Hopp til innhold
ISMS.online

ISO 27002:2022 – Kontroll 6.2 – Vilkår og betingelser for ansettelse

ISO 27002:2022 Kontroll 6.2, som gir mandat å integrere informasjonssikkerhetsansvar i ansettelsesvilkår. Dette inkluderer konfidensialitetsavtaler, juridiske forpliktelser og overholdelsestiltak for å sikre at personalet forstår sine sikkerhetsoppgaver.

Forfatter
Sam Peters
Oppdatert juli 25, 2025
4/5 stjerner

Hva er kontroll 6.2 – Ansettelsesvilkår?

Kontroll 6.2, ansettelsesvilkår i den nye ISO 27002: 2022 snakker om behovet for kontraktsavtale for å informere enhver nyansatt om deres og organisasjonens ansvar for informasjonssikkerhet.

Hva dette betyr er at ansatte skal vite om selskapets informasjonssikkerhetspolitikk, samt roller og ansvar for personer som jobber med informasjonssikkerhet i selskapet. Dette kan gjøres ved at personell signerer en arbeidskontrakt eller lignende.

En slik kontraktsavtale vil typisk skissere de generelle kravene til beskytte informasjonsressurser, inkludert fysisk sikkerhet, miljøkontroller, tilgangskontroller og beredskapsplanlegging samt en konfidensialitetsavtale hvis de skal jobbe med PII.

Informasjonssikkerhet forklart

Informasjonssikkerhet er praksisen med å forsvare informasjon mot uautorisert tilgang, bruk, avsløring, forstyrrelse, modifikasjon, gjennomlesing, inspeksjon, opptak eller ødeleggelse. Det inkluderer å sikre konfidensialitet, integritet og tilgjengelighet av data.

Hensikten med informasjonssikkerhet er å beskytte organisasjonens eiendeler og åndsverk fra angrep fra hackere og andre sikkerhetstrusler.

Informasjonssikkerhetstrusler forklart

Informasjonssikkerhetstrusler er potensielle farer som ondsinnede aktører kan utgjøre for organisasjoners data og infrastruktur. De risiko er ofte forbundet med dårlig informasjonssikkerhet praksis og/eller utilstrekkelige beskyttelsestiltak.

De vanligste truslene om informasjonssikkerhet inkluderer:

  • data brudd og tap.
  • Phishing-angrep.
  • Skadelig programvare og løsepenger.
  • Virus- og ormeinfeksjoner.
  • DDoS-angrep.

Informasjonssikkerhetstrusler er i stadig utvikling og øker i kompleksitet. Truslene kommer både fra utsiden og i organisasjonen, og de kan slå til når som helst.



ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Et forsprang på 81 % fra dag én

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG


Attributttabell

Attributter er en måte å gruppere kontroller på. Det er lettere å matche kontrollvalget ditt til standard bransjespesifikasjoner og terminologi hvis du ser på egenskapene til kontrollen. I kontroll 6.2 kan følgende attributter brukes.

Kontrolltype Informasjonssikkerhetsegenskaper Konsepter for cybersikkerhet Operasjonelle evner Sikkerhetsdomener
#Forebyggende #Konfidensialitet #Beskytte #Human Resource Security #Governance og økosystem
#Integritet
#Tilgjengelighet

Hva er hensikten med kontroll 6.2?

Hensikten med kontroll 6.2 er å sikre at alle ansatte har forståelse for sin rolle i å beskytte selskapets eiendeler og konfidensielle opplysninger, spesielt når det gjelder rollen de er ansatt for.

Forpliktelser under kontroll 6.2

Kontroll 6.2 ansettelsesvilkår er en viktig del av din organisasjonens styringssystem for informasjonssikkerhet (ISMS). Det hjelper deg oppfylle dine forpliktelser i henhold til GDPR og andre lovkrav knyttet til behandling av personopplysninger og informasjonssikkerhet.

Hensikten med denne kontrollen er å sikre at personell forstår deres informasjonssikkerhetsansvar i organisasjonen.

For å bidra til dette, er det viktig at ansatte blir gjort oppmerksomme på sine taushetsplikter og andre relevante vilkår og betingelser før de begynner ansettelse i en organisasjon. Dette kan også inkludere eventuelle restriksjoner på bruk av teknologi eller sosiale medieplattformer.

