Kontroll 6.2, Anställningsvillkor

Vad är kontroll 6.2 – anställningsvillkor?

styrenhet 6.2, anställningsvillkor i det nya ISO 27002: 2022 talar om behovet av avtalsöverenskommelse för att informera eventuella nyanställda om såväl deras som organisationens ansvar för informationssäkerhet.

Vad detta innebär är att anställda ska känna till företagets informationssäkerhetspolicy, samt roller och ansvar för personer som arbetar med informationssäkerhet i företaget. Detta kan göras genom att personalen skriver på ett anställningsavtal eller liknande.

Ett sådant avtalsavtal kommer vanligtvis att beskriva de allmänna kraven för skydda informationstillgångar, inklusive fysisk säkerhet, miljökontroller, åtkomstkontroller och beredskapsplanering samt ett sekretessavtal om de kommer att arbeta med PII.

Informationssäkerhet förklaras

Informationssäkerhet är metoden att försvara information från obehörig åtkomst, användning, avslöjande, avbrott, modifiering, granskning, inspektion, inspelning eller förstörelse. Det inkluderar att säkerställa konfidentialitet, integritet och tillgänglighet för data.

Syftet med informationssäkerhet är att skydda organisationens tillgångar och immateriella rättigheter från attacker från hackare och andra säkerhetshot.

Informationssäkerhetshot förklaras

Informationssäkerhetshot är potentiella faror som illvilliga aktörer kan utgöra för organisationers data och infrastruktur. De risker är ofta förknippade med dålig informationssäkerhet praxis och/eller otillräckliga skyddsåtgärder.

De vanligaste hoten mot informationssäkerhet inkluderar:

Dataöverträdelser och förlust.
Nätfiskeattacker.
Skadlig programvara och ransomware.
Virus- och maskinfektioner.
DDoS-attacker.

Informationssäkerhetshot utvecklas ständigt och blir mer komplexa. Hoten kommer både utifrån och inom organisationen och de kan slå till när som helst.

ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG

Attributtabell

Attribut är ett sätt att gruppera kontroller. Det är lättare att matcha ditt kontrollval med standardspecifikationer och terminologi om du tittar på attributen för kontrollen. I kontroll 6.2 kan följande attribut användas.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Skydda	#Human Resource Security	#Styrelse och ekosystem
	#Integritet
	#Tillgänglighet

Vad är syftet med kontroll 6.2?

Syftet med kontroll 6.2 är att säkerställa att alla anställda har en förståelse för sin roll i att skydda företagets tillgångar och konfidentiell information, särskilt när det gäller den roll de är anställda för.

Förpliktelser under kontroll 6.2

Kontroll 6.2 anställningsvillkor är en viktig del av din organisationens ledningssystem för informationssäkerhet (ISMS). Det hjälper dig uppfylla dina skyldigheter enligt GDPR och andra lagkrav som rör personuppgiftsbehandling och informationssäkerhet.

Syftet med denna kontroll är att säkerställa att personalen förstår deras informationssäkerhetsansvar i organisationen.

För att hjälpa till att uppnå detta är det viktigt att anställda görs medvetna om sina tystnadsplikter och andra relevanta villkor innan de börjar anställa i en organisation. Detta kan också inkludera eventuella restriktioner för användningen av teknik eller sociala medieplattformar.

Denna kontroll bör ses över årligen för att säkerställa att eventuella förändringar i organisationsstruktur eller rutiner återspeglas i den dokumentation som tillhandahålls de anställda.

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo

Vad är inblandat och hur uppfyller du kraven

Det mest uppenbara sättet att uppfylla kraven för kontroll 6.2, anställningsvillkor är att förse alla anställda med ett skriftligt anställningsavtal, eller erbjudandebrev, som beskriver alla villkor för deras anställning, särskilt inom området informationssäkerhet .

Dessutom bör de avtalsenliga skyldigheterna för personalen ta hänsyn till organisationens informationssäkerhetspolicy och relevanta ämnesspecifika policyer, och följande punkter bör väl täckas in i anställningsavtalet:

sekretess- eller sekretessavtal som personal som ges tillgång till konfidentiell information bör underteckna innan de ges tillgång till information och andra tillhörande tillgångar;
juridiska skyldigheter och rättigheter [t.ex. gällande upphovsrättslagar eller dataskyddslagstiftning;
ansvar för klassificering av information och hantering av organisationens
information och andra tillhörande tillgångar, informationsbehandlingsanläggningar och informationstjänster som hanteras av personalen;
ansvar för hanteringen av information som erhållits från berörda parter;
åtgärder som ska vidtas om personalen åsidosätter organisationens säkerhetskrav.

Slutligen bör organisationen se till att personalen godkänner villkoren för informationssäkerhet.

Ändringar och skillnader från ISO 27002:2013

Kontroll 6.2 i ISO 27002:2022 är inte precis en ny kontroll i denna ISO-serie. Denna version av ISO 2022 publicerades i februari 27002 och är en uppgradering av 2013 års version. Därför är kontroll 6.2 en modifierad version av kontroll 7.1.2 i ISO 27002:2013.

2022-versionen kommer med en attributtabell och en syftesförklaring som inte är tillgänglig i kontroll 7.1.2.

Med det sagt finns det ingen annan uppenbar skillnad mellan de två kontrollerna förutom förändringen i kontrollnummer. Även om frasologin för de två kontrollerna kanske inte liknar varandra, är innehållet och sammanhanget praktiskt taget detsamma.

Vem är ansvarig för denna process?

Svaret är enkelt: det beror på företagets storlek och hur dess anställda är organiserade.

I mindre företag kan en person ansvara för alla HR-funktioner (t.ex. rekrytering, kontrakt, utbildning). Det kan även vara möjligt att delegera dessa ansvarsområden till en annan person inom företaget. Denna person skulle se till att Kontroll 6.2 följs korrekt av alla anställda men skulle inte vara ansvarig för dess utveckling eller tolkning.

Denna funktion kan också vara ett delat ansvar mellan alla chefer och arbetsledare i hela organisationen – från VD och ner till mellanchefsnivåer.

För korrekt implementering av denna kontroll är det dock bäst att HR-chefen är ansvarig, med tillsyn från ledningen ISMS-ansvarig.

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo

Vad betyder dessa förändringar för dig?

Den nya ISO 27002:2022-standarden är ingen betydande uppdatering. Som ett resultat behöver du inte göra några betydande ändringar för att vara kompatibel med den senaste versionen av ISO 27002.

Icke desto mindre, om du planerar att implementera ett ISMS (eller till och med ISMS-certifiering), är det avgörande att du utvärderar den nuvarande utgåvan av ISO 27002 och bekräftar att dina säkerhetsprocedurer är adekvata.

Ytterligare information om hur den nya ISO 27002 kommer att påverka din informationssäkerhetsverksamhet och ISO 27001 certifiering finns i vår ISO 27002:2022-handbok, som finns tillgänglig för gratis nedladdning på vår webbplats.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	NYA	Hot intelligens
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.30	NYA	ICT-beredskap för kontinuitet i verksamheten
7.4	NYA	Fysisk säkerhetsövervakning
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.16	NYA	Övervakningsaktiviteter
8.23	NYA	Webbfiltrering
8.28	NYA	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	NYA	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	5.30	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	NYA	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	NYA	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	NYA	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	NYA	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.Online hjälper

ISMS.online är en molnbaserad lösning som hjälper företag att visa efterlevnad av ISO 27002. ISMS.online-lösningen kan användas för att hantera kraven i ISO 27002 och säkerställa att din organisation förblir kompatibel med den nya standarden.

ISO 27002-standarden har uppdaterats för att återspegla de växande cyberhoten vi möter som samhälle. Den nuvarande standarden publicerades första gången 2005 och reviderades 2013 för att återspegla förändringar i teknik, regelverk och industristandarder. Den nya versionen av ISO 27002 innehåller dessa uppdateringar i ett dokument, samt lägger till nya krav för organisationer för att hjälpa dem att bättre skydda sina datatillgångar från cyberattacker.

ISMS.online-lösningen hjälper organisationer att implementera ISO 27002:2022 genom att tillhandahålla ett lättanvänt ramverk för att dokumentera policyer och procedurer för informationssäkerhet. Det ger också en centraliserad plats där du kan lagra all din efterlevnadsdokumentation så att den lätt kan nås av olika intressenter i företaget (t.ex. HR, IT).

Vår plattform är användarvänlig och enkel. Det är inte bara för mycket tekniska individer; det är för alla i ditt företag.

Hör av dig idag för att boka en demo.

Vi är ledande inom vårt område