ISO 27001:2022 Vedlegg A Kontroll 6.4

Disiplinær prosess

Bestill en demonstrasjon

bunn,visning,av,moderne,skyskrapere,i,virksomhet,distrikt,mot,blått

Hva er ISO 27001:2022 vedlegg A 6.4?

ISO 27001:2022 vedlegg A 6.4 krever at organisasjoner etablerer en disiplinærprosess for å virke avskrekkende mot informasjonssikkerhet brudd.

Formell kommunikasjon av denne prosessen bør iverksettes og det bør etableres en straff egnet for ansatte og andre interessenter som bryter retningslinjene for informasjonssikkerhet.

Brudd på informasjonssikkerhet forklart

İnformasjon sikkerhetspolitikk brudd utgjør brudd på regelverket for forsvarlig behandling av informasjon. Organisasjoner etablerer disse retningslinjene for å beskytte konfidensielle, proprietære og personlige data, for eksempel kunderegister og kredittkortnumre. I tillegg er datasikkerhetspolicyer også inkludert i disse for å sikre at data lagret på datamaskiner forblir sikre og intakte.

Hvis du bruker selskapets e-post til å sende personlig kommunikasjon uten tillatelse fra din overordnede, kan dette utgjøre et brudd på selskapets retningslinjer. Skulle du i tillegg gjøre en feil mens du bruker firmaets utstyr eller programvare, noe som resulterer i skade på enten utstyret eller dataene som er lagret på det, er dette også et brudd på retningslinjene for informasjonssikkerhet.

Hvis en ansatt bryter en organisasjons retningslinjer for informasjonssikkerhet, kan det føre til disiplinære tiltak eller oppsigelse. I visse situasjoner kan en bedrift velge å ikke si opp en arbeidstaker som bryter retningslinjene for datamaskinbruk, men å ta andre passende skritt for å stoppe eventuelle ytterligere brudd på selskapets retningslinjer.

Gå til emnet

Hensikten med ISO 27001:2022 vedlegg A 6.4?

Formålet med disiplinærprosessen er å sikre at personell og andre interesserte parter anerkjenner utfallet av brudd på informasjonssikkerhetspolicyen.

Vedlegg A 6.4 er utformet for å både avskrekke og hjelpe til med å håndtere brudd på retningslinjer for informasjonssikkerhet, for å sikre at ansatte og andre relaterte interessenter er klar over konsekvensene.

Et effektivt informasjonssikkerhetsprogram må inkludere kapasitet til å administrere egnede disiplinære tiltak for arbeidstakere som bryter informasjonssikkerhetsbestemmelsene. Å gjøre det sikrer at personell forstår implikasjonene av å ignorere forhåndsdefinerte forskrifter, og reduserer dermed sannsynligheten for bevisst eller utilsiktet datalekkasje.

Eksempler på aktiviteter som kan inkluderes mens denne kontrollen håndheves er:

  • Gjennomfør regelmessige treningsøkter for å holde personalet oppdatert på endringer i retningslinjene.

  • Utforme disiplinære tiltak for manglende overholdelse av retningslinjer for informasjonssikkerhet.

  • Gi hver ansatt en kopi av organisasjonens disiplinærprosedyrer.

  • I lignende situasjoner, sørg for at disiplinære prosedyrer følges konsekvent.

De disiplinære tiltakene som er skissert i rammeverket bør implementeres raskt etter en hendelse, for å motvirke ytterligere brudd på organisasjonens retningslinjer.

Hva er involvert og hvordan du oppfyller kravene

Å møte kravene i vedlegg A 6.4, må disiplinære tiltak iverksettes når det er bevis på at organisasjonens retningslinjer, prosedyrer eller forskrifter ikke overholdes. Dette inkluderer også gjeldende lover og forskrifter.

I henhold til vedlegg A 6.4 bør den formelle disiplinærprosessen ta hensyn til følgende elementer når man tar en gradert tilnærming:

  • Det må tas hensyn til omfanget av bruddet, dets art, alvor og konsekvenser.

  • Om lovbruddet var bevisst eller tilfeldig.

  • Uansett om dette er den første eller gjentatte forseelsen.

  • Det skal vurderes om overtrederen har fått tilstrekkelig opplæring.

