Vad är Control 6.5?
Kontroll 6.5 i ISO 27002:2022 täcker organisationers behov av att definiera de uppgifter och ansvar för informationssäkerhet som förblir gällande om personal slutar arbeta eller flyttar till en ny avdelning.
Dessa skyldigheter och ansvar bör kommuniceras till den anställde såväl som alla andra relevanta parter.
Informations skyldigheter och ansvar förklaras
Informationsplikter och -ansvar är de skyldigheter som en anställd har gentemot sin arbetsgivare när det gäller att hantera konfidentiell information. Skyldigheten att hålla information konfidentiell är en juridisk skyldighet i de flesta stater, så det är viktigt för anställda att förstå vad de måste göra när det gäller att skydda sin arbetsgivares information.
I de flesta fall har arbetsgivare rätt att förvänta sig att deras anställda inte bara ska skydda konfidentiell information information men inte heller använda den informationen för personligt bruk vinning såsom genom insiderhandel eller annan olaglig verksamhet.
Exempel på uppgifter och ansvarsområden för informationssäkerhet inkluderar:
- Skydd av konfidentialitet för personlig information.
- Föra register över hur personlig information hanteras, används och avslöjas.
- För att säkerställa att informationen är korrekt och tillförlitlig. Detta inkluderar att se till att det har samlats in från en pålitlig källa, lagrats säkert och raderats säkert när det inte längre behövs.
- För att säkerställa att endast behöriga personer kan komma åt information.
- Att använda och avslöja personuppgifter rättvist och lagligt, i enlighet med relevanta lagar.
Som organisation är det viktigt att förstå din ansvar vid hantering av personuppgifter eftersom det hjälper dig att undvika att bryta mot integritetslagar, vilket kan få allvarliga konsekvenser för både ditt företag och dina anställda.
Attributtabell för kontroll 6.5
Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer.
Attribut för kontroll 6.5 är:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Human Resource Security | #Styrelse och ekosystem |
| #Integritet | #Asset Management | |||
| #Tillgänglighet |
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Vad är syftet med kontroll 6.5?
Kontroll 6.5 är en kontroll som bör implementeras när en anställd eller entreprenör lämnar organisationen, eller kontraktet sägs upp innan det löper ut.
Syftet med denna kontroll är att skydda organisationens informationssäkerhetsintressen som en del av processen att ändra eller säga upp anställning eller kontrakt.
Denna kontroll kan också fungera för att skydda mot risk för anställda som har tillgång till känslig information och processer, missbrukar sin position för personlig vinning eller illvillig avsikt, särskilt efter att de har lämnat organisationen eller jobbrollen.
Kontroll 6.5 Förklarat
Kontroll 6.5 syftar till att skydda organisationens informationssäkerhetsintressen som en del av processen att ändra eller säga upp anställning eller kontrakt. Detta inkluderar anställda, entreprenörer och tredje parter som har tillgång till din känsliga information.
Att implementera kontrollen innebär att bedöma om några individer (inklusive de som är anställda av en tredje part) som har tillgång till dina känsliga personuppgifter lämnar din organisation och om det är nödvändigt att vidta åtgärder för att säkerställa att de inte behåller och fortsätter att få tillgång till dina känsliga uppgifter. personuppgifter efter deras avresa.
Om du upptäcker att någon lämnar och det finns risk för att känsliga personuppgifter kan lämnas ut, då måste du vidta rimliga åtgärder innan de lämnar, eller så snart som möjligt efter att de har lämnat, så detta inte händer.
Vad är inblandat och hur man uppfyller kraven
För att uppfylla kraven för kontroll 6.5 bör villkoren för en individs anställning, kontrakt eller avtal specificera informationssäkerhetsansvar och skyldigheter som förblir i kraft efter slutet av förhållandet.
Informationssäkerhetsuppgifter kan även ingå i andra avtal eller avtal som sträcker sig längre än till slutet av en anställds anställning.
Alla som slutar eller byter jobb bör få sitt informationssäkerhetsansvar och uppgifter överlämnade till en ny person och alla behörighetsuppgifter raderade och en ny skapad.
Mer information om hur detta fungerar finns i ISO 27002:2022 standarddokument.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Ändringar och skillnader från ISO 27002:2013
Kontroll 6.5 i den nya ISO 27002:2022 är inte en ny kontroll, utan det är en modifierad version av kontroll 7.3.1 i ISO 27002:2013.
