Hoppa till innehåll
ISMS.online

ISO 27002:2022 – Kontroll 6.6 – Sekretess- eller sekretessavtal

ISO 27002 Control 6.6 betonar vikten av sekretess- eller sekretessavtal (NDA) för att skydda känslig affärsinformation från obehörig avslöjande, i linje med uppdaterade bästa praxis för säkerhet.

Författare
Sam Peters
Uppdaterad juli 25, 2025
4/5 stjärnor

Vad är Control 6.6?

Kontroll 6.6 i ISO 27002:2022 täcker organisationers behov av att förhindra läckage av konfidentiell information genom att upprätta sekretessavtal med berörda parter och personal.

Organisationer bör bestämma villkoren för sina avtal med andra parter baserat på organisationens krav på informationssäkerhet, med hänsyn till vilken typ av information som ska hanteras, dess klassificeringsnivå, dess avsedda användning och tillåten åtkomst av den andra parten.

Sekretess eller sekretessavtal förklaras

Ett avtal om sekretess eller sekretess (NDA) är ett juridiskt dokument som förhindrar att affärshemligheter och annan konfidentiell information släpps.

Konfidentiell information kan omfatta företagets affärsplan, finansiell data, kundlistor och annan proprietär information. Dessa avtal kan användas i en mängd olika situationer, inklusive:

  • Sysselsättning – Ett sekretessavtal kan vara en del av anställningsavtalet för en nyanställd. Avtalet säkerställer att den anställde inte avslöjar någon konfidentiell information om företaget, dess produkter eller tjänster, anställda eller leverantörer. Sekretessavtal används också av företag för att förhindra att deras anställda avslöjar känslig information efter att de lämnat sina jobb.
  • Affärstransaktion – Sekretessavtal ingår ofta i affärstransaktioner, som att köpa ett företag, gå samman med ett annat företag eller sälja en verksamhet. Syftet med dessa avtal är att hindra båda parter från att avslöja konfidentiell information som erhållits under transaktionen.
  • partnerskap – Sekretessavtal används ofta i affärstransaktioner när en part vill skydda sina befintliga relationer med kunder eller leverantörer från att avslöjas för en ny partner. Till exempel, om ett företag söker finansiering från riskkapitalister kan det be dessa investerare att underteckna NDA för att skydda proprietär information om företagets produkter eller tjänster.

Partnerskap inkluderar ofta sekretessklausuler som en del av sitt partnerskapsavtal, så varje partner går med på att inte avslöja någon konfidentiell information som erhållits under deras partnerskap.

Syftet med sekretessavtal

Sekretessavtal ingås av både privatpersoner och företag. De har många syften, såsom:

  • Skydda affärshemligheter och proprietär information från konkurrenter som annars skulle kunna använda den mot dem;
  • Förhindra en anställd från att dela känslig företagsinformation med ett annat företag; och
  • Skydda immateriella rättigheter (IP) som patent och upphovsrätt.


ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Ett försprång på 81 % från dag ett

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG


Attributtabell för kontroll 6.6

Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer.

Attribut för kontroll 6.6 är:

Kontroll typ Informationssäkerhetsegenskaper Cybersäkerhetskoncept Operativa förmågor Säkerhetsdomäner
#Förebyggande #Sekretess #Skydda #Asset Management #Skydd
#Integritet #Informationsskydd
#Tillgänglighet #Fysisk säkerhet
#System- och nätverkssäkerhet

Vad är syftet med kontroll 6.6?

Kontroll 6.6 bör implementeras för att säkerställa informationssäkerheten när personal, partners och leverantörer arbetar med en organisation.

Denna kontroll är avsedd att skydda organisationens information och att informera undertecknarna om deras ansvar att hantera och skydda information på ett ansvarsfullt och auktoriserat sätt. Det används också som ett verktyg för att skydda immateriella rättigheter, såsom patent, varumärken, affärshemligheter och upphovsrätter.

Det är viktigt för arbetsgivare att ha ett sekretessavtal på plats innan de avslöjar konfidentiell information till en anställd eller entreprenör. Avtalet kommer att fastställa hur noga den enskilde ska bevaka de uppgifter som de utsätts för och hur länge tystnadsplikten gäller efter att anställningen upphört.

