Kontroll 6.2, ansettelsesvilkår i den nye ISO 27002: 2022 snakker om behovet for kontraktsavtale for å informere enhver nyansatt om deres og organisasjonens ansvar for informasjonssikkerhet.
Hva dette betyr er at ansatte skal vite om selskapets informasjonssikkerhetspolitikk, samt roller og ansvar for personer som jobber med informasjonssikkerhet i selskapet. Dette kan gjøres ved at personell signerer en arbeidskontrakt eller lignende.
En slik kontraktsavtale vil typisk skissere de generelle kravene til beskytte informasjonsressurser, inkludert fysisk sikkerhet, miljøkontroller, tilgangskontroller og beredskapsplanlegging samt en konfidensialitetsavtale hvis de skal jobbe med PII.
Informasjonssikkerhet er praksisen med å forsvare informasjon mot uautorisert tilgang, bruk, avsløring, forstyrrelse, modifikasjon, gjennomlesing, inspeksjon, opptak eller ødeleggelse. Det inkluderer å sikre konfidensialitet, integritet og tilgjengelighet av data.
Hensikten med informasjonssikkerhet er å beskytte organisasjonens eiendeler og åndsverk fra angrep fra hackere og andre sikkerhetstrusler.
Informasjonssikkerhetstrusler er potensielle farer som ondsinnede aktører kan utgjøre for organisasjoners data og infrastruktur. De risiko er ofte forbundet med dårlig informasjonssikkerhet praksis og/eller utilstrekkelige beskyttelsestiltak.
De vanligste truslene om informasjonssikkerhet inkluderer:
Informasjonssikkerhetstrusler er i stadig utvikling og øker i kompleksitet. Truslene kommer både fra utsiden og i organisasjonen, og de kan slå til når som helst.
Attributter er en måte å gruppere kontroller på. Det er lettere å matche kontrollvalget ditt til standard bransjespesifikasjoner og terminologi hvis du ser på egenskapene til kontrollen. I kontroll 6.2 kan følgende attributter brukes.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Human Resource Security | #Governance og økosystem |
Hensikten med kontroll 6.2 er å sikre at alle ansatte har forståelse for sin rolle i å beskytte selskapets eiendeler og konfidensielle opplysninger, spesielt når det gjelder rollen de er ansatt for.
Kontroll 6.2 ansettelsesvilkår er en viktig del av din organisasjonens styringssystem for informasjonssikkerhet (ISMS). Det hjelper deg oppfylle dine forpliktelser i henhold til GDPR og andre lovkrav knyttet til behandling av personopplysninger og informasjonssikkerhet.
Hensikten med denne kontrollen er å sikre at personell forstår deres informasjonssikkerhetsansvar i organisasjonen.
For å bidra til dette, er det viktig at ansatte blir gjort oppmerksomme på sine taushetsplikter og andre relevante vilkår og betingelser før de begynner ansettelse i en organisasjon. Dette kan også inkludere eventuelle restriksjoner på bruk av teknologi eller sosiale medieplattformer.
Denne kontrollen bør gjennomgås årlig for å sikre at eventuelle endringer i organisasjonsstruktur eller prosedyrer gjenspeiles i dokumentasjonen som gis til ansatte.
Den mest åpenbare måten å oppfylle kravene til Kontroll 6.2, ansettelsesvilkår, er å gi alle ansatte en skriftlig ansettelseskontrakt, eller tilbudsbrev, som skisserer alle vilkår og betingelser for deres ansettelse, spesielt på området informasjonssikkerhet .
Også de kontraktsmessige forpliktelsene for personell bør ta hensyn til organisasjonens informasjonssikkerhetspolitikk og relevante emnespesifikke retningslinjer, og følgende punkter bør være godt dekket i arbeidsavtalen:
Til slutt bør organisasjonen sørge for at personellet godtar vilkår og betingelser for informasjonssikkerhet.
Kontroll 6.2 i ISO 27002:2022 er ikke akkurat en ny kontroll i denne ISO-serien. Denne versjonen av ISO 2022 ble publisert i februar 27002, og er en oppgradering av 2013-versjonen. Kontroll 6.2 er derfor en modifisert versjon av kontroll 7.1.2 i ISO 27002:2013.
2022-versjonen kommer med en attributttabell og en formålserklæring som ikke er tilgjengelig i kontroll 7.1.2.
Når det er sagt, er det ingen annen åpenbar forskjell mellom de to kontrollene bortsett fra endringen i kontrollnummer. Selv om fraseologien til de to kontrollene kanskje ikke er lik, er innholdet og konteksten praktisk talt det samme.
Svaret er enkelt: Det avhenger av bedriftens størrelse og måten de ansatte er organisert på.
I mindre bedrifter kan én person være ansvarlig for alle HR-funksjoner (f.eks. rekruttering, kontrakter, opplæring). Det kan også være mulig å delegere disse oppgavene til en annen person i selskapet. Denne personen vil sørge for at Kontroll 6.2 følges riktig av alle ansatte, men vil ikke være ansvarlig for utviklingen eller tolkningen.
Denne funksjonen kan også være et delt ansvar mellom alle ledere og veiledere i hele organisasjonen – fra administrerende direktør ned til mellomledernivåer.
For riktig implementering av denne kontrollen er det imidlertid best at HR-sjefen er ansvarlig, med tilsyn fra ISMS-ansvarlig.
Den nye ISO 27002:2022-standarden er ingen vesentlig oppdatering. Som et resultat trenger du ikke gjøre noen vesentlige endringer for å være i samsvar med den nyeste versjonen av ISO 27002.
Ikke desto mindre, hvis du planlegger å implementere en ISMS (eller til og med ISMS-sertifisering), er det avgjørende at du evaluerer den nåværende utgaven av ISO 27002 og bekrefter at sikkerhetsprosedyrene dine er tilstrekkelige.
Ytterligere informasjon om hvordan den nye ISO 27002 vil påvirke informasjonssikkerhetsoperasjonene dine og ISO 27001 sertifisering finnes i vår ISO 27002:2022-håndbok, som er tilgjengelig for gratis nedlasting på nettstedet vårt.
ISMS.online er en skybasert løsning som hjelper bedrifter å vise samsvar med ISO 27002. ISMS.online-løsningen kan brukes til å administrere kravene i ISO 27002 og sikre at organisasjonen din forblir kompatibel med den nye standarden.
ISO 27002-standarden er oppdatert for å gjenspeile de økende cybertruslene vi står overfor som samfunn. Den gjeldende standarden ble først publisert i 2005 og revidert i 2013 for å gjenspeile endringer i teknologi, forskrifter og industristandarder. Den nye versjonen av ISO 27002 inkorporerer disse oppdateringene i ett dokument, i tillegg til å legge til nye krav til organisasjoner for å hjelpe dem bedre å beskytte datamidlene sine mot cyberangrep.
ISMS.online-løsningen hjelper organisasjoner med å implementere ISO 27002:2022 ved å tilby et brukervennlig rammeverk for å dokumentere retningslinjer og prosedyrer for informasjonssikkerhet. Det gir også et sentralisert sted hvor du kan lagre all samsvarsdokumentasjonen din, slik at den lett kan nås av ulike interessenter i selskapet (f.eks. HR, IT).
Vår plattform er brukervennlig og grei. Det er ikke bare for svært tekniske personer; det er for alle i bedriften din.
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
