Kontroll 6.1 handlar om bakgrundskontroller som krävs av alla anställda och utvalda leverantörer innan de går med i organisationen.
Kontroll 6.1 förordade en proportionellt tillvägagångssätt till verifieringskontroller som är kopplade till organisationens unika krav, och som omfattar alla relevanta lagar, förordningar och etiska standarder som en organisation håller sig till, var de än verkar.
När de utför kontroller bör organisationer vara uppmärksamma på typen av information som varje anställd/leverantör kommer i kontakt med under hela sin arbetsroll och eventuella tillhörande risker.
Kontroll 6.1 är en förebyggande kontrollera det upprätthåller risken genom att upprätta en screeningprocess som veterinärar all heltids-, deltids- och tillfällig/tillfällig personal och leverantörer, för att säkerställa att endast lämplig och ordentlig personal har tillgång till information.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Human Resource Security | #Styrelse och ekosystem |
Anställningskontroller utförs vanligtvis innan en person börjar sitt jobb. Som sådan bör ägandet av 6.1 ligga hos en organisations HR-chef.
Screeningaktiviteter bör omfatta följande kontroller:
Bakgrundsverifiering inkluderar ofta insamling, bearbetning och överföring av PII och/eller skyddade egenskaper (brittisk lag). Som sådan bör organisationer säkerställa strikt efterlevnad av all rådande arbetslagstiftning, var de än är verksamma.
Detta innebär vanligtvis att man informerar kandidaten om screeningprocessen (både när det gäller uppgifter som behandlas och vad det används till), innan verifieringen utförs.
Screening förfaranden bör tydligt beskriva ansvarig personal för att genomföra screeningen på uppdrag av organisationen, och den bakomliggande anledningen till varför screening görs i första hand.
Om screening ska utföras på leverantörer är det viktigt att inkludera detta krav i eventuella avtal innan tjänster utförs.
När en anställd/leverantör har granskats och anställts, organisationen bör vidta åtgärder för att säkerställa att kandidaten har förmågan att utföra sin roll som annonserats och har visat sig vara en pålitlig individ, särskilt om deras roll inkluderar informationssäkerhetsrelaterade aktiviteter.
Kontroll 6.1 ger organisationer ett stort utrymme för de omständigheter som krävs innan de initierar utökade granskningskontroller.
Sådana förfaranden bör beslutas från jobb för arbete, och ingen skillnad bör göras mellan ny personal eller befintlig personal som har befordrats till en roll som innehåller ett större ansvar.
Roller som kräver utökad screening kan definieras som alla som handlar om informationsbehandling som en daglig aktivitet (t.ex. HR), eller vilken roll som helst som inkluderar hantering eller bearbetning av PII, finansiell information eller någon annan typ av känslig information.
Organisationer bör också överväga sätt att verifiera den pågående lämpligheten för all personal som är anställd i en kritisk roll.
Under vissa omständigheter (brådskande anställningar, förseningar från tredje part, ansökningsmisstag etc.) kan screening inte alltid slutföras i tid.
Om detta inträffar bör organisationer överväga alternativa handlingssätt som minimerar riskerna förknippade med en okontrollerad anställd, inklusive:
27002:2022-6.1 ersätter 27002:2013-7.1.1 (Screening).
27002:2022-6.1 innehåller samma grundläggande vägledningspunkter som 27002:2013-7.1.1, när det gäller att ge organisationer råd om vilken information som krävs att verifieras innan en anställd/leverantör börjar sitt jobb (referenser, CV, identitet etc).
Med utgångspunkt i den grundläggande vägledningen som erbjuds, innehåller 27002:2022-6.1 även ytterligare information om hur organisationer bör reagera på ofullständiga verifieringar, inklusive potentiell uppsägning.
ISMS.online-plattformen tillhandahåller en rad kraftfulla verktyg som förenklar hur du kan dokumentera, implementera, underhålla och förbättra din ledningssystem för informationssäkerhet (ISMS) och uppnå överensstämmelse med ISO 27002.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
