Vad är Control 6.4?
ISO 27002: 2022, Kontroll 6.4. Disciplinär process talar om behovet för organisationer att införa någon form av disciplinär process för att fungera avskräckande så att personalen inte kommer att begå brott mot informationssäkerheten.
Denna process bör kommuniceras formellt och en lämplig straffavgift utformas för anställda och andra relevanta intresserade parter som begår en informationssäkerhetspolicy kränkning.
Informationssäkerhetsbrott förklaras
Brott mot informationssäkerhetspolicyn är ett brott mot reglerna eller lagarna som styr korrekt hantering av information. Informationssäkerhetspolicyer har upprättats av organisationer för att skydda konfidentiella, proprietära och personliga uppgifter, såsom kundregister och kreditkortsnummer. Informationssäkerhetspolicyer inkluderar även datorsäkerhetspolicyer som hjälper till att säkerställa säkerheten och integriteten för data som lagras på datorer.
Till exempel, om du inte har tillstånd från din chef att använda företagets e-post för att skicka personliga e-postmeddelanden, kan det leda till ett brott mot företagets policy. Dessutom, om du gör ett misstag när du använder företagets utrustning eller programvara och orsakar skada på den eller data som lagras på den, kan det också betraktas som ett brott mot informationssäkerhetspolicyn.
Om en anställd bryter mot en organisations policy för informationssäkerhet, kan han eller hon bli föremål för disciplinära åtgärder eller uppsägning från anställning. I vissa fall kan ett företag välja att inte säga upp en anställd som bryter mot sin datoranvändningspolicy, utan istället vidta andra lämpliga åtgärder för att förhindra framtida brott mot företagets policy.
Attributtabell
Kontroller kan grupperas med hjälp av attribut. När man tittar på kontrollens attribut kan man lättare relatera den till etablerade branschkrav och terminologi. Följande attribut är i kontroll 6.4.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Human Resource Security | #Styrelse och ekosystem |
| #Korrigerande | #Integritet | #Svara | ||
| #Tillgänglighet |
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Vad är syftet med kontroll 6.4?
Syftet med den disciplinära processen är att säkerställa att personal och andra relevanta intressenter förstår konsekvenserna av ett brott mot informationssäkerhetspolicyn.
Förutom att säkerställa att anställda och andra relevanta intresserade parter förstår konsekvenserna av brott mot informationssäkerhetspolicyn, är kontroll 6.4 utformad för att avskräcka och hjälpa till att hantera dem som bryter mot dessa policyer.
En nyckelkomponent i ett effektivt informationssäkerhetsprogram är förmågan att genomföra lämpliga disciplinära åtgärder för anställda som bryter mot policyer och procedurer för informationssäkerhet. Den här vägen, anställda är medvetna om konsekvenserna att bryta mot etablerade policyer och procedurer, vilket minskar risken för avsiktliga eller oavsiktliga dataintrång.
Följande är exempel på aktiviteter som kan inkluderas när denna kontroll implementeras:
- Genomföra regelbundna utbildningssessioner om policyförändringar;
- Utforma disciplinära åtgärder för bristande efterlevnad av informationssäkerhetspolicyer;
- Ge en kopia av organisationens disciplinära procedurer till varje anställd;
- Se till att disciplinära procedurer följs konsekvent i liknande situationer.
De disciplinära åtgärderna som anges i ramverket/dokumentet bör vidtas omedelbart efter en incident, för att avskräcka andra som kan vilja bryta mot organisationens policyer.
Vad är inblandat och hur man uppfyller kraven
För att uppfylla kraven i kontroll 6.4 måste disciplinära åtgärder vidtas när det finns bevis på att organisationens policyer, procedurer eller föreskrifter inte följs. Detta innefattar bristande efterlevnad av lagar och regler som gäller för organisationen.
Enligt kontroll 6.4 bör den formella disciplinära processen tillhandahålla ett graderat svar som tar hänsyn till följande faktorer:
- Naturen (vem, vad, när, hur), allvaret och konsekvenserna av överträdelsen;
- Huruvida brottet var uppsåtligt (avsiktligt) eller oavsiktligt (oavsiktligt);
- Oavsett om detta är det första eller andra brottet;
- Huruvida överträdaren fick adekvat utbildning eller inte.
Åtgärden bör ta hänsyn till alla relevanta juridiska, lagstiftande, reglerande, avtalsmässiga och företagsförpliktelser, såväl som alla andra relevanta omständigheter.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Ändringar och skillnader från ISO 27002:2013
Om du är bekant med ISO 27002:2013 vet du att även om kontrollens identitet/nummer har ändrats är kontroll 6.4 i ISO 27002:2022 inte precis en ny kontroll. Det är snarare en modifierad version av kontroll 7.2.3 i ISO 27002:2013.
