ISO 27002:2022, kontroll 6.3. Informasjonssikkerhetsbevissthet, utdanning og opplæring dekker behovet for ansatte i en organisasjon for å motta passende informasjonssikkerhetsbevissthet, utdanning og opplæring, pluss regelmessige oppdateringer av organisasjonens informasjonssikkerhetspolicy, spesielt når det gjelder jobbfunksjonen deres.
Informasjonssikkerhetsbevissthet, utdanning og opplæring (IT-sikkerhetsbevissthet) er prosessen med å informere brukere om viktigheten av informasjonssikkerhet og oppmuntre dem til å forbedre sine egne datasikkerhetsvaner.
Brukere må gjøres oppmerksomme på sikkerheten risikoer som kan komme fra deres aktiviteter og hvordan de kan beskytte seg mot disse risikoene.
Informasjonssikkerhetsbevissthet, utdanning og opplæring er kritiske komponenter for enhver organisasjons suksess. Det er avgjørende at alle ansatte forstår viktigheten av informasjonssikkerhet og hvordan den påvirker alle.
Jo mer ansatte forstår hvordan de kan beskytte seg mot cybertrusler, jo sikrere vil organisasjonen din være.
Kontroller kan grupperes ved hjelp av attributter. Når du ser på kontrollens attributter, kan du lettere relatere den til etablerte bransjekrav og terminologi. Følgende attributter er i kontroll 6.3.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Human Resource Security | #Governance og økosystem |
Hensikten med Kontroll 6.3 er å sikre at personell og relevante interesserte parter er klar over og riktig opplært til å oppfylle deres informasjonssikkerhetsansvar.
Kontroll 6.3 dekker en rekke aktiviteter som bidrar til å sikre at folk har kunnskapen og ferdighetene som kreves for å operere innenfor en organisasjons informasjonssikkerhet rammeverk. Hovedfokuset i dette kontrollen er på bevisstgjørende aktiviteter om viktigheten av informasjonssikkerhet, oppmuntre til god praksis, og fremme overholdelse av relevante retningslinjer og prosedyrer.
Informasjonssikkerhetsbevissthet, utdanning og opplæring er en kritisk komponent i en organisasjons overordnede risikostyringsstrategi og bør betraktes som en integrert del av organisasjonens sikkerhetspolicy.
Kontroll 6.3 definerer behovet for at organisasjoner har et bevisstgjøringsprogram for informasjonssikkerhet som gir alle ansatte nødvendig kunnskap og ferdigheter for å beskytte informasjonsressurser. Den gir veiledning om hva som bør inkluderes i et effektivt bevisstgjøringsprogram.
For eksempel kan organisasjonen trenge å sette i gang opplæring i sikkerhetsbevissthet minst årlig, eller som kreves av risikovurderingen, for alle ansatte og kontraktører som har blitt tildelt roller der de har tilgang til sensitive informasjonsressurser eller andre typer informasjon. systemer som lagrer, behandler eller overfører sensitive data.
Kravet til kontroll 6.3 er at en organisasjon skal ha en prosess for å sikre at ansatte får tilstrekkelig opplæring i hvordan de skal utføre sine arbeidsoppgaver trygt og sikkert på en måte som går ikke på akkord med informasjonssikkerheten. Dette kan oppnås gjennom treningsøkter. Det kan også oppnås ved å bruke nettressurser som videoer eller webinarer.
Informasjonssikkerhetsbevissthet, utdanning og opplæringsprogrammer bør utvikles i samsvar med organisasjonens informasjonssikkerhetspolicy, temaspesifikke retningslinjer og relevante informasjonssikkerhetsprosedyrer. Den bør også ta hensyn til organisasjonens informasjon som skal beskyttes og informasjonssikkerhetskontrollene som er implementert for å beskytte den. Dette bør skje med jevne mellomrom.
Introduksjonsbevissthet, utdanning og opplæring kan gjelde nye ansatte så vel som de som går over til nye stillinger eller oppgaver som krever vesentlig forskjellige nivåer av informasjonssikkerhet.
