Kontroll 6.5 i ISO 27002:2022 täcker organisationers behov av att definiera de uppgifter och ansvar för informationssäkerhet som förblir gällande om personal slutar arbeta eller flyttar till en ny avdelning.
Dessa skyldigheter och ansvar bör kommuniceras till den anställde såväl som alla andra relevanta parter.
Informationsplikter och -ansvar är de skyldigheter som en anställd har gentemot sin arbetsgivare när det gäller att hantera konfidentiell information. Skyldigheten att hålla information konfidentiell är en juridisk skyldighet i de flesta stater, så det är viktigt för anställda att förstå vad de måste göra när det gäller att skydda sin arbetsgivares information.
I de flesta fall har arbetsgivare rätt att förvänta sig att deras anställda inte bara ska skydda konfidentiell information information men inte heller använda den informationen för personligt bruk vinning såsom genom insiderhandel eller annan olaglig verksamhet.
Exempel på uppgifter och ansvarsområden för informationssäkerhet inkluderar:
Som organisation är det viktigt att förstå din ansvar vid hantering av personuppgifter eftersom det hjälper dig att undvika att bryta mot integritetslagar, vilket kan få allvarliga konsekvenser för både ditt företag och dina anställda.
Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer.
Attribut för kontroll 6.5 är:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Human Resource Security #Asset Management | #Styrelse och ekosystem |
Kontroll 6.5 är en kontroll som bör implementeras när en anställd eller entreprenör lämnar organisationen, eller kontraktet sägs upp innan det löper ut.
Syftet med denna kontroll är att skydda organisationens informationssäkerhetsintressen som en del av processen att ändra eller säga upp anställning eller kontrakt.
Denna kontroll kan också fungera för att skydda mot risk för anställda som har tillgång till känslig information och processer, missbrukar sin position för personlig vinning eller illvillig avsikt, särskilt efter att de har lämnat organisationen eller jobbrollen.
Kontroll 6.5 syftar till att skydda organisationens informationssäkerhetsintressen som en del av processen att ändra eller säga upp anställning eller kontrakt. Detta inkluderar anställda, entreprenörer och tredje parter som har tillgång till din känsliga information.
Att implementera kontrollen innebär att bedöma om några individer (inklusive de som är anställda av en tredje part) som har tillgång till dina känsliga personuppgifter lämnar din organisation och om det är nödvändigt att vidta åtgärder för att säkerställa att de inte behåller och fortsätter att få tillgång till dina känsliga uppgifter. personuppgifter efter deras avresa.
Om du upptäcker att någon lämnar och det finns risk för att känsliga personuppgifter kan lämnas ut, då måste du vidta rimliga åtgärder innan de lämnar, eller så snart som möjligt efter att de har lämnat, så detta inte händer.
För att uppfylla kraven för kontroll 6.5 bör villkoren för en individs anställning, kontrakt eller avtal specificera informationssäkerhetsansvar och skyldigheter som förblir i kraft efter slutet av förhållandet.
Informationssäkerhetsuppgifter kan även ingå i andra avtal eller avtal som sträcker sig längre än till slutet av en anställds anställning.
Alla som slutar eller byter jobb bör få sitt informationssäkerhetsansvar och uppgifter överlämnade till en ny person och alla behörighetsuppgifter raderade och en ny skapad.
Mer information om hur detta fungerar finns i ISO 27002:2022 standarddokument.
Kontroll 6.5 i den nya ISO 27002:2022 är inte en ny kontroll, utan det är en modifierad version av kontroll 7.3.1 i ISO 27002:2013.
Även om grunderna för dessa två kontroller är lika, finns det små variationer. Till exempel är implementeringsvägledningen i båda versionerna något annorlunda.
Den första delen av implementeringsvägledningen i kontroll 7.3.1 i ISO 27002: 2013 säger att
"Kommunikationen av uppsägningsansvar bör innefatta löpande krav på informationssäkerhet och juridiskt ansvar och, där så är lämpligt, ansvar som ingår i eventuella sekretessavtal och anställningsvillkoren som fortsätter under en definierad period efter avslutad anställning av den anställde eller entreprenören. ”
Samma avsnitt i kontroll 6.5 i ISO 27002:2022 säger att
”Processen för att hantera uppsägning eller byte av anställning bör definiera vilka ansvarsområden och uppgifter för informationssäkerhet som ska förbli gällande efter uppsägning eller förändring. Detta kan inkludera konfidentialitet för information, immateriell egendom och annan erhållen kunskap, såväl som ansvar som ingår i andra sekretessavtal.
Ansvar och skyldigheter som fortfarande gäller efter uppsägning av anställning eller kontrakt bör ingå i individens anställningsvillkor, avtal eller avtal. Även andra kontrakt eller avtal som löper under en bestämd tid efter avslutad anställning kan innehålla informationssäkerhetsansvar.”
Som sagt, oavsett hur mycket deras formuleringar skiljer sig åt, har båda kontrollerna en mestadels likartad struktur och funktion i sina respektive sammanhang. Språket som används i kontroll 6.5 har förenklats för att göra det mer användarvänligt, så att de som ska använda standarden lättare ska kunna relatera till dess innehåll.
Det är viktigt att också påpeka att 2022-versionen av ISO 27002 också kommer med en målbeskrivning och attributtabell för varje kontroll för att hjälpa användare att bättre förstå och implementera kontrollerna. Dessa två avsnitt saknas i 2013 års upplaga.
I linje med rekommendationerna i kontroll 6.5 Human Resources Department är vanligtvis ansvarig för den totala uppsägningsprocessen i de flesta organisationer, och den samarbetar med den övervakande chefen för individen som övergår för att övervaka informationssäkerhetselementen i de relaterade procedurerna.
Personal som tillhandahålls av en extern part (till exempel en leverantör) sägs upp av den externa parten i enlighet med villkoren i det avtal som upprättats mellan organisationen och den externa parten.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
ISO 27002:2013-standarden har inte ändrats nämnvärt. Standarden har just uppdaterats för att underlätta användbarheten. Det är inte nödvändigt för någon organisation som för närvarande följer ISO 27002:2013 att vidta några ytterligare åtgärder för att upprätthålla överensstämmelse med ISO 27002.
För att följa revideringarna i ISO 27002:2022 behöver organisationen endast göra mindre ändringar av sina befintliga processer och procedurer, särskilt om det finns någon avsikt att omcertifiera.
Om du vill veta mer om hur dessa förändringar av kontroll 6.5 kommer att påverka din organisation, vänligen se vår guide om ISO 27002:2022.
Företag kan använda ISMS.Online för att hjälpa dem med sina ISO 27002-efterlevnadsinsatser genom att förse dem med en plattform som gör det enkelt att hantera sina säkerhetspolicyer och procedurer, uppdatera dem vid behov, testa dem och övervaka deras effektivitet.
Vår molnbaserade plattform låter dig snabbt och enkelt hantera alla aspekter av ditt ISMS, inklusive riskhantering, policyer, planer, procedurer och mer, på en central plats. Plattformen är lätt att använda och har ett intuitivt gränssnitt som gör det enkelt att lära sig att använda.
ISMS.Online låter dig:
Om du är ett företag som måste följa ISO 27001 och/eller ISO 27002, ISMS.Online erbjuder ett komplett utbud av funktioner som hjälper dig att uppnå detta viktiga mål.
Hör av dig idag för att boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
