- Se ISO 27002:2022 Kontroll 6.6 for mer informasjon.
- Se ISO 27001:2013 vedlegg A 13.2.4 for mer informasjon.
Hva er ISO 27001:2022 vedlegg A 6.6?
ISO 27001:2022 vedlegg A 6.6 sier at organisasjoner må sette i verk tiltak for å beskytte konfidensiell informasjon mot uautorisert avsløring. Dette inkluderer å etablere konfidensialitetsavtaler med interesserte parter og ansatte.
Organisasjoner bør lage vilkår for sine avtaler med andre parter etter å ha vurdert organisasjonens informasjonssikkerhet behov, typen informasjon som skal administreres, klassifiseringsnivået, formålet den er ment for, og tilgangen den andre parten er tillatt.
Konfidensialitet eller taushetserklæring forklart
En konfidensialitet eller ikke-avsløringsavtale (NDA) er et juridisk dokument som hindrer avsløring av forretningshemmeligheter og annen konfidensiell informasjon.
Konfidensiell informasjon kan omfatte et selskaps forretningsplan, økonomiske tall, kundelister og andre eksklusive detaljer. Disse kontraktene brukes i en rekke omstendigheter, for eksempel:
- En konfidensialitetsavtale kan være en del av en arbeidskontrakt for en fersk rekrutt. Dette sikrer at den ansatte avstår fra å røpe konfidensiell informasjon om virksomheten, dens produkter eller tjenester, personell eller leverandører. Bedrifter bruker også taushetserklæringer for å hindre deres tidligere ansatte i å avsløre sensitiv informasjon etter ansettelse.
- Konfidensialitetsavtaler er regelmessig inkludert i forretningsavtaler, som å kjøpe et firma, slå seg sammen med et annet selskap eller selge en bedrift. Disse avtalene er utformet for å hindre begge parter i å avsløre konfidensiell informasjon innhentet under transaksjonen.
- Partnerskap innebærer bruk av konfidensialitetsavtaler når en part ønsker å ivareta sin eksisterende klient eller leverandørforhold fra å bli avslørt til en fersk partner. For eksempel, hvis et foretak krever finansiering fra venturekapitalister, kan det be disse investorene om å signere NDAer for å sikre konfidensielle data om selskapets produkter eller tjenester.
Partnerskap har ofte konfidensialitetsklausuler i partnerskapsavtalen, der hver partner godtar å holde all konfidensiell informasjon som er ervervet under partnerskapet fullstendig konfidensiell.
Formål med konfidensialitetsavtaler
Konfidensialitetsavtaler brukes ofte av både enkeltpersoner og bedrifter. De tjener en rekke mål, inkludert:
- Beskytte deres forretningshemmeligheter og proprietær informasjon fra konkurrenter som kan utnytte den.
- Hindre ansatte fra å røpe sensitive bedriftsdata til andre organisasjoner.
- sikring åndsverk som patenter og opphavsrettigheter.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hva er formålet med ISO 27001:2022 vedlegg A 6.6?
ISO 27001:2022 vedlegg A 6.6 bør brukes for å sikre datasikkerheten når personell, partnere og leverandører samarbeider med en organisasjon.
Denne kontrollen er utformet for å sikre organisasjonens data og informere underskrivere om deres forpliktelse til å administrere og beskytte informasjon på en ansvarlig og lovlig måte. Den fungerer også som et verktøy for å bevare immaterielle rettigheter, for eksempel patenter, varemerker, forretningshemmeligheter og opphavsrettigheter.
Arbeidsgivere bør sørge for at en taushetserklæring er på plass før noen konfidensiell informasjon avsløres til en ansatt eller kontraktør. Avtalen vil tydeliggjøre den enkeltes ansvar for å opprettholde hemmelighold av informasjonen og varigheten av taushetsplikten etter at arbeidsforholdet er avsluttet.
