Syfte med kontroll 6.1
Kontroll 6.1 handlar om bakgrundskontroller som krävs av alla anställda och utvalda leverantörer innan de går med i organisationen.
Kontroll 6.1 förordade en proportionellt tillvägagångssätt till verifieringskontroller som är kopplade till organisationens unika krav, och som omfattar alla relevanta lagar, förordningar och etiska standarder som en organisation håller sig till, var de än verkar.
När de utför kontroller bör organisationer vara uppmärksamma på typen av information som varje anställd/leverantör kommer i kontakt med under hela sin arbetsroll och eventuella tillhörande risker.
Attributtabell för kontroll 6.1
Kontroll 6.1 är en förebyggande kontrollera det upprätthåller risken genom att upprätta en screeningprocess som veterinärar all heltids-, deltids- och tillfällig/tillfällig personal och leverantörer, för att säkerställa att endast lämplig och ordentlig personal har tillgång till information.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Human Resource Security | #Styrelse och ekosystem |
| #Integritet | ||||
| #Tillgänglighet |
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Äganderätt till kontroll 6.1
Anställningskontroller utförs vanligtvis innan en person börjar sitt jobb. Som sådan bör ägandet av 6.1 ligga hos en organisations HR-chef.
Allmän vägledning om kontroll 6.1
Screeningaktiviteter bör omfatta följande kontroller:
- Referenser, inklusive både affärs- och personliga intyg.
- CV-verifiering, för att säkerställa att kandidaten inte heller har utelämnat någon relevant information och endast har inkluderat korrekt och sanningsenlig information.
- Bekräftelse av akademiska, yrkesmässiga och yrkesmässiga kvalifikationer och certifieringar.
- Identitetsverifiering, bekräftad av en tredje parts statliga eller offentliga organisationer (kontroll av pass och/eller körkort).
- Kreditkontroller och kriminalregisterkontroller, för alla roller som bedöms lämpliga för utökad granskning.
Bakgrundsverifiering inkluderar ofta insamling, bearbetning och överföring av PII och/eller skyddade egenskaper (brittisk lag). Som sådan bör organisationer säkerställa strikt efterlevnad av all rådande arbetslagstiftning, var de än är verksamma.
Detta innebär vanligtvis att man informerar kandidaten om screeningprocessen (både när det gäller uppgifter som behandlas och vad det används till), innan verifieringen utförs.
Screening förfaranden bör tydligt beskriva ansvarig personal för att genomföra screeningen på uppdrag av organisationen, och den bakomliggande anledningen till varför screening görs i första hand.
Om screening ska utföras på leverantörer är det viktigt att inkludera detta krav i eventuella avtal innan tjänster utförs.
När en anställd/leverantör har granskats och anställts, organisationen bör vidta åtgärder för att säkerställa att kandidaten har förmågan att utföra sin roll som annonserats och har visat sig vara en pålitlig individ, särskilt om deras roll inkluderar informationssäkerhetsrelaterade aktiviteter.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Vägledning – Förbättrad kontroll
Kontroll 6.1 ger organisationer ett stort utrymme för de omständigheter som krävs innan de initierar utökade granskningskontroller.
Sådana förfaranden bör beslutas från jobb för arbete, och ingen skillnad bör göras mellan ny personal eller befintlig personal som har befordrats till en roll som innehåller ett större ansvar.
Roller som kräver utökad screening kan definieras som alla som handlar om informationsbehandling som en daglig aktivitet (t.ex. HR), eller vilken roll som helst som inkluderar hantering eller bearbetning av PII, finansiell information eller någon annan typ av känslig information.
Organisationer bör också överväga sätt att verifiera den pågående lämpligheten för all personal som är anställd i en kritisk roll.
Vägledning – ofullständiga verifikationer
Under vissa omständigheter (brådskande anställningar, förseningar från tredje part, ansökningsmisstag etc.) kan screening inte alltid slutföras i tid.
Om detta inträffar bör organisationer överväga alternativa handlingssätt som minimerar riskerna förknippade med en okontrollerad anställd, inklusive:
- Försenad ombordstigning.
- Begränsad tillgång till system.
- Innehålla företagets tillgångar och utrustning.
- Uppsägning.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022-6.1 ersätter 27002:2013-7.1.1 (Screening).
27002:2022-6.1 innehåller samma grundläggande vägledningspunkter som 27002:2013-7.1.1, när det gäller att ge organisationer råd om vilken information som krävs att verifieras innan en anställd/leverantör börjar sitt jobb (referenser, CV, identitet etc).
Med utgångspunkt i den grundläggande vägledningen som erbjuds, innehåller 27002:2022-6.1 även ytterligare information om hur organisationer bör reagera på ofullständiga verifieringar, inklusive potentiell uppsägning.
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Hur ISMS.online hjälper
ISMS.online-plattformen tillhandahåller en rad kraftfulla verktyg som förenklar hur du kan dokumentera, implementera, underhålla och förbättra din ledningssystem för informationssäkerhet (ISMS) och uppnå överensstämmelse med ISO 27002.
Hör av dig idag för att boka en demo.
