ISO 27001:2022 bilaga A 6.5 – Ansvar efter uppsägning eller byte av anställning

• Se ISO 27002:2022 Kontroll 6.5 för mer information.
• Se ISO 27001:2013 bilaga A 7.3.1 för mer information.

Vad är ISO 27001:2022 bilaga A 6.5?

ISO 27001:2022 Annex A 6.5 kräver att organisationer specificerar informationssäkerhetsroller och ansvarsområden som förblir effektiva även om personal lämnar eller omplaceras. Kommunicera dessa skyldigheter och ansvar till den anställde och eventuell tredje part.

Informations skyldigheter och ansvar förklaras

Anställda är lagligt skyldiga att hålla all information som deras arbetsgivare anförtror dem konfidentiell. Det är viktigt för personalen att förstå kraven för att skydda sin arbetsgivares data.

Arbetsgivare har i allmänhet rätt att förutse att deras anställda skyddar konfidentiella uppgifter och inte utnyttjar dem för personlig vinning, t.ex. genom insiderhandel eller annan olaglig verksamhet.

Några exempel på uppgifter och ansvarsområden för informationssäkerhet inkluderar:

• Att säkerställa konfidentialitet för personlig information är av yttersta vikt.
• Det är viktigt att föra en logg över hur personlig information hanteras, tillämpas och delas.
• Att säkerställa noggrannhet och tillförlitlighet för data är av största vikt. Detta kräver insamling från pålitliga källor, säker lagring och säker kassering när den inte längre behövs.
• Se till att endast behöriga personer har tillgång till information.
• Använd och avslöja personuppgifter lagligt och rättvist, i överensstämmelse med gällande lagar.

Det är viktigt för organisationer att vara medvetna om sina skyldigheter när de hanterar personuppgifter för att undvika intrång i eventuella integritetsbestämmelser, eftersom konsekvenserna för både företaget och dess personal kan bli svåra.

Vad är syftet med ISO 27001:2022 bilaga A 6.5?

Bilaga A 6.5 bör implementeras när en anställd eller entreprenör lämnar organisationen, eller när ett kontrakt löper ut innan det löper ut.

Denna kontroll tillvaratar organisationens informationssäkerhetsintressen vid anställningsändringar eller uppsägningar.

Denna bilaga A-kontroll skyddar mot möjligheten för anställda att dra nytta av sin tillgång till konfidentiell information och processer för personlig vinning eller uppsåt, särskilt efter att de lämnat organisationen eller jobbet.

Bilaga A Kontroll 6.5 Förklaras

ISO 27001: 2022 Bilaga A 6.5 syftar till att tillvarata organisationens datasäkerhetsintressen vid ändring eller upphörande av anställning eller kontrakt. Detta omfattar anställda, entreprenörer och tredje parter som får tillgång till konfidentiell information.

Bedöm om några personer (inklusive kontrakterade) med tillgång till dina känsliga personuppgifter lämnar din organisation och vidta åtgärder för att garantera att de inte behåller och fortsätter att komma åt dina känsliga personuppgifter efter att de lämnat.

Om du upptäcker att en person reser och det finns en chans att konfidentiell personlig information kan avslöjas, måste du vidta lämpliga åtgärder antingen innan de går eller så snabbt som möjligt efteråt för att säkerställa att detta inte inträffar.

Vad är inblandat och hur man uppfyller kraven

För att uppfylla kriterierna i bilaga A 6.5 bör en individs anställningsavtal eller avtal ange ev informationssäkerhetsansvar och plikter som fortfarande kvarstår efter att förhållandet avslutats.

Informationssäkerhetsansvar kan ingå i andra kontrakt eller avtal som varar längre än en anställds anställningstid.

När han lämnar en roll eller byter jobb måste den sittande tjänstemannen säkerställa att deras säkerhetsansvar överförs och att alla åtkomstuppgifter raderas och ersätts.

Mer information om denna process finns i standarddokumentet ISO 27001:2022.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 Annex A 6.5 är en anpassning av ISO 27001:2013 Annex A 7.3.1 snarare än en ny bilaga A-kontroll.

Grunderna för dessa två kontroller är lika, även om det finns små avvikelser. Till exempel skiljer sig implementeringsvägledningen något i båda versionerna.

Den första delen av bilaga A 7.3.1 i ISO 27001:2013 anger att organisationer måste:

Vid uppsägning är det viktigt att kommunicera de nödvändiga informationssäkerhets- och juridiska kraven, såväl som alla tillämpliga sekretessavtal och anställningsvillkor som kan löpa under en specificerad period efter avslutad anställning eller entreprenörs anställning.

Samma avsnitt Bilaga A 6.5 i ISO 27001:2022 föreskriver att:

Förfarandet för att hantera uppsägning eller byte av anställning bör specificera vilka ansvarsområden och skyldigheter för informationssäkerhet som förblir i kraft efter uppsägning eller ändring. Detta kan innefatta att upprätthålla konfidentialitet för information, immateriella rättigheter och annan kunskap som förvärvats, såväl som alla andra skyldigheter som anges i ett sekretessavtal.

Ansvar och skyldigheter som förblir i kraft efter uppsägning av en individs anställning, kontrakt eller avtal bör specificeras i deras villkor. Dessutom kan alla kontrakt eller avtal som sträcker sig över en definierad period efter slutet av individens anställning innefatta informationssäkerhetsansvar.

Trots skillnaden i ordalydelse har båda bilaga A-kontrollerna en i stort sett likartad struktur och syfte i sina respektive sammanhang. För att göra bilaga A 6.5 mer användarvänlig har språket förenklats, vilket gör det möjligt för användare att bättre förstå innehållet.

2022-versionen av ISO 27001 innehåller en tabell över syfte och attribut för varje kontroll, vilket hjälper användare att förstå och implementera dem. Detta saknas i 2013 års upplaga.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Vem är ansvarig för denna process?

I enlighet med rekommendationen i ISO 27001:2022 bilaga A 6.5 tar Human Resources vanligtvis över hela uppsägningsprocessen i de flesta organisationer, och samarbetar med individens arbetsledare för att säkerställa informationssäkerhet som en del av procedurerna.

Personal som tillhandahålls av en extern part (till exempel en leverantör) bör sägas upp i enlighet med det avtal som upprättats mellan organisationen och den externa parten.

Vad betyder dessa förändringar för dig?

ISO 27001:2022-standarden har förblivit i stort sett oförändrad, bara uppdaterad för förbättrad användbarhet. Ingen organisation som för närvarande är kompatibel med ISO 27001:2013 behöver vidta några extra åtgärder för att förbli kompatibel.

För att möta förändringarna i ISO 27001:2022 behöver organisationen endast göra små förändringar i sina befintliga metoder och processer, särskilt om man vill förnya certifieringen.

Hur ISMS.Online Hjälp

Företag kan använda ISMS.online för att hjälpa till med att följa ISO 27001:2022. Denna plattform förenklar processen att hantera, uppdatera, testa och utvärdera deras säkerhetsprotokoll.

Vår molnbaserade plattform förenklar ISMS-hantering, så att du effektivt kan övervaka riskhantering, policyer, planer, procedurer och mer, allt från en enda källa. Plattformen är enkel och dess användarvänliga gränssnitt gör den enkel att plocka upp.

ISMS.online gör det möjligt för din organisation att:

• Dokumentera dina procedurer med hjälp av ett användarvänligt webbgränssnitt, ingen mjukvaruinstallation krävs på din dator eller nätverk.
• Automatisera din riskbedömningsteknik för större effektivitet.
• Att uppnå efterlevnad är enkelt med onlinerapporter och checklistor.
• Övervaka dina framsteg samtidigt som du söker certifiering.

Om du driver ett företag som kräver efterlevnad av ISO 27001, tillhandahåller ISMS.Online ett omfattande urval av funktioner för att du ska kunna utföra denna viktiga uppgift.

Kontakta oss nu för att arrangera en demonstration.