Som sagt, det finns inga signifikanta skillnader mellan de två kontrollerna i båda versionerna av ISO 27002. Den lilla skillnaden du kommer att märka är att kontrollnumret har ändrats från 7.23 till 6.4. I 2022-versionen av standarden har även attributtabellen och syftesförklaringen inkluderats. Dessa två funktioner finns inte i 2013 års version.
Bortsett från deras olika ordalydelse är dessa kontroller i princip identiska när det gäller innehåll och sammanhang. Användarvänlig terminologi användes i ISO 27002:2022 för att se till att standardens användare bättre kan förstå dess innehåll.
Vem är ansvarig för denna process?
I de flesta fall hanteras den disciplinära processen av avdelningschef eller personal representativ. Det är inte ovanligt att HR-representanten delegerar ansvar för disciplinära åtgärder till någon annan i organisationen, till exempel en informationssäkerhetsspecialist.
Huvudsyftet med disciplinära åtgärder är att skydda organisationen mot ytterligare kränkningar från den anställde. Det syftar också till att förhindra liknande incidenter från återkommande genom att se till att alla anställda förstår betydelsen av informationssäkerhetsbrott.
För att säkerställa att disciplinära åtgärder vidtas mot en anställd som har brutit mot en organisations policyer eller rutiner är det viktigt att det finns tydliga riktlinjer för hantering av sådana situationer. Dessa riktlinjer bör innehålla specifika instruktioner om hur utredningar ska genomföras och vilka åtgärder som ska vidtas efter att utredningar har slutförts.
Vad betyder dessa förändringar för dig?
Om du undrar vad dessa förändringar betyder för dig, här är en kort sammanfattning av de viktigaste punkterna:
- Det är ingen betydande förändring, så du behöver inte omcertifiera dig.
- Du kan behålla din befintliga certifiering tills den löper ut (om den fortfarande är giltig).
- Det finns inga större förändringar i innehållet i ISO 27002.
- Fokus ligger mer på att uppdatera standarden för att överensstämma med nuvarande bästa praxis och standarder.
Standardens struktur förblir oförändrad. Vissa kontroller har dock ändrats för att förtydliga deras innebörd eller förbättra överensstämmelsen med andra delar av standarden.
Men om du tänker på få ISMS-certifiering, kan du behöva undersöka dina säkerhetsprocedurer för att kontrollera att de överensstämmer med den reviderade standarden.
För att lära dig mer om hur den nya ISO 27002 kan påverka din informationssäkerhetsverksamhet och ISO 27001 certifiering, kolla in vår kostnadsfria ISO 27002:2022-guide.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.Online hjälper
ISMS.Online är den ledande ISO 27002 programvara för ledningssystem som stöder efterlevnad med ISO 27002, och hjälper företag att anpassa sina säkerhetspolicyer och rutiner till standarden.
Den molnbaserade plattformen tillhandahåller en komplett uppsättning verktyg för att hjälpa organisationer att sätta upp en ledningssystem för informationssäkerhet (ISMS) enligt ISO 27002.
Dessa verktyg inkluderar:
- Ett bibliotek med mallar för vanliga företagsdokument;
- En uppsättning fördefinierade policyer och procedurer;
- An revisionsverktyg för att stödja interna revisioner;
- Ett gränssnitt för anpassning ISMS policies och procedurer;
- Ett godkännande arbetsflöde för alla ändringar som görs i policyer och procedurer;
- En checklista för att se till att dina policyer och informationssäkerhetsprocesser följer godkända internationella standarder.
ISMS.Online tillåter också användare att:
- Hantera alla aspekter av ISMS livscykel med lätthet.
- Få insikter i realtid om deras säkerhetsställning och brister i efterlevnad.
- Integrera med andra system som HR, ekonomi och projektledning.
- Demonstrera överensstämmelse med deras ISMS med ISO 27001-standarder.
ISMS.Online ger också vägledning om hur du bäst implementerar ditt ISMS genom att ge tips om hur du skapar policyer och procedurer relaterade till aspekter som riskhantering, utbildning i personalsäkerhetsmedvetenhet och incidenthanteringsplanering.
Vår plattform har designats från grunden med hjälp av informationssäkerhetsexperter från hela världen och vi har utvecklat det på ett sätt som gör det enkelt för personer utan någon teknisk kunskap om ledningssystem för informationssäkerhet (ISMS) att använda den.
Vill du se den i aktion?
Hör av dig idag för att boka en demo.
Hoppa till ämnet
