ISO 27001 – Bilaga A.7: Säkerhet för mänskliga resurser

Vad är syftet med bilaga A.7.1?

Bilaga A.7.1 handlar om före anställning. Syftet med denna bilaga är att säkerställa att anställda och entreprenörer förstår sitt ansvar och är lämpliga för de roller som de övervägs för. Den täcker också vad som händer när dessa personer lämnar eller byter roll.

Det är en viktig del av ledningssystemet för informationssäkerhet (ISMS), särskilt om du vill uppnå ISO 27001-certifiering.

A.7.1.1 Screening

En bra kontroll omfattar bakgrundsverifiering och kompetenskontroll av alla kandidater för anställning. Dessa måste utföras i enlighet med relevanta lagar, förordningar och etik, och bör stå i proportion till affärskraven, klassificeringen av den information som kommer att nås och de upplevda riskerna som är förknippade med dem.

Till exempel kan personal som får tillgång till informationstillgångar på högre nivå som medför större risker bli föremål för mycket strängare kontroller än personal som bara någonsin får tillgång till offentlig information eller hanterar tillgångar med begränsat hot. Att införa adekvata och proportionerliga HR-kontroller i alla stadier av anställningen hjälper till att minska sannolikheten för oavsiktliga eller illvilliga hot.

Granskningen bör också ske för entreprenörer (såvida inte deras moderorganisation uppfyller dina bredare säkerhetskontroller, t.ex. har sin egen ISO 27001 och gör sina egna bakgrundskontroller).

En revisor förväntar sig att se en genomgångsprocess med tydliga rutiner som drivs konsekvent varje gång för att också hjälpa till att undvika eventuella preferens-/fördomsrisker. Helst kommer detta att vara anpassat till organisationens övergripande rekryteringsprocess.

A.7.1.2 Anställningsvillkor

Av avtalsavtalet med anställda och entreprenörer ska framgå deras och organisationens ansvar för informationssäkerhet. Dessa överenskommelser är ett bra ställe att lägga på nyckelinformationssäkerhet generellt och individuellt ansvar eftersom de har juridisk tyngd – vilket innebär att de backas upp av lagen.

Detta är också mycket viktigt när det gäller GDPR och den nya dataskyddslagen 2018. De bör referera till och täcka en hel rad kontrollområden inklusive övergripande efterlevnad av ISMS samt mer specifikt acceptabel användning, IPR-ägande, återlämnande av tillgångar etc.

Vi rekommenderar att du samarbetar med en HR-jurist om du är osäker då konsekvenserna för att få fel anställningsavtal ur ett informationssäkerhetsperspektiv (och andra dimensioner) kan vara betydande.

Vad är syftet med bilaga A.7.2?

Syftet med denna bilaga är att säkerställa att anställda och entreprenörer är medvetna om och fullgör sitt ansvar för informationssäkerhet under anställning.

A.7.2.1 Ledningsansvar

En bra kontroll beskriver hur anställda och entreprenörer tillämpar informationssäkerhet i enlighet med organisationens policyer och rutiner.

Det ansvar som läggs på chefer bör innefatta krav på; Se till att de som de är ansvariga för förstår informationssäkerhetshot, sårbarheter och kontroller som är relevanta för deras jobbroller och får regelbunden utbildning (enligt A7.2.2); Säkerställa inköp av proaktivt och adekvat stöd för relevant informationssäkerhetspolicy och kontroller; och Förstärka kraven i anställningsvillkoren.

Chefer spelar en avgörande roll för att säkerställa säkerhetsmedvetande och samvetsgrannhet i hela organisationen och för att utveckla en lämplig "säkerhetskultur".

A.7.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning

Alla anställda och relevanta entreprenörer måste få lämplig utbildning och utbildning för att göra sitt jobb bra och säkert. De måste få regelbundna uppdateringar i organisationens policyer och rutiner när de också ändras, tillsammans med en god förståelse för tillämplig lagstiftning som påverkar dem i rollen.

Det är vanligt att informationssäkerhetsteamet samarbetar med HR eller ett Learning & Development-team för att utföra kompetens-, kunskaps-, kompetens- och medvetenhetsbedömningar och för att planera och genomföra ett program för medvetenhet, utbildning och träning under hela anställningens livscykel (inte bara kl. induktion). Du måste kunna visa att utbildning och efterlevnad för revisorer.

Tänk också noga på hur utbildningen och medvetenheten levereras för att ge personalen och entreprenörsresursen den bästa chansen att förstå och följa den – detta innebär noggrann uppmärksamhet på innehåll och medium för leverans.

Vad är syftet med bilaga A.7.3?

Bilaga A.7.3 handlar om uppsägning och byte av anställning. Målet i denna bilaga är att skydda organisationens intressen som en del av processen att byta och avsluta anställning.

A.7.3.1 Uppsägning eller ändring av anställningsansvar

Informationssäkerhetsansvar och skyldighet som förblir giltiga efter uppsägning eller byte av anställning måste definieras, kommuniceras till den anställde eller uppdragstagaren och verkställas. Exempel är att hålla information konfidentiell och att inte lämna med information som tillhör organisationen.

Det är verkligen viktigt att se till att informationen förblir skyddad efter att en anställd eller entreprenör lämnar organisationen, eftersom människor själva går i databutiker. De avtalsmässiga villkoren bör förstärka detta, och avträdarens process och/eller uppsägningsprocess (inklusive återlämnande av tillgångar) bör innehålla en påminnelse till individer om att de har ett visst ansvar gentemot organisationen även efter att de har lämnat.

En revisor kommer att vilja se bevis på att de som lämnat sina tillgångar har lämnat tillbaka sina tillgångar och att processen stängs av och dokumenteras för att visa att tillgångar uppdateras i tillgångsinventeringen (A8.1.1) där så är lämpligt.

Det här handlar inte bara om uppsägning och exit. Om en anställd byter roll, t.ex. genom att gå från verksamhet till försäljning, bör du göra en granskning för att visa att de inte längre har tillgång till informationstillgångar som inte krävs i den nya rollen och har tillgång till informationstillgångar som behövs för framtiden.

A.7.2.3 Disciplinär process

Det måste finnas en dokumenterad disciplinär process på plats och kommuniceras (i linje med A7.2.2 ovan). Även om det fokuseras här för disciplinära åtgärder efter säkerhetsöverträdelser, kan det också kopplas samman med andra disciplinära skäl. Om din organisation redan har en erkänd HR-disciplinprocess, se till att den täcker informationssäkerhet på det sätt som krävs för ISO 27001:2013-standarden.