Bevisstgjøringskampanjen bør inkludere en rekke aktiviteter for å øke bevisstheten. Dette inkluderer kampanjer, hefter, plakater, nyhetsbrev, nettsider, informasjonsøkter, orienteringer, e-læringsmoduler og e-poster.
I henhold til kontroll 6.3 skal dette programmet dekke:
ISO 27002: 2022 er ikke en helt ny kontroll. Denne versjonen av ISO 27002, som ble publisert i februar 2022, er en oppdatering til den forrige versjonen, som ble publisert i 2013. Kontroll 6.3 i ISO 27002:2022 er derfor ikke en helt ny kontroll. Det er en litt modifisert versjon av kontroll 7.2.2 i ISO 27002:2013.
Kontroll 7.2.2 i ISO 27002:2013 har ikke en attributttabell eller en formålserklæring, som er inkludert i kontroll 6.3 i ISO 27002:2022-versjonen.
Når det er sagt, bortsett fra endringen i kontrollnummer, er det ingen annen merkbar forskjell mellom de to kontrollene. Til tross for at fraseologien til de to kontrollene er forskjellig, er substansen og konteksten til de to kontrollene i hovedsak den samme.
Språket i kontroll 6.3 er laget for å være mer brukervennlig, slik at folk som skal bruke standarden bedre skal kunne forholde seg til innholdet.
Svaret på dette spørsmålet avhenger av din organisasjon. I mange organisasjoner administreres informasjonssikkerhetsbevissthet, utdanning og opplæring av sikkerhetsteamet. I andre organisasjoner håndteres det av HR-avdelingen eller en annen funksjon.
Det viktige er å sørge for at noen er ansvarlige for å skape og implementere organisasjonens sikkerhetsbevissthetsprogram. Denne personen eller avdelingen bør også overvåkes av informasjonssikkerhetssjefen (hvis en annen person er ansvarlig for denne rollen).
Denne personen skal ha god forståelse for informasjonssikkerhet og kunne kommunisere med ansatte om ulike temaer knyttet til beste praksis innen sikkerhet. Denne personen skal også være i stand til å utvikle innhold til treningsprogrammene dine og holde regelmessige treningsøkter for ansatte.
Det er viktig å forstå at informasjonssikkerhet ikke bare er IT-ansvaret. Det er alles ansvar. Organisasjoner må ha et team med personer som er ansvarlige for sikkerhet, men de må også sørge for at alle forstår viktigheten av konfidensialitet og integritet.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Du trenger ikke gjøre mye fordi ISO 27002: 2022 ikke er en ny standard, men en revisjon av 2013-versjonen. Det forventes derfor at de fleste organisasjoner ikke trenger å gjøre endringer.
Men hvis du allerede har implementert 2013-versjonen av ISO 27002, må du vurdere om disse endringene er relevante for din organisasjon. Du må også gjennomgå sikkerhetsprosessene dine hvis du er det planlegging for ISMS-sertifisering. Dette vil sikre at prosessene dine er i samsvar med den gjennomgåtte standarden.
Vår ISO 27002:2022-veiledning, tilgjengelig for gratis nedlasting på nettstedet vårt, har mer informasjon om hvordan den nye ISO 27002 kan påvirke informasjonssikkerhetsoperasjonene dine og ISO 27001 sertifisering.
ISMS.Online er en komplett løsning for implementering av ISO 27002. Det er et nettbasert system som lar deg vise at styringssystemet for informasjonssikkerhet (ISMS) er kompatibelt med de godkjente standardene ved hjelp av gjennomtenkte prosesser, prosedyrer og sjekklister.
Det er ikke bare en brukervennlig plattform for å administrere din ISO 27002-implementering, men også et utmerket verktøy for opplæring av personalet i beste praksis og prosesser for informasjonssikkerhet, samt dokumentere all innsats.
De Fordeler med å bruke ISMS.På nett:
ISMS.Online forenkler prosessen med å implementere ISO 27002 ved å tilby alle nødvendige ressurser, informasjon og verktøy på ett sted. Den lar deg sjekke at ISMS-en din oppfyller standarden med bare noen få museklikk, noe som ellers ville tatt lang tid hvis det gjøres manuelt.
Vil du se den i aksjon?
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