Kontroll 6.6 Förklarat

Kontroll 6.6 syftar till att skydda din organisations immateriella rättigheter och affärsintressen genom att förhindra avslöjande av känslig information till tredje part. Det hänvisar till ett juridiskt kontrakt eller ett avtal mellan din organisation och dess anställda, partners, entreprenörer, leverantörer och andra tredje parter som styr användningen av konfidentiell information.

Konfidentiell information är all information som inte har gjorts tillgänglig för allmänheten eller andra företag i en liknande bransch. Exempel är affärshemligheter, kundlistor, formler och affärsplaner.

Kontrollen bör genomföras vid bedömning av om en tredje part kommer att ha tillgång till känsliga personuppgifter, och om åtgärder behöver vidtas för att säkerställa att de inte behåller och fortsätter att få tillgång till organisationens känsliga personuppgifter efter avresan.

När en organisation fastställer att en tredje part lämnar affärsrelationen, och det finns risk för att känsliga organisations- eller företagsdata kan avslöjas som ett resultat, måste organisationen vidta rimliga åtgärder innan den tredje parten lämnar, eller så snart som möjligt efter att de har lämnat, för att förhindra sådant avslöjande.



klättring

Befria dig från ett berg av kalkylblad

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo


Vad är inblandat och hur man uppfyller kraven

Kontroll 6.6 innebär att avtalsparterna inte lämnar ut konfidentiell information som omfattas av avtalet. Informationen får lämnas ut endast med skriftligt medgivande från organisationen eller i enlighet med domstolsbeslut. Detta är viktigt för att skydda känslig information om affärspraxis, immateriella rättigheter och forskning och utveckling.

För att uppfylla kraven i kontroll 6.6 måste ett avtal/kontrakt om ”sekretess” och ”sekretess” utarbetas noggrant så att det täcker alla affärshemligheter och känsliga data/informationsaspekter av organisationens affärer och transaktioner. Det är viktigt att båda parter förstår sina skyldigheter enligt avtalet och skyldigheter under och efter affärsrelationens slut.

En sekretessklausul kan också inkluderas i andra kontrakt som sträcker sig längre än till slutet av den anställdes anställning eller tredje parts engagemang.

Det är absolut nödvändigt att den person som lämnar en affärsrelation eller byter jobb får sina säkerhetsansvar och uppgifter överförda till en ny person, och alla åtkomstuppgifter raderade och en ny skapad.

Följande faktorer bör beaktas vid identifiering av sekretess- och sekretessavtal:

  1. En beskrivning av den information som behöver skyddas (t.ex. konfidentiell information);
  2. Ett avtals varaktighet, inklusive situationer där konfidentialitet måste upprätthållas på obestämd tid eller tills informationen blir offentlig;
  3. De åtgärder som krävs vid uppsägning av ett avtal;
  4. Ansvar och åtgärder som undertecknarna bör vidta för att förhindra obehörigt röjande av information;
  5. Hur ägande av information, affärshemligheter och immateriella rättigheter påverkar konfidentialitet;
  6. Tillåten användning av konfidentiell information, tillsammans med undertecknarens rättigheter att använda den;
  7. Rätten att övervaka resp revisionsverksamhet som involverar mycket känslig information;
  8. Proceduren för att meddela och rapportera obehöriga avslöjande eller läckor av konfidentiell information;
  9. Villkoren för att returnera eller förstöra information vid uppsägning av avtalet;
  10. Åtgärder som ska vidtas om avtalet inte följs.

Organisationen bör säkerställa att sekretess- och sekretessavtal är i överensstämmelse med lagarna i den jurisdiktion där de gäller.

En översyn av sekretess- och sekretessavtal bör ske regelbundet och närhelst ändringar påverkar deras krav.

Mer information om hur detta fungerar finns i standarddokumentet ISO 27002:2022.

Ändringar och skillnader från ISO 27002:2013

Kontroll 6.6 i nya ISO 27002:2022 är inte en ny kontroll, snarare är det en modifierad version av kontroll 13.2.4 i ISO 27002:2013.

