ISO 27001:2022 Annex A 6.5 kräver att organisationer specificerar informationssäkerhetsroller och ansvarsområden som förblir effektiva även om personal lämnar eller omplaceras. Kommunicera dessa skyldigheter och ansvar till den anställde och eventuell tredje part.
Anställda är lagligt skyldiga att hålla all information som deras arbetsgivare anförtror dem konfidentiell. Det är viktigt för personalen att förstå kraven för att skydda sin arbetsgivares data.
Arbetsgivare har i allmänhet rätt att förutse att deras anställda skyddar konfidentiella uppgifter och inte utnyttjar dem för personlig vinning, t.ex. genom insiderhandel eller annan olaglig verksamhet.
Några exempel på uppgifter och ansvarsområden för informationssäkerhet inkluderar:
Det är viktigt för organisationer att vara medvetna om sina skyldigheter när de hanterar personuppgifter för att undvika intrång i eventuella integritetsbestämmelser, eftersom konsekvenserna för både företaget och dess personal kan bli svåra.
Boka en 30 minuters chatt med oss så visar vi dig hur
Bilaga A 6.5 bör implementeras när en anställd eller entreprenör lämnar organisationen, eller när ett kontrakt löper ut innan det löper ut.
Denna kontroll tillvaratar organisationens informationssäkerhetsintressen vid anställningsändringar eller uppsägningar.
Denna bilaga A-kontroll skyddar mot möjligheten för anställda att dra nytta av sin tillgång till konfidentiell information och processer för personlig vinning eller uppsåt, särskilt efter att de lämnat organisationen eller jobbet.
ISO 27001: 2022 Bilaga A 6.5 syftar till att tillvarata organisationens datasäkerhetsintressen vid ändring eller upphörande av anställning eller kontrakt. Detta omfattar anställda, entreprenörer och tredje parter som får tillgång till konfidentiell information.
Bedöm om några personer (inklusive kontrakterade) med tillgång till dina känsliga personuppgifter lämnar din organisation och vidta åtgärder för att garantera att de inte behåller och fortsätter att komma åt dina känsliga personuppgifter efter att de lämnat.
Om du upptäcker att en person reser och det finns en chans att konfidentiell personlig information kan avslöjas, måste du vidta lämpliga åtgärder antingen innan de går eller så snabbt som möjligt efteråt för att säkerställa att detta inte inträffar.
För att uppfylla kriterierna i bilaga A 6.5 bör en individs anställningsavtal eller avtal ange ev informationssäkerhetsansvar och plikter som fortfarande kvarstår efter att förhållandet avslutats.
Informationssäkerhetsansvar kan ingå i andra kontrakt eller avtal som varar längre än en anställds anställningstid.
När han lämnar en roll eller byter jobb måste den sittande tjänstemannen säkerställa att deras säkerhetsansvar överförs och att alla åtkomstuppgifter raderas och ersätts.
Mer information om denna process finns i standarddokumentet ISO 27001:2022.
ISO 27001:2022 Annex A 6.5 är en anpassning av ISO 27001:2013 Annex A 7.3.1 snarare än en ny bilaga A-kontroll.
Grunderna för dessa två kontroller är lika, även om det finns små avvikelser. Till exempel skiljer sig implementeringsvägledningen något i båda versionerna.
Den första delen av bilaga A 7.3.1 i ISO 27001:2013 anger att organisationer måste:
Vid uppsägning är det viktigt att kommunicera de nödvändiga informationssäkerhets- och juridiska kraven, såväl som alla tillämpliga sekretessavtal och anställningsvillkor som kan löpa under en specificerad period efter avslutad anställning eller entreprenörs anställning.
Samma avsnitt Bilaga A 6.5 i ISO 27001:2022 föreskriver att:
Förfarandet för att hantera uppsägning eller byte av anställning bör specificera vilka ansvarsområden och skyldigheter för informationssäkerhet som förblir i kraft efter uppsägning eller ändring. Detta kan innefatta att upprätthålla konfidentialitet för information, immateriella rättigheter och annan kunskap som förvärvats, såväl som alla andra skyldigheter som anges i ett sekretessavtal.
Ansvar och skyldigheter som förblir i kraft efter uppsägning av en individs anställning, kontrakt eller avtal bör specificeras i deras villkor. Dessutom kan alla kontrakt eller avtal som sträcker sig över en definierad period efter slutet av individens anställning innefatta informationssäkerhetsansvar.
Trots skillnaden i ordalydelse har båda bilaga A-kontrollerna en i stort sett likartad struktur och syfte i sina respektive sammanhang. För att göra bilaga A 6.5 mer användarvänlig har språket förenklats, vilket gör det möjligt för användare att bättre förstå innehållet.
2022-versionen av ISO 27001 innehåller en tabell över syfte och attribut för varje kontroll, vilket hjälper användare att förstå och implementera dem. Detta saknas i 2013 års upplaga.
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
| Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
| Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
| Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
| Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
| Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
| Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
| Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
| Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
| Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
| Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
| Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
| Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
| Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
| Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
| Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
| Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
| Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
| Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
| Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
| Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
| Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
| Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
| Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
| Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
| Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
| Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
| Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
| Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
| Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
| Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
| Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
| Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
| Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
| Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
| Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
| Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
| Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
| Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
| Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
| Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
| Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
| Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
| Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
| Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
| Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
| Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
| Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
| Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
| Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
| Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
| Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
|---|---|---|---|
| Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
| Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
| Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
| Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
| Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
| Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
| Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
| Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
| Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
| Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
| Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
| Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
| Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
| Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
| Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
| Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
| Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
| Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
| Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
| Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
| Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
| Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
| Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
| Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
| Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
| Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
| Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
| Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
| Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
| Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
| Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
| Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
| Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
| Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
I enlighet med rekommendationen i ISO 27001:2022 bilaga A 6.5 tar Human Resources vanligtvis över hela uppsägningsprocessen i de flesta organisationer, och samarbetar med individens arbetsledare för att säkerställa informationssäkerhet som en del av procedurerna.
Personal som tillhandahålls av en extern part (till exempel en leverantör) bör sägas upp i enlighet med det avtal som upprättats mellan organisationen och den externa parten.
ISO 27001:2022-standarden har förblivit i stort sett oförändrad, bara uppdaterad för förbättrad användbarhet. Ingen organisation som för närvarande är kompatibel med ISO 27001:2013 behöver vidta några extra åtgärder för att förbli kompatibel.
För att möta förändringarna i ISO 27001:2022 behöver organisationen endast göra små förändringar i sina befintliga metoder och processer, särskilt om man vill förnya certifieringen.
Företag kan använda ISMS.online för att hjälpa till med att följa ISO 27001:2022. Denna plattform förenklar processen att hantera, uppdatera, testa och utvärdera deras säkerhetsprotokoll.
Vår molnbaserade plattform förenklar ISMS-hantering, så att du effektivt kan övervaka riskhantering, policyer, planer, procedurer och mer, allt från en enda källa. Plattformen är enkel och dess användarvänliga gränssnitt gör den enkel att plocka upp.
ISMS.online gör det möjligt för din organisation att:
Om du driver ett företag som kräver efterlevnad av ISO 27001, tillhandahåller ISMS.Online ett omfattande urval av funktioner för att du ska kunna utföra denna viktiga uppgift.
Kontakta oss nu för att arrangera en demonstration.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