Vedlegg A 6.6 Forklart
ISO 27001:2022 vedlegg A Kontroll 6.6 er utformet for å beskytte organisasjonens immaterielle rettigheter og forretningsinteresser ved å stoppe utleveringen av konfidensielle data til tredjeparter. Det innebærer etablering av en juridisk avtale eller ordning mellom din organisasjon og dens personell, samarbeidspartnere, entreprenører, leverandører og andre utenforstående, som kontrollerer bruken av gradert informasjon.
Konfidensiell informasjon er all data som ikke har blitt offentliggjort eller delt med andre organisasjoner i samme sektor. Dette omfatter forretningshemmeligheter, kunderegistre, formler og forretningsstrategier.
Vurder kontrollen når du avgjør om en tredjepart skal få tilgang til sensitive personopplysninger og om det må tas skritt for å sikre at de ikke beholder eller fortsetter å få tilgang til organisasjonens sensitive personopplysninger når de forlater.
Når en tredjepart forlater en organisasjon, og det er potensial for at sensitive data kan bli eksponert, må organisasjonen ta nødvendige skritt for å forhindre avsløring før eller kort tid etter deres avgang.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Hva er involvert og hvordan du oppfyller kravene
ISO 27001: 2022 Vedlegg A 6.6 krever at partene i avtalen avstår fra å utlevere konfidensiell informasjon som faller inn under dens virkeområde. Samtykke fra organisasjonen er nødvendig i alle tilfeller der avsløring er nødvendig, med unntak av en rettskjennelse. Denne bestemmelsen er vesentlig for å sikre data om næringsvirksomhet, åndsverk og forskning og utvikling.
For å overholde vedlegg A 6.6 må det utarbeides en konfidensialitets- og taushetserklæring/kontrakt med presisjon for å beskytte alle forretningshemmeligheter og sensitive data/opplysninger knyttet til virksomhetens aktiviteter og transaksjoner. Det er viktig at begge parter forstår sine plikter og ansvar i henhold til avtalen under og etter inngåelsen av forretningspartnerskapet.
En konfidensialitetsklausul kan inkluderes i kontrakter som strekker seg utover den ansattes ansettelse eller engasjement av tredjeparter. Dette bør gjøres for å sikre at informasjonen forblir sikker.
Det er viktig at en avgående ansatt eller en skiftende jobb får overført sine sikkerhetsoppgaver og -ansvar til noen nye, med all tilgangslegitimasjon fjernet og ny opprettet.
Når man vurderer konfidensialitet og taushetspliktavtaler, bør man ha flere elementer i tankene.
- De konfidensielle dataene som må ivaretas.
- Avtalens varighet, inkludert tilfeller der konfidensialitet må opprettholdes til stadighet eller inntil dataene er offentliggjort, skal fastsettes.
- Ved oppsigelse av en avtale, nødvendige skritt som må tas.
- Underskrivere må iverksette alle nødvendige tiltak for å forhindre uautorisert utlevering av informasjon.
- Eierskap til data, konfidensiell forretningskunnskap og åndsverk som har innvirkning på konfidensialitet.
- Underskriver har rett til å bruke konfidensiell informasjon i henhold til fullmakten.
- Retten til å overvåke eller evaluere aktiviteter som involverer ekstremt klassifiserte data.
- Prosessen for å informere og informere om ikke-godkjente avsløringer eller utslipp av privat informasjon skal følges.
- Ved oppsigelse av denne avtalen må all data eller informasjon som deles mellom partene, returneres eller destrueres.
- Hvis avtalen ikke overholdes, hvilke tiltak vil bli iverksatt.
Organisasjonen bør sikre at avtaler om konfidensialitet og taushetsplikt overholder lovene i den relevante jurisdiksjonen.
Med jevne mellomrom og når endringer påvirker kravene deres, er det nødvendig å gjennomgå avtaler om konfidensialitet og taushetsplikt.
Ytterligere detaljer om denne prosessen kan finnes i ISO 27001:2022-standarden.
Endringer og forskjeller fra ISO 27001:2013
ISO 27001:2022 vedlegg A 6.6 er en modifikasjon av ISO 27001:2013 Vedlegg A 13.2.4, i stedet for en ny kontroll.