Även om dessa två kontroller innehåller liknande funktioner, skiljer de sig något åt. Till exempel, även om implementeringsvägledningen i båda versionerna är likartade, är de inte identiska.

Den första en del av implementeringsvägledningen i kontroll 13.2.4 i ISO 27002:2013 står det att:

"Sekretess- eller sekretessavtal bör behandla kravet på att skydda konfidentiell information med hjälp av juridiskt verkställbara villkor. Sekretess- eller sekretessavtal är tillämpliga på externa parter eller anställda i organisationen. Element bör väljas eller läggas till med hänsyn till typen av den andra parten och dess tillåtna åtkomst eller hantering av konfidentiell information.”

Samma avsnitt i kontroll 6.6 i ISO 27002:2022 säger att:

"Sekretess- eller sekretessavtal bör behandla kravet på att skydda konfidentiell information med hjälp av juridiskt verkställbara villkor. Sekretess- eller sekretessavtal gäller för berörda parter och personal i organisationen.

Utifrån en organisations krav på informationssäkerhet bör villkoren i avtalen bestämmas med hänsyn till vilken typ av information som kommer att hanteras, dess klassificeringsnivå, dess användning och den andra partens tillåtna åtkomst.”

Båda kontrollerna, även om de skiljer sig åt i semantisk betydelse, har liknande struktur och funktion i sina respektive sammanhang. Kontroll 6.6 använder dock ett mer förenklat och användarvänligt språk så att innehållet och sammanhanget blir lättare att förstå. Detta innebär att de som kommer att använda standarden lättare kan relatera till dess innehåll.

Dessutom innehåller 2022-versionen av ISO 27002 syftesförklaringar och attributtabeller för varje kontroll, vilket hjälper användare att förstå och implementera kontrollerna mer effektivt. Dessa två avsnitt är inte tillgängliga i 2013 års upplaga.



ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


Vem är ansvarig för denna process?

Enligt kontroll 6.6 i ISO 27002-standarden sköter personalavdelningen vanligtvis utarbetandet och implementeringen av sekretess- eller sekretessavtalet i de flesta organisationer, vilket innebär att samarbeta med den övervakande chefen eller avdelningen för den berörda tredje parten.

Den övervakande chefen kan vara informationssäkerhetsansvarig, försäljnings- eller produktionschef.

Dessa avdelningar och chefer är också ansvariga för att se till att alla tredjepartsleverantörer som används av organisationen har adekvata säkerhetsåtgärder på plats för att skydda konfidentiell information från obehörig avslöjande eller användning.

De bör se till att alla anställda skriver under ett sekretessavtal när de börjar arbeta på företaget.

I de flesta fall (beroende på hur stor organisationen är) undertecknas sekretess- eller sekretessavtal av alla anställda som har tillgång till konfidentiell information.

Detta inkluderar vanligtvis alla anställda som arbetar inom försäljning, marknadsföring, kundservice eller andra avdelningar där de kan komma i kontakt med konfidentiell information om kunder, kunder eller leverantörer.

I vissa fall, även om det inte finns ett faktiskt skriftligt avtal mellan två parter, bör organisationer ha policyer på plats som kräver att anställda undertecknar ett sekretessavtal innan de får tillgång till känslig information om kunder eller leverantörer.

Några risker förknippade med att inte ha en adekvat policy för sekretessavtal på plats inkluderar:

  • Anställda kan oavsiktligt läcka känslig information till någon utanför företaget som inte borde ha tillgång till den, vilket orsakar skada på organisationen.
  • En anställd kan lämna ut känsliga uppgifter till en konkurrent.
  • En missnöjd anställd kan stjäla företagets immateriella rättigheter (IP) och använda den till sin egen fördel.
  • Anställda kan av misstag lämna känslig information på sin dators skrivbord på jobbet eller på sin bärbara dator hemma, som kan bli stulen av en hackare.

Vad betyder dessa förändringar för dig?

ISO 27002:2013-standarden har inte ändrats nämnvärt. Standarden uppdaterades endast för att underlätta användbarheten. Organisationer som för närvarande följer ISO 27002:2013 behöver inte vidta några ytterligare åtgärder för att upprätthålla efterlevnaden med standarden.