Även om grunderna för dessa två kontroller är lika, finns det små variationer. Till exempel är implementeringsvägledningen i båda versionerna något annorlunda.
Den första delen av implementeringsvägledningen i kontroll 7.3.1 i ISO 27002: 2013 säger att
"Kommunikationen av uppsägningsansvar bör innefatta löpande krav på informationssäkerhet och juridiskt ansvar och, där så är lämpligt, ansvar som ingår i eventuella sekretessavtal och anställningsvillkoren som fortsätter under en definierad period efter avslutad anställning av den anställde eller entreprenören. ”
Samma avsnitt i kontroll 6.5 i ISO 27002:2022 säger att
”Processen för att hantera uppsägning eller byte av anställning bör definiera vilka ansvarsområden och uppgifter för informationssäkerhet som ska förbli gällande efter uppsägning eller förändring. Detta kan inkludera konfidentialitet för information, immateriell egendom och annan erhållen kunskap, såväl som ansvar som ingår i andra sekretessavtal.
Ansvar och skyldigheter som fortfarande gäller efter uppsägning av anställning eller kontrakt bör ingå i individens anställningsvillkor, avtal eller avtal. Även andra kontrakt eller avtal som löper under en bestämd tid efter avslutad anställning kan innehålla informationssäkerhetsansvar.”
Som sagt, oavsett hur mycket deras formuleringar skiljer sig åt, har båda kontrollerna en mestadels likartad struktur och funktion i sina respektive sammanhang. Språket som används i kontroll 6.5 har förenklats för att göra det mer användarvänligt, så att de som ska använda standarden lättare ska kunna relatera till dess innehåll.
Det är viktigt att också påpeka att 2022-versionen av ISO 27002 också kommer med en målbeskrivning och attributtabell för varje kontroll för att hjälpa användare att bättre förstå och implementera kontrollerna. Dessa två avsnitt saknas i 2013 års upplaga.
Vem är ansvarig för denna process?
I linje med rekommendationerna i kontroll 6.5 Human Resources Department är vanligtvis ansvarig för den totala uppsägningsprocessen i de flesta organisationer, och den samarbetar med den övervakande chefen för individen som övergår för att övervaka informationssäkerhetselementen i de relaterade procedurerna.
Personal som tillhandahålls av en extern part (till exempel en leverantör) sägs upp av den externa parten i enlighet med villkoren i det avtal som upprättats mellan organisationen och den externa parten.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Vad betyder dessa förändringar för dig?
ISO 27002:2013-standarden har inte ändrats nämnvärt. Standarden har just uppdaterats för att underlätta användbarheten. Det är inte nödvändigt för någon organisation som för närvarande följer ISO 27002:2013 att vidta några ytterligare åtgärder för att upprätthålla överensstämmelse med ISO 27002.
För att följa revideringarna i ISO 27002:2022 behöver organisationen endast göra mindre ändringar av sina befintliga processer och procedurer, särskilt om det finns någon avsikt att omcertifiera.
Om du vill veta mer om hur dessa förändringar av kontroll 6.5 kommer att påverka din organisation, vänligen se vår guide om ISO 27002:2022.
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Hur ISMS.Online hjälper
Företag kan använda ISMS.Online för att hjälpa dem med sina ISO 27002-efterlevnadsinsatser genom att förse dem med en plattform som gör det enkelt att hantera sina säkerhetspolicyer och procedurer, uppdatera dem vid behov, testa dem och övervaka deras effektivitet.
Vår molnbaserade plattform låter dig snabbt och enkelt hantera alla aspekter av ditt ISMS, inklusive riskhantering, policyer, planer, procedurer och mer, på en central plats. Plattformen är lätt att använda och har ett intuitivt gränssnitt som gör det enkelt att lära sig att använda.
ISMS.Online låter dig:
- Dokumentera dina processer med ett intuitivt webbgränssnitt utan att behöva installera någon programvara på din dator eller nätverk.
- Automatisera din riskbedömning processen.
- Demonstrera efterlevnad enkelt med onlinerapporter och checklistor.
- Håll koll på framstegen samtidigt som du arbetar mot certifiering.
Om du är ett företag som måste följa ISO 27001 och/eller ISO 27002, ISMS.Online erbjuder ett komplett utbud av funktioner som hjälper dig att uppnå detta viktiga mål.
Hör av dig idag för att boka en demo.
