ISO 27001:2022 vedlegg A 6.5 gir mandat til at organisasjoner spesifiserer informasjonssikkerhetsroller og -ansvar som forblir effektive selv om personell slutter eller blir omplassert. Kommuniser disse pliktene og ansvaret til den ansatte og enhver gjeldende tredjepart.
Ansatte er juridisk forpliktet til å holde all informasjon som arbeidsgiveren overlater til dem konfidensiell. Det er viktig for personell å forstå kravene for å beskytte sin arbeidsgivers data.
Arbeidsgivere har generelt rett til å forutse at arbeidstakerne deres beskytter konfidensielle data og ikke utnytter dem til personlig vinning, for eksempel gjennom innsidehandel eller andre ulovlige aktiviteter.
Noen få eksempler på informasjonssikkerhetsoppgaver og -ansvar inkluderer:
Det er viktig for organisasjoner å være klar over sine forpliktelser når de håndterer personopplysninger for å unngå å krenke personvernforskrifter, ettersom konsekvensene for både virksomheten og dens ansatte kan være alvorlige.
Bestill en 30 minutters prat med oss, så viser vi deg hvordan
Vedlegg A 6.5 bør implementeres når en ansatt eller kontraktør forlater organisasjonen, eller når en kontrakt avsluttes før den utløper.
Denne kontrollen ivaretar organisasjonens informasjonssikkerhetsinteresser ved ansettelsesendringer eller kontraktsoppsigelser.
Denne vedlegg A-kontrollen sikrer mot muligheten for at ansatte kan dra nytte av sin tilgang til konfidensiell informasjon og prosesser for personlig vinning eller ondsinnet hensikt, spesielt etter at de forlater organisasjonen eller jobben.
ISO 27001: 2022 Vedlegg A 6.5 søker å ivareta organisasjonens datasikkerhetsinteresser ved endring eller opphør av arbeidsforhold eller kontrakter. Dette dekker ansatte, kontraktører og tredjeparter som får tilgang til konfidensielle data.
Vurder om noen personer (inkludert avtalte personer) med tilgang til dine sensitive personopplysninger forlater organisasjonen din, og iverksett tiltak for å sikre at de ikke beholder og fortsetter å få tilgang til dine sensitive personopplysninger etter at de forlater dem.
Hvis du oppdager at en person reiser og det er en sjanse for at konfidensiell personlig informasjon kan bli avslørt, må du ta passende skritt enten før de går eller så raskt som mulig etterpå for å sikre at dette ikke skjer.
For å oppfylle kriteriene i vedlegg A 6.5, bør en persons arbeidskontrakt eller avtale spesifisere evt informasjonssikkerhetsansvar og plikter som fortsatt står etter at forholdet er inngått.
Informasjonssikkerhetsansvar kan inngå i andre kontrakter eller avtaler som varer lenger enn en ansatts ansettelsestid.
Ved å forlate en rolle eller skifte jobb, må den sittende operatøren sørge for at deres sikkerhetsansvar blir overført og at all tilgangslegitimasjon slettes og erstattes.
For ytterligere detaljer om denne prosessen, se ISO 27001:2022 standarddokumentet.
ISO 27001:2022 vedlegg A 6.5 er en tilpasning av ISO 27001:2013 vedlegg A 7.3.1 i stedet for en ny vedlegg A-kontroll.
Det grunnleggende i disse to kontrollene er like, selv om det er små avvik. For eksempel er implementeringsveiledningen litt forskjellig i begge versjoner.
Den første delen av vedlegg A 7.3.1 i ISO 27001:2013 viser at organisasjoner må:
Ved oppsigelse er det viktig å kommunisere nødvendig informasjonssikkerhet og juridiske krav, samt eventuelle gjeldende konfidensialitetsavtaler og ansettelsesvilkår som kan løpe i en spesifisert periode etter slutten av den ansattes eller kontraktørens engasjement.
Den samme delen vedlegg A 6.5 i ISO 27001:2022 fastsetter at:
Prosedyren for håndtering av oppsigelse eller endring av ansettelse bør spesifisere hvilke informasjonssikkerhetsansvar og forpliktelser som fortsatt gjelder etter oppsigelse eller endring. Dette kan inkludere å opprettholde konfidensialitet for informasjon, åndsverk og annen kunnskap som er ervervet, så vel som ethvert annet ansvar fastsatt i en konfidensialitetsavtale.
Ansvar og plikter som forblir gjeldende etter oppsigelse av en persons arbeidsforhold, kontrakt eller avtale, bør beskrives i deres vilkår og betingelser. I tillegg kan alle kontrakter eller avtaler som strekker seg over en definert periode utover slutten av den enkeltes ansettelse inkludere informasjonssikkerhetsansvar.
Til tross for forskjellen i ordlyden, har begge vedlegg A-kontrollene en stort sett lik struktur og formål i sine respektive sammenhenger. For å gjøre vedlegg A 6.5 mer brukervennlig, har språket blitt forenklet, slik at brukerne bedre kan forstå innholdet.
2022-versjonen av ISO 27001 inkluderer en formålserklæring og attributttabell for hver kontroll, og hjelper brukerne med å forstå og implementere dem. Dette er fraværende i 2013-utgaven.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
| Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
| Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
| Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
| Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
| Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
| Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
| Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
| Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
| Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
| Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
| Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
| Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
| Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
| Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
| Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
| Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
| Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
| Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
| Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
| Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
| Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
| Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
| Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
| Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
| Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
| Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
| Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
| Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
| Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
| Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
| Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
| Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
| Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
| Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
| Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
| Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
| Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
| Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
| Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
| Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
| Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
| Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
| Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
| Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
| Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
| Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
| Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
|---|---|---|---|
| Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
| Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
| Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
| Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
| Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
| Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
| Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
| Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
| Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
| Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
| Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
| Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
| Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
| Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
| Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
| Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
| Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
| Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
| Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
| Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
| Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
| Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
| Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
| Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
| Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
| Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
| Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
| Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
| Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
| Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
| Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
| Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
| Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
| Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
I tråd med anbefalingen i ISO 27001:2022 vedlegg A 6.5, tar Human Resources vanligvis ansvaret for hele oppsigelsesprosessen i de fleste organisasjoner, og samarbeider med den enkeltes overordnede for å sikre informasjonssikkerhet som en del av prosedyrene.
Personell levert av en ekstern part (for eksempel en leverandør) bør sies opp i henhold til kontrakten etablert mellom organisasjonen og den eksterne parten.
ISO 27001:2022-standarden har stort sett holdt seg uendret, bare oppdatert for forbedret brukervennlighet. Ingen organisasjoner som for øyeblikket er i samsvar med ISO 27001:2013, trenger å iverksette ekstra tiltak for å overholde kravene.
For å møte endringene i ISO 27001:2022, vil organisasjonen bare måtte gjøre små endringer i sine eksisterende metoder og prosesser, spesielt hvis de tar sikte på å fornye sertifiseringen.
Bedrifter kan bruke ISMS.online for å hjelpe med å overholde ISO 27001:2022. Denne plattformen forenkler prosessen med å administrere, oppdatere, teste og evaluere sikkerhetsprotokollene deres.
Vår skybaserte plattform forenkler ISMS-administrasjon, slik at du effektivt kan overvåke risikostyring, retningslinjer, planer, prosedyrer og mer, alt fra én enkelt kilde. Plattformen er enkel og det brukervennlige grensesnittet gjør det enkelt å plukke opp.
ISMS.online lar organisasjonen din:
Hvis du driver en virksomhet som krever overholdelse av ISO 27001, tilbyr ISMS.Online et omfattende utvalg funksjoner for å gjøre deg i stand til å utføre denne viktige oppgaven.
Kontakt oss nå for å arrangere en demonstrasjon.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