Vurder alle relevante juridiske, lovgivningsmessige, regulatoriske, kontraktsmessige og bedriftsforpliktelser, samt alle andre relevante faktorer, når du iverksetter tiltak.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 6.4 erstatter ISO 27001:2013 Vedlegg A 7.2.3 i den reviderte 2022-versjonen av ISO 27001.

ISO 27001:2022 bruker et brukervennlig språk for å sikre at standardens brukere kan forstå innholdet. Det er mindre variasjoner i ordlyden, men den generelle konteksten og innholdet forblir det samme.

Den eneste forskjellen du vil observere er at vedlegg A-kontrollnummeret er endret fra 7.2.3 til 6.4. I tillegg har 2022-standarden den ekstra fordelen av en attributttabell og formålserklæring som er fraværende i 2013-versjonen.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

ISO 27001:2022 Organisasjonskontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
OrganisasjonskontrollerVedlegg A 5.1Vedlegg A 5.1.1
Vedlegg A 5.1.2		Retningslinjer for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.2Vedlegg A 6.1.1Informasjonssikkerhetsroller og ansvar
OrganisasjonskontrollerVedlegg A 5.3Vedlegg A 6.1.2Ansvarsfordeling
OrganisasjonskontrollerVedlegg A 5.4Vedlegg A 7.2.1Ledelsesansvar
OrganisasjonskontrollerVedlegg A 5.5Vedlegg A 6.1.3Kontakt med myndighetene
OrganisasjonskontrollerVedlegg A 5.6Vedlegg A 6.1.4Kontakt med spesielle interessegrupper
OrganisasjonskontrollerVedlegg A 5.7NEWThreat Intelligence
OrganisasjonskontrollerVedlegg A 5.8Vedlegg A 6.1.5
Vedlegg A 14.1.1		Informasjonssikkerhet i prosjektledelse
OrganisasjonskontrollerVedlegg A 5.9Vedlegg A 8.1.1
Vedlegg A 8.1.2		Inventar over informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.10Vedlegg A 8.1.3
Vedlegg A 8.2.3		Akseptabel bruk av informasjon og andre tilknyttede eiendeler
OrganisasjonskontrollerVedlegg A 5.11Vedlegg A 8.1.4Retur av eiendeler
OrganisasjonskontrollerVedlegg A 5.12Vedlegg A 8.2.1Klassifisering av informasjon
OrganisasjonskontrollerVedlegg A 5.13Vedlegg A 8.2.2Merking av informasjon
OrganisasjonskontrollerVedlegg A 5.14Vedlegg A 13.2.1
Vedlegg A 13.2.2
Vedlegg A 13.2.3		Informasjonsoverføring
OrganisasjonskontrollerVedlegg A 5.15Vedlegg A 9.1.1
Vedlegg A 9.1.2		Access Control
OrganisasjonskontrollerVedlegg A 5.16Vedlegg A 9.2.1Identitetshåndtering
OrganisasjonskontrollerVedlegg A 5.17Vedlegg A 9.2.4
Vedlegg A 9.3.1
Vedlegg A 9.4.3		Autentiseringsinformasjon
OrganisasjonskontrollerVedlegg A 5.18Vedlegg A 9.2.2
Vedlegg A 9.2.5
Vedlegg A 9.2.6		Tilgangsrettigheter
OrganisasjonskontrollerVedlegg A 5.19Vedlegg A 15.1.1Informasjonssikkerhet i leverandørforhold
OrganisasjonskontrollerVedlegg A 5.20Vedlegg A 15.1.2Adressering av informasjonssikkerhet innenfor leverandøravtaler
OrganisasjonskontrollerVedlegg A 5.21Vedlegg A 15.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
OrganisasjonskontrollerVedlegg A 5.22Vedlegg A 15.2.1
Vedlegg A 15.2.2		Overvåking, gjennomgang og endringsstyring av leverandørtjenester
OrganisasjonskontrollerVedlegg A 5.23NEWInformasjonssikkerhet for bruk av skytjenester
OrganisasjonskontrollerVedlegg A 5.24Vedlegg A 16.1.1Informasjonssikkerhetshendelsesplanlegging og -forberedelse
OrganisasjonskontrollerVedlegg A 5.25Vedlegg A 16.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.26Vedlegg A 16.1.5Respons på informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.27Vedlegg A 16.1.6Lær av informasjonssikkerhetshendelser
OrganisasjonskontrollerVedlegg A 5.28Vedlegg A 16.1.7Samling av bevis
OrganisasjonskontrollerVedlegg A 5.29Vedlegg A 17.1.1
Vedlegg A 17.1.2
Vedlegg A 17.1.3		Informasjonssikkerhet under avbrudd
OrganisasjonskontrollerVedlegg A 5.30NEWIKT-beredskap for forretningskontinuitet
OrganisasjonskontrollerVedlegg A 5.31Vedlegg A 18.1.1
Vedlegg A 18.1.5		Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
OrganisasjonskontrollerVedlegg A 5.32Vedlegg A 18.1.2Immaterielle rettigheter
OrganisasjonskontrollerVedlegg A 5.33Vedlegg A 18.1.3Beskyttelse av poster
OrganisasjonskontrollerVedlegg A 5.34 Vedlegg A 18.1.4Personvern og beskyttelse av PII
OrganisasjonskontrollerVedlegg A 5.35Vedlegg A 18.2.1Uavhengig gjennomgang av informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.36Vedlegg A 18.2.2
Vedlegg A 18.2.3		Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
OrganisasjonskontrollerVedlegg A 5.37Vedlegg A 12.1.1Dokumenterte driftsprosedyrer