De to vedlegg A-kontrollene har forskjellige paralleller, selv om de ikke er identiske. For eksempel er implementeringsinstruksjonene for begge like, men ikke de samme.
Den første delen av ISO 27001:2013 implementeringsveiledning, vedlegg A 13.2.4, understreker at:
"Konfidensialitet eller taushetserklæring bør ta opp kravet om å beskytte konfidensiell informasjon ved å bruke juridisk håndhevbare vilkår. Konfidensialitet eller taushetserklæring gjelder for eksterne parter eller ansatte i organisasjonen.
Elementer bør velges eller legges til under hensyntagen til typen til den andre parten og dens tillatte tilgang eller håndtering av konfidensiell informasjon."
Vedlegg A 6.6 til ISO 27001:2022 erklærer at enhver organisasjon må treffe passende tiltak for å:
"Konfidensialitet eller taushetserklæring bør ta opp kravet om å beskytte konfidensiell informasjon ved å bruke juridisk håndhevbare vilkår. Konfidensialitet eller taushetserklæring gjelder for interesserte parter og personell i organisasjonen.
Basert på en organisasjons krav til informasjonssikkerhet, bør vilkårene i avtalene fastsettes ved å ta hensyn til typen informasjon som skal håndteres, klassifiseringsnivået, bruken og den tillatte tilgangen for den andre parten.»
Begge kontrollene har en analog struktur og funksjon i deres individuelle kontekster, selv om de varierer i semantisk betydning. Vedlegg A 6.6 bruker et mer enkelt, brukervennlig språk, noe som gjør det lettere å forstå innholdet og konteksten. Derfor kan brukere lettere identifisere seg med standarden.
Ocuco 2022-avdrag av ISO 27001 inkluderer intensjonserklæringer og attributttabeller i henhold til vedlegg A-kontroll, for å hjelpe til med forståelse og vellykket implementering. Dette er ikke gitt i 2013-utgaven.
Tabell over alle ISO 27001:2022 vedlegg A kontroller
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 |
Vedlegg A 5.1.1 Vedlegg A 5.1.2 |
Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 |
Vedlegg A 6.1.5 Vedlegg A 14.1.1 |
Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 |
Vedlegg A 8.1.1 Vedlegg A 8.1.2 |
Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 |
Vedlegg A 8.1.3 Vedlegg A 8.2.3 |
Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 |
Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 |
Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 |
Vedlegg A 9.1.1 Vedlegg A 9.1.2 |
Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 |
Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 |
Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 |
Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 |
Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 |
Vedlegg A 15.2.1 Vedlegg A 15.2.2 |
Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 |
Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 |
Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 |
Vedlegg A 18.1.1 Vedlegg A 18.1.5 |
Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 |
Vedlegg A 18.2.2 Vedlegg A 18.2.3 |
Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 |
Vedlegg A 16.1.2 Vedlegg A 16.1.3 |
Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 |
Vedlegg A 11.1.2 Vedlegg A 11.1.6 |
Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 |
Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 |
Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 |
Vedlegg A 6.2.1 Vedlegg A 11.2.8 |
Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 |
Vedlegg A 12.6.1 Vedlegg A 18.2.3 |
Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 |
Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 |
Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av privilegerte verktøyprogrammer tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.19 |
Vedlegg A 12.5.1 Vedlegg A 12.6.2 |
Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 |
Vedlegg A 10.1.1 Vedlegg A 10.1.2 |
Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 |
Vedlegg A 14.1.2 Vedlegg A 14.1.3 |
Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Prinsipper for sikker systemarkitektur og ingeniørarbeidLæring av hendelser innen informasjonssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 |
Vedlegg A 14.2.8 Vedlegg A 14.2.9 |
Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 |
Vedlegg A 12.1.4 Vedlegg A 14.2.6 |
Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 |
Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 |
Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
Hvem er ansvarlig for denne prosessen?
I henhold til vedlegg A 6.6 i ISO 27001:2022 fører personalavdelingen vanligvis tilsyn med utformingen og håndhevingen av konfidensialitets-/taushetserklæringen i de fleste organisasjoner, i samarbeid med den relevante tredjepartens overvåkende leder/avdeling.
Informasjonssikkerhetsansvarlig, salgs- eller produksjonssjef kan alle fungere som tilsynssjef.
Avdelingene og lederne må garantere at eventuelle tredjepartsleverandører ansatt av organisasjonen har riktige sikkerhetstiltak for å beskytte konfidensielle data fra ikke-godkjent utgivelse eller bruk.
Alle ansatte skal signere en taushetsplikt ved oppstart av arbeidsforholdet i bedriften.
I mange organisasjoner, uavhengig av størrelse, er alle ansatte som håndterer konfidensiell informasjon pålagt å signere en taushetsplikt eller taushetserklæring.
Ansatte i salg, markedsføring, kundeservice og andre avdelinger som samhandler med konfidensiell informasjon om kunder, kunder og leverandører, må gis opplæring.
Organisasjoner bør ha retningslinjer på plass som gir personalet mandat til å signere en konfidensialitetsavtale før de får tilgang til sensitiv informasjon om kunder eller leverandører, selv om det ikke foreligger noen skriftlig avtale.
Unnlatelse av å ha en konfidensialitetsavtale kan føre til alvorlige risikoer. Disse risikoene inkluderer:
- Ansatte kan utilsiktet røpe konfidensiell informasjon til personer utenfor virksomheten som ikke skal ha tilgang, og dermed skade organisasjonen.
- En ansatt kan røpe sensitiv informasjon til en rival.
- En misfornøyd arbeidstaker kan stjele firmaets intellektuelle eiendom og bruke den for egen vinning.
- Arbeidstakere kan utilsiktet legge igjen konfidensielle data på sine stasjonære datamaskiner på kontoret eller på sine bærbare datamaskiner hjemme, og risikerer tyveri av en nettkriminell.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Hva betyr disse endringene for deg?
ISO 27001-standarden forblir stort sett uendret. For å forbedre brukervennligheten ble den ganske enkelt oppdatert. Organisasjoner som følger denne standarden trenger derfor ikke ta noen ekstra skritt for å forbli i samsvar.
For å møte endringene i ISO 27001:2022, kan det hende at organisasjonen må gjøre små endringer i sine nåværende prosesser og prosedyrer, spesielt hvis de krever ny sertifisering.
For å få ytterligere innsikt i virkningen av å endre ISO 27001:2022 på virksomheten din, vennligst se vår ISO 27001-veiledning.
Hvordan ISMS.Online Hjelp
ISMS.Online gjør det lettere for organisasjoner og bedrifter å møte standardene i ISO 27001:2022 ved å tilby en plattform som forenkler administrasjonen av konfidensialitet eller taushetserklæring, slik at de kan oppdateres etter behov, testes og spores for effektivitet.
Vi tilbyr en skybasert plattform for å administrere konfidensialitet og informasjonssikkerhet Administrasjonssystemer, inkludert klausuler om taushetsplikt, risikostyring, retningslinjer, planer og prosedyrer, alt på ett sentralisert sted. Plattformen er brukervennlig og har et intuitivt grensesnitt som gjør det enkelt å lære.
ISMS.Online forenkler:
- Ta opp prosessene dine enkelt med dette brukervennlige grensesnittet. Du trenger ikke å installere programvare på maskinen eller nettverket!
- Strømlinjeform risikovurderingsprosessen ved å automatisere den.
- Sikre etterlevelse av regelverk med nettbaserte rapporter og sjekklister.
- Opprettholde et fremskrittsregister mens du streber etter sertifisering.
ISMS.Online tilbyr et omfattende utvalg av verktøy for å hjelpe bedrifter og organisasjoner med å oppfylle kravene i ISO 27001 og/eller ISO 27001 ISMS. Vi gjør det enkelt å overholde industristandarden og gir deg trygghet.
Ta kontakt med oss nå for å arrangere en demonstrasjon.