ISO 27001:2022 bilaga A 6.6 anger att organisationer måste vidta åtgärder för att skydda konfidentiell information från obehörigt avslöjande. I detta ingår att upprätta sekretessavtal med berörda parter och personal.
Organisationer bör skapa villkor för sina avtal med andra parter efter att ha övervägt organisationens informationssäkerhet behov, vilken typ av information som ska hanteras, dess klassificeringsnivå, syftet den är avsedd för och den åtkomst den andra parten tillåts.
Ett avtal om konfidentialitet eller sekretess (NDA) är ett juridiskt dokument som hindrar avslöjandet av affärshemligheter och annan konfidentiell information.
Konfidentiell information kan omfatta ett företags affärsplan, ekonomiska siffror, kundlistor och andra exklusiva detaljer. Dessa kontrakt används i en mängd olika omständigheter, såsom:
Partnerskap innehåller ofta sekretessklausuler i sitt partnerskapsavtal, där varje partner samtycker till att hålla all konfidentiell information som förvärvats under partnerskapet helt konfidentiell.
Sekretessavtal används ofta av både privatpersoner och företag. De tjänar en rad mål, inklusive:
Boka en 30 minuters chatt med oss så visar vi dig hur
ISO 27001:2022 bilaga A 6.6 bör tillämpas för att säkerställa datasäkerheten när personal, partners och leverantörer samarbetar med en organisation.
Denna kontroll är utformad för att säkra organisationens data och för att informera undertecknarna om deras skyldighet att hantera och skydda information på ett ansvarsfullt och lagligt sätt. Det fungerar också som ett verktyg för att bevara immateriella rättigheter, till exempel patent, varumärken, affärshemligheter och upphovsrätter.
Arbetsgivare bör se till att ett sekretessavtal finns på plats innan någon konfidentiell information avslöjas för en anställd eller entreprenör. Avtalet kommer att tydliggöra individens ansvar att upprätthålla sekretessen för informationen och längden på sekretessperioden efter att anställningen har upphört.
ISO 27001:2022 bilaga A Control 6.6 är utformad för att skydda din organisations immateriella rättigheter och affärsintressen genom att stoppa avslöjandet av konfidentiell information till tredje part. Det involverar upprättandet av ett juridiskt avtal eller arrangemang mellan din organisation och dess personal, medarbetare, entreprenörer, leverantörer och andra utomstående, som kontrollerar användningen av sekretessbelagd information.
Konfidentiell information är all information som inte har offentliggjorts eller delats med andra organisationer inom samma sektor. Detta omfattar affärshemligheter, kundregister, formler och affärsstrategier.
Bedöm kontrollen när du beslutar om en tredje part ska få tillgång till känsliga personuppgifter och om åtgärder måste vidtas för att garantera att de inte behåller eller fortsätter att få tillgång till organisationens känsliga personuppgifter när de lämnar.
När en tredje part lämnar en organisation och det finns risk för att känsliga uppgifter kan avslöjas, måste organisationen vidta nödvändiga åtgärder för att förhindra avslöjande före eller kort efter deras avgång.
ISO 27001: 2022 Bilaga A 6.6 kräver att avtalets parter avstår från att röja konfidentiell information som faller inom dess tillämpningsområde. Samtycke från organisationen behövs i alla fall där avslöjande är nödvändigt, med undantag för ett domstolsbeslut. Denna bestämmelse är väsentlig för att skydda uppgifter om affärsverksamhet, immateriella rättigheter samt forskning och utveckling.
För att följa bilaga A 6.6 måste ett sekretess- och sekretessavtal/-kontrakt upprättas med precision för att skydda alla affärshemligheter och känsliga uppgifter/information relaterade till företagets aktiviteter och transaktioner. Det är viktigt att båda parter förstår sina skyldigheter och ansvar enligt avtalet under och efter ingåendet av affärspartnerskapet.
En sekretessklausul kan ingå i avtal som sträcker sig längre än den anställdes anställning eller engagemang av tredje part. Detta bör göras för att säkerställa att informationen förblir säker.
Det är viktigt att en avgående anställd eller en som byter jobb får sina säkerhetsuppgifter och ansvar överförda till någon ny, med alla åtkomstuppgifter borttagna och nya skapade.
När man bedömer sekretess- och sekretessavtal bör man ha flera faktorer i åtanke.:
Organisationen bör säkerställa att sekretess- och sekretessavtal följer lagarna i den relevanta jurisdiktionen.