ISO 27001:2022 Personkontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
PersonkontrollerVedlegg A 6.1Vedlegg A 7.1.1Screening
PersonkontrollerVedlegg A 6.2Vedlegg A 7.1.2Vilkår og betingelser for ansettelse
PersonkontrollerVedlegg A 6.3Vedlegg A 7.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
PersonkontrollerVedlegg A 6.4Vedlegg A 7.2.3Disiplinær prosess
PersonkontrollerVedlegg A 6.5Vedlegg A 7.3.1Ansvar etter oppsigelse eller endring av ansettelse
PersonkontrollerVedlegg A 6.6Vedlegg A 13.2.4Konfidensialitet eller taushetserklæring
PersonkontrollerVedlegg A 6.7Vedlegg A 6.2.2Fjernarbeid
PersonkontrollerVedlegg A 6.8Vedlegg A 16.1.2
Vedlegg A 16.1.3		Informasjonssikkerhet hendelsesrapportering

ISO 27001:2022 Fysiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Fysiske kontrollerVedlegg A 7.1Vedlegg A 11.1.1Fysiske sikkerhetsomkretser
Fysiske kontrollerVedlegg A 7.2Vedlegg A 11.1.2
Vedlegg A 11.1.6		Fysisk inngang
Fysiske kontrollerVedlegg A 7.3Vedlegg A 11.1.3Sikring av kontorer, rom og fasiliteter
Fysiske kontrollerVedlegg A 7.4NEWFysisk sikkerhetsovervåking
Fysiske kontrollerVedlegg A 7.5Vedlegg A 11.1.4Beskyttelse mot fysiske og miljømessige trusler
Fysiske kontrollerVedlegg A 7.6Vedlegg A 11.1.5Arbeid i sikre områder
Fysiske kontrollerVedlegg A 7.7Vedlegg A 11.2.9Clear Desk og Clear Screen
Fysiske kontrollerVedlegg A 7.8Vedlegg A 11.2.1Utstyrsplassering og beskyttelse
Fysiske kontrollerVedlegg A 7.9Vedlegg A 11.2.6Sikkerhet for eiendeler utenfor lokaler
Fysiske kontrollerVedlegg A 7.10Vedlegg A 8.3.1
Vedlegg A 8.3.2
Vedlegg A 8.3.3
 Vedlegg A 11.2.5		Lagringsmedium
Fysiske kontrollerVedlegg A 7.11Vedlegg A 11.2.2Støtteverktøy
Fysiske kontrollerVedlegg A 7.12Vedlegg A 11.2.3Kablingssikkerhet
Fysiske kontrollerVedlegg A 7.13Vedlegg A 11.2.4Vedlikehold av utstyr
Fysiske kontrollerVedlegg A 7.14Vedlegg A 11.2.7Sikker avhending eller gjenbruk av utstyr

