ISO 27001:2022 Vedlegg A Kontroll 6.6

Hva er formålet med ISO 27001:2022 vedlegg A 6.6?

ISO 27001:2022 vedlegg A 6.6 bør brukes for å sikre datasikkerheten når personell, partnere og leverandører samarbeider med en organisasjon.

Denne kontrollen er utformet for å sikre organisasjonens data og informere underskrivere om deres forpliktelse til å administrere og beskytte informasjon på en ansvarlig og lovlig måte. Den fungerer også som et verktøy for å bevare immaterielle rettigheter, for eksempel patenter, varemerker, forretningshemmeligheter og opphavsrettigheter.

Arbeidsgivere bør sørge for at en taushetserklæring er på plass før noen konfidensiell informasjon avsløres til en ansatt eller kontraktør. Avtalen vil tydeliggjøre den enkeltes ansvar for å opprettholde hemmelighold av informasjonen og varigheten av taushetsplikten etter at arbeidsforholdet er avsluttet.

Vedlegg A 6.6 Forklart

ISO 27001:2022 vedlegg A Kontroll 6.6 er utformet for å beskytte organisasjonens immaterielle rettigheter og forretningsinteresser ved å stoppe utleveringen av konfidensielle data til tredjeparter. Det innebærer etablering av en juridisk avtale eller ordning mellom din organisasjon og dens personell, samarbeidspartnere, entreprenører, leverandører og andre utenforstående, som kontrollerer bruken av gradert informasjon.

Konfidensiell informasjon er all data som ikke har blitt offentliggjort eller delt med andre organisasjoner i samme sektor. Dette omfatter forretningshemmeligheter, kunderegistre, formler og forretningsstrategier.

Vurder kontrollen når du avgjør om en tredjepart skal få tilgang til sensitive personopplysninger og om det må tas skritt for å sikre at de ikke beholder eller fortsetter å få tilgang til organisasjonens sensitive personopplysninger når de forlater.

Når en tredjepart forlater en organisasjon, og det er potensial for at sensitive data kan bli eksponert, må organisasjonen ta nødvendige skritt for å forhindre avsløring før eller kort tid etter deres avgang.

Hva er involvert og hvordan du oppfyller kravene

ISO 27001: 2022 Vedlegg A 6.6 krever at partene i avtalen avstår fra å utlevere konfidensiell informasjon som faller inn under dens virkeområde. Samtykke fra organisasjonen er nødvendig i alle tilfeller der avsløring er nødvendig, med unntak av en rettskjennelse. Denne bestemmelsen er vesentlig for å sikre data om næringsvirksomhet, åndsverk og forskning og utvikling.

For å overholde vedlegg A 6.6 må det utarbeides en konfidensialitets- og taushetserklæring/kontrakt med presisjon for å beskytte alle forretningshemmeligheter og sensitive data/opplysninger knyttet til virksomhetens aktiviteter og transaksjoner. Det er viktig at begge parter forstår sine plikter og ansvar i henhold til avtalen under og etter inngåelsen av forretningspartnerskapet.

En konfidensialitetsklausul kan inkluderes i kontrakter som strekker seg utover den ansattes ansettelse eller engasjement av tredjeparter. Dette bør gjøres for å sikre at informasjonen forblir sikker.

Det er viktig at en avgående ansatt eller en skiftende jobb får overført sine sikkerhetsoppgaver og -ansvar til noen nye, med all tilgangslegitimasjon fjernet og ny opprettet.

Når man vurderer konfidensialitet og taushetspliktavtaler, bør man ha flere elementer i tankene.

• De konfidensielle dataene som må ivaretas.
• Avtalens varighet, inkludert tilfeller der konfidensialitet må opprettholdes til stadighet eller inntil dataene er offentliggjort, skal fastsettes.
• Ved oppsigelse av en avtale, nødvendige skritt som må tas.
• Underskrivere må iverksette alle nødvendige tiltak for å forhindre uautorisert utlevering av informasjon.
• Eierskap til data, konfidensiell forretningskunnskap og åndsverk som har innvirkning på konfidensialitet.
• Underskriver har rett til å bruke konfidensiell informasjon i henhold til fullmakten.
• Retten til å overvåke eller evaluere aktiviteter som involverer ekstremt klassifiserte data.
• Prosessen for å informere og informere om ikke-godkjente avsløringer eller utslipp av privat informasjon skal følges.
• Ved oppsigelse av denne avtalen må all data eller informasjon som deles mellom partene, returneres eller destrueres.
• Hvis avtalen ikke overholdes, hvilke tiltak vil bli iverksatt.

Organisasjonen bør sikre at avtaler om konfidensialitet og taushetsplikt overholder lovene i den relevante jurisdiksjonen.

Med jevne mellomrom og når endringer påvirker kravene deres, er det nødvendig å gjennomgå avtaler om konfidensialitet og taushetsplikt.

Ytterligere detaljer om denne prosessen kan finnes i ISO 27001:2022-standarden.

Endringer og forskjeller fra ISO 27001:2013

ISO 27001:2022 vedlegg A 6.6 er en modifikasjon av ISO 27001:2013 Vedlegg A 13.2.4, i stedet for en ny kontroll.

De to vedlegg A-kontrollene har forskjellige paralleller, selv om de ikke er identiske. For eksempel er implementeringsinstruksjonene for begge like, men ikke de samme.

Den første delen av ISO 27001:2013 implementeringsveiledning, vedlegg A 13.2.4, understreker at:

"Konfidensialitet eller taushetserklæring bør ta opp kravet om å beskytte konfidensiell informasjon ved å bruke juridisk håndhevbare vilkår. Konfidensialitet eller taushetserklæring gjelder for eksterne parter eller ansatte i organisasjonen.