Med jämna mellanrum och när ändringar påverkar deras krav är det nödvändigt att se över avtalen om sekretess och sekretess.
Ytterligare detaljer om denna process finns i ISO 27001:2022-standarden.
ISO 27001:2022 Annex A 6.6 är en modifiering av ISO 27001:2013 Bilaga A 13.2.4, snarare än en ny kontroll.
De två bilaga A-kontrollerna har olika paralleller, även om de inte är identiska. Till exempel är implementeringsinstruktionerna för båda desamma, men inte desamma.
Den första delen av ISO 27001:2013 implementeringsvägledning, bilaga A 13.2.4, betonar att:
"Sekretess- eller sekretessavtal bör behandla kravet på att skydda konfidentiell information med hjälp av juridiskt verkställbara villkor. Sekretess- eller sekretessavtal är tillämpliga på externa parter eller anställda i organisationen.
Element bör väljas eller läggas till med hänsyn till typen av den andra parten och dess tillåtna åtkomst eller hantering av konfidentiell information.”
Bilaga A 6.6 i ISO 27001:2022 förklarar att varje organisation måste vidta lämpliga åtgärder för att:
"Sekretess- eller sekretessavtal bör behandla kravet på att skydda konfidentiell information med hjälp av juridiskt verkställbara villkor. Sekretess- eller sekretessavtal gäller för berörda parter och personal i organisationen.
Utifrån en organisations krav på informationssäkerhet bör villkoren i avtalen bestämmas med hänsyn till vilken typ av information som kommer att hanteras, dess klassificeringsnivå, dess användning och den andra partens tillåtna åtkomst.”
Båda kontrollerna har en analog struktur och funktion i sina individuella sammanhang, även om de varierar i semantisk betydelse. Bilaga A 6.6 använder ett mer rakt och användarvänligt språk, vilket gör det lättare att förstå innehållet och sammanhanget. Därför kan användare lättare identifiera sig med standarden.
Smakämnen 2022 delbetalning av ISO 27001 inkluderar avsiktsförklaringar och attributtabeller enligt bilaga A Kontroll, för att underlätta förståelsen och framgångsrik implementering. Detta finns inte med i 2013 års upplaga.
I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Organisatoriska kontroller | Bilaga A 5.1 | Bilaga A 5.1.1 Bilaga A 5.1.2 | Policyer för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.2 | Bilaga A 6.1.1 | Informationssäkerhetsroller och ansvar |
Organisatoriska kontroller | Bilaga A 5.3 | Bilaga A 6.1.2 | Uppdelning av arbetsuppgifter |
Organisatoriska kontroller | Bilaga A 5.4 | Bilaga A 7.2.1 | Ledningsansvar |
Organisatoriska kontroller | Bilaga A 5.5 | Bilaga A 6.1.3 | Kontakt med myndigheter |
Organisatoriska kontroller | Bilaga A 5.6 | Bilaga A 6.1.4 | Kontakt med specialintressegrupper |
Organisatoriska kontroller | Bilaga A 5.7 | NY | Hotinformation |
Organisatoriska kontroller | Bilaga A 5.8 | Bilaga A 6.1.5 Bilaga A 14.1.1 | Informationssäkerhet i projektledning |
Organisatoriska kontroller | Bilaga A 5.9 | Bilaga A 8.1.1 Bilaga A 8.1.2 | Inventering av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.10 | Bilaga A 8.1.3 Bilaga A 8.2.3 | Acceptabel användning av information och andra tillhörande tillgångar |
Organisatoriska kontroller | Bilaga A 5.11 | Bilaga A 8.1.4 | Återlämnande av tillgångar |
Organisatoriska kontroller | Bilaga A 5.12 | Bilaga A 8.2.1 | Klassificering av information |
Organisatoriska kontroller | Bilaga A 5.13 | Bilaga A 8.2.2 | Märkning av information |
Organisatoriska kontroller | Bilaga A 5.14 | Bilaga A 13.2.1 Bilaga A 13.2.2 Bilaga A 13.2.3 | Informationsöverföring |
Organisatoriska kontroller | Bilaga A 5.15 | Bilaga A 9.1.1 Bilaga A 9.1.2 | Åtkomstkontroll |
Organisatoriska kontroller | Bilaga A 5.16 | Bilaga A 9.2.1 | Identitetshantering |
Organisatoriska kontroller | Bilaga A 5.17 | Bilaga A 9.2.4 Bilaga A 9.3.1 Bilaga A 9.4.3 | Autentiseringsinformation |
Organisatoriska kontroller | Bilaga A 5.18 | Bilaga A 9.2.2 Bilaga A 9.2.5 Bilaga A 9.2.6 | Åtkomsträttigheter |
Organisatoriska kontroller | Bilaga A 5.19 | Bilaga A 15.1.1 | Informationssäkerhet i leverantörsrelationer |
Organisatoriska kontroller | Bilaga A 5.20 | Bilaga A 15.1.2 | Adressering av informationssäkerhet inom leverantörsavtal |
Organisatoriska kontroller | Bilaga A 5.21 | Bilaga A 15.1.3 | Hantera informationssäkerhet i ICT Supply Chain |
Organisatoriska kontroller | Bilaga A 5.22 | Bilaga A 15.2.1 Bilaga A 15.2.2 | Övervakning, granskning och förändringshantering av leverantörstjänster |
Organisatoriska kontroller | Bilaga A 5.23 | NY | Informationssäkerhet för användning av molntjänster |
Organisatoriska kontroller | Bilaga A 5.24 | Bilaga A 16.1.1 | Informationssäkerhet Incident Management Planering och förberedelse |
Organisatoriska kontroller | Bilaga A 5.25 | Bilaga A 16.1.4 | Bedömning och beslut om informationssäkerhetshändelser |
Organisatoriska kontroller | Bilaga A 5.26 | Bilaga A 16.1.5 | Svar på informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.27 | Bilaga A 16.1.6 | Lär dig av informationssäkerhetsincidenter |
Organisatoriska kontroller | Bilaga A 5.28 | Bilaga A 16.1.7 | Insamling av bevis |
Organisatoriska kontroller | Bilaga A 5.29 | Bilaga A 17.1.1 Bilaga A 17.1.2 Bilaga A 17.1.3 | Informationssäkerhet under avbrott |
Organisatoriska kontroller | Bilaga A 5.30 | NY | IKT-beredskap för affärskontinuitet |
Organisatoriska kontroller | Bilaga A 5.31 | Bilaga A 18.1.1 Bilaga A 18.1.5 | Juridiska, lagstadgade, regulatoriska och avtalsmässiga krav |
Organisatoriska kontroller | Bilaga A 5.32 | Bilaga A 18.1.2 | Immateriella rättigheter |
Organisatoriska kontroller | Bilaga A 5.33 | Bilaga A 18.1.3 | Skydd av register |
Organisatoriska kontroller | Bilaga A 5.34 | Bilaga A 18.1.4 | Integritet och skydd av PII |
Organisatoriska kontroller | Bilaga A 5.35 | Bilaga A 18.2.1 | Oberoende granskning av informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.36 | Bilaga A 18.2.2 Bilaga A 18.2.3 | Efterlevnad av policyer, regler och standarder för informationssäkerhet |
Organisatoriska kontroller | Bilaga A 5.37 | Bilaga A 12.1.1 | Dokumenterade driftprocedurer |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Människor kontroller | Bilaga A 6.1 | Bilaga A 7.1.1 | Screening |
Människor kontroller | Bilaga A 6.2 | Bilaga A 7.1.2 | Villkor för anställning |
Människor kontroller | Bilaga A 6.3 | Bilaga A 7.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
Människor kontroller | Bilaga A 6.4 | Bilaga A 7.2.3 | Disciplinär process |
Människor kontroller | Bilaga A 6.5 | Bilaga A 7.3.1 | Ansvar efter uppsägning eller byte av anställning |
Människor kontroller | Bilaga A 6.6 | Bilaga A 13.2.4 | Sekretess- eller sekretessavtal |
Människor kontroller | Bilaga A 6.7 | Bilaga A 6.2.2 | Fjärrarbete |
Människor kontroller | Bilaga A 6.8 | Bilaga A 16.1.2 Bilaga A 16.1.3 | Händelserapportering för informationssäkerhet |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Fysiska kontroller | Bilaga A 7.1 | Bilaga A 11.1.1 | Fysiska säkerhetsområden |
Fysiska kontroller | Bilaga A 7.2 | Bilaga A 11.1.2 Bilaga A 11.1.6 | Fysisk inträde |
