Kontroll 6.6 i ISO 27002:2022 täcker organisationers behov av att förhindra läckage av konfidentiell information genom att upprätta sekretessavtal med berörda parter och personal.
Organisationer bör bestämma villkoren för sina avtal med andra parter baserat på organisationens krav på informationssäkerhet, med hänsyn till vilken typ av information som ska hanteras, dess klassificeringsnivå, dess avsedda användning och tillåten åtkomst av den andra parten.
Ett avtal om sekretess eller sekretess (NDA) är ett juridiskt dokument som förhindrar att affärshemligheter och annan konfidentiell information släpps.
Konfidentiell information kan omfatta företagets affärsplan, finansiell data, kundlistor och annan proprietär information. Dessa avtal kan användas i en mängd olika situationer, inklusive:
Partnerskap inkluderar ofta sekretessklausuler som en del av sitt partnerskapsavtal, så varje partner går med på att inte avslöja någon konfidentiell information som erhållits under deras partnerskap.
Sekretessavtal ingås av både privatpersoner och företag. De har många syften, såsom:
Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer.
Attribut för kontroll 6.5 är:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Asset Management #Informationsskydd #Fysisk säkerhet #System- och nätverkssäkerhet | #Skydd |
Kontroll 6.6 bör implementeras för att säkerställa informationssäkerheten när personal, partners och leverantörer arbetar med en organisation.
Denna kontroll är avsedd att skydda organisationens information och att informera undertecknarna om deras ansvar att hantera och skydda information på ett ansvarsfullt och auktoriserat sätt. Det används också som ett verktyg för att skydda immateriella rättigheter, såsom patent, varumärken, affärshemligheter och upphovsrätter.
Det är viktigt för arbetsgivare att ha ett sekretessavtal på plats innan de avslöjar konfidentiell information till en anställd eller entreprenör. Avtalet kommer att fastställa hur noga den enskilde ska bevaka de uppgifter som de utsätts för och hur länge tystnadsplikten gäller efter att anställningen upphört.
Kontroll 6.6 syftar till att skydda din organisations immateriella rättigheter och affärsintressen genom att förhindra avslöjande av känslig information till tredje part. Det hänvisar till ett juridiskt kontrakt eller ett avtal mellan din organisation och dess anställda, partners, entreprenörer, leverantörer och andra tredje parter som styr användningen av konfidentiell information.
Konfidentiell information är all information som inte har gjorts tillgänglig för allmänheten eller andra företag i en liknande bransch. Exempel är affärshemligheter, kundlistor, formler och affärsplaner.
Kontrollen bör genomföras vid bedömning av om en tredje part kommer att ha tillgång till känsliga personuppgifter, och om åtgärder behöver vidtas för att säkerställa att de inte behåller och fortsätter att få tillgång till organisationens känsliga personuppgifter efter avresan.
När en organisation fastställer att en tredje part lämnar affärsrelationen, och det finns risk för att känsliga organisations- eller företagsdata kan avslöjas som ett resultat, måste organisationen vidta rimliga åtgärder innan den tredje parten lämnar, eller så snart som möjligt efter att de har lämnat, för att förhindra sådant avslöjande.
Jag skulle verkligen rekommendera ISMS.online, det gör att konfigurera och hantera ditt ISMS så enkelt som det kan bli.
Kontroll 6.6 innebär att avtalsparterna inte lämnar ut konfidentiell information som omfattas av avtalet. Informationen får lämnas ut endast med skriftligt medgivande från organisationen eller i enlighet med domstolsbeslut. Detta är viktigt för att skydda känslig information om affärspraxis, immateriella rättigheter och forskning och utveckling.
För att uppfylla kraven i kontroll 6.6 måste ett avtal/kontrakt om ”sekretess” och ”sekretess” utarbetas noggrant så att det täcker alla affärshemligheter och känsliga data/informationsaspekter av organisationens affärer och transaktioner. Det är viktigt att båda parter förstår sina skyldigheter enligt avtalet och skyldigheter under och efter affärsrelationens slut.
En sekretessklausul kan också inkluderas i andra kontrakt som sträcker sig längre än till slutet av den anställdes anställning eller tredje parts engagemang.
Det är absolut nödvändigt att den person som lämnar en affärsrelation eller byter jobb får sina säkerhetsansvar och uppgifter överförda till en ny person, och alla åtkomstuppgifter raderade och en ny skapad.
Följande faktorer bör beaktas vid identifiering av sekretess- och sekretessavtal:
Organisationen bör säkerställa att sekretess- och sekretessavtal är i överensstämmelse med lagarna i den jurisdiktion där de gäller.
En översyn av sekretess- och sekretessavtal bör ske regelbundet och närhelst ändringar påverkar deras krav.
Mer information om hur detta fungerar finns i standarddokumentet ISO 27002:2022.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Kontroll 6.6 i nya ISO 27002:2022 är inte en ny kontroll, snarare är det en modifierad version av kontroll 13.2.4 i ISO 27002:2013.
Även om dessa två kontroller innehåller liknande funktioner, skiljer de sig något åt. Till exempel, även om implementeringsvägledningen i båda versionerna är likartade, är de inte identiska.
