Vad är Control 6.6?
Kontroll 6.6 i ISO 27002:2022 täcker organisationers behov av att förhindra läckage av konfidentiell information genom att upprätta sekretessavtal med berörda parter och personal.
Organisationer bör bestämma villkoren för sina avtal med andra parter baserat på organisationens krav på informationssäkerhet, med hänsyn till vilken typ av information som ska hanteras, dess klassificeringsnivå, dess avsedda användning och tillåten åtkomst av den andra parten.
Sekretess eller sekretessavtal förklaras
Ett avtal om sekretess eller sekretess (NDA) är ett juridiskt dokument som förhindrar att affärshemligheter och annan konfidentiell information släpps.
Konfidentiell information kan omfatta företagets affärsplan, finansiell data, kundlistor och annan proprietär information. Dessa avtal kan användas i en mängd olika situationer, inklusive:
- Sysselsättning – Ett sekretessavtal kan vara en del av anställningsavtalet för en nyanställd. Avtalet säkerställer att den anställde inte avslöjar någon konfidentiell information om företaget, dess produkter eller tjänster, anställda eller leverantörer. Sekretessavtal används också av företag för att förhindra att deras anställda avslöjar känslig information efter att de lämnat sina jobb.
- Affärstransaktion – Sekretessavtal ingår ofta i affärstransaktioner, som att köpa ett företag, gå samman med ett annat företag eller sälja en verksamhet. Syftet med dessa avtal är att hindra båda parter från att avslöja konfidentiell information som erhållits under transaktionen.
- partnerskap – Sekretessavtal används ofta i affärstransaktioner när en part vill skydda sina befintliga relationer med kunder eller leverantörer från att avslöjas för en ny partner. Till exempel, om ett företag söker finansiering från riskkapitalister kan det be dessa investerare att underteckna NDA för att skydda proprietär information om företagets produkter eller tjänster.
Partnerskap inkluderar ofta sekretessklausuler som en del av sitt partnerskapsavtal, så varje partner går med på att inte avslöja någon konfidentiell information som erhållits under deras partnerskap.
Syftet med sekretessavtal
Sekretessavtal ingås av både privatpersoner och företag. De har många syften, såsom:
- Skydda affärshemligheter och proprietär information från konkurrenter som annars skulle kunna använda den mot dem;
- Förhindra en anställd från att dela känslig företagsinformation med ett annat företag; och
- Skydda immateriella rättigheter (IP) som patent och upphovsrätt.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Attributtabell för kontroll 6.6
Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer.
Attribut för kontroll 6.6 är:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Asset Management | #Skydd |
| #Integritet | #Informationsskydd | |||
| #Tillgänglighet | #Fysisk säkerhet | |||
| #System- och nätverkssäkerhet |
Vad är syftet med kontroll 6.6?
Kontroll 6.6 bör implementeras för att säkerställa informationssäkerheten när personal, partners och leverantörer arbetar med en organisation.
Denna kontroll är avsedd att skydda organisationens information och att informera undertecknarna om deras ansvar att hantera och skydda information på ett ansvarsfullt och auktoriserat sätt. Det används också som ett verktyg för att skydda immateriella rättigheter, såsom patent, varumärken, affärshemligheter och upphovsrätter.
Det är viktigt för arbetsgivare att ha ett sekretessavtal på plats innan de avslöjar konfidentiell information till en anställd eller entreprenör. Avtalet kommer att fastställa hur noga den enskilde ska bevaka de uppgifter som de utsätts för och hur länge tystnadsplikten gäller efter att anställningen upphört.
Kontroll 6.6 Förklarat
Kontroll 6.6 syftar till att skydda din organisations immateriella rättigheter och affärsintressen genom att förhindra avslöjande av känslig information till tredje part. Det hänvisar till ett juridiskt kontrakt eller ett avtal mellan din organisation och dess anställda, partners, entreprenörer, leverantörer och andra tredje parter som styr användningen av konfidentiell information.
Konfidentiell information är all information som inte har gjorts tillgänglig för allmänheten eller andra företag i en liknande bransch. Exempel är affärshemligheter, kundlistor, formler och affärsplaner.
Kontrollen bör genomföras vid bedömning av om en tredje part kommer att ha tillgång till känsliga personuppgifter, och om åtgärder behöver vidtas för att säkerställa att de inte behåller och fortsätter att få tillgång till organisationens känsliga personuppgifter efter avresan.