För att följa revideringarna i ISO 27002:2022 kan organisationen finna det nödvändigt att göra några mindre ändringar av sina befintliga processer och procedurer, särskilt om det finns ett behov av att omcertifiera.

För att lära dig mer om hur dessa ändringar av kontroll 6.6 kommer att påverka din organisation, se vår guide om ISO 27002:2022.

Nya ISO 27002 kontroller

Nya kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.7 NYA Hot intelligens
5.23 NYA Informationssäkerhet för användning av molntjänster
5.30 NYA ICT-beredskap för kontinuitet i verksamheten
7.4 NYA Fysisk säkerhetsövervakning
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.16 NYA Övervakningsaktiviteter
8.23 NYA Webbfiltrering
8.28 NYA Säker kodning
Organisatoriska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
5.1 05.1.1, 05.1.2 Policyer för informationssäkerhet
5.2 06.1.1 Informationssäkerhetsroller och ansvar
5.3 06.1.2 Uppdelning av arbetsuppgifter
5.4 07.2.1 Ledningsansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med intressegrupper
5.7 NYA Hot intelligens
5.8 06.1.5, 14.1.1 Informationssäkerhet i projektledning
5.9 08.1.1, 08.1.2 Inventering av information och andra tillhörande tillgångar
5.10 08.1.3, 08.2.3 Acceptabel användning av information och andra tillhörande tillgångar
5.11 08.1.4 Återlämnande av tillgångar
5.12 08.2.1 Klassificering av information
5.13 08.2.2 Märkning av information
5.14 13.2.1, 13.2.2, 13.2.3 Informationsöverföring
5.15 09.1.1, 09.1.2 Åtkomstkontroll
5.16 09.2.1 Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformation
5.18 09.2.2, 09.2.5, 09.2.6 Tillträdesrättigheter
5.19 15.1.1 Informationssäkerhet i leverantörsrelationer
5.20 15.1.2 Adressering av informationssäkerhet inom leverantörsavtal
5.21 15.1.3 Hantera informationssäkerhet i IKT-försörjningskedjan
5.22 15.2.1, 15.2.2 Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23 NYA Informationssäkerhet för användning av molntjänster
5.24 16.1.1 Informationssäkerhet incidenthantering planering och förberedelse
5.25 16.1.4 Bedömning och beslut om informationssäkerhetshändelser
5.26 16.1.5 Respons på informationssäkerhetsincidenter
5.27 16.1.6 Lär av informationssäkerhetsincidenter
5.28 16.1.7 Insamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informationssäkerhet vid avbrott
5.30 5.30 ICT-beredskap för kontinuitet i verksamheten
5.31 18.1.1, 18.1.5 Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32 18.1.2 Immateriella rättigheter
5.33 18.1.3 Skydd av register
5.34 18.1.4 Integritet och skydd av PII
5.35 18.2.1 Oberoende granskning av informationssäkerhet
5.36 18.2.2, 18.2.3 Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37 12.1.1 Dokumenterade driftprocedurer
Människor kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
6.1 07.1.1 Screening
6.2 07.1.2 Anställningsvillkor
6.3 07.2.2 Informationssäkerhetsmedvetenhet, utbildning och träning
6.4 07.2.3 Disciplinär process
6.5 07.3.1 Ansvar efter uppsägning eller byte av anställning
6.6 13.2.4 Sekretess- eller sekretessavtal
6.7 06.2.2 Fjärrbearbetning
6.8 16.1.2, 16.1.3 Händelserapportering för informationssäkerhet
Fysiska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
7.1 11.1.1 Fysiska säkerhetsområden
7.2 11.1.2, 11.1.6 Fysiskt inträde
7.3 11.1.3 Säkra kontor, rum och lokaler
7.4 NYA Fysisk säkerhetsövervakning
7.5 11.1.4 Skydd mot fysiska och miljömässiga hot
7.6 11.1.5 Arbeta i säkra områden
7.7 11.2.9 Tydligt skrivbord och tydlig skärm
7.8 11.2.1 Utrustningsplacering och skydd
7.9 11.2.6 Säkerhet av tillgångar utanför lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedia
7.11 11.2.2 Stöd till verktyg
7.12 11.2.3 Kabelsäkerhet
7.13 11.2.4 Utrustningsunderhåll
7.14 11.2.7 Säker kassering eller återanvändning av utrustning
Tekniska kontroller
ISO/IEC 27002:2022 Kontrollidentifierare ISO/IEC 27002:2013 Kontrollidentifierare Kontrollnamn
8.1 06.2.1, 11.2.8 Användarslutpunktsenheter
8.2 09.2.3 Privilegerade åtkomsträttigheter
8.3 09.4.1 Begränsning av informationsåtkomst
8.4 09.4.5 Tillgång till källkod
8.5 09.4.2 Säker autentisering
8.6 12.1.3 Kapacitetshantering
8.7 12.2.1 Skydd mot skadlig programvara
8.8 12.6.1, 18.2.3 Hantering av tekniska sårbarheter
8.9 NYA Konfigurationshantering
8.10 NYA Radering av information
8.11 NYA Datamaskering
8.12 NYA Förebyggande av dataläckage
8.13 12.3.1 Säkerhetskopiering av information
8.14 17.2.1 Redundans av informationsbehandlingsanläggningar
8.15 12.4.1, 12.4.2, 12.4.3 Loggning
8.16 NYA Övervakningsaktiviteter
8.17 12.4.4 Klocksynkronisering
8.18 09.4.4 Användning av privilegierade verktygsprogram
8.19 12.5.1, 12.6.2 Installation av programvara på operativsystem
8.20 13.1.1 Nätverkssäkerhet
8.21 13.1.2 Säkerhet för nätverkstjänster
8.22 13.1.3 Segregation av nätverk
8.23 NYA Webbfiltrering
8.24 10.1.1, 10.1.2 Användning av kryptografi
8.25 14.2.1 Säker utvecklingslivscykel
8.26 14.1.2, 14.1.3 Säkerhetskrav för applikationer
8.27 14.2.5 Säker systemarkitektur och tekniska principer
8.28 NYA Säker kodning
8.29 14.2.8, 14.2.9 Säkerhetstestning i utveckling och acceptans
8.30 14.2.7 Outsourcade utveckling
8.31 12.1.4, 14.2.6 Separation av utvecklings-, test- och produktionsmiljöer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Ändra hanteringen
8.33 14.3.1 Testinformation
8.34 12.7.1 Skydd av informationssystem under revisionstestning

