ISO 27001:2022 vedlegg A 6.6 sier at organisasjoner må sette i verk tiltak for å beskytte konfidensiell informasjon mot uautorisert avsløring. Dette inkluderer å etablere konfidensialitetsavtaler med interesserte parter og ansatte.
Organisasjoner bør lage vilkår for sine avtaler med andre parter etter å ha vurdert organisasjonens informasjonssikkerhet behov, typen informasjon som skal administreres, klassifiseringsnivået, formålet den er ment for, og tilgangen den andre parten er tillatt.
En konfidensialitet eller ikke-avsløringsavtale (NDA) er et juridisk dokument som hindrer avsløring av forretningshemmeligheter og annen konfidensiell informasjon.
Konfidensiell informasjon kan omfatte et selskaps forretningsplan, økonomiske tall, kundelister og andre eksklusive detaljer. Disse kontraktene brukes i en rekke omstendigheter, for eksempel:
Partnerskap har ofte konfidensialitetsklausuler i partnerskapsavtalen, der hver partner godtar å holde all konfidensiell informasjon som er ervervet under partnerskapet fullstendig konfidensiell.
Konfidensialitetsavtaler brukes ofte av både enkeltpersoner og bedrifter. De tjener en rekke mål, inkludert:
Bestill en 30 minutters prat med oss, så viser vi deg hvordan
ISO 27001:2022 vedlegg A 6.6 bør brukes for å sikre datasikkerheten når personell, partnere og leverandører samarbeider med en organisasjon.
Denne kontrollen er utformet for å sikre organisasjonens data og informere underskrivere om deres forpliktelse til å administrere og beskytte informasjon på en ansvarlig og lovlig måte. Den fungerer også som et verktøy for å bevare immaterielle rettigheter, for eksempel patenter, varemerker, forretningshemmeligheter og opphavsrettigheter.
Arbeidsgivere bør sørge for at en taushetserklæring er på plass før noen konfidensiell informasjon avsløres til en ansatt eller kontraktør. Avtalen vil tydeliggjøre den enkeltes ansvar for å opprettholde hemmelighold av informasjonen og varigheten av taushetsplikten etter at arbeidsforholdet er avsluttet.
ISO 27001:2022 vedlegg A Kontroll 6.6 er utformet for å beskytte organisasjonens immaterielle rettigheter og forretningsinteresser ved å stoppe utleveringen av konfidensielle data til tredjeparter. Det innebærer etablering av en juridisk avtale eller ordning mellom din organisasjon og dens personell, samarbeidspartnere, entreprenører, leverandører og andre utenforstående, som kontrollerer bruken av gradert informasjon.
Konfidensiell informasjon er all data som ikke har blitt offentliggjort eller delt med andre organisasjoner i samme sektor. Dette omfatter forretningshemmeligheter, kunderegistre, formler og forretningsstrategier.
Vurder kontrollen når du avgjør om en tredjepart skal få tilgang til sensitive personopplysninger og om det må tas skritt for å sikre at de ikke beholder eller fortsetter å få tilgang til organisasjonens sensitive personopplysninger når de forlater.
Når en tredjepart forlater en organisasjon, og det er potensial for at sensitive data kan bli eksponert, må organisasjonen ta nødvendige skritt for å forhindre avsløring før eller kort tid etter deres avgang.
ISO 27001: 2022 Vedlegg A 6.6 krever at partene i avtalen avstår fra å utlevere konfidensiell informasjon som faller inn under dens virkeområde. Samtykke fra organisasjonen er nødvendig i alle tilfeller der avsløring er nødvendig, med unntak av en rettskjennelse. Denne bestemmelsen er vesentlig for å sikre data om næringsvirksomhet, åndsverk og forskning og utvikling.
For å overholde vedlegg A 6.6 må det utarbeides en konfidensialitets- og taushetserklæring/kontrakt med presisjon for å beskytte alle forretningshemmeligheter og sensitive data/opplysninger knyttet til virksomhetens aktiviteter og transaksjoner. Det er viktig at begge parter forstår sine plikter og ansvar i henhold til avtalen under og etter inngåelsen av forretningspartnerskapet.
En konfidensialitetsklausul kan inkluderes i kontrakter som strekker seg utover den ansattes ansettelse eller engasjement av tredjeparter. Dette bør gjøres for å sikre at informasjonen forblir sikker.
Det er viktig at en avgående ansatt eller en skiftende jobb får overført sine sikkerhetsoppgaver og -ansvar til noen nye, med all tilgangslegitimasjon fjernet og ny opprettet.
Når man vurderer konfidensialitet og taushetspliktavtaler, bør man ha flere elementer i tankene.
Organisasjonen bør sikre at avtaler om konfidensialitet og taushetsplikt overholder lovene i den relevante jurisdiksjonen.
Med jevne mellomrom og når endringer påvirker kravene deres, er det nødvendig å gjennomgå avtaler om konfidensialitet og taushetsplikt.
Ytterligere detaljer om denne prosessen kan finnes i ISO 27001:2022-standarden.
ISO 27001:2022 vedlegg A 6.6 er en modifikasjon av ISO 27001:2013 Vedlegg A 13.2.4, i stedet for en ny kontroll.
De to vedlegg A-kontrollene har forskjellige paralleller, selv om de ikke er identiske. For eksempel er implementeringsinstruksjonene for begge like, men ikke de samme.
Den første delen av ISO 27001:2013 implementeringsveiledning, vedlegg A 13.2.4, understreker at:
"Konfidensialitet eller taushetserklæring bør ta opp kravet om å beskytte konfidensiell informasjon ved å bruke juridisk håndhevbare vilkår. Konfidensialitet eller taushetserklæring gjelder for eksterne parter eller ansatte i organisasjonen.
Elementer bør velges eller legges til under hensyntagen til typen til den andre parten og dens tillatte tilgang eller håndtering av konfidensiell informasjon."
Vedlegg A 6.6 til ISO 27001:2022 erklærer at enhver organisasjon må treffe passende tiltak for å:
"Konfidensialitet eller taushetserklæring bør ta opp kravet om å beskytte konfidensiell informasjon ved å bruke juridisk håndhevbare vilkår. Konfidensialitet eller taushetserklæring gjelder for interesserte parter og personell i organisasjonen.
Basert på en organisasjons krav til informasjonssikkerhet, bør vilkårene i avtalene fastsettes ved å ta hensyn til typen informasjon som skal håndteres, klassifiseringsnivået, bruken og den tillatte tilgangen for den andre parten.»
Begge kontrollene har en analog struktur og funksjon i deres individuelle kontekster, selv om de varierer i semantisk betydning. Vedlegg A 6.6 bruker et mer enkelt, brukervennlig språk, noe som gjør det lettere å forstå innholdet og konteksten. Derfor kan brukere lettere identifisere seg med standarden.
De 2022-avdrag av ISO 27001 inkluderer intensjonserklæringer og attributttabeller i henhold til vedlegg A-kontroll, for å hjelpe til med forståelse og vellykket implementering. Dette er ikke gitt i 2013-utgaven.
I tabellen nedenfor finner du mer informasjon om hver enkelt ISO 27001:2022 vedlegg A-kontroll.
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Organisasjonskontroller | Vedlegg A 5.1 | Vedlegg A 5.1.1 Vedlegg A 5.1.2 | Retningslinjer for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.2 | Vedlegg A 6.1.1 | Informasjonssikkerhetsroller og ansvar |
Organisasjonskontroller | Vedlegg A 5.3 | Vedlegg A 6.1.2 | Ansvarsfordeling |
Organisasjonskontroller | Vedlegg A 5.4 | Vedlegg A 7.2.1 | Ledelsesansvar |
Organisasjonskontroller | Vedlegg A 5.5 | Vedlegg A 6.1.3 | Kontakt med myndighetene |
Organisasjonskontroller | Vedlegg A 5.6 | Vedlegg A 6.1.4 | Kontakt med spesielle interessegrupper |
Organisasjonskontroller | Vedlegg A 5.7 | NEW | Threat Intelligence |
Organisasjonskontroller | Vedlegg A 5.8 | Vedlegg A 6.1.5 Vedlegg A 14.1.1 | Informasjonssikkerhet i prosjektledelse |
Organisasjonskontroller | Vedlegg A 5.9 | Vedlegg A 8.1.1 Vedlegg A 8.1.2 | Inventar over informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.10 | Vedlegg A 8.1.3 Vedlegg A 8.2.3 | Akseptabel bruk av informasjon og andre tilknyttede eiendeler |
Organisasjonskontroller | Vedlegg A 5.11 | Vedlegg A 8.1.4 | Retur av eiendeler |
Organisasjonskontroller | Vedlegg A 5.12 | Vedlegg A 8.2.1 | Klassifisering av informasjon |
Organisasjonskontroller | Vedlegg A 5.13 | Vedlegg A 8.2.2 | Merking av informasjon |
Organisasjonskontroller | Vedlegg A 5.14 | Vedlegg A 13.2.1 Vedlegg A 13.2.2 Vedlegg A 13.2.3 | Informasjonsoverføring |
Organisasjonskontroller | Vedlegg A 5.15 | Vedlegg A 9.1.1 Vedlegg A 9.1.2 | Access Control |
Organisasjonskontroller | Vedlegg A 5.16 | Vedlegg A 9.2.1 | Identitetshåndtering |
Organisasjonskontroller | Vedlegg A 5.17 | Vedlegg A 9.2.4 Vedlegg A 9.3.1 Vedlegg A 9.4.3 | Autentiseringsinformasjon |
Organisasjonskontroller | Vedlegg A 5.18 | Vedlegg A 9.2.2 Vedlegg A 9.2.5 Vedlegg A 9.2.6 | Tilgangsrettigheter |
Organisasjonskontroller | Vedlegg A 5.19 | Vedlegg A 15.1.1 | Informasjonssikkerhet i leverandørforhold |
Organisasjonskontroller | Vedlegg A 5.20 | Vedlegg A 15.1.2 | Adressering av informasjonssikkerhet innenfor leverandøravtaler |
Organisasjonskontroller | Vedlegg A 5.21 | Vedlegg A 15.1.3 | Håndtere informasjonssikkerhet i IKT-leverandørkjeden |
Organisasjonskontroller | Vedlegg A 5.22 | Vedlegg A 15.2.1 Vedlegg A 15.2.2 | Overvåking, gjennomgang og endringsstyring av leverandørtjenester |
Organisasjonskontroller | Vedlegg A 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
Organisasjonskontroller | Vedlegg A 5.24 | Vedlegg A 16.1.1 | Informasjonssikkerhetshendelsesplanlegging og -forberedelse |
Organisasjonskontroller | Vedlegg A 5.25 | Vedlegg A 16.1.4 | Vurdering og beslutning om informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.26 | Vedlegg A 16.1.5 | Respons på informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.27 | Vedlegg A 16.1.6 | Lær av informasjonssikkerhetshendelser |
Organisasjonskontroller | Vedlegg A 5.28 | Vedlegg A 16.1.7 | Samling av bevis |
Organisasjonskontroller | Vedlegg A 5.29 | Vedlegg A 17.1.1 Vedlegg A 17.1.2 Vedlegg A 17.1.3 | Informasjonssikkerhet under avbrudd |
Organisasjonskontroller | Vedlegg A 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
Organisasjonskontroller | Vedlegg A 5.31 | Vedlegg A 18.1.1 Vedlegg A 18.1.5 | Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav |
Organisasjonskontroller | Vedlegg A 5.32 | Vedlegg A 18.1.2 | Immaterielle rettigheter |
Organisasjonskontroller | Vedlegg A 5.33 | Vedlegg A 18.1.3 | Beskyttelse av poster |
Organisasjonskontroller | Vedlegg A 5.34 | Vedlegg A 18.1.4 | Personvern og beskyttelse av PII |
Organisasjonskontroller | Vedlegg A 5.35 | Vedlegg A 18.2.1 | Uavhengig gjennomgang av informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.36 | Vedlegg A 18.2.2 Vedlegg A 18.2.3 | Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet |
Organisasjonskontroller | Vedlegg A 5.37 | Vedlegg A 12.1.1 | Dokumenterte driftsprosedyrer |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Personkontroller | Vedlegg A 6.1 | Vedlegg A 7.1.1 | Screening |
Personkontroller | Vedlegg A 6.2 | Vedlegg A 7.1.2 | Vilkår og betingelser for ansettelse |
Personkontroller | Vedlegg A 6.3 | Vedlegg A 7.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
Personkontroller | Vedlegg A 6.4 | Vedlegg A 7.2.3 | Disiplinær prosess |
Personkontroller | Vedlegg A 6.5 | Vedlegg A 7.3.1 | Ansvar etter oppsigelse eller endring av ansettelse |
Personkontroller | Vedlegg A 6.6 | Vedlegg A 13.2.4 | Konfidensialitet eller taushetserklæring |
Personkontroller | Vedlegg A 6.7 | Vedlegg A 6.2.2 | Fjernarbeid |
Personkontroller | Vedlegg A 6.8 | Vedlegg A 16.1.2 Vedlegg A 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Fysiske kontroller | Vedlegg A 7.1 | Vedlegg A 11.1.1 | Fysiske sikkerhetsomkretser |
Fysiske kontroller | Vedlegg A 7.2 | Vedlegg A 11.1.2 Vedlegg A 11.1.6 | Fysisk inngang |
Fysiske kontroller | Vedlegg A 7.3 | Vedlegg A 11.1.3 | Sikring av kontorer, rom og fasiliteter |
Fysiske kontroller | Vedlegg A 7.4 | NEW | Fysisk sikkerhetsovervåking |
Fysiske kontroller | Vedlegg A 7.5 | Vedlegg A 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
Fysiske kontroller | Vedlegg A 7.6 | Vedlegg A 11.1.5 | Arbeid i sikre områder |
Fysiske kontroller | Vedlegg A 7.7 | Vedlegg A 11.2.9 | Clear Desk og Clear Screen |
Fysiske kontroller | Vedlegg A 7.8 | Vedlegg A 11.2.1 | Utstyrsplassering og beskyttelse |
Fysiske kontroller | Vedlegg A 7.9 | Vedlegg A 11.2.6 | Sikkerhet for eiendeler utenfor lokaler |
Fysiske kontroller | Vedlegg A 7.10 | Vedlegg A 8.3.1 Vedlegg A 8.3.2 Vedlegg A 8.3.3 Vedlegg A 11.2.5 | Lagringsmedium |
Fysiske kontroller | Vedlegg A 7.11 | Vedlegg A 11.2.2 | Støtteverktøy |
Fysiske kontroller | Vedlegg A 7.12 | Vedlegg A 11.2.3 | Kablingssikkerhet |
Fysiske kontroller | Vedlegg A 7.13 | Vedlegg A 11.2.4 | Vedlikehold av utstyr |
Fysiske kontroller | Vedlegg A 7.14 | Vedlegg A 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vedlegg A Kontrolltype | ISO/IEC 27001:2022 Vedlegg A Identifikator | ISO/IEC 27001:2013 Vedlegg A Identifikator | Vedlegg A Navn |
---|---|---|---|
Teknologiske kontroller | Vedlegg A 8.1 | Vedlegg A 6.2.1 Vedlegg A 11.2.8 | Bruker endepunktenheter |
Teknologiske kontroller | Vedlegg A 8.2 | Vedlegg A 9.2.3 | Privilegerte tilgangsrettigheter |
Teknologiske kontroller | Vedlegg A 8.3 | Vedlegg A 9.4.1 | Begrensning for informasjonstilgang |
Teknologiske kontroller | Vedlegg A 8.4 | Vedlegg A 9.4.5 | Tilgang til kildekode |
Teknologiske kontroller | Vedlegg A 8.5 | Vedlegg A 9.4.2 | Sikker godkjenning |
Teknologiske kontroller | Vedlegg A 8.6 | Vedlegg A 12.1.3 | Kapasitetsstyring |
Teknologiske kontroller | Vedlegg A 8.7 | Vedlegg A 12.2.1 | Beskyttelse mot skadelig programvare |
Teknologiske kontroller | Vedlegg A 8.8 | Vedlegg A 12.6.1 Vedlegg A 18.2.3 | Håndtering av tekniske sårbarheter |
Teknologiske kontroller | Vedlegg A 8.9 | NEW | Configuration Management |
Teknologiske kontroller | Vedlegg A 8.10 | NEW | Sletting av informasjon |
Teknologiske kontroller | Vedlegg A 8.11 | NEW | Datamaskering |
Teknologiske kontroller | Vedlegg A 8.12 | NEW | Forebygging av datalekkasje |
Teknologiske kontroller | Vedlegg A 8.13 | Vedlegg A 12.3.1 | Sikkerhetskopiering av informasjon |
Teknologiske kontroller | Vedlegg A 8.14 | Vedlegg A 17.2.1 | Redundans av informasjonsbehandlingsfasiliteter |
Teknologiske kontroller | Vedlegg A 8.15 | Vedlegg A 12.4.1 Vedlegg A 12.4.2 Vedlegg A 12.4.3 | Logging |
Teknologiske kontroller | Vedlegg A 8.16 | NEW | Overvåkingsaktiviteter |
Teknologiske kontroller | Vedlegg A 8.17 | Vedlegg A 12.4.4 | Klokke synkronisering |
Teknologiske kontroller | Vedlegg A 8.18 | Vedlegg A 9.4.4 | Bruk av Privileged Utility Programs |
Teknologiske kontroller | Vedlegg A 8.19 | Vedlegg A 12.5.1 Vedlegg A 12.6.2 | Installasjon av programvare på operative systemer |
Teknologiske kontroller | Vedlegg A 8.20 | Vedlegg A 13.1.1 | Nettverkssikkerhet |
Teknologiske kontroller | Vedlegg A 8.21 | Vedlegg A 13.1.2 | Sikkerhet for nettverkstjenester |
Teknologiske kontroller | Vedlegg A 8.22 | Vedlegg A 13.1.3 | Segregering av nettverk |
Teknologiske kontroller | Vedlegg A 8.23 | NEW | Web-filtrering |
Teknologiske kontroller | Vedlegg A 8.24 | Vedlegg A 10.1.1 Vedlegg A 10.1.2 | Bruk av kryptografi |
Teknologiske kontroller | Vedlegg A 8.25 | Vedlegg A 14.2.1 | Sikker utviklingslivssyklus |
Teknologiske kontroller | Vedlegg A 8.26 | Vedlegg A 14.1.2 Vedlegg A 14.1.3 | Programsikkerhetskrav |
Teknologiske kontroller | Vedlegg A 8.27 | Vedlegg A 14.2.5 | Sikker systemarkitektur og ingeniørprinsipper |
Teknologiske kontroller | Vedlegg A 8.28 | NEW | Sikker koding |
Teknologiske kontroller | Vedlegg A 8.29 | Vedlegg A 14.2.8 Vedlegg A 14.2.9 | Sikkerhetstesting i utvikling og aksept |
Teknologiske kontroller | Vedlegg A 8.30 | Vedlegg A 14.2.7 | Utkontraktert utvikling |
Teknologiske kontroller | Vedlegg A 8.31 | Vedlegg A 12.1.4 Vedlegg A 14.2.6 | Separasjon av utviklings-, test- og produksjonsmiljøer |
Teknologiske kontroller | Vedlegg A 8.32 | Vedlegg A 12.1.2 Vedlegg A 14.2.2 Vedlegg A 14.2.3 Vedlegg A 14.2.4 | Endringsledelse |
Teknologiske kontroller | Vedlegg A 8.33 | Vedlegg A 14.3.1 | Testinformasjon |
Teknologiske kontroller | Vedlegg A 8.34 | Vedlegg A 12.7.1 | Beskyttelse av informasjonssystemer under revisjonstesting |
I henhold til vedlegg A 6.6 i ISO 27001:2022 fører personalavdelingen vanligvis tilsyn med utformingen og håndhevingen av konfidensialitets-/taushetserklæringen i de fleste organisasjoner, i samarbeid med den relevante tredjepartens overvåkende leder/avdeling.
Informasjonssikkerhetsansvarlig, salgs- eller produksjonssjef kan alle fungere som tilsynssjef.
Avdelingene og lederne må garantere at eventuelle tredjepartsleverandører ansatt av organisasjonen har riktige sikkerhetstiltak for å beskytte konfidensielle data fra ikke-godkjent utgivelse eller bruk.
Alle ansatte skal signere en taushetsplikt ved oppstart av arbeidsforholdet i bedriften.
I mange organisasjoner, uavhengig av størrelse, er alle ansatte som håndterer konfidensiell informasjon pålagt å signere en taushetsplikt eller taushetserklæring.
Ansatte i salg, markedsføring, kundeservice og andre avdelinger som samhandler med konfidensiell informasjon om kunder, kunder og leverandører, må gis opplæring.
Organisasjoner bør ha retningslinjer på plass som gir personalet mandat til å signere en konfidensialitetsavtale før de får tilgang til sensitiv informasjon om kunder eller leverandører, selv om det ikke foreligger noen skriftlig avtale.
Unnlatelse av å ha en konfidensialitetsavtale kan føre til alvorlige risikoer. Disse risikoene inkluderer:
ISO 27001-standarden forblir stort sett uendret. For å forbedre brukervennligheten ble den ganske enkelt oppdatert. Organisasjoner som følger denne standarden trenger derfor ikke ta noen ekstra skritt for å forbli i samsvar.
For å møte endringene i ISO 27001:2022, kan det hende at organisasjonen må gjøre små endringer i sine nåværende prosesser og prosedyrer, spesielt hvis de krever ny sertifisering.
For å få ytterligere innsikt i virkningen av å endre ISO 27001:2022 på virksomheten din, vennligst se vår ISO 27001-veiledning.
ISMS.Online gjør det lettere for organisasjoner og bedrifter å møte standardene i ISO 27001:2022 ved å tilby en plattform som forenkler administrasjonen av konfidensialitet eller taushetserklæring, slik at de kan oppdateres etter behov, testes og spores for effektivitet.
Vi tilbyr en skybasert plattform for å administrere konfidensialitet og informasjonssikkerhet Administrasjonssystemer, inkludert klausuler om taushetsplikt, risikostyring, retningslinjer, planer og prosedyrer, alt på ett sentralisert sted. Plattformen er brukervennlig og har et intuitivt grensesnitt som gjør det enkelt å lære.
ISMS.Online forenkler:
ISMS.Online tilbyr et omfattende utvalg av verktøy for å hjelpe bedrifter og organisasjoner med å oppfylle kravene i ISO 27001 og/eller ISO 27001 ISMS. Vi gjør det enkelt å overholde industristandarden og gir deg trygghet.
Ta kontakt med oss nå for å arrangere en demonstrasjon.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din