ISO 27002: 2022, Kontroll 6.4. Disciplinär process talar om behovet för organisationer att införa någon form av disciplinär process för att fungera avskräckande så att personalen inte kommer att begå brott mot informationssäkerheten.
Denna process bör kommuniceras formellt och en lämplig straffavgift utformas för anställda och andra relevanta intresserade parter som begår en informationssäkerhetspolicy kränkning.
Brott mot informationssäkerhetspolicyn är ett brott mot reglerna eller lagarna som styr korrekt hantering av information. Informationssäkerhetspolicyer har upprättats av organisationer för att skydda konfidentiella, proprietära och personliga uppgifter, såsom kundregister och kreditkortsnummer. Informationssäkerhetspolicyer inkluderar även datorsäkerhetspolicyer som hjälper till att säkerställa säkerheten och integriteten för data som lagras på datorer.
Till exempel, om du inte har tillstånd från din chef att använda företagets e-post för att skicka personliga e-postmeddelanden, kan det leda till ett brott mot företagets policy. Dessutom, om du gör ett misstag när du använder företagets utrustning eller programvara och orsakar skada på den eller data som lagras på den, kan det också betraktas som ett brott mot informationssäkerhetspolicyn.
Om en anställd bryter mot en organisations policy för informationssäkerhet, kan han eller hon bli föremål för disciplinära åtgärder eller uppsägning från anställning. I vissa fall kan ett företag välja att inte säga upp en anställd som bryter mot sin datoranvändningspolicy, utan istället vidta andra lämpliga åtgärder för att förhindra framtida brott mot företagets policy.
Kontroller kan grupperas med hjälp av attribut. När man tittar på kontrollens attribut kan man lättare relatera den till etablerade branschkrav och terminologi. Följande attribut är i kontroll 6.4.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande #Korrigerande | #Sekretess #Integritet #Tillgänglighet | #Skydda #Svara | #Human Resource Security | #Styrelse och ekosystem |
Syftet med den disciplinära processen är att säkerställa att personal och andra relevanta intressenter förstår konsekvenserna av ett brott mot informationssäkerhetspolicyn.
Förutom att säkerställa att anställda och andra relevanta intresserade parter förstår konsekvenserna av brott mot informationssäkerhetspolicyn, är kontroll 6.4 utformad för att avskräcka och hjälpa till att hantera dem som bryter mot dessa policyer.
En nyckelkomponent i ett effektivt informationssäkerhetsprogram är förmågan att genomföra lämpliga disciplinära åtgärder för anställda som bryter mot policyer och procedurer för informationssäkerhet. Den här vägen, anställda är medvetna om konsekvenserna att bryta mot etablerade policyer och procedurer, vilket minskar risken för avsiktliga eller oavsiktliga dataintrång.
Följande är exempel på aktiviteter som kan inkluderas när denna kontroll implementeras:
De disciplinära åtgärderna som anges i ramverket/dokumentet bör vidtas omedelbart efter en incident, för att avskräcka andra som kan vilja bryta mot organisationens policyer.
För att uppfylla kraven i kontroll 6.4 måste disciplinära åtgärder vidtas när det finns bevis på att organisationens policyer, procedurer eller föreskrifter inte följs. Detta innefattar bristande efterlevnad av lagar och regler som gäller för organisationen.
Enligt kontroll 6.4 bör den formella disciplinära processen tillhandahålla ett graderat svar som tar hänsyn till följande faktorer:
Åtgärden bör ta hänsyn till alla relevanta juridiska, lagstiftande, reglerande, avtalsmässiga och företagsförpliktelser, såväl som alla andra relevanta omständigheter.
Om du är bekant med ISO 27002:2013 vet du att även om kontrollens identitet/nummer har ändrats är kontroll 6.4 i ISO 27002:2022 inte precis en ny kontroll. Det är snarare en modifierad version av kontroll 7.2.3 i ISO 27002:2013.
Som sagt, det finns inga signifikanta skillnader mellan de två kontrollerna i båda versionerna av ISO 27002. Den lilla skillnaden du kommer att märka är att kontrollnumret har ändrats från 7.23 till 6.4. I 2022-versionen av standarden har även attributtabellen och syftesförklaringen inkluderats. Dessa två funktioner finns inte i 2013 års version.
Bortsett från deras olika ordalydelse är dessa kontroller i princip identiska när det gäller innehåll och sammanhang. Användarvänlig terminologi användes i ISO 27002:2022 för att se till att standardens användare bättre kan förstå dess innehåll.
I de flesta fall hanteras den disciplinära processen av avdelningschef eller personal representativ. Det är inte ovanligt att HR-representanten delegerar ansvar för disciplinära åtgärder till någon annan i organisationen, till exempel en informationssäkerhetsspecialist.
Huvudsyftet med disciplinära åtgärder är att skydda organisationen mot ytterligare kränkningar från den anställde. Det syftar också till att förhindra liknande incidenter från återkommande genom att se till att alla anställda förstår betydelsen av informationssäkerhetsbrott.
För att säkerställa att disciplinära åtgärder vidtas mot en anställd som har brutit mot en organisations policyer eller rutiner är det viktigt att det finns tydliga riktlinjer för hantering av sådana situationer. Dessa riktlinjer bör innehålla specifika instruktioner om hur utredningar ska genomföras och vilka åtgärder som ska vidtas efter att utredningar har slutförts.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Om du undrar vad dessa förändringar betyder för dig, här är en kort sammanfattning av de viktigaste punkterna:
Standardens struktur förblir oförändrad. Vissa kontroller har dock ändrats för att förtydliga deras innebörd eller förbättra överensstämmelsen med andra delar av standarden.
Men om du tänker på få ISMS-certifiering, kan du behöva undersöka dina säkerhetsprocedurer för att kontrollera att de överensstämmer med den reviderade standarden.
För att lära dig mer om hur den nya ISO 27002 kan påverka din informationssäkerhetsverksamhet och ISO 27001 certifiering, kolla in vår kostnadsfria ISO 27002:2022-guide.
ISMS.Online är den ledande ISO 27002 programvara för ledningssystem som stöder efterlevnad med ISO 27002, och hjälper företag att anpassa sina säkerhetspolicyer och rutiner till standarden.
Den molnbaserade plattformen tillhandahåller en komplett uppsättning verktyg för att hjälpa organisationer att sätta upp en ledningssystem för informationssäkerhet (ISMS) enligt ISO 27002.
Dessa verktyg inkluderar:
ISMS.Online tillåter också användare att:
ISMS.Online ger också vägledning om hur du bäst implementerar ditt ISMS genom att ge tips om hur du skapar policyer och procedurer relaterade till aspekter som riskhantering, utbildning i personalsäkerhetsmedvetenhet och incidenthanteringsplanering.
Vår plattform har designats från grunden med hjälp av informationssäkerhetsexperter från hela världen och vi har utvecklat det på ett sätt som gör det enkelt för personer utan någon teknisk kunskap om ledningssystem för informationssäkerhet (ISMS) att använda den.
Vill du se den i aktion?
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
