ISO 27001 – Vedlegg A.7: Human Resource Security

Hva er formålet med vedlegg A.7.1?

Vedlegg A.7.1 handler om før ansettelse. Målet i dette vedlegget er å sikre at ansatte og kontraktører forstår sitt ansvar og er egnet for rollene de er vurdert for. Den dekker også hva som skjer når disse personene forlater eller bytter rolle.

Det er en viktig del av styringssystemet for informasjonssikkerhet (ISMS), spesielt hvis du ønsker å oppnå ISO 27001-sertifisering.

A.7.1.1 Screening

En god kontroll dekker bakgrunnsverifisering og kompetansesjekker på alle kandidater til ansettelse. Disse må utføres i samsvar med relevante lover, forskrifter og etikk, og bør være proporsjonale med forretningskravene, klassifiseringen av informasjonen som vil bli tilgang til og de opplevde risikoene forbundet med.

For eksempel kan ansatte som har tilgang til informasjonsressurser på høyere nivå som har større risiko, bli gjenstand for mye strengere kontroller enn ansatte som bare noen gang får tilgang til offentlig informasjon eller håndterer eiendeler med begrenset trussel. Å sette på plass tilstrekkelige og forholdsmessige HR-kontroller i alle faser av ansettelsesforholdet bidrar til å redusere sannsynligheten for utilsiktede eller ondsinnede trusler.

Screeningen bør også finne sted for entreprenører (med mindre deres overordnede organisasjon oppfyller dine bredere sikkerhetskontroller, f.eks. har sin egen ISO 27001 og gjør sine egne bakgrunnssjekker).

En revisor vil forvente å se en screeningsprosess med klare prosedyrer som drives konsekvent hver gang for også å unngå preferanse-/fordommerrisiko. Ideelt sett vil dette være på linje med den generelle ansettelsesprosessen i organisasjonen.

A.7.1.2 Vilkår og betingelser for ansettelse

Avtaleavtalen med ansatte og oppdragstakere skal angi deres og organisasjonens ansvar for informasjonssikkerhet. Disse avtalene er et godt sted å legge nøkkelinformasjonssikkerhet generelt og individuelt ansvar ettersom de har juridisk vekt – noe som betyr at de er støttet av loven.

Dette er også svært viktig med hensyn til GDPR og den nye databeskyttelsesloven 2018. De bør referere til og dekke en hel rekke kontrollområder, inkludert generell overholdelse av ISMS samt mer spesifikt akseptabel bruk, IPR-eierskap, tilbakeføring av eiendeler etc.

Vi anbefaler å samarbeide med en HR-advokat dersom du er usikker da konsekvensene for å få feil ansettelseskontrakter fra et informasjonssikkerhetsperspektiv (og andre dimensjoner) kan være betydelige.

Hva er formålet med vedlegg A.7.2?

Målet i dette vedlegget er å sikre at ansatte og kontraktører er klar over og oppfyller sitt informasjonssikkerhetsansvar under ansettelse.

A.7.2.1 Ledelsesansvar

En god kontroll beskriver hvordan ansatte og oppdragstakere anvender informasjonssikkerhet i henhold til organisasjonens retningslinjer og prosedyrer.

Ansvaret pålagt ledere bør omfatte krav til; Sikre at de de er ansvarlige for forstår informasjonssikkerhetstruslene, sårbarhetene og kontrollene som er relevante for jobbrollene deres og mottar regelmessig opplæring (i henhold til A7.2.2); Sikre buy-in til proaktiv og tilstrekkelig støtte for relevante retningslinjer og kontroller for informasjonssikkerhet; og Forsterke kravene i ansettelsesvilkårene.

Ledere spiller en kritisk rolle i å sikre sikkerhetsbevissthet og samvittighetsfullhet i hele organisasjonen og i å utvikle en passende "sikkerhetskultur".

A.7.2.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring

Alle ansatte og relevante kontraktører må motta passende bevissthetsopplæring og opplæring for å gjøre jobben sin godt og sikkert. De må motta jevnlige oppdateringer i organisasjonens retningslinjer og prosedyrer når de også endres, sammen med en god forståelse av gjeldende lovgivning som påvirker dem i rollen.

Det er vanlig at informasjonssikkerhetsteamet samarbeider med HR eller et lærings- og utviklingsteam for å utføre ferdighets-, kunnskaps-, kompetanse- og bevissthetsvurderinger og planlegge og implementere et program for bevisstgjøring, utdanning og opplæring gjennom hele arbeidslivets livssyklus (ikke bare kl. induksjon). Du må kunne demonstrere denne opplæringen og etterlevelsen overfor revisorer.

Vurder også nøye hvordan opplæringen og bevisstheten leveres for å gi personalet og entreprenørressursen best sjanse til å forstå og følge den – dette betyr nøye oppmerksomhet på innhold og medium for levering.

Hva er formålet med vedlegg A.7.3?

Vedlegg A.7.3 handler om oppsigelse og endring av arbeidsforhold. Målet i dette vedlegget er å beskytte organisasjonens interesser som en del av prosessen med å endre og avslutte arbeidsforhold.

A.7.3.1 Oppsigelse eller endring av arbeidsansvar

Informasjonssikkerhetsansvar og forpliktelser som forblir gyldige etter oppsigelse eller endring av arbeidsforhold må defineres, kommuniseres til arbeidstaker eller oppdragstaker og håndheves. Eksempler inkluderer å holde informasjon konfidensiell og ikke gå ut med informasjon som tilhører organisasjonen.

Det er veldig viktig å sikre at informasjonen forblir beskyttet etter at en ansatt eller entreprenør forlater organisasjonen, siden folk selv går i datalagre. De kontraktsmessige vilkårene og betingelsene bør forsterke dette, og forlaterens prosess og/eller kontraktsoppsigelsesprosess (inkludert retur av eiendeler) bør inkludere en påminnelse til enkeltpersoner om at de har et visst ansvar overfor organisasjonen selv etter at de har sluttet.

En revisor vil ønske å se bevis på at forlatede har returnert sine eiendeler og at prosessen er stengt og dokumentert for å vise at eiendeler er oppdatert i eiendelsbeholdningen (A8.1.1) der det er aktuelt.

Dette handler ikke bare om oppsigelse og exit. Hvis en ansatt endrer rolle, for eksempel ved å gå fra drift til salg, bør du gjøre en gjennomgang for å vise at de ikke lenger har tilgang til informasjonsressurser som ikke er påkrevd i den nye rollen, og er utstyrt med tilgang til informasjonsmidler som trengs for fremtiden.

A.7.2.3 Disiplinær prosess

Det må være en dokumentert disiplinær prosess på plass og kommunisert (i tråd med A7.2.2 ovenfor). Selv om det er fokusert her for disiplinære tiltak etter sikkerhetsbrudd, kan det også kobles sammen med andre disiplinære årsaker. Hvis organisasjonen din allerede har en anerkjent HR-disiplinær prosess, sørg for at den dekker informasjonssikkerhet på den måten som kreves for ISO 27001:2013-standarden.