ISO 27001:2022 Bilaga A Kontroll 6.4

Disciplinär process

Boka en demo

botten,vy,av,moderna,skyskrapor,i,affärer,distrikt,mot,blått

Vad är ISO 27001:2022 bilaga A 6.4?

ISO 27001:2022 bilaga A 6.4 kräver att organisationer upprättar en disciplinär process för att fungera avskräckande mot informationssäkerhet kränkningar.

Formell kommunikation av denna process bör implementeras och en påföljd som är lämplig för anställda och andra intressenter som bryter mot informationssäkerhetspolicyn bör fastställas.

Informationssäkerhetsbrott förklaras

Information säkerhetspolicy överträdelser utgör ett brott mot bestämmelserna om korrekt hantering av information. Organisationer upprättar dessa policyer för att skydda konfidentiella, proprietära och personliga uppgifter, såsom kundregister och kreditkortsnummer. Dessutom ingår datorsäkerhetspolicyer i dessa för att säkerställa att data som lagras på datorer förblir säker och intakt.

Om du använder företagets e-post för att skicka personlig kommunikation utan tillstånd från din chef, kan detta utgöra ett brott mot företagets policy. Om du dessutom skulle göra ett fel när du använder företagets utrustning eller programvara, vilket leder till skada på antingen utrustningen eller data som lagras på den, är detta också ett brott mot informationssäkerhetspolicyn.

Om en anställd bryter mot en organisations informationssäkerhetspolicy kan disciplinära åtgärder eller uppsägning bli följden. I vissa situationer kan ett företag välja att inte säga upp en arbetare som bryter mot dess policy för datoranvändning, utan att vidta andra lämpliga åtgärder för att stoppa ytterligare överträdelser av företagets policy.

Hoppa till ämne

Syftet med ISO 27001:2022 bilaga A 6.4?

Syftet med den disciplinära processen är att se till att personal och andra intresserade parter känner igen resultatet av ett brott mot informationssäkerhetspolicyn.

Bilaga A 6.4 är utformad för att både avskräcka och hjälpa till att hantera eventuella överträdelser av informationssäkerhetspolicyer, för att säkerställa att anställda och andra relaterade intressenter är medvetna om konsekvenserna.

Ett effektivt informationssäkerhetsprogram måste innefatta kapacitet att administrera lämpliga disciplinära åtgärder för arbetstagare som bryter mot reglerna om informationssäkerhet. Att göra det säkerställer att personalen förstår konsekvenserna av att ignorera fördefinierade regler, vilket minskar sannolikheten för avsiktligt eller oavsiktligt dataläckage.

Exempel på aktiviteter som kan inkluderas när denna kontroll upprätthålls är:

  • Genomför regelbundna utbildningar för att hålla personalen uppdaterad om policyändringar.

  • Utforma disciplinära åtgärder för underlåtenhet att följa informationssäkerhetspolicyer.

  • Förse varje anställd med en kopia av organisationens disciplinära rutiner.

  • I liknande situationer, se till att disciplinära procedurer följs konsekvent.

De disciplinära åtgärderna som beskrivs i ramverket bör implementeras snabbt efter en incident, för att motverka ytterligare brott mot organisationens policyer.

Vad är inblandat och hur man uppfyller kraven

För att möta kraven i bilaga A 6.4, disciplinära åtgärder måste vidtas när det finns bevis på att organisationens policyer, procedurer eller föreskrifter inte följs. Detta inkluderar även eventuell tillämplig lagstiftning och förordningar.

Enligt bilaga A 6.4 bör den formella disciplinära processen ta hänsyn till följande delar när man tar ett graderat tillvägagångssätt:

  • Överträdelsens omfattning, dess karaktär, allvar och konsekvenser måste alla beaktas.

  • Oavsett om brottet var avsiktligt eller oavsiktligt.

  • Oavsett om detta är det första eller upprepade brottet.

  • Huruvida överträdaren har fått tillräcklig utbildning ska övervägas.