Elementer bør velges eller legges til under hensyntagen til typen til den andre parten og dens tillatte tilgang eller håndtering av konfidensiell informasjon."

Vedlegg A 6.6 til ISO 27001:2022 erklærer at enhver organisasjon må treffe passende tiltak for å:

"Konfidensialitet eller taushetserklæring bør ta opp kravet om å beskytte konfidensiell informasjon ved å bruke juridisk håndhevbare vilkår. Konfidensialitet eller taushetserklæring gjelder for interesserte parter og personell i organisasjonen.

Basert på en organisasjons krav til informasjonssikkerhet, bør vilkårene i avtalene fastsettes ved å ta hensyn til typen informasjon som skal håndteres, klassifiseringsnivået, bruken og den tillatte tilgangen for den andre parten.»

Begge kontrollene har en analog struktur og funksjon i deres individuelle kontekster, selv om de varierer i semantisk betydning. Vedlegg A 6.6 bruker et mer enkelt, brukervennlig språk, noe som gjør det lettere å forstå innholdet og konteksten. Derfor kan brukere lettere identifisere seg med standarden.

De 2022-avdrag av ISO 27001 inkluderer intensjonserklæringer og attributttabeller i henhold til vedlegg A-kontroll, for å hjelpe til med forståelse og vellykket implementering. Dette er ikke gitt i 2013-utgaven.

Tabell over alle ISO 27001:2022 vedlegg A kontroller

I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.

Hvem er ansvarlig for denne prosessen?

I henhold til vedlegg A 6.6 i ISO 27001:2022 fører personalavdelingen vanligvis tilsyn med utformingen og håndhevingen av konfidensialitets-/taushetserklæringen i de fleste organisasjoner, i samarbeid med den relevante tredjepartens overvåkende leder/avdeling.

Informasjonssikkerhetsansvarlig, salgs- eller produksjonssjef kan alle fungere som tilsynssjef.

Avdelingene og lederne må garantere at eventuelle tredjepartsleverandører ansatt av organisasjonen har riktige sikkerhetstiltak for å beskytte konfidensielle data fra ikke-godkjent utgivelse eller bruk.

Alle ansatte skal signere en taushetsplikt ved oppstart av arbeidsforholdet i bedriften.

I mange organisasjoner, uavhengig av størrelse, er alle ansatte som håndterer konfidensiell informasjon pålagt å signere en taushetsplikt eller taushetserklæring.

Ansatte i salg, markedsføring, kundeservice og andre avdelinger som samhandler med konfidensiell informasjon om kunder, kunder og leverandører, må gis opplæring.

Organisasjoner bør ha retningslinjer på plass som gir personalet mandat til å signere en konfidensialitetsavtale før de får tilgang til sensitiv informasjon om kunder eller leverandører, selv om det ikke foreligger noen skriftlig avtale.

Unnlatelse av å ha en konfidensialitetsavtale kan føre til alvorlige risikoer. Disse risikoene inkluderer:

• Ansatte kan utilsiktet røpe konfidensiell informasjon til personer utenfor virksomheten som ikke skal ha tilgang, og dermed skade organisasjonen.
• En ansatt kan røpe sensitiv informasjon til en rival.
• En misfornøyd arbeidstaker kan stjele firmaets intellektuelle eiendom og bruke den for egen vinning.
• Arbeidstakere kan utilsiktet legge igjen konfidensielle data på sine stasjonære datamaskiner på kontoret eller på sine bærbare datamaskiner hjemme, og risikerer tyveri av en nettkriminell.

Hva betyr disse endringene for deg?

ISO 27001-standarden forblir stort sett uendret. For å forbedre brukervennligheten ble den ganske enkelt oppdatert. Organisasjoner som følger denne standarden trenger derfor ikke ta noen ekstra skritt for å forbli i samsvar.

For å møte endringene i ISO 27001:2022, kan det hende at organisasjonen må gjøre små endringer i sine nåværende prosesser og prosedyrer, spesielt hvis de krever ny sertifisering.

For å få ytterligere innsikt i virkningen av å endre ISO 27001:2022 på virksomheten din, vennligst se vår ISO 27001-veiledning.

Hvordan ISMS.Online Hjelp

ISMS.Online gjør det lettere for organisasjoner og bedrifter å møte standardene i ISO 27001:2022 ved å tilby en plattform som forenkler administrasjonen av konfidensialitet eller taushetserklæring, slik at de kan oppdateres etter behov, testes og spores for effektivitet.

Vi tilbyr en skybasert plattform for å administrere konfidensialitet og informasjonssikkerhet Administrasjonssystemer, inkludert klausuler om taushetsplikt, risikostyring, retningslinjer, planer og prosedyrer, alt på ett sentralisert sted. Plattformen er brukervennlig og har et intuitivt grensesnitt som gjør det enkelt å lære.

ISMS.Online forenkler:

• Ta opp prosessene dine enkelt med dette brukervennlige grensesnittet. Du trenger ikke å installere programvare på maskinen eller nettverket!
• Strømlinjeform risikovurderingsprosessen ved å automatisere den.
• Sikre etterlevelse av regelverk med nettbaserte rapporter og sjekklister.
• Opprettholde et fremskrittsregister mens du streber etter sertifisering.

ISMS.Online tilbyr et omfattende utvalg av verktøy for å hjelpe bedrifter og organisasjoner med å oppfylle kravene i ISO 27001 og/eller ISO 27001 ISMS. Vi gjør det enkelt å overholde industristandarden og gir deg trygghet.

Ta kontakt med oss ​​nå for å arrangere en demonstrasjon.