ISO 27002: 2022, Kontroll 6.4. Disiplinær prosess snakker om behovet for at organisasjoner får på plass en form for disiplinærprosess for å virke avskrekkende slik at personell ikke vil begå informasjonssikkerhetsbrudd.
Denne prosessen bør kommuniseres formelt og en passende straff utformes for ansatte og andre relevante interesserte parter som begår en informasjonssikkerhetspolitikk overtredelse.
Brudd på retningslinjene for informasjonssikkerhet er et brudd på reglene eller lovene som styrer riktig håndtering av informasjon. Informasjonssikkerhetspolicyer er etablert av organisasjoner for å beskytte konfidensielle, proprietære og personlige data, slik som kunderegistre og kredittkortnumre. Informasjonssikkerhetspolicyer inkluderer også datasikkerhetspolicyer som bidrar til å sikre sikkerheten og integriteten til data som er lagret på datamaskiner.
Hvis du for eksempel ikke har tillatelse fra din overordnede til å bruke bedriftens e-post til å sende personlige e-poster, kan dette føre til brudd på bedriftens retningslinjer. I tillegg, hvis du gjør en feil mens du bruker selskapets utstyr eller programvare og forårsaker skade på det eller dataene som er lagret på det, kan det også betraktes som et brudd på retningslinjene for informasjonssikkerhet.
Hvis en ansatt bryter med en organisasjons retningslinjer for informasjonssikkerhet, kan han eller hun bli utsatt for disiplinærtiltak eller oppsigelse fra arbeidsforholdet. I noen tilfeller kan et selskap velge å ikke si opp en ansatt som bryter retningslinjene for datamaskinbruk, men i stedet ta andre passende tiltak for å forhindre fremtidige brudd på selskapets retningslinjer.
Kontroller kan grupperes ved hjelp av attributter. Når du ser på kontrollens attributter, kan du lettere relatere den til etablerte bransjekrav og terminologi. Følgende attributter er i kontroll 6.4.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende #Korrigerende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte #Svar | #Human Resource Security | #Governance og økosystem |
Formålet med disiplinærprosessen er å sikre at personell og andre relevante interessenter forstår konsekvensene av et brudd på retningslinjene for informasjonssikkerhet.
Bortsett fra å sikre at ansatte og andre relevante interesserte parter forstår konsekvensene av brudd på retningslinjene for informasjonssikkerhet, er kontroll 6.4 utformet for å avskrekke og hjelpe til med å håndtere de som bryter disse retningslinjene.
Et sentralt element i et effektivt informasjonssikkerhetsprogram er evnen til å implementere passende disiplinære handlinger for ansatte som bryter retningslinjer og prosedyrer for informasjonssikkerhet. Denne måten, ansatte er klar over konsekvensene for brudd på etablerte retningslinjer og prosedyrer, og dermed redusere potensialet for tilsiktede eller utilsiktede datainnbrudd.
Følgende er eksempler på aktiviteter som kan inkluderes når denne kontrollen implementeres:
De disiplinære handlingene som er beskrevet i rammeverket/dokumentet bør iverksettes umiddelbart etter en hendelse, for å fraråde andre som måtte ønske å bryte organisasjonens retningslinjer.
For å oppfylle kravene i kontroll 6.4, må disiplinære tiltak iverksettes når det er bevis på manglende overholdelse av organisasjonens retningslinjer, prosedyrer eller forskrifter. Dette inkluderer manglende overholdelse av lover og regler som gjelder for organisasjonen.
I henhold til kontroll 6.4 skal den formelle disiplinærprosessen sørge for en gradert respons som tar hensyn til følgende faktorer:
Handlingen bør ta hensyn til alle relevante juridiske, lovgivende, regulatoriske, kontraktsmessige og bedriftsforpliktelser, så vel som andre relevante omstendigheter.
Hvis du er kjent med ISO 27002:2013, vil du vite at selv om kontrollidentiteten/-nummeret er endret, er kontroll 6.4 i ISO 27002:2022 ikke akkurat en ny kontroll. Det er snarere en modifisert versjon av kontroll 7.2.3 i ISO 27002:2013.
Når det er sagt, er det ingen signifikante forskjeller mellom de to kontrollene i begge versjonene av ISO 27002. Den lille forskjellen du vil legge merke til er at kontrollnummeret er endret fra 7.23 til 6.4. I 2022-versjonen av standarden er også attributttabellen og formålserklæringen inkludert. Disse to funksjonene er ikke i 2013-versjonen.
Bortsett fra deres forskjellige ordlyd, er disse kontrollene i utgangspunktet identiske når det gjelder innhold og kontekst. Brukervennlig terminologi ble brukt i ISO 27002:2022 for å sikre at standardens brukere bedre kan forstå innholdet.
I de fleste tilfeller håndteres disiplinærprosessen av avdelingsleder eller personal representant. Det er ikke uvanlig at HR-representanten delegerer ansvar for disiplinære tiltak overfor noen andre i organisasjonen, for eksempel en informasjonssikkerhetsspesialist.
Hovedformålet med disiplinærtiltak er å beskytte organisasjonen mot ytterligere brudd fra den ansatte. Den har også som mål å forhindre lignende hendelser som gjentar seg ved å sikre at alle ansatte forstår betydningen av brudd på informasjonssikkerheten.
For å sikre at det iverksettes disiplinære tiltak mot en ansatt som har brutt en organisasjons retningslinjer eller prosedyrer, er det viktig at det finnes klare retningslinjer for håndtering av slike situasjoner. Disse retningslinjene bør inneholde spesifikke instruksjoner om hvordan man gjennomfører undersøkelser og handlinger som bør iverksettes etter at undersøkelser er fullført.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Hvis du lurer på hva disse endringene betyr for deg, her er en kort oversikt over de viktigste punktene:
Strukturen til standarden forblir uendret. Noen kontroller er imidlertid endret for å tydeliggjøre betydningen eller forbedre samsvar med andre deler av standarden.
Men hvis du har tenkt på oppnå ISMS-sertifisering, kan det hende du må undersøke sikkerhetsprosedyrene dine for å bekrefte at de er i samsvar med den reviderte standarden.
For å lære mer om hvordan den nye ISO 27002 kan påvirke informasjonssikkerhetsoperasjonene dine og ISO 27001 sertifisering, vennligst sjekk ut vår gratis ISO 27002:2022-veiledning.
ISMS.Online er den ledende ISO 27002 styringssystemprogramvare som støtter samsvar med ISO 27002, og hjelper bedrifter med å tilpasse sine sikkerhetspolicyer og prosedyrer med standarden.
Den skybaserte plattformen gir et komplett sett med verktøy for å hjelpe organisasjoner med å sette opp en styringssystem for informasjonssikkerhet (ISMS) i henhold til ISO 27002.
Disse verktøyene inkluderer:
ISMS.Online lar også brukere:
ISMS.Online gir også veiledning om hvordan du best implementerer ISMS ved å gi tips om hvordan du oppretter retningslinjer og prosedyrer knyttet til aspekter som risikostyring, opplæring i bevisstgjøring av personellsikkerhet og planlegging av hendelser.
Vår plattform har blitt designet fra bunnen av med hjelp av informasjonssikkerhetseksperter fra hele verden, og vi har utviklet den på en måte som gjør det enkelt for personer uten teknisk kunnskap om styringssystemer for informasjonssikkerhet (ISMS) å bruke det.
Vil du se den i aksjon?
Ta kontakt i dag for å bestill en demo.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
