styrenhet 6.2, anställningsvillkor i det nya ISO 27002: 2022 talar om behovet av avtalsöverenskommelse för att informera eventuella nyanställda om såväl deras som organisationens ansvar för informationssäkerhet.
Vad detta innebär är att anställda ska känna till företagets informationssäkerhetspolicy, samt roller och ansvar för personer som arbetar med informationssäkerhet i företaget. Detta kan göras genom att personalen skriver på ett anställningsavtal eller liknande.
Ett sådant avtalsavtal kommer vanligtvis att beskriva de allmänna kraven för skydda informationstillgångar, inklusive fysisk säkerhet, miljökontroller, åtkomstkontroller och beredskapsplanering samt ett sekretessavtal om de kommer att arbeta med PII.
Informationssäkerhet är metoden att försvara information från obehörig åtkomst, användning, avslöjande, avbrott, modifiering, granskning, inspektion, inspelning eller förstörelse. Det inkluderar att säkerställa konfidentialitet, integritet och tillgänglighet för data.
Syftet med informationssäkerhet är att skydda organisationens tillgångar och immateriella rättigheter från attacker från hackare och andra säkerhetshot.
Informationssäkerhetshot är potentiella faror som illvilliga aktörer kan utgöra för organisationers data och infrastruktur. De risker är ofta förknippade med dålig informationssäkerhet praxis och/eller otillräckliga skyddsåtgärder.
De vanligaste hoten mot informationssäkerhet inkluderar:
Informationssäkerhetshot utvecklas ständigt och blir mer komplexa. Hoten kommer både utifrån och inom organisationen och de kan slå till när som helst.
Attribut är ett sätt att gruppera kontroller. Det är lättare att matcha ditt kontrollval med standardspecifikationer och terminologi om du tittar på attributen för kontrollen. I kontroll 6.2 kan följande attribut användas.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Human Resource Security | #Styrelse och ekosystem |
Syftet med kontroll 6.2 är att säkerställa att alla anställda har en förståelse för sin roll i att skydda företagets tillgångar och konfidentiell information, särskilt när det gäller den roll de är anställda för.
Kontroll 6.2 anställningsvillkor är en viktig del av din organisationens ledningssystem för informationssäkerhet (ISMS). Det hjälper dig uppfylla dina skyldigheter enligt GDPR och andra lagkrav som rör personuppgiftsbehandling och informationssäkerhet.
Syftet med denna kontroll är att säkerställa att personalen förstår deras informationssäkerhetsansvar i organisationen.
För att hjälpa till att uppnå detta är det viktigt att anställda görs medvetna om sina tystnadsplikter och andra relevanta villkor innan de börjar anställa i en organisation. Detta kan också inkludera eventuella restriktioner för användningen av teknik eller sociala medieplattformar.
Denna kontroll bör ses över årligen för att säkerställa att eventuella förändringar i organisationsstruktur eller rutiner återspeglas i den dokumentation som tillhandahålls de anställda.
Det mest uppenbara sättet att uppfylla kraven för kontroll 6.2, anställningsvillkor är att förse alla anställda med ett skriftligt anställningsavtal, eller erbjudandebrev, som beskriver alla villkor för deras anställning, särskilt inom området informationssäkerhet .
Dessutom bör de avtalsenliga skyldigheterna för personalen ta hänsyn till organisationens informationssäkerhetspolicy och relevanta ämnesspecifika policyer, och följande punkter bör väl täckas in i anställningsavtalet:
Slutligen bör organisationen se till att personalen godkänner villkoren för informationssäkerhet.
Kontroll 6.2 i ISO 27002:2022 är inte precis en ny kontroll i denna ISO-serie. Denna version av ISO 2022 publicerades i februari 27002 och är en uppgradering av 2013 års version. Därför är kontroll 6.2 en modifierad version av kontroll 7.1.2 i ISO 27002:2013.
2022-versionen kommer med en attributtabell och en syftesförklaring som inte är tillgänglig i kontroll 7.1.2.
Med det sagt finns det ingen annan uppenbar skillnad mellan de två kontrollerna förutom förändringen i kontrollnummer. Även om frasologin för de två kontrollerna kanske inte liknar varandra, är innehållet och sammanhanget praktiskt taget detsamma.
Svaret är enkelt: det beror på företagets storlek och hur dess anställda är organiserade.
I mindre företag kan en person ansvara för alla HR-funktioner (t.ex. rekrytering, kontrakt, utbildning). Det kan även vara möjligt att delegera dessa ansvarsområden till en annan person inom företaget. Denna person skulle se till att Kontroll 6.2 följs korrekt av alla anställda men skulle inte vara ansvarig för dess utveckling eller tolkning.
Denna funktion kan också vara ett delat ansvar mellan alla chefer och arbetsledare i hela organisationen – från VD och ner till mellanchefsnivåer.
För korrekt implementering av denna kontroll är det dock bäst att HR-chefen är ansvarig, med tillsyn från ledningen ISMS-ansvarig.
Den nya ISO 27002:2022-standarden är ingen betydande uppdatering. Som ett resultat behöver du inte göra några betydande ändringar för att vara kompatibel med den senaste versionen av ISO 27002.
Icke desto mindre, om du planerar att implementera ett ISMS (eller till och med ISMS-certifiering), är det avgörande att du utvärderar den nuvarande utgåvan av ISO 27002 och bekräftar att dina säkerhetsprocedurer är adekvata.
Ytterligare information om hur den nya ISO 27002 kommer att påverka din informationssäkerhetsverksamhet och ISO 27001 certifiering finns i vår ISO 27002:2022-handbok, som finns tillgänglig för gratis nedladdning på vår webbplats.
ISMS.online är en molnbaserad lösning som hjälper företag att visa efterlevnad av ISO 27002. ISMS.online-lösningen kan användas för att hantera kraven i ISO 27002 och säkerställa att din organisation förblir kompatibel med den nya standarden.
ISO 27002-standarden har uppdaterats för att återspegla de växande cyberhoten vi möter som samhälle. Den nuvarande standarden publicerades första gången 2005 och reviderades 2013 för att återspegla förändringar i teknik, regelverk och industristandarder. Den nya versionen av ISO 27002 innehåller dessa uppdateringar i ett dokument, samt lägger till nya krav för organisationer för att hjälpa dem att bättre skydda sina datatillgångar från cyberattacker.
ISMS.online-lösningen hjälper organisationer att implementera ISO 27002:2022 genom att tillhandahålla ett lättanvänt ramverk för att dokumentera policyer och procedurer för informationssäkerhet. Det ger också en centraliserad plats där du kan lagra all din efterlevnadsdokumentation så att den lätt kan nås av olika intressenter i företaget (t.ex. HR, IT).
Vår plattform är användarvänlig och enkel. Det är inte bara för mycket tekniska individer; det är för alla i ditt företag.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