Hur ISMS.Online hjälper

ISO 27002 är en allmänt erkänd standard för informationssäkerhet som tillhandahåller en uppsättning krav för en organisation för att skydda konfidentialitet, integritet och tillgänglighet för dess information. Standarden har utvecklats av International Organization for Standardization (ISO), en icke-statlig organisation som fastställer, granskar och publicerar internationella standarder.

ISMS.Online hjälper organisationer och företag att uppfylla kraven i ISO 27002 genom att förse dem med en plattform som gör det enkelt att hantera deras policyer och procedurer för sekretess eller sekretess, uppdatera dem vid behov, testa dem och övervaka deras effektivitet.

Vi tillhandahåller en molnbaserad plattform för hantering av ledningssystem för konfidentialitet och informationssäkerhet, inklusive sekretessklausuler, riskhantering, policyer, planer och procedurer, på en central plats. Plattformen är lätt att använda och har ett intuitivt gränssnitt som gör det enkelt att lära sig att använda.

ISMS.Online låter dig:

  • Dokumentera dina processer. Detta intuitiva gränssnitt låter dig dokumentera dina processer utan att installera någon programvara på din dator eller nätverk.
  • Automatisera din riskbedömning processen.
  • Demonstrera efterlevnad enkelt med onlinerapporter och checklistor.
  • Håll ett register över framstegen medan du arbetar mot certifiering.

ISMS.Online erbjuder en komplett utbud av funktioner för att hjälpa organisationer och företag att uppnå överensstämmelse med branschstandarden ISO 27001 och/eller ISO 27002 ISMS.

Vänligen kontakta oss idag för att BOKA EN DEMO.

Sam Peters

Sam är Chief Product Officer på ISMS.online och leder utvecklingen av alla produktegenskaper och funktionalitet. Sam är expert på många områden av efterlevnad och arbetar med kunder på alla skräddarsydda eller storskaliga projekt.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.