ISO 27001:2022 teknologiske kontroller

Vedlegg A KontrolltypeISO/IEC 27001:2022 Vedlegg A IdentifikatorISO/IEC 27001:2013 Vedlegg A IdentifikatorVedlegg A Navn
Teknologiske kontrollerVedlegg A 8.1Vedlegg A 6.2.1
Vedlegg A 11.2.8		Bruker endepunktenheter
Teknologiske kontrollerVedlegg A 8.2Vedlegg A 9.2.3Privilegerte tilgangsrettigheter
Teknologiske kontrollerVedlegg A 8.3Vedlegg A 9.4.1Begrensning for informasjonstilgang
Teknologiske kontrollerVedlegg A 8.4Vedlegg A 9.4.5Tilgang til kildekode
Teknologiske kontrollerVedlegg A 8.5Vedlegg A 9.4.2Sikker godkjenning
Teknologiske kontrollerVedlegg A 8.6Vedlegg A 12.1.3Kapasitetsstyring
Teknologiske kontrollerVedlegg A 8.7Vedlegg A 12.2.1Beskyttelse mot skadelig programvare
Teknologiske kontrollerVedlegg A 8.8Vedlegg A 12.6.1
Vedlegg A 18.2.3		Håndtering av tekniske sårbarheter
Teknologiske kontrollerVedlegg A 8.9NEWConfiguration Management
Teknologiske kontrollerVedlegg A 8.10NEWSletting av informasjon
Teknologiske kontrollerVedlegg A 8.11NEWDatamaskering
Teknologiske kontrollerVedlegg A 8.12NEWForebygging av datalekkasje
Teknologiske kontrollerVedlegg A 8.13Vedlegg A 12.3.1Sikkerhetskopiering av informasjon
Teknologiske kontrollerVedlegg A 8.14Vedlegg A 17.2.1Redundans av informasjonsbehandlingsfasiliteter
Teknologiske kontrollerVedlegg A 8.15Vedlegg A 12.4.1
Vedlegg A 12.4.2
Vedlegg A 12.4.3		Logging
Teknologiske kontrollerVedlegg A 8.16NEWOvervåkingsaktiviteter
Teknologiske kontrollerVedlegg A 8.17Vedlegg A 12.4.4Klokke synkronisering
Teknologiske kontrollerVedlegg A 8.18Vedlegg A 9.4.4Bruk av Privileged Utility Programs
Teknologiske kontrollerVedlegg A 8.19Vedlegg A 12.5.1
Vedlegg A 12.6.2		Installasjon av programvare på operative systemer
Teknologiske kontrollerVedlegg A 8.20Vedlegg A 13.1.1Nettverkssikkerhet
Teknologiske kontrollerVedlegg A 8.21Vedlegg A 13.1.2Sikkerhet for nettverkstjenester
Teknologiske kontrollerVedlegg A 8.22Vedlegg A 13.1.3Segregering av nettverk
Teknologiske kontrollerVedlegg A 8.23NEWWeb-filtrering
Teknologiske kontrollerVedlegg A 8.24Vedlegg A 10.1.1
Vedlegg A 10.1.2		Bruk av kryptografi
Teknologiske kontrollerVedlegg A 8.25Vedlegg A 14.2.1Sikker utviklingslivssyklus
Teknologiske kontrollerVedlegg A 8.26Vedlegg A 14.1.2
Vedlegg A 14.1.3		Programsikkerhetskrav
Teknologiske kontrollerVedlegg A 8.27Vedlegg A 14.2.5Sikker systemarkitektur og ingeniørprinsipper
Teknologiske kontrollerVedlegg A 8.28NEWSikker koding
Teknologiske kontrollerVedlegg A 8.29Vedlegg A 14.2.8
Vedlegg A 14.2.9		Sikkerhetstesting i utvikling og aksept
Teknologiske kontrollerVedlegg A 8.30Vedlegg A 14.2.7Utkontraktert utvikling
Teknologiske kontrollerVedlegg A 8.31Vedlegg A 12.1.4
Vedlegg A 14.2.6		Separasjon av utviklings-, test- og produksjonsmiljøer
Teknologiske kontrollerVedlegg A 8.32Vedlegg A 12.1.2
Vedlegg A 14.2.2
Vedlegg A 14.2.3
Vedlegg A 14.2.4		Endringsledelse
Teknologiske kontrollerVedlegg A 8.33Vedlegg A 14.3.1Testinformasjon
Teknologiske kontrollerVedlegg A 8.34Vedlegg A 12.7.1Beskyttelse av informasjonssystemer under revisjonstesting

Hvem er ansvarlig for denne prosessen?