Tänk på alla relevanta juridiska, lagstiftande, reglerande, avtalsenliga och företagsförpliktelser, såväl som andra relevanta faktorer, när du vidtar åtgärder.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 6.4 ersätter ISO 27001:2013 Bilaga A 7.2.3 i den reviderade 2022 års version av ISO 27001.

ISO 27001:2022 använder ett användarvänligt språk för att säkerställa att standardens användare kan förstå dess innehåll. Det finns mindre variationer i formuleringen, men det övergripande sammanhanget och innehållet förblir detsamma.

Den enda skillnaden du kommer att observera är att bilaga A-kontrollnumret har ändrats från 7.2.3 till 6.4. Dessutom har 2022-standarden den extra fördelen av en attributtabell och syftesförklaring som saknas i 2013 års version.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

ISO 27001:2022 Organisationskontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Organisatoriska kontrollerBilaga A 5.1Bilaga A 5.1.1
Bilaga A 5.1.2		Policyer för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.2Bilaga A 6.1.1Informationssäkerhetsroller och ansvar
Organisatoriska kontrollerBilaga A 5.3Bilaga A 6.1.2Uppdelning av arbetsuppgifter
Organisatoriska kontrollerBilaga A 5.4Bilaga A 7.2.1Ledningsansvar
Organisatoriska kontrollerBilaga A 5.5Bilaga A 6.1.3Kontakt med myndigheter
Organisatoriska kontrollerBilaga A 5.6Bilaga A 6.1.4Kontakt med specialintressegrupper
Organisatoriska kontrollerBilaga A 5.7NYHotinformation
Organisatoriska kontrollerBilaga A 5.8Bilaga A 6.1.5
Bilaga A 14.1.1		Informationssäkerhet i projektledning
Organisatoriska kontrollerBilaga A 5.9Bilaga A 8.1.1
Bilaga A 8.1.2		Inventering av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.10Bilaga A 8.1.3
Bilaga A 8.2.3		Acceptabel användning av information och andra tillhörande tillgångar
Organisatoriska kontrollerBilaga A 5.11Bilaga A 8.1.4Återlämnande av tillgångar
Organisatoriska kontrollerBilaga A 5.12Bilaga A 8.2.1Klassificering av information
Organisatoriska kontrollerBilaga A 5.13Bilaga A 8.2.2Märkning av information
Organisatoriska kontrollerBilaga A 5.14Bilaga A 13.2.1
Bilaga A 13.2.2
Bilaga A 13.2.3		Informationsöverföring
Organisatoriska kontrollerBilaga A 5.15Bilaga A 9.1.1
Bilaga A 9.1.2		Åtkomstkontroll
Organisatoriska kontrollerBilaga A 5.16Bilaga A 9.2.1Identitetshantering
Organisatoriska kontrollerBilaga A 5.17Bilaga A 9.2.4
Bilaga A 9.3.1
Bilaga A 9.4.3		Autentiseringsinformation
Organisatoriska kontrollerBilaga A 5.18Bilaga A 9.2.2
Bilaga A 9.2.5
Bilaga A 9.2.6		Åtkomsträttigheter
Organisatoriska kontrollerBilaga A 5.19Bilaga A 15.1.1Informationssäkerhet i leverantörsrelationer
Organisatoriska kontrollerBilaga A 5.20Bilaga A 15.1.2Adressering av informationssäkerhet inom leverantörsavtal
Organisatoriska kontrollerBilaga A 5.21Bilaga A 15.1.3Hantera informationssäkerhet i ICT Supply Chain
Organisatoriska kontrollerBilaga A 5.22Bilaga A 15.2.1
Bilaga A 15.2.2		Övervakning, granskning och förändringshantering av leverantörstjänster
Organisatoriska kontrollerBilaga A 5.23NYInformationssäkerhet för användning av molntjänster
Organisatoriska kontrollerBilaga A 5.24Bilaga A 16.1.1Informationssäkerhet Incident Management Planering och förberedelse
Organisatoriska kontrollerBilaga A 5.25Bilaga A 16.1.4Bedömning och beslut om informationssäkerhetshändelser
Organisatoriska kontrollerBilaga A 5.26Bilaga A 16.1.5Svar på informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.27Bilaga A 16.1.6Lär dig av informationssäkerhetsincidenter
Organisatoriska kontrollerBilaga A 5.28Bilaga A 16.1.7Insamling av bevis
Organisatoriska kontrollerBilaga A 5.29Bilaga A 17.1.1
Bilaga A 17.1.2
Bilaga A 17.1.3		Informationssäkerhet under avbrott
Organisatoriska kontrollerBilaga A 5.30NYIKT-beredskap för affärskontinuitet
Organisatoriska kontrollerBilaga A 5.31Bilaga A 18.1.1
Bilaga A 18.1.5		Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav
Organisatoriska kontrollerBilaga A 5.32Bilaga A 18.1.2Immateriella rättigheter
Organisatoriska kontrollerBilaga A 5.33Bilaga A 18.1.3Skydd av register
Organisatoriska kontrollerBilaga A 5.34 Bilaga A 18.1.4Integritet och skydd av PII
Organisatoriska kontrollerBilaga A 5.35Bilaga A 18.2.1Oberoende granskning av informationssäkerhet
Organisatoriska kontrollerBilaga A 5.36Bilaga A 18.2.2
Bilaga A 18.2.3		Efterlevnad av policyer, regler och standarder för informationssäkerhet
Organisatoriska kontrollerBilaga A 5.37Bilaga A 12.1.1Dokumenterade driftprocedurer

ISO 27001:2022 Personkontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Människor kontrollerBilaga A 6.1Bilaga A 7.1.1Screening
Människor kontrollerBilaga A 6.2Bilaga A 7.1.2Villkor för anställning
Människor kontrollerBilaga A 6.3Bilaga A 7.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
Människor kontrollerBilaga A 6.4Bilaga A 7.2.3Disciplinär process
Människor kontrollerBilaga A 6.5Bilaga A 7.3.1Ansvar efter uppsägning eller byte av anställning
Människor kontrollerBilaga A 6.6Bilaga A 13.2.4Sekretess- eller sekretessavtal
Människor kontrollerBilaga A 6.7Bilaga A 6.2.2Fjärrarbete
Människor kontrollerBilaga A 6.8Bilaga A 16.1.2
Bilaga A 16.1.3		Händelserapportering för informationssäkerhet

ISO 27001:2022 Fysiska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Fysiska kontrollerBilaga A 7.1Bilaga A 11.1.1Fysiska säkerhetsområden
Fysiska kontrollerBilaga A 7.2Bilaga A 11.1.2
Bilaga A 11.1.6		Fysisk inträde
Fysiska kontrollerBilaga A 7.3Bilaga A 11.1.3Säkra kontor, rum och faciliteter
Fysiska kontrollerBilaga A 7.4NYFysisk säkerhetsövervakning
Fysiska kontrollerBilaga A 7.5Bilaga A 11.1.4Skydd mot fysiska och miljömässiga hot
Fysiska kontrollerBilaga A 7.6Bilaga A 11.1.5Arbeta i säkra områden
Fysiska kontrollerBilaga A 7.7Bilaga A 11.2.9Clear Desk och Clear Screen
Fysiska kontrollerBilaga A 7.8Bilaga A 11.2.1Utrustningsplacering och skydd
Fysiska kontrollerBilaga A 7.9Bilaga A 11.2.6Säkerhet för tillgångar utanför lokaler
Fysiska kontrollerBilaga A 7.10Bilaga A 8.3.1
Bilaga A 8.3.2
Bilaga A 8.3.3
 Bilaga A 11.2.5		Förvarings media
Fysiska kontrollerBilaga A 7.11Bilaga A 11.2.2Stöd till verktyg
Fysiska kontrollerBilaga A 7.12Bilaga A 11.2.3Kabelsäkerhet
Fysiska kontrollerBilaga A 7.13Bilaga A 11.2.4Utrustningsunderhåll
Fysiska kontrollerBilaga A 7.14Bilaga A 11.2.7Säker kassering eller återanvändning av utrustning

ISO 27001:2022 Tekniska kontroller

Bilaga A KontrolltypISO/IEC 27001:2022 Bilaga A IdentifierareISO/IEC 27001:2013 Bilaga A IdentifierareBilaga A Namn
Tekniska kontrollerBilaga A 8.1Bilaga A 6.2.1
Bilaga A 11.2.8		Användarens slutpunktsenheter
Tekniska kontrollerBilaga A 8.2Bilaga A 9.2.3Privilegerade åtkomsträttigheter
Tekniska kontrollerBilaga A 8.3Bilaga A 9.4.1Begränsning av informationsåtkomst
Tekniska kontrollerBilaga A 8.4Bilaga A 9.4.5Tillgång till källkod
Tekniska kontrollerBilaga A 8.5Bilaga A 9.4.2Säker autentisering
Tekniska kontrollerBilaga A 8.6Bilaga A 12.1.3Kapacitetshantering
Tekniska kontrollerBilaga A 8.7Bilaga A 12.2.1Skydd mot skadlig programvara
Tekniska kontrollerBilaga A 8.8Bilaga A 12.6.1
Bilaga A 18.2.3		Hantering av tekniska sårbarheter
Tekniska kontrollerBilaga A 8.9NYSystemintegration
Tekniska kontrollerBilaga A 8.10NYInformationsradering
Tekniska kontrollerBilaga A 8.11NYDatamaskning
Tekniska kontrollerBilaga A 8.12NYFörebyggande av dataläckage
Tekniska kontrollerBilaga A 8.13Bilaga A 12.3.1Backup av information
Tekniska kontrollerBilaga A 8.14Bilaga A 17.2.1Redundans av informationsbehandlingsanläggningar
Tekniska kontrollerBilaga A 8.15Bilaga A 12.4.1
Bilaga A 12.4.2
Bilaga A 12.4.3		Loggning
Tekniska kontrollerBilaga A 8.16NYÖvervakningsaktiviteter
Tekniska kontrollerBilaga A 8.17Bilaga A 12.4.4Klocksynkronisering
Tekniska kontrollerBilaga A 8.18Bilaga A 9.4.4Användning av Privileged Utility Programs
Tekniska kontrollerBilaga A 8.19Bilaga A 12.5.1
Bilaga A 12.6.2		Installation av programvara på operativa system
Tekniska kontrollerBilaga A 8.20Bilaga A 13.1.1Nätverkssäkerhet
Tekniska kontrollerBilaga A 8.21Bilaga A 13.1.2Säkerhet för nätverkstjänster
Tekniska kontrollerBilaga A 8.22Bilaga A 13.1.3Segregering av nätverk
Tekniska kontrollerBilaga A 8.23NYWebbfiltrering
Tekniska kontrollerBilaga A 8.24Bilaga A 10.1.1
Bilaga A 10.1.2		Användning av kryptografi
Tekniska kontrollerBilaga A 8.25Bilaga A 14.2.1Säker utvecklingslivscykel
Tekniska kontrollerBilaga A 8.26Bilaga A 14.1.2
Bilaga A 14.1.3		Programsäkerhetskrav
Tekniska kontrollerBilaga A 8.27Bilaga A 14.2.5Säker systemarkitektur och ingenjörsprinciper
Tekniska kontrollerBilaga A 8.28NYSäker kodning
Tekniska kontrollerBilaga A 8.29Bilaga A 14.2.8
Bilaga A 14.2.9		Säkerhetstestning i utveckling och acceptans
Tekniska kontrollerBilaga A 8.30Bilaga A 14.2.7Outsourcad utveckling
Tekniska kontrollerBilaga A 8.31Bilaga A 12.1.4
Bilaga A 14.2.6		Separation av utvecklings-, test- och produktionsmiljöer
Tekniska kontrollerBilaga A 8.32Bilaga A 12.1.2
Bilaga A 14.2.2
Bilaga A 14.2.3
Bilaga A 14.2.4		Change Management
Tekniska kontrollerBilaga A 8.33Bilaga A 14.3.1Testinformation
Tekniska kontrollerBilaga A 8.34Bilaga A 12.7.1Skydd av informationssystem under revisionstestning

Vem är ansvarig för denna process?

