ISO 27001:2022 bilaga A 6.6 – Sekretess- eller sekretessavtal

• Se ISO 27002:2022 Kontroll 6.6 för mer information.
• Se ISO 27001:2013 bilaga A 13.2.4 för mer information.

Vad är ISO 27001:2022 Annex A 6.6?

ISO 27001:2022 bilaga A 6.6 anger att organisationer måste vidta åtgärder för att skydda konfidentiell information från obehörigt avslöjande. I detta ingår att upprätta sekretessavtal med berörda parter och personal.

Organisationer bör skapa villkor för sina avtal med andra parter efter att ha övervägt organisationens informationssäkerhet behov, vilken typ av information som ska hanteras, dess klassificeringsnivå, syftet den är avsedd för och den åtkomst den andra parten tillåts.

Sekretess eller sekretessavtal förklaras

Ett avtal om konfidentialitet eller sekretess (NDA) är ett juridiskt dokument som hindrar avslöjandet av affärshemligheter och annan konfidentiell information.

Konfidentiell information kan omfatta ett företags affärsplan, ekonomiska siffror, kundlistor och andra exklusiva detaljer. Dessa kontrakt används i en mängd olika omständigheter, såsom:

• Ett sekretessavtal kan ingå i ett anställningsavtal för en nyrekryterad. Detta säkerställer att medarbetaren avstår från att röja konfidentiell information om företaget, dess produkter eller tjänster, personal eller leverantörer. Företag använder också sekretessavtal för att hindra sina tidigare anställda från att avslöja känslig information efter anställningen.
• Sekretessavtal ingår regelbundet i affärsaffärer, som att köpa ett företag, gå ihop med ett annat företag eller sälja ett företag. Dessa avtal är utformade för att hindra båda parter från att avslöja konfidentiell information som erhållits under transaktionen.
• Partnerskap innebär användning av sekretessavtal när en part vill skydda sin befintliga klient eller leverantörsrelationer från att bli avslöjad till en ny partner. Till exempel, om ett företag kräver finansiering från riskkapitalister, kan det begära att dessa investerare undertecknar NDA för att säkra konfidentiell information om företagets produkter eller tjänster.

Partnerskap innehåller ofta sekretessklausuler i sitt partnerskapsavtal, där varje partner samtycker till att hålla all konfidentiell information som förvärvats under partnerskapet helt konfidentiell.

Syftet med sekretessavtal

Sekretessavtal används ofta av både privatpersoner och företag. De tjänar en rad mål, inklusive:

• Skydda sina affärshemligheter och proprietär information från konkurrenter som kan utnyttja den.
• Förhindra personal från att avslöja känslig företagsinformation till andra organisationer.
• säkra immateriella rättigheter såsom patent och upphovsrätt.

Vad är syftet med ISO 27001:2022 bilaga A 6.6?

ISO 27001:2022 bilaga A 6.6 bör tillämpas för att säkerställa datasäkerheten när personal, partners och leverantörer samarbetar med en organisation.

Denna kontroll är utformad för att säkra organisationens data och för att informera undertecknarna om deras skyldighet att hantera och skydda information på ett ansvarsfullt och lagligt sätt. Det fungerar också som ett verktyg för att bevara immateriella rättigheter, till exempel patent, varumärken, affärshemligheter och upphovsrätter.

Arbetsgivare bör se till att ett sekretessavtal finns på plats innan någon konfidentiell information avslöjas för en anställd eller entreprenör. Avtalet kommer att tydliggöra individens ansvar att upprätthålla sekretessen för informationen och längden på sekretessperioden efter att anställningen har upphört.

Bilaga A 6.6 Förklarat

ISO 27001:2022 bilaga A Control 6.6 är utformad för att skydda din organisations immateriella rättigheter och affärsintressen genom att stoppa avslöjandet av konfidentiell information till tredje part. Det involverar upprättandet av ett juridiskt avtal eller arrangemang mellan din organisation och dess personal, medarbetare, entreprenörer, leverantörer och andra utomstående, som kontrollerar användningen av sekretessbelagd information.

Konfidentiell information är all information som inte har offentliggjorts eller delats med andra organisationer inom samma sektor. Detta omfattar affärshemligheter, kundregister, formler och affärsstrategier.

Bedöm kontrollen när du beslutar om en tredje part ska få tillgång till känsliga personuppgifter och om åtgärder måste vidtas för att garantera att de inte behåller eller fortsätter att få tillgång till organisationens känsliga personuppgifter när de lämnar.

När en tredje part lämnar en organisation och det finns risk för att känsliga uppgifter kan avslöjas, måste organisationen vidta nödvändiga åtgärder för att förhindra avslöjande före eller kort efter deras avgång.

Vad är inblandat och hur man uppfyller kraven

ISO 27001: 2022 Bilaga A 6.6 kräver att avtalets parter avstår från att röja konfidentiell information som faller inom dess tillämpningsområde. Samtycke från organisationen behövs i alla fall där avslöjande är nödvändigt, med undantag för ett domstolsbeslut. Denna bestämmelse är väsentlig för att skydda uppgifter om affärsverksamhet, immateriella rättigheter samt forskning och utveckling.

För att följa bilaga A 6.6 måste ett sekretess- och sekretessavtal/-kontrakt upprättas med precision för att skydda alla affärshemligheter och känsliga uppgifter/information relaterade till företagets aktiviteter och transaktioner. Det är viktigt att båda parter förstår sina skyldigheter och ansvar enligt avtalet under och efter ingåendet av affärspartnerskapet.

En sekretessklausul kan ingå i avtal som sträcker sig längre än den anställdes anställning eller engagemang av tredje part. Detta bör göras för att säkerställa att informationen förblir säker.

Det är viktigt att en avgående anställd eller en som byter jobb får sina säkerhetsuppgifter och ansvar överförda till någon ny, med alla åtkomstuppgifter borttagna och nya skapade.

När man bedömer sekretess- och sekretessavtal bör man ha flera faktorer i åtanke.:

• De konfidentiella uppgifter som måste skyddas.
• Avtalets varaktighet, inklusive tillfällen då konfidentialitet måste bibehållas evigt eller tills uppgifterna offentliggörs, ska fastställas.
• Vid uppsägning av ett avtal, nödvändiga åtgärder som måste vidtas.
• Undertecknarna måste vidta alla nödvändiga åtgärder för att förhindra obehörigt röjande av information.
• Äganderätt till data, konfidentiell affärskunskap och immateriell egendom som påverkar sekretessen.
• Undertecknaren har rätt att använda konfidentiell information i enlighet med behörigheten.
• Rätten att övervaka eller utvärdera aktiviteter som involverar extremt sekretessbelagda uppgifter.
• Processen för att informera och informera om ej godkända avslöjanden eller spill av privat information ska följas.
• Vid uppsägning av detta avtal måste all data eller information som delas mellan parterna returneras eller förstöras.
• Om avtalet inte följs, vilka åtgärder kommer att vidtas.

Organisationen bör säkerställa att sekretess- och sekretessavtal följer lagarna i den relevanta jurisdiktionen.

Med jämna mellanrum och när ändringar påverkar deras krav är det nödvändigt att se över avtalen om sekretess och sekretess.

Ytterligare detaljer om denna process finns i ISO 27001:2022-standarden.

Ändringar och skillnader från ISO 27001:2013

ISO 27001:2022 Annex A 6.6 är en modifiering av ISO 27001:2013 Bilaga A 13.2.4, snarare än en ny kontroll.

De två bilaga A-kontrollerna har olika paralleller, även om de inte är identiska. Till exempel är implementeringsinstruktionerna för båda desamma, men inte desamma.

Den första delen av ISO 27001:2013 implementeringsvägledning, bilaga A 13.2.4, betonar att:

"Sekretess- eller sekretessavtal bör behandla kravet på att skydda konfidentiell information med hjälp av juridiskt verkställbara villkor. Sekretess- eller sekretessavtal är tillämpliga på externa parter eller anställda i organisationen.

Element bör väljas eller läggas till med hänsyn till typen av den andra parten och dess tillåtna åtkomst eller hantering av konfidentiell information.”

Bilaga A 6.6 i ISO 27001:2022 förklarar att varje organisation måste vidta lämpliga åtgärder för att:

"Sekretess- eller sekretessavtal bör behandla kravet på att skydda konfidentiell information med hjälp av juridiskt verkställbara villkor. Sekretess- eller sekretessavtal gäller för berörda parter och personal i organisationen.

Utifrån en organisations krav på informationssäkerhet bör villkoren i avtalen bestämmas med hänsyn till vilken typ av information som kommer att hanteras, dess klassificeringsnivå, dess användning och den andra partens tillåtna åtkomst.”