Fysiska kontroller | Bilaga A 7.3 | Bilaga A 11.1.3 | Säkra kontor, rum och faciliteter |
Fysiska kontroller | Bilaga A 7.4 | NY | Fysisk säkerhetsövervakning |
Fysiska kontroller | Bilaga A 7.5 | Bilaga A 11.1.4 | Skydd mot fysiska och miljömässiga hot |
Fysiska kontroller | Bilaga A 7.6 | Bilaga A 11.1.5 | Arbeta i säkra områden |
Fysiska kontroller | Bilaga A 7.7 | Bilaga A 11.2.9 | Clear Desk och Clear Screen |
Fysiska kontroller | Bilaga A 7.8 | Bilaga A 11.2.1 | Utrustningsplacering och skydd |
Fysiska kontroller | Bilaga A 7.9 | Bilaga A 11.2.6 | Säkerhet för tillgångar utanför lokaler |
Fysiska kontroller | Bilaga A 7.10 | Bilaga A 8.3.1 Bilaga A 8.3.2 Bilaga A 8.3.3 Bilaga A 11.2.5 | Förvarings media |
Fysiska kontroller | Bilaga A 7.11 | Bilaga A 11.2.2 | Stöd till verktyg |
Fysiska kontroller | Bilaga A 7.12 | Bilaga A 11.2.3 | Kabelsäkerhet |
Fysiska kontroller | Bilaga A 7.13 | Bilaga A 11.2.4 | Utrustningsunderhåll |
Fysiska kontroller | Bilaga A 7.14 | Bilaga A 11.2.7 | Säker kassering eller återanvändning av utrustning |
Bilaga A Kontrolltyp | ISO/IEC 27001:2022 Bilaga A Identifierare | ISO/IEC 27001:2013 Bilaga A Identifierare | Bilaga A Namn |
---|---|---|---|
Tekniska kontroller | Bilaga A 8.1 | Bilaga A 6.2.1 Bilaga A 11.2.8 | Användarens slutpunktsenheter |
Tekniska kontroller | Bilaga A 8.2 | Bilaga A 9.2.3 | Privilegerade åtkomsträttigheter |
Tekniska kontroller | Bilaga A 8.3 | Bilaga A 9.4.1 | Begränsning av informationsåtkomst |
Tekniska kontroller | Bilaga A 8.4 | Bilaga A 9.4.5 | Tillgång till källkod |
Tekniska kontroller | Bilaga A 8.5 | Bilaga A 9.4.2 | Säker autentisering |
Tekniska kontroller | Bilaga A 8.6 | Bilaga A 12.1.3 | Kapacitetshantering |
Tekniska kontroller | Bilaga A 8.7 | Bilaga A 12.2.1 | Skydd mot skadlig programvara |
Tekniska kontroller | Bilaga A 8.8 | Bilaga A 12.6.1 Bilaga A 18.2.3 | Hantering av tekniska sårbarheter |
Tekniska kontroller | Bilaga A 8.9 | NY | Systemintegration |
Tekniska kontroller | Bilaga A 8.10 | NY | Informationsradering |
Tekniska kontroller | Bilaga A 8.11 | NY | Datamaskning |
Tekniska kontroller | Bilaga A 8.12 | NY | Förebyggande av dataläckage |
Tekniska kontroller | Bilaga A 8.13 | Bilaga A 12.3.1 | Backup av information |
Tekniska kontroller | Bilaga A 8.14 | Bilaga A 17.2.1 | Redundans av informationsbehandlingsanläggningar |
Tekniska kontroller | Bilaga A 8.15 | Bilaga A 12.4.1 Bilaga A 12.4.2 Bilaga A 12.4.3 | Loggning |
Tekniska kontroller | Bilaga A 8.16 | NY | Övervakningsaktiviteter |
Tekniska kontroller | Bilaga A 8.17 | Bilaga A 12.4.4 | Klocksynkronisering |
Tekniska kontroller | Bilaga A 8.18 | Bilaga A 9.4.4 | Användning av Privileged Utility Programs |
Tekniska kontroller | Bilaga A 8.19 | Bilaga A 12.5.1 Bilaga A 12.6.2 | Installation av programvara på operativa system |
Tekniska kontroller | Bilaga A 8.20 | Bilaga A 13.1.1 | Nätverkssäkerhet |
Tekniska kontroller | Bilaga A 8.21 | Bilaga A 13.1.2 | Säkerhet för nätverkstjänster |
Tekniska kontroller | Bilaga A 8.22 | Bilaga A 13.1.3 | Segregering av nätverk |
Tekniska kontroller | Bilaga A 8.23 | NY | Webbfiltrering |
Tekniska kontroller | Bilaga A 8.24 | Bilaga A 10.1.1 Bilaga A 10.1.2 | Användning av kryptografi |
Tekniska kontroller | Bilaga A 8.25 | Bilaga A 14.2.1 | Säker utvecklingslivscykel |
Tekniska kontroller | Bilaga A 8.26 | Bilaga A 14.1.2 Bilaga A 14.1.3 | Programsäkerhetskrav |
Tekniska kontroller | Bilaga A 8.27 | Bilaga A 14.2.5 | Säker systemarkitektur och ingenjörsprinciper |
