Hoppa till innehåll
ISMS.online

ISO 27701 – Klausul 6.4 – Säkerhet för mänskliga resurser

ISO 27701 klausul 6.4 fokuserar på mänskliga resursers säkerhet genom att kräva att organisationer implementerar screeningprocesser för personal som hanterar PII och integrerar integritetsansvar i anställningskontrakt för att säkerställa efterlevnad av sekretessstandarder.

Författare
Toby Cane
Uppdaterad september 19, 2025
4/5 stjärnor

ISO 27701 klausul 6.4: Stärka mänskliga resursers säkerhet

En del av att främja ett proaktivt förhållningssätt till integritetsskydd innebär att implementera robusta säkerhetskontroller för mänskliga resurser som styr lämpligheten och kompetensen för all personal som är förväntas interagera med PII på organisationens vägnar.

ISO klassificerar sådana åtgärder i två kategorier:

  1. Screening före anställning (referenser, ID-kontroller etc).
  2. De avtalsenliga skyldigheterna som personal förväntas följa när de väl blir en del av organisationen.

Vad som omfattas av ISO 27701 klausul 6.4

Klausul 6.4 innehåller två huvudunderpunkter som innehåller specifik vägledning kopplat till motsvarande information inom ISO 27002, om än under sken av integritetsskydd, snarare än allmän informationssäkerhet:

  1. ISO 27701 6.4.1.1 – Screening (Referenser ISO 27002 Kontroll 6.1)
  2. ISO 27701 6.4.1.2 – Anställningsvillkor (Referenser ISO 27002 Kontroll 6.2)

Till skillnad från andra delar av ISO 27701 är varken klausul relevant för något specifikt område av GDPR, och de innehåller inte heller någon ytterligare vägledning för PIMS-relaterade aktiviteter.

På grund av ett antal lagstiftande och avtalsmässiga faktorer innehåller ISO 27701 6.4.1.2 (som handlar främst om anställningsavtal) information som kräver korsreferens med olika andra klausuler i ISO 27002. Organisationer bör därför titta noga på sina avtalsvillkor, och anpassa sin HR-verksamhet därefter.



ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Hantera all din efterlevnad, allt på ett ställe

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo


ISO 27701 Klausul 6.4.1.1 – Screening

Referenser ISO 27002 Kontroll 6.1

Organisationer bör skapa en screeningprocess för att stärka säkerheten för mänskliga resurser, inklusive all heltids- och deltidspersonal, och bör även utvidgas till tredjepartsentreprenörer genom relevanta leverantörsavtal.

Organisationer bör se till att de är medvetna om sitt ansvar som PII-behandlare när de samlar in information om kandidater och leverantörer, inklusive att hålla sig på rätt sida av nationell och decentraliserad lagstiftning som styr hur kandidater informeras om screeningaktiviteter innan de genomförs.

Bakgrundskontroller bör omfatta minst:

  • Referenser (helst ett företag och en personlig referens).
  • En fullständig verifiering av kandidatens CV.
  • Verifiering av akademiska, professionella och yrkesmässiga kvalifikationer och certifieringar.
  • IDV (Identity Verification) som tar hänsyn till statligt utfärdat ID-material, eller en lämplig nivå av verifiering där sådana dokument inte kan framställas (t.ex. kontoutdrag eller korrespondens från lokala myndigheter).

Om kandidaten ska anställas i en roll som är kommersiellt känslig, eller ger kandidaten ett stort förtroende om de skulle lyckas med sin ansökan, bör organisationer också överväga att genomföra förbättrade granskningsförfaranden – såsom kreditprövningar och/ eller kontroller av kriminalregistret – beroende på vad som är lämpligt.

Organisationer bör också överväga sätt att verifiera löpande lämplighet av all personal som är anställd i en kritisk roll. Sådana förfaranden bör beslutas om a jobb för jobb, och ingen skillnad bör göras mellan ny personal eller befintlig personal som har befordrats till en roll som innehåller ett större ansvar.