Båda kontrollerna har en analog struktur och funktion i sina individuella sammanhang, även om de varierar i semantisk betydelse. Bilaga A 6.6 använder ett mer rakt och användarvänligt språk, vilket gör det lättare att förstå innehållet och sammanhanget. Därför kan användare lättare identifiera sig med standarden.

Smakämnen 2022 delbetalning av ISO 27001 inkluderar avsiktsförklaringar och attributtabeller enligt bilaga A Kontroll, för att underlätta förståelsen och framgångsrik implementering. Detta finns inte med i 2013 års upplaga.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje enskild ISO 27001:2022 Annex A-kontroll.

Vem är ansvarig för denna process?

Enligt bilaga A 6.6 i ISO 27001:2022 övervakar personalavdelningen vanligtvis utarbetandet och upprätthållandet av sekretess-/sekretessavtalet i de flesta organisationer, i samarbete med den relevanta tredje partens övervakande chef/avdelning.

Informationssäkerhetsansvarig, försäljnings- eller produktionschef kan alla fungera som övervakningschef.

Avdelningarna och cheferna måste garantera att alla tredjepartsleverantörer som är anställda av organisationen har lämpliga säkerhetsåtgärder för att skydda konfidentiell data från ogodkänd utgivning eller användning.

Alla anställda ska teckna ett sekretessavtal vid början av sin anställning hos företaget.

I många organisationer, oavsett storlek, är all personal som hanterar konfidentiell information skyldig att underteckna ett sekretess- eller sekretessavtal.

Anställda inom försäljning, marknadsföring, kundservice och andra avdelningar som interagerar med konfidentiell information om kunder, kunder och leverantörer måste ges utbildning.

Organisationer bör ha policyer på plats som kräver att personalen undertecknar ett sekretessavtal innan de får tillgång till känslig information om kunder eller leverantörer, även om det inte finns något skriftligt avtal.

Underlåtenhet att ha en policy för sekretessavtal kan leda till allvarliga risker. Dessa risker inkluderar:

• Anställda kan, oavsiktligt, avslöja konfidentiell information till personer utanför verksamheten som inte borde ha tillgång, vilket skadar organisationen.
• En anställd kan avslöja känslig information till en rival.
• En missnöjd arbetare kan stjäla företagets immateriella rättigheter och använda den för egen vinning.
• Arbetare kan oavsiktligt lämna konfidentiella uppgifter på sina stationära datorer på kontoret eller på sina bärbara datorer hemma och riskera att bli stöld av en cyberbrottsling.

Vad betyder dessa förändringar för dig?

ISO 27001-standarden är i stort sett oförändrad. För att förbättra användbarheten uppdaterades den helt enkelt. Organisationer som följer denna standard behöver därför inte vidta några extra åtgärder för att förbli kompatibla.

För att möta ändringarna i ISO 27001:2022 kan organisationen behöva göra mindre ändringar i sina nuvarande processer och procedurer, särskilt om de kräver omcertifiering.

För att få ytterligare insikt i hur en ändring av ISO 27001:2022 påverkar din verksamhet, vänligen konsultera vår ISO 27001-guide.

Hur ISMS.Online Hjälp

ISMS.Online underlättar organisationer och företag att uppfylla standarderna i ISO 27001:2022 genom att tillhandahålla en plattform som förenklar hanteringen av konfidentialitet eller sekretessprotokoll, vilket gör att de kan uppdateras vid behov, testas och spåras för effektivitet.

Vi tillhandahåller en molnbaserad plattform för att hantera konfidentialitet och informationssäkerhet Ledningssystem, inklusive klausuler om sekretess, riskhantering, policyer, planer och procedurer, allt på en central plats. Plattformen är användarvänlig och har ett intuitivt gränssnitt som gör det enkelt att lära sig.

ISMS.Online underlättar:

• Spela in dina processer bekvämt med detta användarvänliga gränssnitt. Du behöver inte installera någon programvara på din maskin eller nätverk!
• Effektivisera din riskbedömningsprocess genom att automatisera den.
• Se till att regelverk följs med onlinerapporter och checklistor.
• Håll ett register över framsteg samtidigt som du strävar efter certifiering.

ISMS.Online tillhandahåller ett omfattande urval av verktyg för att hjälpa företag och organisationer att uppfylla kraven i ISO 27001 och/eller ISO 27001 ISMS. Vi gör det enkelt att följa branschstandarden och ger dig sinnesfrid.

Kontakta oss nu för att arrangera en demonstration.