- Se ISO 27002:2022 Kontroll 6.4 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 7.2.3 for mer informasjon.
Hva er ISO 27001:2022 vedlegg A 6.4?
ISO 27001:2022 vedlegg A 6.4 krever at organisasjoner etablerer en disiplinærprosess for å virke avskrekkende mot informasjonssikkerhet brudd.
Formell kommunikasjon av denne prosessen bør iverksettes og det bør etableres en straff egnet for ansatte og andre interessenter som bryter retningslinjene for informasjonssikkerhet.
Brudd på informasjonssikkerhet forklart
Informasjon sikkerhetspolitikk brudd utgjør brudd på regelverket for forsvarlig behandling av informasjon. Organisasjoner etablerer disse retningslinjene for å beskytte konfidensielle, proprietære og personlige data, for eksempel kunderegister og kredittkortnumre. I tillegg er datasikkerhetspolicyer også inkludert i disse for å sikre at data lagret på datamaskiner forblir sikre og intakte.
Hvis du bruker selskapets e-post til å sende personlig kommunikasjon uten tillatelse fra din overordnede, kan dette utgjøre et brudd på selskapets retningslinjer. Skulle du i tillegg gjøre en feil mens du bruker firmaets utstyr eller programvare, noe som resulterer i skade på enten utstyret eller dataene som er lagret på det, er dette også et brudd på retningslinjene for informasjonssikkerhet.
Hvis en ansatt bryter en organisasjons retningslinjer for informasjonssikkerhet, kan det føre til disiplinære tiltak eller oppsigelse. I visse situasjoner kan en bedrift velge å ikke si opp en arbeidstaker som bryter retningslinjene for datamaskinbruk, men å ta andre passende skritt for å stoppe eventuelle ytterligere brudd på selskapets retningslinjer.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hensikten med ISO 27001:2022 vedlegg A 6.4?
Formålet med disiplinærprosessen er å sikre at personell og andre interesserte parter anerkjenner utfallet av brudd på informasjonssikkerhetspolicyen.
Vedlegg A 6.4 er utformet for å både avskrekke og hjelpe til med å håndtere brudd på retningslinjer for informasjonssikkerhet, for å sikre at ansatte og andre relaterte interessenter er klar over konsekvensene.
Et effektivt informasjonssikkerhetsprogram må inkludere kapasitet til å administrere egnede disiplinære tiltak for arbeidstakere som bryter informasjonssikkerhetsbestemmelsene. Å gjøre det sikrer at personell forstår implikasjonene av å ignorere forhåndsdefinerte forskrifter, og reduserer dermed sannsynligheten for bevisst eller utilsiktet datalekkasje.
Eksempler på aktiviteter som kan inkluderes mens denne kontrollen håndheves er:
- Gjennomfør regelmessige treningsøkter for å holde personalet oppdatert på endringer i retningslinjene.
- Utforme disiplinære tiltak for manglende overholdelse av retningslinjer for informasjonssikkerhet.
- Gi hver ansatt en kopi av organisasjonens disiplinærprosedyrer.
- I lignende situasjoner, sørg for at disiplinære prosedyrer følges konsekvent.
De disiplinære tiltakene som er skissert i rammeverket bør implementeres raskt etter en hendelse, for å motvirke ytterligere brudd på organisasjonens retningslinjer.
Hva er involvert og hvordan du oppfyller kravene
Å møte kravene i vedlegg A 6.4, må disiplinære tiltak iverksettes når det er bevis på at organisasjonens retningslinjer, prosedyrer eller forskrifter ikke overholdes. Dette inkluderer også gjeldende lover og forskrifter.
I henhold til vedlegg A 6.4 bør den formelle disiplinærprosessen ta hensyn til følgende elementer når man tar en gradert tilnærming:
- Det må tas hensyn til omfanget av bruddet, dets art, alvor og konsekvenser.
- Om lovbruddet var bevisst eller tilfeldig.
- Uansett om dette er den første eller gjentatte forseelsen.
- Det skal vurderes om overtrederen har fått tilstrekkelig opplæring.
Vurder alle relevante juridiske, lovgivningsmessige, regulatoriske, kontraktsmessige og bedriftsforpliktelser, samt alle andre relevante faktorer, når du iverksetter tiltak.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 6.4 erstatter ISO 27001:2013 Vedlegg A 7.2.3 i den reviderte 2022-versjonen av ISO 27001.
ISO 27001:2022 bruker et brukervennlig språk for å sikre at standardens brukere kan forstå innholdet. Det er mindre variasjoner i ordlyden, men den generelle konteksten og innholdet forblir det samme.
Den eneste forskjellen du vil observere er at vedlegg A-kontrollnummeret er endret fra 7.2.3 til 6.4. I tillegg har 2022-standarden den ekstra fordelen av en attributttabell og formålserklæring som er fraværende i 2013-versjonen.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvem er ansvarlig for denne prosessen?
I de fleste tilfeller overvåkes disiplinærprosessen av avdelingsleder eller HR-representant. Det er ikke uvanlig at HR-representanten gir ansvaret for disiplinærtiltak til noen andre i organisasjonen, som en informasjonssikkerhetsekspert.
Hovedmålet med disiplinærtiltak er å beskytte organisasjonen mot eventuelle ytterligere krenkelser fra medarbeideren. Det tar videre sikte på å avskrekke ytterligere forekomster av lignende hendelser ved å sørge for at alle ansatte er klar over betydningen av informasjonssikkerhetsbrudd.
Det er viktig for enhver organisasjon å sikre at disiplinære tiltak blir iverksatt når en medarbeider har brutt noen av dens retningslinjer eller prosedyrer. For å sikre dette må det etableres klare føringer for hvordan slike situasjoner skal håndteres, inkludert instrukser om hvordan undersøkelser skal gjennomføres og hva som skal gjøres i etterkant.
Hva betyr disse endringene for deg?
Hvis du tenker på hvordan disse endringene påvirker deg, er her en kortfattet oppsummering av de mest kritiske punktene:
- Du trenger ikke å sertifisere på nytt; det er bare en mindre endring.
- Behold din nåværende sertifisering til den utløper, forutsatt at den forblir gyldig.
- Det er ikke gjort store endringer i ISO 27001:2022 vedlegg A 6.4.
- Målet er å bringe standarden i tråd med de mest oppdaterte beste praksisene og standardene.
Hvis du har som mål å vinne ISMS-sertifisering, bør du vurdere sikkerhetstiltakene dine for å sikre at de er i samsvar med den reviderte standarden.
For å få innsikt i hvilken innvirkning den nye ISO 27001:2022 kan ha på dine datasikkerhetsprosedyrer og ISO 27001-akkreditering, vennligst se vår gratis ISO 27001:2022-veiledning.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hvordan ISMS.Online Hjelp
ISMS.online er ledende ISO 27001 programvare for styringssystem, som hjelper til med å overholde ISO 27001-standarden. Det hjelper selskaper med å sikre at deres sikkerhetspolicyer og prosedyrer er i tråd med kravet.
Dette skybasert plattform tilbyr et komplett utvalg av verktøy for å hjelpe organisasjoner med å etablere et styringssystem for informasjonssikkerhet (ISMS) basert på ISO 27001.
Disse verktøyene består av:
- Et bibliotek med maler for ofte opptrådte bedriftsdokumenter er tilgjengelig.
- En samling av forhåndsetablerte retningslinjer og protokoller er på plass.
- Et revisjonsverktøy for å lette interne revisjoner er tilgjengelig.
- Et grensesnitt for å tilpasse retningslinjer og prosedyrer for Information Security Management System (ISMS) er gitt.
- Alle endringer i retningslinjer og prosedyrer må godkjennes gjennom en arbeidsflytprosess.
- Lag en liste for å sikre at dine retningslinjer og informasjonsbeskyttelsestiltak er i tråd med internasjonale standarder.
ISMS.Online gir brukerne muligheten til å:
- Håndter alle områder av ISMS livssyklus med letthet.
- Få umiddelbar forståelse av deres sikkerhetsstatus og overholdelsesproblemer.
- Integrer med andre systemer som HR, økonomi og prosjektledelse.
- Sikre samsvar med ISMS til ISO 27001-kriteriene.
ISMS.Online tilbyr råd om hvordan du kan utføre ISMS optimalt, med veiledning om utforming av retningslinjer og protokoller knyttet til risikostyring, opplæring av ansattes sikkerhetsbevissthet og forberedelse av hendelsesrespons.
Ta kontakt med oss nå for å planlegge en demonstrasjon.