5 |
Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 |
Bilaga A 18.2.2 Bilaga A 18.2.3 |
Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 |
Bilaga A 16.1.2 Bilaga A 16.1.3 |
Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 |
Bilaga A 11.1.2 Bilaga A 11.1.6 |
Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NYA | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 |
Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 |
Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 |
Bilaga A 6.2.1 Bilaga A 11.2.8 |
Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 |
Bilaga A 12.6.1 Bilaga A 18.2.3 |
Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NYA | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NYA | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NYA | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NYA | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 |
Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 |
Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NYA | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av privilegierade verktygsprogram Åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.19 |
Bilaga A 12.5.1 Bilaga A 12.6.2 |
Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NYA | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 |
Bilaga A 10.1.1 Bilaga A 10.1.2 |
Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 |
Bilaga A 14.1.2 Bilaga A 14.1.3 |
Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Principer för säker systemarkitektur och teknikLärdomar från informationssäkerhetsincidenter |
| Tekniska kontroller | Bilaga A 8.28 | NYA | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 |
Bilaga A 14.2.8 Bilaga A 14.2.9 |
Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 |
Bilaga A 12.1.4 Bilaga A 14.2.6 |
Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 |
Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 |
Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Vem är ansvarig för denna process?
I de flesta fall övervakas den disciplinära processen av avdelningschefen eller personalrepresentanten. Det är inte ovanligt att HR-representanten ger ansvaret för disciplinära åtgärder till någon annan i organisationen, som en expert på informationssäkerhet.
Det primära målet med disciplinära åtgärder är att skydda organisationen från eventuella ytterligare överträdelser från personalmedlemmen. Det syftar vidare till att förhindra att liknande incidenter inträffar ytterligare genom att se till att alla anställda är medvetna om betydelsen av brott mot informationssäkerheten.
Det är viktigt för alla organisationer att se till att disciplinära åtgärder vidtas när en anställd har brutit mot någon av dess policyer eller procedurer. För att säkerställa detta måste tydliga riktlinjer fastställas för hur sådana situationer ska hanteras, inklusive instruktioner om hur utredningar ska genomföras och vilka åtgärder som ska vidtas i efterhand.
Vad betyder dessa förändringar för dig?
Om du funderar över hur dessa ändringar påverkar dig, här är en kortfattad sammanfattning av de mest kritiska punkterna:
- Inget behov av att omcertifiera; det är bara en mindre ändring.
- Behåll din nuvarande certifiering tills den löper ut, förutsatt att den förblir giltig.
- Inga större ändringar har gjorts i ISO 27001:2022 bilaga A 6.4.
- Syftet är att få standarden i linje med de mest uppdaterade bästa praxis och standarder.
Om du siktar på att vinna ISMS-certifiering, bör du utvärdera dina säkerhetsåtgärder för att säkerställa att de följer den reviderade standarden.
För att få insikt i vilken inverkan den nya ISO 27001:2022 kan ha på dina datasäkerhetsprocedurer och ISO 27001-ackreditering, se vår kostnadsfria ISO 27001:2022-guide.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hur ISMS.Online Hjälp
ISMS.online är ledande ISO 27001 ledningssystem programvara, som hjälper till att följa ISO 27001-standarden. Det hjälper företag att säkerställa att deras säkerhetspolicyer och rutiner är i linje med kraven.
Detta molnbaserad plattform erbjuder ett komplett utbud av verktyg för att hjälpa organisationer att etablera ett Information Security Management System (ISMS) baserat på ISO 27001.
Dessa verktyg består av:
- Ett bibliotek med mallar för ofta förekommande företagsdokument är tillgängligt.
- En samling av förutbestämda riktlinjer och protokoll finns på plats.
- Ett revisionsverktyg för att underlätta internrevisioner finns tillgängligt.
- Ett gränssnitt för att anpassa policyer och procedurer för Information Security Management System (ISMS) tillhandahålls.
- Alla ändringar av policyer och procedurer måste godkännas genom en arbetsflödesprocess.
- Skapa en lista för att säkerställa att dina policyer och informationsskyddsåtgärder är i linje med internationella standarder.
ISMS.Online ger användare möjligheten att:
- Hantera alla områden av ISMS livscykel med lätthet.
- Få omedelbar förståelse för deras säkerhetsstatus och efterlevnadsproblem.
- Integrera med andra system som HR, ekonomi och projektledning.
- Se till att ISMS uppfyller ISO 27001-kriterierna.
ISMS.Online erbjuder råd om hur du utför ditt ISMS optimalt, med vägledning om hur man utformar policyer och protokoll förknippade med riskhanterings, utbildning för personalens säkerhetsmedvetenhet och förberedelser för incidenthantering.
Kontakta oss nu för att schemalägga en demonstration.