Anställningsscreening kan inte alltid slutföras i tid. Om detta inträffar bör organisationer överväga alternativa handlingssätt som minimerar riskerna förknippade med en okontrollerad anställd, inklusive:

  • Försenad ombordstigning.
  • Begränsad tillgång till system.
  • Innehålla företagets tillgångar och utrustning.
  • Uppsägning.


klättring

Befria dig från ett berg av kalkylblad

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo


ISO 27701 klausul 6.4.1.2 – Anställningsvillkor

Referenser ISO 27002 Kontroll 6.2

Anställningsavtal bör utarbetas och undertecknas med organisatorisk informationssäkerhet i åtanke, inklusive alla ämnesspecifika policyer som har utvecklats för att stärka integritetsskyddet på avdelningsbasis.

Kontrakt bör ha en grad av integritetsskyddsåtgärder som står i proportion till den roll som de är knutna till, och bör ses över inför rådande lagstiftning eller reglerande/kontraktuella skyldigheter.

Integritetsskyddsroller och -ansvar bör spridas brett till kandidater under hela rekryteringsprocessen. Anställningsavtal bör innehålla:

  1. NDA-klausuler som utvidgas till all personal som hanterar konfidentiell information och/eller säkrar organisatoriska tillgångar (se ISO 27002 6.6).
  2. Alla organisationens och anställdas juridiska skyldigheter, särskilt alla som handlar om IP eller integritetsskydd, se (se ISO 27002 5.32 och 5.34).
  3. Allt relevant ansvar rörande klassificering och hantering av information, bearbetningsanläggningar och IKT-tjänster (se ISO 27002 5.9 och 5.13).
  4. Vilka konsekvenserna blir för all personal som stoltserar med organisationens integritetsskyddspolicy.
  5. I tillämpliga fall, en serie ansvarsområden som överförs under en lämplig tidsperiod efter att personalen har lämnat organisationen (t.ex. NDA, IP-bestämmelser).

Tillsammans med pågående anställningsansvar kan personal också uppmanas att följa en organisationsomfattande "uppförandekod", som anger de grundläggande principerna för en organisations integritetsskyddsverksamhet och PII-relaterade aktiviteter.

Relevanta ISO 27002-kontroller

  • ISO 27002 5.9
  • ISO 27002 5.13
  • ISO 27002 5.32
  • ISO 27002 5.34
  • ISO 27002 6.4
  • ISO 27002 6.5
  • ISO 27002 6.6

Stödjande kontroller från ISO 27002 och GDPR

ISO 27701 Klausulidentifierare ISO 27701 Klausulnamn ISO 27002-krav Tillhörande GDPR-artiklar
6.4.1.1 Screening
6.1 – Screening för ISO 27002
 		Ingen
6.4.1.2 Villkor för anställning
6.2 – Anställningsvillkor för ISO 27002
 		Ingen

Hur ISMS.online hjälper

Vår molnbaserade plattform låter dig komma åt alla dina PIMS-resurser på ett ställe. Du kan använda vår lättanvända plattform för att dokumentera allt du behöver för att visa att du uppfyller kraven i ISO 27701.

Vår Assured Results Method (ARM) avmystifierar kraven i ISO 27701 och ger dig självförtroende när du går framåt mot att uppnå certifiering. Vi har ett internt team av informationssäkerhetsexperter som kan ge vägledning och svara på frågor för att hjälpa dig på vägen mot ISO 27701-certifiering.

Ta reda på mer av boka en demo.

Toby Cane

Partner Customer Success Manager

Toby Cane är Senior Partner Success Manager för ISMS.online. Han har arbetat för företaget i nästan fyra år och har haft en rad olika roller, bland annat som värd för deras webbseminarier. Innan han började arbeta med SaaS var Toby gymnasielärare.

LinkedIn

ISO 27701 klausuler

Vi är ledande inom vårt område

4/5 stjärnor
Användare älskar oss
Ledare - Vintern 2026
Regional ledare - Vintern 2026 Storbritannien
Regional ledare - Vintern 2026 EU
Regional ledare - Vintern 2026 Mellanmarknad EU
Regional ledare - Vintern 2026 EMEA
Regional ledare - Vintern 2026 Mellanmarknad EMEA

"ISMS.Online, enastående verktyg för regelefterlevnad"

— Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

— Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

— Ben H.

Ta en virtuell rundtur

Starta din kostnadsfria 2-minuters interaktiva demo nu och se
ISMS.online i aktion!

Prova det nu
plattformsinstrumentpanelen är helt nyskicklig

Klar att komma igång?

Boka demo