Tekniska kontroller | Bilaga A 8.28 | NY | Säker kodning |
Tekniska kontroller | Bilaga A 8.29 | Bilaga A 14.2.8 Bilaga A 14.2.9 | Säkerhetstestning i utveckling och acceptans |
Tekniska kontroller | Bilaga A 8.30 | Bilaga A 14.2.7 | Outsourcad utveckling |
Tekniska kontroller | Bilaga A 8.31 | Bilaga A 12.1.4 Bilaga A 14.2.6 | Separation av utvecklings-, test- och produktionsmiljöer |
Tekniska kontroller | Bilaga A 8.32 | Bilaga A 12.1.2 Bilaga A 14.2.2 Bilaga A 14.2.3 Bilaga A 14.2.4 | Change Management |
Tekniska kontroller | Bilaga A 8.33 | Bilaga A 14.3.1 | Testinformation |
Tekniska kontroller | Bilaga A 8.34 | Bilaga A 12.7.1 | Skydd av informationssystem under revisionstestning |
Enligt bilaga A 6.6 i ISO 27001:2022 övervakar personalavdelningen vanligtvis utarbetandet och upprätthållandet av sekretess-/sekretessavtalet i de flesta organisationer, i samarbete med den relevanta tredje partens övervakande chef/avdelning.
Informationssäkerhetsansvarig, försäljnings- eller produktionschef kan alla fungera som övervakningschef.
Avdelningarna och cheferna måste garantera att alla tredjepartsleverantörer som är anställda av organisationen har lämpliga säkerhetsåtgärder för att skydda konfidentiell data från ogodkänd utgivning eller användning.
Alla anställda ska teckna ett sekretessavtal vid början av sin anställning hos företaget.
I många organisationer, oavsett storlek, är all personal som hanterar konfidentiell information skyldig att underteckna ett sekretess- eller sekretessavtal.
Anställda inom försäljning, marknadsföring, kundservice och andra avdelningar som interagerar med konfidentiell information om kunder, kunder och leverantörer måste ges utbildning.
Organisationer bör ha policyer på plats som kräver att personalen undertecknar ett sekretessavtal innan de får tillgång till känslig information om kunder eller leverantörer, även om det inte finns något skriftligt avtal.
Underlåtenhet att ha en policy för sekretessavtal kan leda till allvarliga risker. Dessa risker inkluderar:
ISO 27001-standarden är i stort sett oförändrad. För att förbättra användbarheten uppdaterades den helt enkelt. Organisationer som följer denna standard behöver därför inte vidta några extra åtgärder för att förbli kompatibla.
För att möta ändringarna i ISO 27001:2022 kan organisationen behöva göra mindre ändringar i sina nuvarande processer och procedurer, särskilt om de kräver omcertifiering.
För att få ytterligare insikt i hur en ändring av ISO 27001:2022 påverkar din verksamhet, vänligen konsultera vår ISO 27001-guide.
ISMS.Online underlättar organisationer och företag att uppfylla standarderna i ISO 27001:2022 genom att tillhandahålla en plattform som förenklar hanteringen av konfidentialitet eller sekretessprotokoll, vilket gör att de kan uppdateras vid behov, testas och spåras för effektivitet.
Vi tillhandahåller en molnbaserad plattform för att hantera konfidentialitet och informationssäkerhet Ledningssystem, inklusive klausuler om sekretess, riskhantering, policyer, planer och procedurer, allt på en central plats. Plattformen är användarvänlig och har ett intuitivt gränssnitt som gör det enkelt att lära sig.
ISMS.Online underlättar:
ISMS.Online tillhandahåller ett omfattande urval av verktyg för att hjälpa företag och organisationer att uppfylla kraven i ISO 27001 och/eller ISO 27001 ISMS. Vi gör det enkelt att följa branschstandarden och ger dig sinnesfrid.
Kontakta oss nu för att arrangera en demonstration.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo