ISO 27001:2022 Bilaga A 6.4 – Disciplinär process

• Se ISO 27002:2022 Kontroll 6.4 för mer information.
• Se ISO 27001:2013 bilaga A 7.2.3 för mer information.

Vad är ISO 27001:2022 bilaga A 6.4?

ISO 27001:2022 bilaga A 6.4 kräver att organisationer upprättar en disciplinär process för att fungera avskräckande mot informationssäkerhet kränkningar.

Formell kommunikation av denna process bör implementeras och en påföljd som är lämplig för anställda och andra intressenter som bryter mot informationssäkerhetspolicyn bör fastställas.

Informationssäkerhetsbrott förklaras

Information säkerhetspolicy överträdelser utgör ett brott mot bestämmelserna om korrekt hantering av information. Organisationer upprättar dessa policyer för att skydda konfidentiella, proprietära och personliga uppgifter, såsom kundregister och kreditkortsnummer. Dessutom ingår datorsäkerhetspolicyer i dessa för att säkerställa att data som lagras på datorer förblir säker och intakt.

Om du använder företagets e-post för att skicka personlig kommunikation utan tillstånd från din chef, kan detta utgöra ett brott mot företagets policy. Om du dessutom skulle göra ett fel när du använder företagets utrustning eller programvara, vilket leder till skada på antingen utrustningen eller data som lagras på den, är detta också ett brott mot informationssäkerhetspolicyn.

Om en anställd bryter mot en organisations informationssäkerhetspolicy kan disciplinära åtgärder eller uppsägning bli följden. I vissa situationer kan ett företag välja att inte säga upp en arbetare som bryter mot dess policy för datoranvändning, utan att vidta andra lämpliga åtgärder för att stoppa ytterligare överträdelser av företagets policy.

Syftet med ISO 27001:2022 bilaga A 6.4?

Syftet med den disciplinära processen är att se till att personal och andra intresserade parter känner igen resultatet av ett brott mot informationssäkerhetspolicyn.

Bilaga A 6.4 är utformad för att både avskräcka och hjälpa till att hantera eventuella överträdelser av informationssäkerhetspolicyer, för att säkerställa att anställda och andra relaterade intressenter är medvetna om konsekvenserna.

Ett effektivt informationssäkerhetsprogram måste innefatta kapacitet att administrera lämpliga disciplinära åtgärder för arbetstagare som bryter mot reglerna om informationssäkerhet. Att göra det säkerställer att personalen förstår konsekvenserna av att ignorera fördefinierade regler, vilket minskar sannolikheten för avsiktligt eller oavsiktligt dataläckage.

Exempel på aktiviteter som kan inkluderas när denna kontroll upprätthålls är:

• Genomför regelbundna utbildningar för att hålla personalen uppdaterad om policyändringar.
• Utforma disciplinära åtgärder för underlåtenhet att följa informationssäkerhetspolicyer.
• Förse varje anställd med en kopia av organisationens disciplinära rutiner.
• I liknande situationer, se till att disciplinära procedurer följs konsekvent.

De disciplinära åtgärderna som beskrivs i ramverket bör implementeras snabbt efter en incident, för att motverka ytterligare brott mot organisationens policyer.

Vad är inblandat och hur man uppfyller kraven

För att möta kraven i bilaga A 6.4, disciplinära åtgärder måste vidtas när det finns bevis på att organisationens policyer, procedurer eller föreskrifter inte följs. Detta inkluderar även eventuell tillämplig lagstiftning och förordningar.

Enligt bilaga A 6.4 bör den formella disciplinära processen ta hänsyn till följande delar när man tar ett graderat tillvägagångssätt:

• Överträdelsens omfattning, dess karaktär, allvar och konsekvenser måste alla beaktas.
• Oavsett om brottet var avsiktligt eller oavsiktligt.
• Oavsett om detta är det första eller upprepade brottet.
• Huruvida överträdaren har fått tillräcklig utbildning ska övervägas.

Tänk på alla relevanta juridiska, lagstiftande, reglerande, avtalsenliga och företagsförpliktelser, såväl som andra relevanta faktorer, när du vidtar åtgärder.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 bilaga A 6.4 ersätter ISO 27001:2013 Bilaga A 7.2.3 i den reviderade 2022 års version av ISO 27001.

ISO 27001:2022 använder ett användarvänligt språk för att säkerställa att standardens användare kan förstå dess innehåll. Det finns mindre variationer i formuleringen, men det övergripande sammanhanget och innehållet förblir detsamma.

Den enda skillnaden du kommer att observera är att bilaga A-kontrollnumret har ändrats från 7.2.3 till 6.4. Dessutom har 2022-standarden den extra fördelen av en attributtabell och syftesförklaring som saknas i 2013 års version.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Vem är ansvarig för denna process?

I de flesta fall övervakas den disciplinära processen av avdelningschefen eller personalrepresentanten. Det är inte ovanligt att HR-representanten ger ansvaret för disciplinära åtgärder till någon annan i organisationen, som en expert på informationssäkerhet.

Det primära målet med disciplinära åtgärder är att skydda organisationen från eventuella ytterligare överträdelser från personalmedlemmen. Det syftar vidare till att förhindra att liknande incidenter inträffar ytterligare genom att se till att alla anställda är medvetna om betydelsen av brott mot informationssäkerheten.

Det är viktigt för alla organisationer att se till att disciplinära åtgärder vidtas när en anställd har brutit mot någon av dess policyer eller procedurer. För att säkerställa detta måste tydliga riktlinjer fastställas för hur sådana situationer ska hanteras, inklusive instruktioner om hur utredningar ska genomföras och vilka åtgärder som ska vidtas i efterhand.

Vad betyder dessa förändringar för dig?

Om du funderar över hur dessa ändringar påverkar dig, här är en kortfattad sammanfattning av de mest kritiska punkterna:

• Inget behov av att omcertifiera; det är bara en mindre ändring.
• Behåll din nuvarande certifiering tills den löper ut, förutsatt att den förblir giltig.
• Inga större ändringar har gjorts i ISO 27001:2022 bilaga A 6.4.
• Syftet är att få standarden i linje med de mest uppdaterade bästa praxis och standarder.

Om du siktar på att vinna ISMS-certifiering, bör du utvärdera dina säkerhetsåtgärder för att säkerställa att de följer den reviderade standarden.

För att få insikt i vilken inverkan den nya ISO 27001:2022 kan ha på dina datasäkerhetsprocedurer och ISO 27001-ackreditering, se vår kostnadsfria ISO 27001:2022-guide.

Hur ISMS.Online Hjälp

ISMS.online är ledande ISO 27001 ledningssystem programvara, som hjälper till att följa ISO 27001-standarden. Det hjälper företag att säkerställa att deras säkerhetspolicyer och rutiner är i linje med kraven.

Denna molnbaserad plattform erbjuder ett komplett utbud av verktyg för att hjälpa organisationer att etablera ett Information Security Management System (ISMS) baserat på ISO 27001.

Dessa verktyg består av:

• Ett bibliotek med mallar för ofta förekommande företagsdokument är tillgängligt.
• En samling av förutbestämda riktlinjer och protokoll finns på plats.
• Ett revisionsverktyg för att underlätta internrevisioner finns tillgängligt.
• Ett gränssnitt för att anpassa policyer och procedurer för Information Security Management System (ISMS) tillhandahålls.
• Alla ändringar av policyer och procedurer måste godkännas genom en arbetsflödesprocess.
• Skapa en lista för att säkerställa att dina policyer och informationsskyddsåtgärder är i linje med internationella standarder.

ISMS.Online ger användare möjligheten att:

• Hantera alla områden av ISMS livscykel med lätthet.
• Få omedelbar förståelse för deras säkerhetsstatus och efterlevnadsproblem.
• Integrera med andra system som HR, ekonomi och projektledning.
• Se till att ISMS uppfyller ISO 27001-kriterierna.

ISMS.Online erbjuder råd om hur du utför ditt ISMS optimalt, med vägledning om hur man utformar policyer och protokoll förknippade med riskhanterings, utbildning för personalens säkerhetsmedvetenhet och förberedelser för incidenthantering.

Kontakta oss nu för att schemalägga en demonstration.