I de flesta fall övervakas den disciplinära processen av avdelningschefen eller personalrepresentanten. Det är inte ovanligt att HR-representanten ger ansvaret för disciplinära åtgärder till någon annan i organisationen, som en expert på informationssäkerhet.

Det primära målet med disciplinära åtgärder är att skydda organisationen från eventuella ytterligare överträdelser från personalmedlemmen. Det syftar vidare till att förhindra att liknande incidenter inträffar ytterligare genom att se till att alla anställda är medvetna om betydelsen av brott mot informationssäkerheten.

Det är viktigt för alla organisationer att se till att disciplinära åtgärder vidtas när en anställd har brutit mot någon av dess policyer eller procedurer. För att säkerställa detta måste tydliga riktlinjer fastställas för hur sådana situationer ska hanteras, inklusive instruktioner om hur utredningar ska genomföras och vilka åtgärder som ska vidtas i efterhand.

Vad betyder dessa förändringar för dig?

Om du funderar över hur dessa ändringar påverkar dig, här är en kortfattad sammanfattning av de mest kritiska punkterna:

  • Inget behov av att omcertifiera; det är bara en mindre ändring.

  • Behåll din nuvarande certifiering tills den löper ut, förutsatt att den förblir giltig.

  • Inga större ändringar har gjorts i ISO 27001:2022 bilaga A 6.4.

  • Syftet är att få standarden i linje med de mest uppdaterade bästa praxis och standarder.

Om du siktar på att vinna ISMS-certifiering, bör du utvärdera dina säkerhetsåtgärder för att säkerställa att de följer den reviderade standarden.

För att få insikt i vilken inverkan den nya ISO 27001:2022 kan ha på dina datasäkerhetsprocedurer och ISO 27001-ackreditering, se vår kostnadsfria ISO 27001:2022-guide.

Hur ISMS.Online Hjälp

ISMS.online är ledande ISO 27001 ledningssystem programvara, som hjälper till att följa ISO 27001-standarden. Det hjälper företag att säkerställa att deras säkerhetspolicyer och rutiner är i linje med kraven.

Denna molnbaserad plattform erbjuder ett komplett utbud av verktyg för att hjälpa organisationer att etablera ett Information Security Management System (ISMS) baserat på ISO 27001.

Dessa verktyg består av:

  • Ett bibliotek med mallar för ofta förekommande företagsdokument är tillgängligt.

  • En samling av förutbestämda riktlinjer och protokoll finns på plats.

  • Ett revisionsverktyg för att underlätta internrevisioner finns tillgängligt.

  • Ett gränssnitt för att anpassa policyer och procedurer för Information Security Management System (ISMS) tillhandahålls.

  • Alla ändringar av policyer och procedurer måste godkännas genom en arbetsflödesprocess.

  • Skapa en lista för att säkerställa att dina policyer och informationsskyddsåtgärder är i linje med internationella standarder.

ISMS.Online ger användare möjligheten att:

  • Hantera alla områden av ISMS livscykel med lätthet.

  • Få omedelbar förståelse för deras säkerhetsstatus och efterlevnadsproblem.

  • Integrera med andra system som HR, ekonomi och projektledning.

  • Se till att ISMS uppfyller ISO 27001-kriterierna.

ISMS.Online erbjuder råd om hur du utför ditt ISMS optimalt, med vägledning om hur man utformar policyer och protokoll förknippade med riskhanterings, utbildning för personalens säkerhetsmedvetenhet och förberedelser för incidenthantering.

Kontakta oss nu för att schemalägga en demonstration.

Vår senaste framgång med att uppnå ISO 27001, 27017 & 27018 certifiering berodde till stor del på ISMS.online.

Karen Burton
Säkerhetsanalytiker, Trivs hälsa

Boka din demo

Betrodd av företag överallt
  • Enkel och enkel att använda
  • Designad för ISO 27001 framgång
  • Sparar tid och pengar
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer