ISO 27002 :2022, Kontroll 6.3. Informationssäkerhetsmedvetenhet, utbildning och utbildning täcker behovet för anställda i en organisation att få lämplig informationssäkerhetsmedvetenhet, utbildning och utbildning, plus regelbundna uppdateringar av organisationens informationssäkerhetspolicy, särskilt när den gäller deras arbetsfunktion.
Informationssäkerhetsmedvetenhet, utbildning och träning (medvetenhet om IT-säkerhet) är processen att informera användare om vikten av informationssäkerhet och uppmuntra dem att förbättra sina egna datorsäkerhetsvanor.
Användare måste göras medvetna om säkerheten risker som kan komma från deras verksamhet och hur de kan skydda sig mot dessa risker.
Informationssäkerhetsmedvetenhet, utbildning och träning är avgörande komponenter för alla organisationers framgång. Det är avgörande att alla anställda förstår vikten av informationssäkerhet och hur den påverkar alla.
Ju mer anställda förstår hur man skyddar sig mot cyberhot, desto säkrare blir din organisation.
Kontroller kan grupperas med hjälp av attribut. När man tittar på kontrollens attribut kan man lättare relatera den till etablerade branschkrav och terminologi. Följande attribut är i kontroll 6.3.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Human Resource Security | #Styrelse och ekosystem |
Syftet med Kontroll 6.3 är att säkerställa att personal och relevanta intressenter är medvetna om och är ordentligt utbildade för att fullgöra sitt informationssäkerhetsansvar.
Kontroll 6.3 omfattar en rad aktiviteter som hjälper till att säkerställa att människor har de kunskaper och färdigheter som krävs för att verka inom en organisations informationssäkerhet ramverk. Huvudfokus för detta kontrollen ligger på medvetandehöjande aktiviteter om vikten av informationssäkerhet, uppmuntra god praxis och främja efterlevnad av relevanta policyer och förfaranden.
Informationssäkerhetsmedvetenhet, utbildning och utbildning är en kritisk komponent i en organisations övergripande riskhanteringsstrategi och bör betraktas som en integrerad del av organisationens säkerhetspolicy.
Kontroll 6.3 definierar behovet för organisationer att ha ett program för informationssäkerhet som ger alla anställda nödvändiga kunskaper och färdigheter för att skydda informationstillgångar. Den ger vägledning om vad som bör ingå i ett effektivt medvetenhetsprogram.
Till exempel kan organisationen behöva anordna utbildning i säkerhetsmedvetenhet minst årligen, eller enligt riskbedömningen, för alla anställda och entreprenörer som har tilldelats roller där de har tillgång till känslig informationstillgångar eller annan typ av information system som lagrar, behandlar eller överför känslig information.
Kravet för kontroll 6.3 är att en organisation ska ha en process för att säkerställa att anställda är adekvat utbildade i hur de utför sina arbetsuppgifter säkert och säkert på ett sätt som äventyrar inte informationssäkerheten. Detta kan uppnås genom träningspass. Det kan också uppnås med hjälp av onlineresurser som videor eller webbseminarier.
Informationssäkerhetsmedvetenhet, utbildning och utbildningsprogram bör utvecklas i enlighet med organisationens informationssäkerhetspolicy, ämnesspecifika policyer och relevanta informationssäkerhetsprocedurer. Den bör också ta hänsyn till organisationens information som ska skyddas och de informationssäkerhetskontroller som genomförs för att skydda den. Detta bör ske med jämna mellanrum.
Introduktionsmedvetenhet, utbildning och träning kan gälla nya medarbetare såväl som de som övergår till nya positioner eller uppgifter som kräver väsentligt olika nivåer av informationssäkerhet.
Upplysningskampanjen bör innehålla en mängd olika aktiviteter för att öka medvetenheten. Detta inkluderar kampanjer, häften, affischer, nyhetsbrev, webbplatser, informationssessioner, genomgångar, e-lärande moduler och e-post.
Enligt kontroll 6.3 ska detta program täcka:
ISO 27002: 2022 är inte en helt ny kontroll. Denna version av ISO 27002, som publicerades i februari 2022, är en uppdatering av den tidigare versionen, som publicerades 2013. Som ett resultat av detta är kontroll 6.3 i ISO 27002:2022 inte en helt ny kontroll. Det är en något modifierad version av kontroll 7.2.2 i ISO 27002:2013.
Kontroll 7.2.2 i ISO 27002:2013 har inte en attributtabell eller en uppgift om syfte, som ingår i kontroll 6.3 i ISO 27002:2022-versionen.
Med det sagt, förutom förändringen i kontrollnummer, finns det ingen annan märkbar skillnad mellan de två kontrollerna. Trots det faktum att frasologin för de två kontrollerna skiljer sig åt, är innehållet och sammanhanget för de två kontrollerna i huvudsak desamma.
Språket i kontroll 6.3 gjordes för att vara mer användarvänligt, så att människor som kommer att använda standarden bättre ska kunna relatera till dess innehåll.
Svaret på denna fråga beror på din organisation. I många organisationer hanteras program för informationssäkerhet, utbildning och utbildning av säkerhetsteamet. I andra organisationer sköts det av HR-avdelningen eller annan funktion.
Det viktiga är att se till att någon är ansvarig för att skapa och implementera din organisations program för säkerhetsmedvetenhet. Denna person eller avdelning bör också övervakas av informationssäkerhetschefen (om en annan person är ansvarig för denna roll).
Denna person bör ha en god förståelse för informationssäkerhet och kunna kommunicera med anställda om olika ämnen relaterade till bästa säkerhetspraxis. Denna person ska också kunna utveckla innehåll för dina utbildningsprogram och hålla regelbundna utbildningstillfällen för anställda.
Det är viktigt att förstå att informationssäkerhet inte bara är IT:s ansvar. Det är allas ansvar. Organisationer måste ha ett team av personer som ansvarar för säkerheten, men de måste också se till att alla förstår vikten av konfidentialitet och integritet.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Du behöver inte göra mycket eftersom ISO 27002: 2022 inte är en ny standard utan en revidering av 2013 års version. Det förväntas därför att de flesta organisationer inte kommer att behöva göra förändringar.
Men om du redan har implementerat 2013 års version av ISO 27002 måste du utvärdera om dessa ändringar är relevanta för din organisation. Du måste också se över dina säkerhetsprocesser om du är det planering för ISMS-certifiering. Detta kommer att säkerställa att dina processer är kompatibla med den granskade standarden.
Vår ISO 27002:2022-guide, tillgänglig för gratis nedladdning på vår webbplats, har ytterligare information om hur den nya ISO 27002 kan påverka din informationssäkerhetsverksamhet och ISO 27001 certifiering.
ISMS.Online är en komplett lösning för implementering av ISO 27002. Det är ett webbaserat system som låter dig visa att ditt ledningssystem för informationssäkerhet (ISMS) är kompatibelt med de godkända standarderna med hjälp av genomtänkta processer, procedurer och checklistor.
Det är inte bara en lättanvänd plattform för att hantera din ISO 27002-implementering, utan också ett utmärkt verktyg för att utbilda din personal i bästa praxis och processer för informationssäkerhet, samt dokumentera alla dina ansträngningar.
Smakämnen Fördelar med att använda ISMS.Uppkopplad:
ISMS.Online förenklar processen att implementera ISO 27002 genom att tillhandahålla alla nödvändiga resurser, information och verktyg på ett ställe. Det låter dig kontrollera att ditt ISMS uppfyller standarden med bara några få musklick, vilket annars skulle ta lång tid om det gjordes manuellt.
Vill du se den i aktion?
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