Den första en del av implementeringsvägledningen i kontroll 13.2.4 i ISO 27002:2013 står det att:
"Sekretess- eller sekretessavtal bör behandla kravet på att skydda konfidentiell information med hjälp av juridiskt verkställbara villkor. Sekretess- eller sekretessavtal är tillämpliga på externa parter eller anställda i organisationen. Element bör väljas eller läggas till med hänsyn till typen av den andra parten och dess tillåtna åtkomst eller hantering av konfidentiell information.”
Samma avsnitt i kontroll 6.6 i ISO 27002:2022 säger att:
"Sekretess- eller sekretessavtal bör behandla kravet på att skydda konfidentiell information med hjälp av juridiskt verkställbara villkor. Sekretess- eller sekretessavtal gäller för berörda parter och personal i organisationen.
Utifrån en organisations krav på informationssäkerhet bör villkoren i avtalen bestämmas med hänsyn till vilken typ av information som kommer att hanteras, dess klassificeringsnivå, dess användning och den andra partens tillåtna åtkomst.”
Båda kontrollerna, även om de skiljer sig åt i semantisk betydelse, har liknande struktur och funktion i sina respektive sammanhang. Kontroll 6.6 använder dock ett mer förenklat och användarvänligt språk så att innehållet och sammanhanget blir lättare att förstå. Detta innebär att de som kommer att använda standarden lättare kan relatera till dess innehåll.
Dessutom innehåller 2022-versionen av ISO 27002 syftesförklaringar och attributtabeller för varje kontroll, vilket hjälper användare att förstå och implementera kontrollerna mer effektivt. Dessa två avsnitt är inte tillgängliga i 2013 års upplaga.
Enligt kontroll 6.6 i ISO 27002-standarden sköter personalavdelningen vanligtvis utarbetandet och implementeringen av sekretess- eller sekretessavtalet i de flesta organisationer, vilket innebär att samarbeta med den övervakande chefen eller avdelningen för den berörda tredje parten.
Den övervakande chefen kan vara informationssäkerhetsansvarig, försäljnings- eller produktionschef.
Dessa avdelningar och chefer är också ansvariga för att se till att alla tredjepartsleverantörer som används av organisationen har adekvata säkerhetsåtgärder på plats för att skydda konfidentiell information från obehörig avslöjande eller användning.
De bör se till att alla anställda skriver under ett sekretessavtal när de börjar arbeta på företaget.
I de flesta fall (beroende på hur stor organisationen är) undertecknas sekretess- eller sekretessavtal av alla anställda som har tillgång till konfidentiell information.
Detta inkluderar vanligtvis alla anställda som arbetar inom försäljning, marknadsföring, kundservice eller andra avdelningar där de kan komma i kontakt med konfidentiell information om kunder, kunder eller leverantörer.
I vissa fall, även om det inte finns ett faktiskt skriftligt avtal mellan två parter, bör organisationer ha policyer på plats som kräver att anställda undertecknar ett sekretessavtal innan de får tillgång till känslig information om kunder eller leverantörer.
Några risker förknippade med att inte ha en adekvat policy för sekretessavtal på plats inkluderar:
ISO 27002:2013-standarden har inte ändrats nämnvärt. Standarden uppdaterades endast för att underlätta användbarheten. Organisationer som för närvarande följer ISO 27002:2013 behöver inte vidta några ytterligare åtgärder för att upprätthålla efterlevnaden med standarden.
För att följa revideringarna i ISO 27002:2022 kan organisationen finna det nödvändigt att göra några mindre ändringar av sina befintliga processer och procedurer, särskilt om det finns ett behov av att omcertifiera.
För att lära dig mer om hur dessa ändringar av kontroll 6.6 kommer att påverka din organisation, se vår guide om ISO 27002:2022.
ISO 27002 är en allmänt erkänd standard för informationssäkerhet som tillhandahåller en uppsättning krav för en organisation för att skydda konfidentialitet, integritet och tillgänglighet för dess information. Standarden har utvecklats av International Organization for Standardization (ISO), en icke-statlig organisation som fastställer, granskar och publicerar internationella standarder.
ISMS.Online hjälper organisationer och företag att uppfylla kraven i ISO 27002 genom att förse dem med en plattform som gör det enkelt att hantera deras policyer och procedurer för sekretess eller sekretess, uppdatera dem vid behov, testa dem och övervaka deras effektivitet.
Vi tillhandahåller en molnbaserad plattform för hantering av ledningssystem för konfidentialitet och informationssäkerhet, inklusive sekretessklausuler, riskhantering, policyer, planer och procedurer, på en central plats. Plattformen är lätt att använda och har ett intuitivt gränssnitt som gör det enkelt att lära sig att använda.
ISMS.Online låter dig:
ISMS.Online erbjuder en komplett utbud av funktioner för att hjälpa organisationer och företag att uppnå överensstämmelse med branschstandarden ISO 27001 och/eller ISO 27002 ISMS.
Vänligen kontakta oss idag för att schema en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Sedan migreringen har vi kunnat minska tiden för administration.