Denne kontrollen bør gjennomgås årlig for å sikre at eventuelle endringer i organisasjonsstruktur eller prosedyrer gjenspeiles i dokumentasjonen som gis til ansatte.



klatring

Frigjør deg fra et fjell av regneark

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din


Hva er involvert og hvordan oppfyller du kravene

Den mest åpenbare måten å oppfylle kravene til Kontroll 6.2, ansettelsesvilkår, er å gi alle ansatte en skriftlig ansettelseskontrakt, eller tilbudsbrev, som skisserer alle vilkår og betingelser for deres ansettelse, spesielt på området informasjonssikkerhet .

Også de kontraktsmessige forpliktelsene for personell bør ta hensyn til organisasjonens informasjonssikkerhetspolitikk og relevante emnespesifikke retningslinjer, og følgende punkter bør være godt dekket i arbeidsavtalen:

  • konfidensialitet eller taushetserklæring som personell som får tilgang til konfidensiell informasjon bør signere før de får tilgang til informasjon og andre tilhørende eiendeler;
  • juridiske forpliktelser og rettigheter [f.eks. angående opphavsrettslover eller databeskyttelseslovgivning;
  • ansvar for klassifisering av informasjon og ledelse av organisasjonens
  • informasjon og andre tilhørende eiendeler, informasjonsbehandlingsfasiliteter og informasjonstjenester som håndteres av personellet;
  • ansvar for håndtering av informasjon mottatt fra interesserte parter;
  • tiltak som skal iverksettes dersom personell ignorerer organisasjonens sikkerhetskrav.

Til slutt bør organisasjonen sørge for at personellet godtar vilkår og betingelser for informasjonssikkerhet.

Endringer og forskjeller fra ISO 27002:2013

Kontroll 6.2 i ISO 27002:2022 er ikke akkurat en ny kontroll i denne ISO-serien. Denne versjonen av ISO 2022 ble publisert i februar 27002, og er en oppgradering av 2013-versjonen. Kontroll 6.2 er derfor en modifisert versjon av kontroll 7.1.2 i ISO 27002:2013.

2022-versjonen kommer med en attributttabell og en formålserklæring som ikke er tilgjengelig i kontroll 7.1.2.

Når det er sagt, er det ingen annen åpenbar forskjell mellom de to kontrollene bortsett fra endringen i kontrollnummer. Selv om fraseologien til de to kontrollene kanskje ikke er lik, er innholdet og konteksten praktisk talt det samme.

Hvem er ansvarlig for denne prosessen?

Svaret er enkelt: Det avhenger av bedriftens størrelse og måten de ansatte er organisert på.

I mindre bedrifter kan én person være ansvarlig for alle HR-funksjoner (f.eks. rekruttering, kontrakter, opplæring). Det kan også være mulig å delegere disse oppgavene til en annen person i selskapet. Denne personen vil sørge for at Kontroll 6.2 følges riktig av alle ansatte, men vil ikke være ansvarlig for utviklingen eller tolkningen.

Denne funksjonen kan også være et delt ansvar mellom alle ledere og veiledere i hele organisasjonen – fra administrerende direktør ned til mellomledernivåer.

For riktig implementering av denne kontrollen er det imidlertid best at HR-sjefen er ansvarlig, med tilsyn fra ISMS-ansvarlig.



ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Administrer all samsvarskontroll, alt på ett sted

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din


Hva betyr disse endringene for deg?

Den nye ISO 27002:2022-standarden er ingen vesentlig oppdatering. Som et resultat trenger du ikke gjøre noen vesentlige endringer for å være i samsvar med den nyeste versjonen av ISO 27002.

Ikke desto mindre, hvis du planlegger å implementere en ISMS (eller til og med ISMS-sertifisering), er det avgjørende at du evaluerer den nåværende utgaven av ISO 27002 og bekrefter at sikkerhetsprosedyrene dine er tilstrekkelige.

Ytterligere informasjon om hvordan den nye ISO 27002 vil påvirke informasjonssikkerhetsoperasjonene dine og ISO 27001 sertifisering finnes i vår ISO 27002:2022-håndbok, som er tilgjengelig for gratis nedlasting på nettstedet vårt.

Nye ISO 27002 kontroller

Nye kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.7 NEW Trusselintelligens
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.30 NEW IKT-beredskap for forretningskontinuitet
7.4 NEW Fysisk sikkerhetsovervåking
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.16 NEW Overvåking av aktiviteter
8.23 NEW Web-filtrering
8.28 NEW Sikker koding
Organisasjonskontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
5.1 05.1.1, 05.1.2 Retningslinjer for informasjonssikkerhet
5.2 06.1.1 Informasjonssikkerhetsroller og ansvar
5.3 06.1.2 Ansvarsfordeling
5.4 07.2.1 Lederansvar
5.5 06.1.3 Kontakt med myndigheter
5.6 06.1.4 Kontakt med interessegrupper
5.7 NEW Trusselintelligens
5.8 06.1.5, 14.1.1 Informasjonssikkerhet i prosjektledelse
5.9 08.1.1, 08.1.2 Inventar av informasjon og andre tilhørende eiendeler
5.10 08.1.3, 08.2.3 Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11 08.1.4 Retur av eiendeler
5.12 08.2.1 Klassifisering av informasjon
5.13 08.2.2 Merking av informasjon
5.14 13.2.1, 13.2.2, 13.2.3 Informasjonsoverføring
5.15 09.1.1, 09.1.2 Adgangskontroll
5.16 09.2.1 Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3 Autentiseringsinformasjon
5.18 09.2.2, 09.2.5, 09.2.6 Tilgangsrettigheter
5.19 15.1.1 Informasjonssikkerhet i leverandørforhold
5.20 15.1.2 Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21 15.1.3 Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22 15.2.1, 15.2.2 Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23 NEW Informasjonssikkerhet for bruk av skytjenester
5.24 16.1.1 Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25 16.1.4 Vurdering og beslutning om informasjonssikkerhetshendelser
5.26 16.1.5 Respons på informasjonssikkerhetshendelser
5.27 16.1.6 Lær av informasjonssikkerhetshendelser
5.28 16.1.7 Innsamling av bevis
5.29 17.1.1, 17.1.2, 17.1.3 Informasjonssikkerhet under avbrudd
5.30 5.30 IKT-beredskap for forretningskontinuitet
5.31 18.1.1, 18.1.5 Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32 18.1.2 Immaterielle rettigheter
5.33 18.1.3 Beskyttelse av poster
5.34 18.1.4 Personvern og beskyttelse av PII
5.35 18.2.1 Uavhengig gjennomgang av informasjonssikkerhet
5.36 18.2.2, 18.2.3 Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37 12.1.1 Dokumenterte driftsprosedyrer
Personkontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
6.1 07.1.1 Screening
6.2 07.1.2 Vilkår og betingelser for ansettelsen
6.3 07.2.2 Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4 07.2.3 Disiplinær prosess
6.5 07.3.1 Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6 13.2.4 Avtaler om konfidensialitet eller taushetsplikt
6.7 06.2.2 Fjernarbeid
6.8 16.1.2, 16.1.3 Informasjonssikkerhet hendelsesrapportering
Fysiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
7.1 11.1.1 Fysiske sikkerhetsomkretser
7.2 11.1.2, 11.1.6 Fysisk inngang
7.3 11.1.3 Sikring av kontorer, rom og fasiliteter
7.4 NEW Fysisk sikkerhetsovervåking
7.5 11.1.4 Beskyttelse mot fysiske og miljømessige trusler
7.6 11.1.5 Arbeid i sikre områder
7.7 11.2.9 Oversiktlig skrivebord og oversiktlig skjerm
7.8 11.2.1 Utstyrsplassering og beskyttelse
7.9 11.2.6 Sikkerhet av eiendeler utenfor lokaler
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Lagringsmedier
7.11 11.2.2 Støtteverktøy
7.12 11.2.3 Kablingssikkerhet
7.13 11.2.4 Vedlikehold av utstyr
7.14 11.2.7 Sikker avhending eller gjenbruk av utstyr
Teknologiske kontroller
ISO/IEC 27002:2022 kontrollidentifikator ISO/IEC 27002:2013 kontrollidentifikator Kontrollnavn
8.1 06.2.1, 11.2.8 Brukerendepunktsenheter
8.2 09.2.3 Privilegerte tilgangsrettigheter
8.3 09.4.1 Begrensning av informasjonstilgang
8.4 09.4.5 Tilgang til kildekode
8.5 09.4.2 Sikker autentisering
8.6 12.1.3 Kapasitetsstyring
8.7 12.2.1 Beskyttelse mot skadelig programvare
8.8 12.6.1, 18.2.3 Håndtering av tekniske sårbarheter
8.9 NEW Konfigurasjonsstyring
8.10 NEW Sletting av informasjon
8.11 NEW Datamaskering
8.12 NEW Forebygging av datalekkasje
8.13 12.3.1 Sikkerhetskopiering av informasjon
8.14 17.2.1 Redundans av informasjonsbehandlingsanlegg
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NEW Overvåking av aktiviteter
8.17 12.4.4 Kloksynkronisering
8.18 09.4.4 Bruk av privilegerte hjelpeprogrammer
8.19 12.5.1, 12.6.2 Installasjon av programvare på operasjonssystemer
8.20 13.1.1 Nettverkssikkerhet
8.21 13.1.2 Sikkerhet for nettverkstjenester
8.22 13.1.3 Segregering av nettverk
8.23 NEW Web-filtrering
8.24 10.1.1, 10.1.2 Bruk av kryptografi
8.25 14.2.1 Sikker utviklingslivssyklus
8.26 14.1.2, 14.1.3 Krav til applikasjonssikkerhet
8.27 14.2.5 Sikker systemarkitektur og tekniske prinsipper
8.28 NEW Sikker koding
8.29 14.2.8, 14.2.9 Sikkerhetstesting i utvikling og aksept
8.30 14.2.7 Utkontraktert utvikling
8.31 12.1.4, 14.2.6 Separasjon av utviklings-, test- og produksjonsmiljøer
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Endringsledelse
8.33 14.3.1 Testinformasjon
8.34 12.7.1 Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.Online hjelper

ISMS.online er en skybasert løsning som hjelper bedrifter å vise samsvar med ISO 27002. ISMS.online-løsningen kan brukes til å administrere kravene i ISO 27002 og sikre at organisasjonen din forblir kompatibel med den nye standarden.

ISO 27002-standarden er oppdatert for å gjenspeile de økende cybertruslene vi står overfor som samfunn. Den gjeldende standarden ble først publisert i 2005 og revidert i 2013 for å gjenspeile endringer i teknologi, forskrifter og industristandarder. Den nye versjonen av ISO 27002 inkorporerer disse oppdateringene i ett dokument, i tillegg til å legge til nye krav til organisasjoner for å hjelpe dem bedre å beskytte datamidlene sine mot cyberangrep.

ISMS.online-løsningen hjelper organisasjoner med å implementere ISO 27002:2022 ved å tilby et brukervennlig rammeverk for å dokumentere retningslinjer og prosedyrer for informasjonssikkerhet. Det gir også et sentralisert sted hvor du kan lagre all samsvarsdokumentasjonen din, slik at den lett kan nås av ulike interessenter i selskapet (f.eks. HR, IT).

Vår plattform er brukervennlig og grei. Det er ikke bare for svært tekniske personer; det er for alle i bedriften din.

Ta kontakt i dag for å bestill en demo.

Sam Peters

Sam er Chief Product Officer hos ISMS.online og leder utviklingen av alle produktfunksjoner og funksjonalitet. Sam er en ekspert på mange områder av samsvar og jobber med kunder på alle skreddersydde eller storskala prosjekter.

Ta en virtuell omvisning

Start din gratis 2-minutters interaktive demonstrasjon nå og se
ISMS.online i aksjon!

Prøv det nå
plattformdashbord fullt på krystall

Vi er ledende innen vårt felt

4/5 stjerner
Brukere elsker oss
Leder - Høst 2025
Høypresterende, småbedrifter - høsten 2025 Storbritannia
Regional leder - høsten 2025 Europa
Regional leder - høsten 2025 EMEA
Regional leder - høsten 2025 Storbritannia
Høypresterende - Høsten 2025 Europa Mellommarked

"ISMS.Online, enestående verktøy for overholdelse av forskrifter"

– Jim M.

"Gjør eksterne revisjoner til en lek og kobler alle aspekter av ISMS-en sømløst sammen"

– Karen C.

"Innovativ løsning for å administrere ISO og andre akkrediteringer"

— Ben H.