När en organisation fastställer att en tredje part lämnar affärsrelationen, och det finns risk för att känsliga organisations- eller företagsdata kan avslöjas som ett resultat, måste organisationen vidta rimliga åtgärder innan den tredje parten lämnar, eller så snart som möjligt efter att de har lämnat, för att förhindra sådant avslöjande.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Vad är inblandat och hur man uppfyller kraven
Kontroll 6.6 innebär att avtalsparterna inte lämnar ut konfidentiell information som omfattas av avtalet. Informationen får lämnas ut endast med skriftligt medgivande från organisationen eller i enlighet med domstolsbeslut. Detta är viktigt för att skydda känslig information om affärspraxis, immateriella rättigheter och forskning och utveckling.
För att uppfylla kraven i kontroll 6.6 måste ett avtal/kontrakt om ”sekretess” och ”sekretess” utarbetas noggrant så att det täcker alla affärshemligheter och känsliga data/informationsaspekter av organisationens affärer och transaktioner. Det är viktigt att båda parter förstår sina skyldigheter enligt avtalet och skyldigheter under och efter affärsrelationens slut.
En sekretessklausul kan också inkluderas i andra kontrakt som sträcker sig längre än till slutet av den anställdes anställning eller tredje parts engagemang.
Det är absolut nödvändigt att den person som lämnar en affärsrelation eller byter jobb får sina säkerhetsansvar och uppgifter överförda till en ny person, och alla åtkomstuppgifter raderade och en ny skapad.
Följande faktorer bör beaktas vid identifiering av sekretess- och sekretessavtal:
- En beskrivning av den information som behöver skyddas (t.ex. konfidentiell information);
- Ett avtals varaktighet, inklusive situationer där konfidentialitet måste upprätthållas på obestämd tid eller tills informationen blir offentlig;
- De åtgärder som krävs vid uppsägning av ett avtal;
- Ansvar och åtgärder som undertecknarna bör vidta för att förhindra obehörigt röjande av information;
- Hur ägande av information, affärshemligheter och immateriella rättigheter påverkar konfidentialitet;
- Tillåten användning av konfidentiell information, tillsammans med undertecknarens rättigheter att använda den;
- Rätten att övervaka resp revisionsverksamhet som involverar mycket känslig information;
- Proceduren för att meddela och rapportera obehöriga avslöjande eller läckor av konfidentiell information;
- Villkoren för att returnera eller förstöra information vid uppsägning av avtalet;
- Åtgärder som ska vidtas om avtalet inte följs.
Organisationen bör säkerställa att sekretess- och sekretessavtal är i överensstämmelse med lagarna i den jurisdiktion där de gäller.
En översyn av sekretess- och sekretessavtal bör ske regelbundet och närhelst ändringar påverkar deras krav.
Mer information om hur detta fungerar finns i standarddokumentet ISO 27002:2022.
Ändringar och skillnader från ISO 27002:2013
Kontroll 6.6 i nya ISO 27002:2022 är inte en ny kontroll, snarare är det en modifierad version av kontroll 13.2.4 i ISO 27002:2013.
Även om dessa två kontroller innehåller liknande funktioner, skiljer de sig något åt. Till exempel, även om implementeringsvägledningen i båda versionerna är likartade, är de inte identiska.
Den första en del av implementeringsvägledningen i kontroll 13.2.4 i ISO 27002:2013 står det att:
"Sekretess- eller sekretessavtal bör behandla kravet på att skydda konfidentiell information med hjälp av juridiskt verkställbara villkor. Sekretess- eller sekretessavtal är tillämpliga på externa parter eller anställda i organisationen. Element bör väljas eller läggas till med hänsyn till typen av den andra parten och dess tillåtna åtkomst eller hantering av konfidentiell information.”
Samma avsnitt i kontroll 6.6 i ISO 27002:2022 säger att:
"Sekretess- eller sekretessavtal bör behandla kravet på att skydda konfidentiell information med hjälp av juridiskt verkställbara villkor. Sekretess- eller sekretessavtal gäller för berörda parter och personal i organisationen.
Utifrån en organisations krav på informationssäkerhet bör villkoren i avtalen bestämmas med hänsyn till vilken typ av information som kommer att hanteras, dess klassificeringsnivå, dess användning och den andra partens tillåtna åtkomst.”
Båda kontrollerna, även om de skiljer sig åt i semantisk betydelse, har liknande struktur och funktion i sina respektive sammanhang. Kontroll 6.6 använder dock ett mer förenklat och användarvänligt språk så att innehållet och sammanhanget blir lättare att förstå. Detta innebär att de som kommer att använda standarden lättare kan relatera till dess innehåll.
Dessutom innehåller 2022-versionen av ISO 27002 syftesförklaringar och attributtabeller för varje kontroll, vilket hjälper användare att förstå och implementera kontrollerna mer effektivt. Dessa två avsnitt är inte tillgängliga i 2013 års upplaga.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Vem är ansvarig för denna process?
Enligt kontroll 6.6 i ISO 27002-standarden sköter personalavdelningen vanligtvis utarbetandet och implementeringen av sekretess- eller sekretessavtalet i de flesta organisationer, vilket innebär att samarbeta med den övervakande chefen eller avdelningen för den berörda tredje parten.
Den övervakande chefen kan vara informationssäkerhetsansvarig, försäljnings- eller produktionschef.
Dessa avdelningar och chefer är också ansvariga för att se till att alla tredjepartsleverantörer som används av organisationen har adekvata säkerhetsåtgärder på plats för att skydda konfidentiell information från obehörig avslöjande eller användning.
De bör se till att alla anställda skriver under ett sekretessavtal när de börjar arbeta på företaget.
I de flesta fall (beroende på hur stor organisationen är) undertecknas sekretess- eller sekretessavtal av alla anställda som har tillgång till konfidentiell information.
Detta inkluderar vanligtvis alla anställda som arbetar inom försäljning, marknadsföring, kundservice eller andra avdelningar där de kan komma i kontakt med konfidentiell information om kunder, kunder eller leverantörer.
I vissa fall, även om det inte finns ett faktiskt skriftligt avtal mellan två parter, bör organisationer ha policyer på plats som kräver att anställda undertecknar ett sekretessavtal innan de får tillgång till känslig information om kunder eller leverantörer.
Några risker förknippade med att inte ha en adekvat policy för sekretessavtal på plats inkluderar:
- Anställda kan oavsiktligt läcka känslig information till någon utanför företaget som inte borde ha tillgång till den, vilket orsakar skada på organisationen.
- En anställd kan lämna ut känsliga uppgifter till en konkurrent.
- En missnöjd anställd kan stjäla företagets immateriella rättigheter (IP) och använda den till sin egen fördel.
- Anställda kan av misstag lämna känslig information på sin dators skrivbord på jobbet eller på sin bärbara dator hemma, som kan bli stulen av en hackare.
Vad betyder dessa förändringar för dig?
ISO 27002:2013-standarden har inte ändrats nämnvärt. Standarden uppdaterades endast för att underlätta användbarheten. Organisationer som för närvarande följer ISO 27002:2013 behöver inte vidta några ytterligare åtgärder för att upprätthålla efterlevnaden med standarden.
För att följa revideringarna i ISO 27002:2022 kan organisationen finna det nödvändigt att göra några mindre ändringar av sina befintliga processer och procedurer, särskilt om det finns ett behov av att omcertifiera.
För att lära dig mer om hur dessa ändringar av kontroll 6.6 kommer att påverka din organisation, se vår guide om ISO 27002:2022.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.Online hjälper
ISO 27002 är en allmänt erkänd standard för informationssäkerhet som tillhandahåller en uppsättning krav för en organisation för att skydda konfidentialitet, integritet och tillgänglighet för dess information. Standarden har utvecklats av International Organization for Standardization (ISO), en icke-statlig organisation som fastställer, granskar och publicerar internationella standarder.
ISMS.Online hjälper organisationer och företag att uppfylla kraven i ISO 27002 genom att förse dem med en plattform som gör det enkelt att hantera deras policyer och procedurer för sekretess eller sekretess, uppdatera dem vid behov, testa dem och övervaka deras effektivitet.
Vi tillhandahåller en molnbaserad plattform för hantering av ledningssystem för konfidentialitet och informationssäkerhet, inklusive sekretessklausuler, riskhantering, policyer, planer och procedurer, på en central plats. Plattformen är lätt att använda och har ett intuitivt gränssnitt som gör det enkelt att lära sig att använda.
ISMS.Online låter dig:
- Dokumentera dina processer. Detta intuitiva gränssnitt låter dig dokumentera dina processer utan att installera någon programvara på din dator eller nätverk.
- Automatisera din riskbedömning processen.
- Demonstrera efterlevnad enkelt med onlinerapporter och checklistor.
- Håll ett register över framstegen medan du arbetar mot certifiering.
ISMS.Online erbjuder en komplett utbud av funktioner för att hjälpa organisationer och företag att uppnå överensstämmelse med branschstandarden ISO 27001 och/eller ISO 27002 ISMS.
Vänligen kontakta oss idag för att BOKA EN DEMO.
Hoppa till ämnet