I de fleste tilfeller overvåkes disiplinærprosessen av avdelingsleder eller HR-representant. Det er ikke uvanlig at HR-representanten gir ansvaret for disiplinærtiltak til noen andre i organisasjonen, som en informasjonssikkerhetsekspert.

Hovedmålet med disiplinærtiltak er å beskytte organisasjonen mot eventuelle ytterligere krenkelser fra medarbeideren. Det tar videre sikte på å avskrekke ytterligere forekomster av lignende hendelser ved å sørge for at alle ansatte er klar over betydningen av informasjonssikkerhetsbrudd.

Det er viktig for enhver organisasjon å sikre at disiplinære tiltak blir iverksatt når en medarbeider har brutt noen av dens retningslinjer eller prosedyrer. For å sikre dette må det etableres klare føringer for hvordan slike situasjoner skal håndteres, inkludert instrukser om hvordan undersøkelser skal gjennomføres og hva som skal gjøres i etterkant.

Hva betyr disse endringene for deg?

Hvis du tenker på hvordan disse endringene påvirker deg, er her en kortfattet oppsummering av de mest kritiske punktene:

  • Du trenger ikke å sertifisere på nytt; det er bare en mindre endring.

  • Behold din nåværende sertifisering til den utløper, forutsatt at den forblir gyldig.

  • Det er ikke gjort store endringer i ISO 27001:2022 vedlegg A 6.4.

  • Målet er å bringe standarden i tråd med de mest oppdaterte beste praksisene og standardene.

Hvis du har som mål å vinne ISMS-sertifisering, bør du vurdere sikkerhetstiltakene dine for å sikre at de er i samsvar med den reviderte standarden.

For å få innsikt i hvilken innvirkning den nye ISO 27001:2022 kan ha på dine datasikkerhetsprosedyrer og ISO 27001-akkreditering, vennligst se vår gratis ISO 27001:2022-veiledning.

Hvordan ISMS.Online Hjelp

ISMS.online er ledende ISO 27001 programvare for styringssystem, som hjelper til med å overholde ISO 27001-standarden. Det hjelper selskaper med å sikre at deres sikkerhetspolicyer og prosedyrer er i tråd med kravet.

Dette skybasert plattform tilbyr et komplett utvalg av verktøy for å hjelpe organisasjoner med å etablere et styringssystem for informasjonssikkerhet (ISMS) basert på ISO 27001.

Disse verktøyene består av:

  • Et bibliotek med maler for ofte opptrådte bedriftsdokumenter er tilgjengelig.

  • En samling av forhåndsetablerte retningslinjer og protokoller er på plass.

  • Et revisjonsverktøy for å lette interne revisjoner er tilgjengelig.

  • Et grensesnitt for å tilpasse retningslinjer og prosedyrer for Information Security Management System (ISMS) er gitt.

  • Alle endringer i retningslinjer og prosedyrer må godkjennes gjennom en arbeidsflytprosess.

  • Lag en liste for å sikre at dine retningslinjer og informasjonsbeskyttelsestiltak er i tråd med internasjonale standarder.

ISMS.Online gir brukerne muligheten til å:

  • Håndter alle områder av ISMS livssyklus med letthet.

  • Få umiddelbar forståelse av deres sikkerhetsstatus og overholdelsesproblemer.

  • Integrer med andre systemer som HR, økonomi og prosjektledelse.

  • Sikre samsvar med ISMS til ISO 27001-kriteriene.

ISMS.Online tilbyr råd om hvordan du kan utføre ISMS optimalt, med veiledning om utforming av retningslinjer og protokoller knyttet til risikostyring, opplæring av ansattes sikkerhetsbevissthet og forberedelse av hendelsesrespons.

Ta kontakt med oss ​​nå for å planlegge en demonstrasjon.

Vår nylige suksess med å oppnå ISO 27001-, 27017- og 27018-sertifiseringer var i stor grad knyttet til ISMS.online.

Karen Burton
Sikkerhetsanalytiker, Trives med helse

Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer