ISO 27001:2022 vedlegg A 6.5 Sjekkliste

ISO 27001 A.6.5 Ansvarsliste etter oppsigelse eller endring av ansettelse

Implementering av A.6.5 Ansvar etter oppsigelse eller endring av ansettelse er avgjørende for å ivareta en organisasjons sensitive informasjon og sikre at tidligere ansatte ikke har gjenværende tilgang til selskapets ressurser.

Denne kontrollen innebærer en rekke trinn som må håndteres omhyggelig for å forhindre datainnbrudd og uautorisert tilgang.

Utfordringer kan oppstå på hvert trinn, men med de riktige verktøyene og strategiene kan organisasjoner oppnå robust etterlevelse. Å utnytte ISMS.online-funksjoner kan strømlinjeforme denne prosessen betydelig, noe som gjør den mer effektiv og effektiv.

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Hvorfor bør du overholde vedlegg A.6.5? Nøkkelaspekter og vanlige utfordringer

Tilbakekall av tilgang

Målet: Sørg for at alle tilgangsrettigheter til systemer, nettverk og data blir tilbakekalt umiddelbart ved oppsigelse eller endring av arbeidsforhold. Dette inkluderer deaktivering av brukerkontoer, fjerning av fysisk tilgang og gjenoppretting av bedriftsutstedte enheter.

utfordringer:

Det kan være komplisert å identifisere alle tilgangspunkter og systemer den ansatte hadde tilgang til.
Sikre rettidig kommunikasjon mellom HR- og IT-avdelinger for å deaktivere tilgang umiddelbart.
Administrere tilgangsrettigheter for eksterne arbeidere eller de som bruker personlige enheter.

Løsninger:

Implementer et automatisert tilgangsstyringssystem integrert med HR-prosesser for å spore og tilbakekalle tilgangsrettigheter umiddelbart.
Bruk et sentralisert identitets- og tilgangsadministrasjonssystem (IAM) for å opprettholde en oppdatert oversikt over brukertilgang.
Revider tilgangsrettigheter regelmessig og oppdater tilgangskontrolllister for å sikre nøyaktighet.

Relaterte ISO 27001-klausuler:

Punkt 9.2: Internrevisjon
Punkt 7.5: Dokumentert informasjon

Retur av eiendeler

Målet: Sørg for retur av alle organisatoriske eiendeler, for eksempel bærbare datamaskiner, mobile enheter, adgangskort, dokumenter og annen bedriftseiendom. Dette bidrar til å forhindre uautorisert tilgang og potensielle datainnbrudd.

utfordringer:

Sporing av alle eiendeler som er tildelt den ansatte, spesielt hvis det ikke er noe sentralisert forvaltningssystem.
Sikre at ansatte returnerer eiendeler umiddelbart, spesielt i eksterne eller eksterne scenarier.
Håndtering av tilstand og datarensing av returnerte eiendeler.

Løsninger:

Oppretthold et detaljert aktivaregister og oppdater det regelmessig.
Bruk verktøy for sporing av eiendeler med funksjoner for innsjekk/utsjekking for bedre ansvarlighet.
Implementere en klar policy for retur av eiendeler og inkludere dette i exit-prosessen.

Relaterte ISO 27001-klausuler:

Punkt 8.1: Operativ planlegging og kontroll
Punkt 8.2: Risikovurdering

Konfidensialitetsavtaler

Målet: Styrk eventuelle eksisterende konfidensialitets- eller taushetserklæringer som strekker seg utover ansettelsesperioden. Ansatte bør minnes om deres løpende forpliktelser til å beskytte organisasjonens sensitive informasjon selv etter at de har forlatt selskapet.

utfordringer:

Sikre at ansatte fullt ut forstår deres pågående konfidensialitetsforpliktelser.
Holde styr på inngåtte avtaler og sikre at de er oppdaterte og juridisk bindende.
Ta opp potensielle juridiske tvister angående konfidensialitetsbrudd.

Løsninger:

Gjennomfør regelmessige treningsøkter for å minne ansatte om deres taushetsplikt.
Bruk elektroniske signaturverktøy for å vedlikeholde og spore signerte avtaler.
Engasjere juridisk rådgiver for å gjennomgå og oppdatere avtaler med jevne mellomrom.

Relaterte ISO 27001-klausuler:

Klausul 7.3: Bevissthet
Punkt 7.4: Kommunikasjon

Kunnskapsoverføring

Målet: Tilrettelegge for overføring av kunnskap og ansvar til andre ansatte eller nyansatte. Dette bidrar til å opprettholde forretningskontinuitet og sikrer at viktig informasjon og oppgaver ikke går tapt under overgangen.

utfordringer:

Sikre en jevn overføring av kunnskap uten å miste viktig informasjon.
Håndtere overgangsprosessen effektivt, spesielt under plutselige eller uplanlagte avganger.
Sikre at gjenværende ansatte er tilstrekkelig opplært til å ta over nye ansvarsområder.

Løsninger:

Utvikle en strukturert kunnskapsoverføringsplan som inkluderer dokumentasjon og treningsøkter.
Bruk samarbeidsverktøy som wikier eller interne kunnskapsbaser for å lagre og dele informasjon.
Planlegg overlappingsperioder der avtroppende ansatte jobber med sine erstattere.

Relaterte ISO 27001-klausuler:

Punkt 7.2: Kompetanse
Punkt 7.5: Dokumentert informasjon

Avslutt intervjuer

Målet: Gjennomfør utgangsintervjuer for å diskutere eventuelle utestående sikkerhetsproblemer og sikre at den avgående ansatte er klar over sitt fortsatte ansvar. Dette kan også gi innsikt i potensielle sikkerhetsforbedringer.

utfordringer:

Gjennomføring av grundige og konsistente exit-intervjuer på tvers av organisasjonen.
Å adressere tilbakemeldinger konstruktivt og implementere nødvendige forbedringer.
Sikre at alle sikkerhetshensyn blir dokumentert og fulgt opp.

Løsninger:

Utvikle en standardisert utgangsintervjuprosess og sjekkliste.
Tildel dedikert personell til å gjennomføre utgangsintervjuer og håndtere tilbakemeldinger.
Dokumenter tilbakemeldinger og spor implementeringen av foreslåtte forbedringer.

Relaterte ISO 27001-klausuler:

Punkt 9.3: Ledelsens gjennomgang
Klausul 10.2: Avvik og korrigerende tiltak

Overvåking og revisjon

Målet: Overvåke og revidere prosessene knyttet til oppsigelse eller endring av ansettelse for å sikre overholdelse av sikkerhetspolicyer. Dette inkluderer å verifisere at tilgang er tilbakekalt og eiendeler har blitt returnert.

utfordringer:

Oppbevare nøyaktige registre over alle oppsigelsesrelaterte aktiviteter for revisjonsformål.
Gjennomføre regelmessige revisjoner for å identifisere mangler eller problemer med manglende samsvar.
Sikre at korrigerende handlinger implementeres og spores.

Løsninger:

Implementer et robust journalføringssystem for å spore alle oppsigelsesaktiviteter.
Planlegg regelmessige revisjoner og bruk revisjonsstyringsverktøy for å strømlinjeforme prosessen.
Utvikle et system for sporing og oppfølging av korrigerende handlinger.

Relaterte ISO 27001-klausuler:

Punkt 9.2: Internrevisjon
Klausul 10.2: Avvik og korrigerende tiltak

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din

ISMS.online-funksjoner for å demonstrere samsvar med A.6.5

ISMS.online tilbyr flere funksjoner som kan være medvirkende til å demonstrere samsvar med A.6.5:

brukeradministrasjon

Adgangskontroll: Administrer og tilbakekall tilgangsrettigheter effektivt gjennom detaljerte brukertilgangslogger og rollebaserte tilgangskontroller.
Identitetsadministrasjon: Sørg for omfattende administrasjon av brukeridentiteter, inkludert umiddelbar deaktivering av kontoer og fjerning av privilegier.

Asset Management

Aktivaregister: Spor og administrer organisatoriske eiendeler tildelt ansatte, og sørg for at de returneres ved oppsigelse eller endring av ansettelse.
Merkesystem: Tilrettelegge for sporing og gjenfinning av eiendeler gjennom systematisk merking og kategorisering.

Policy Management

Policymaler: Implementer og kommuniser konfidensialitetsavtaler og andre relevante retningslinjer tydelig for å sikre forståelse og samsvar.
Dokument kontroll: Opprettholde og oppdatere konfidensialitetsavtaler, og sikre at de er signert og anerkjent av alle ansatte.

Hendelsesstyring

Incident Tracker: Logg og administrer eventuelle hendelser relatert til oppsigelse eller endring av ansettelse, og sikrer en strukturert og dokumentert tilnærming til å håndtere sikkerhetsproblemer.
arbeidsflyt: Strømlinjeform avslutningsprosessen med forhåndsdefinerte arbeidsflyter som sikrer at alle nødvendige trinn, for eksempel tilbakekalling av tilgang og retur av aktiva, er fullført.

Revisjonsledelse

Revisjonsmaler: Revider avslutningsprosesser regelmessig ved å bruke tilpassbare maler for å sikre overholdelse av retningslinjer og identifisere områder for forbedring.
Korrigerende tiltak: Dokumentere og implementere korrigerende handlinger utledet fra utgangsintervjuer eller revisjoner, og forbedre den generelle prosessen.

Kommunikasjon

Varslingssystem: Automatiser varsler til relevante avdelinger når en ansatts status endres, og sikrer rettidig handling for tilbakekalling av tilgang og retur av eiendeler.
Samarbeidsverktøy: Tilrettelegge for kommunikasjon mellom HR, IT og andre relevante avdelinger for å sikre sømløs utførelse av oppsigelsesprosedyrer.

Detaljert vedlegg A.6.5 Sjekkliste for samsvar

For å sikre samsvar med A.6.5, kan følgende sjekkliste brukes:

Tilbakekall av tilgang

Identifiser alle systemer og applikasjoner den ansatte hadde tilgang til.

Oppheve fysisk tilgang (f.eks. bygningskort).

Deaktiver brukerkontoer på alle systemer.

Fjern tilgang til eksterne arbeidsverktøy og VPN-er.

Hent alle bedriftsutstedte enheter.

Retur av eiendeler

Bekreft listen over eiendeler som er tildelt den ansatte.

Sørg for retur av alle fysiske eiendeler (f.eks. bærbare datamaskiner, mobile enheter).

Sjekk tilstanden til returnerte eiendeler.

Utfør datarensing på returnerte enheter.

Oppdater forvaltningsposter.

Konfidensialitetsavtaler

Se gjennom konfidensialitetsavtalen som er signert av den ansatte.

Minn den ansatte om deres pågående konfidensialitetsforpliktelser.

Sørg for at juridisk rådgiver vurderer avtalen for eventuelle oppdateringer.

Dokumenter bekreftelsen av konfidensialitetsvilkår etter oppsigelse.

Kunnskapsoverføring

Identifiser nøkkelansvar og kunnskapsområder hos den avgående medarbeideren.

Arrangere økter for kunnskapsoverføring med andre ansatte eller nyansatte.

Dokumenter kritiske prosesser og oppgaver.

Sikre at nytt personell er opplært til å ta over ansvar.

Overvåk overgangen for å sikre kontinuitet.

Avslutt intervjuer

Planlegg utgangsintervjuer med alle avgående ansatte.

Diskuter eventuelle utestående sikkerhetsproblemer.

Samle tilbakemelding på oppsigelsesprosessen.

Dokumenter alle punkter som ble diskutert under intervjuet.

Implementere nødvendige forbedringer basert på tilbakemeldinger.

Overvåking og revisjon

Opprettholde oversikt over alle oppsigelsesrelaterte aktiviteter.

Gjennomføre regelmessige revisjoner av oppsigelsesprosessen.

Bekreft at tilgangen er tilbakekalt og eiendeler er returnert.

Identifiser og adresserer eventuelle mangler eller problemer med manglende overholdelse.

Implementere og spore korrigerende handlinger.

Ytterligere beste praksis for vedlegg A.6.5

Dokumenter alt: Sørg for at alle prosesser, beslutninger og handlinger er godt dokumentert. Dette hjelper med å revidere og demonstrere samsvar.
Vanlig trening: Gi regelmessig opplæring til HR- og IT-ansatte om viktigheten og prosedyrene for håndtering av oppsigelser og endringer i ansettelsesforhold.
Kontinuerlig forbedring: Bruk tilbakemeldinger fra utgangsintervjuer og revisjoner for å kontinuerlig forbedre oppsigelsesprosessen.
Juridisk samsvar: Sørg for at alle handlinger er i samsvar med lokale arbeidslover og forskrifter angående oppsigelse og endringer i ansettelse.

Ved å effektivt utnytte disse ISMS.online-funksjonene og adressere de vanlige utfordringene som står overfor under implementeringen, kan organisasjoner sikre omfattende overholdelse av A.6.5-kontrollen, minimere risiko forbundet med oppsigelser eller rolleendringer og opprettholde robust informasjonssikkerhet.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Hvert vedlegg A kontrollsjekklistetabell

ISO 27001 vedlegg A.5 Kontrollsjekklistetabell

ISO 27001 kontrollnummer	Kontrollsjekkliste for ISO 27001
Vedlegg A.5.1	Sjekkliste for retningslinjer for informasjonssikkerhet
Vedlegg A.5.2	Sjekkliste for roller og ansvar for informasjonssikkerhet
Vedlegg A.5.3	Sjekkliste for oppgavedeling
Vedlegg A.5.4	Sjekkliste for ledelsesansvar
Vedlegg A.5.5	Sjekkliste for kontakt med myndighetene
Vedlegg A.5.6	Sjekkliste for kontakt med spesielle interessegrupper
Vedlegg A.5.7	Sjekkliste for trusseletterretning
Vedlegg A.5.8	Sjekkliste for informasjonssikkerhet i prosjektledelse
Vedlegg A.5.9	Sjekkliste for oversikt over informasjon og andre tilknyttede eiendeler
Vedlegg A.5.10	Akseptabel bruk av informasjon og andre tilhørende eiendeler Sjekkliste
Vedlegg A.5.11	Sjekkliste for retur av eiendeler
Vedlegg A.5.12	Klassifisering av informasjon Sjekkliste
Vedlegg A.5.13	Merking av informasjonssjekkliste
Vedlegg A.5.14	Sjekkliste for informasjonsoverføring
Vedlegg A.5.15	Sjekkliste for tilgangskontroll
Vedlegg A.5.16	Sjekkliste for identitetshåndtering
Vedlegg A.5.17	Sjekkliste for autentiseringsinformasjon
Vedlegg A.5.18	Sjekkliste for tilgangsrettigheter
Vedlegg A.5.19	Sjekkliste for informasjonssikkerhet i leverandørforhold
Vedlegg A.5.20	Adressering av informasjonssikkerhet i sjekkliste for leverandøravtaler
Vedlegg A.5.21	Håndtering av informasjonssikkerhet i sjekklisten for IKT-leverandørkjeden
Vedlegg A.5.22	Sjekkliste for overvåking, gjennomgang og endringshåndtering av leverandørtjenester
Vedlegg A.5.23	Sjekkliste for informasjonssikkerhet for bruk av skytjenester
Vedlegg A.5.24	Sjekkliste for planlegging og forberedelse av informasjonssikkerhet hendelser
Vedlegg A.5.25	Sjekkliste for vurdering og beslutning om informasjonssikkerhetshendelser
Vedlegg A.5.26	Svar på sjekkliste for informasjonssikkerhetshendelser
Vedlegg A.5.27	Lær av informasjonssikkerhetshendelser Sjekkliste
Vedlegg A.5.28	Sjekkliste for innsamling av bevis
Vedlegg A.5.29	Sjekkliste for informasjonssikkerhet under avbrudd
Vedlegg A.5.30	Sjekkliste for IKT-beredskap for forretningskontinuitet
Vedlegg A.5.31	Sjekkliste for juridiske, lovpålagte, forskriftsmessige og kontraktsmessige krav
Vedlegg A.5.32	Sjekkliste for immaterielle rettigheter
Vedlegg A.5.33	Sjekkliste for beskyttelse av poster
Vedlegg A.5.34	Sjekkliste for personvern og beskyttelse av PII
Vedlegg A.5.35	Uavhengig gjennomgang av sjekkliste for informasjonssikkerhet
Vedlegg A.5.36	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhetssjekkliste
Vedlegg A.5.37	Sjekkliste for dokumenterte driftsprosedyrer

ISO 27001 vedlegg A.6 Kontrollsjekklistetabell

ISO 27001 kontrollnummer	Kontrollsjekkliste for ISO 27001
Vedlegg A.6.1	Sjekkliste for screening
Vedlegg A.6.2	Sjekkliste for ansettelsesvilkår
Vedlegg A.6.3	Sjekkliste for bevissthet om informasjonssikkerhet, utdanning og opplæring
Vedlegg A.6.4	Sjekkliste for disiplinær prosess
Vedlegg A.6.5	Sjekkliste for ansvar etter oppsigelse eller endring av ansettelse
Vedlegg A.6.6	Sjekkliste for konfidensialitet eller taushetserklæring
Vedlegg A.6.7	Sjekkliste for eksternt arbeid
Vedlegg A.6.8	Sjekkliste for rapportering av hendelser for informasjonssikkerhet

ISO 27001 vedlegg A.7 Kontrollsjekklistetabell

ISO 27001 kontrollnummer	Kontrollsjekkliste for ISO 27001
Vedlegg A.7.1	Sjekkliste for fysisk sikkerhet Perimeter
Vedlegg A.7.2	Sjekkliste for fysisk inngang
Vedlegg A.7.3	Sjekkliste for sikring av kontorer, rom og fasiliteter
Vedlegg A.7.4	Sjekkliste for overvåking av fysisk sikkerhet
Vedlegg A.7.5	Sjekkliste for beskyttelse mot fysiske og miljømessige trusler
Vedlegg A.7.6	Sjekkliste for arbeid i sikre områder
Vedlegg A.7.7	Sjekkliste for Clear Desk og Clear Screen
Vedlegg A.7.8	Sjekkliste for plassering og beskyttelse av utstyr
Vedlegg A.7.9	Sikkerhet for eiendeler Off-Premises Sjekkliste
Vedlegg A.7.10	Sjekkliste for lagringsmedier
Vedlegg A.7.11	Sjekkliste for støtteverktøy
Vedlegg A.7.12	Sjekkliste for kablingsikkerhet
Vedlegg A.7.13	Sjekkliste for vedlikehold av utstyr
Vedlegg A.7.14	Sjekkliste for sikker avhending eller gjenbruk av utstyr

ISO 27001 vedlegg A.8 Kontrollsjekklistetabell

ISO 27001 kontrollnummer	Kontrollsjekkliste for ISO 27001
Vedlegg A.8.1	Sjekkliste for brukerendepunktenheter
Vedlegg A.8.2	Sjekkliste for privilegerte tilgangsrettigheter
Vedlegg A.8.3	Sjekkliste for begrensninger for informasjonstilgang
Vedlegg A.8.4	Tilgang til sjekkliste for kildekode
Vedlegg A.8.5	Sjekkliste for sikker autentisering
Vedlegg A.8.6	Sjekkliste for kapasitetsstyring
Vedlegg A.8.7	Sjekkliste for beskyttelse mot skadelig programvare
Vedlegg A.8.8	Håndtering av tekniske sårbarheter Sjekkliste
Vedlegg A.8.9	Sjekkliste for konfigurasjonsadministrasjon
Vedlegg A.8.10	Sjekkliste for sletting av informasjon
Vedlegg A.8.11	Sjekkliste for datamaskering
Vedlegg A.8.12	Sjekkliste for forebygging av datalekkasje
Vedlegg A.8.13	Sjekkliste for sikkerhetskopiering av informasjon
Vedlegg A.8.14	Sjekkliste for redundans for informasjonsbehandlingsfasiliteter
Vedlegg A.8.15	Loggingssjekkliste
Vedlegg A.8.16	Sjekkliste for overvåkingsaktiviteter
Vedlegg A.8.17	Sjekkliste for synkronisering av klokke
Vedlegg A.8.18	Sjekkliste for bruk av Privileged Utility Programs
Vedlegg A.8.19	Installasjon av programvare på sjekkliste for operasjonelle systemer
Vedlegg A.8.20	Sjekkliste for nettverkssikkerhet
Vedlegg A.8.21	Sjekkliste for sikkerhet for nettverkstjenester
Vedlegg A.8.22	Sjekkliste for segregering av nettverk
Vedlegg A.8.23	Sjekkliste for nettfiltrering
Vedlegg A.8.24	Bruk av sjekkliste for kryptografi
Vedlegg A.8.25	Sjekkliste for livssyklus for sikker utvikling
Vedlegg A.8.26	Sjekkliste for applikasjonssikkerhetskrav
Vedlegg A.8.27	Sjekkliste for sikker systemarkitektur og tekniske prinsipper
Vedlegg A.8.28	Sjekkliste for sikker koding
Vedlegg A.8.29	Sjekkliste for sikkerhetstesting i utvikling og aksept
Vedlegg A.8.30	Sjekkliste for outsourcet utvikling
Vedlegg A.8.31	Separasjon av sjekkliste for utviklings-, test- og produksjonsmiljøer
Vedlegg A.8.32	Sjekkliste for endringsledelse
Vedlegg A.8.33	Sjekkliste for testinformasjon
Vedlegg A.8.34	Sjekkliste for beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper med A.6.5

Implementering av robuste informasjonssikkerhetstiltak er avgjørende i dagens digitale landskap. Å sikre overholdelse av ISO 27001:2022, spesielt med kontroller som A.6.5 Ansvar etter oppsigelse eller endring av ansettelse, kan være utfordrende, men er avgjørende for å beskytte organisasjonens sensitive informasjon.

ISMS.online gir en omfattende plattform med verktøyene og funksjonene som er nødvendige for å strømlinjeforme denne prosessen og sikre grundig overholdelse.

Klar til å heve informasjonssikkerheten og overholdelsesstrategiene dine?

Kontakt ISMS.online i dag for å finne ut hvordan vår plattform kan støtte organisasjonens behov. Bestill en demo nå og opplev førstehånds hvordan ISMS.online kan forenkle og forbedre overholdelsesarbeidet.