Hva er Control 6.4?
ISO 27002: 2022, Kontroll 6.4. Disiplinær prosess snakker om behovet for at organisasjoner får på plass en form for disiplinærprosess for å virke avskrekkende slik at personell ikke vil begå informasjonssikkerhetsbrudd.
Denne prosessen bør kommuniseres formelt og en passende straff utformes for ansatte og andre relevante interesserte parter som begår en informasjonssikkerhetspolitikk overtredelse.
Brudd på informasjonssikkerhet forklart
Brudd på retningslinjene for informasjonssikkerhet er et brudd på reglene eller lovene som styrer riktig håndtering av informasjon. Informasjonssikkerhetspolicyer er etablert av organisasjoner for å beskytte konfidensielle, proprietære og personlige data, slik som kunderegistre og kredittkortnumre. Informasjonssikkerhetspolicyer inkluderer også datasikkerhetspolicyer som bidrar til å sikre sikkerheten og integriteten til data som er lagret på datamaskiner.
Hvis du for eksempel ikke har tillatelse fra din overordnede til å bruke bedriftens e-post til å sende personlige e-poster, kan dette føre til brudd på bedriftens retningslinjer. I tillegg, hvis du gjør en feil mens du bruker selskapets utstyr eller programvare og forårsaker skade på det eller dataene som er lagret på det, kan det også betraktes som et brudd på retningslinjene for informasjonssikkerhet.
Hvis en ansatt bryter med en organisasjons retningslinjer for informasjonssikkerhet, kan han eller hun bli utsatt for disiplinærtiltak eller oppsigelse fra arbeidsforholdet. I noen tilfeller kan et selskap velge å ikke si opp en ansatt som bryter retningslinjene for datamaskinbruk, men i stedet ta andre passende tiltak for å forhindre fremtidige brudd på selskapets retningslinjer.
Attributttabell
Kontroller kan grupperes ved hjelp av attributter. Når du ser på kontrollens attributter, kan du lettere relatere den til etablerte bransjekrav og terminologi. Følgende attributter er i kontroll 6.4.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet | #Beskytte | #Human Resource Security | #Governance og økosystem |
| #Korrigerende | #Integritet | #Svar | ||
| #Tilgjengelighet |
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hva er hensikten med kontroll 6.4?
Formålet med disiplinærprosessen er å sikre at personell og andre relevante interessenter forstår konsekvensene av et brudd på retningslinjene for informasjonssikkerhet.
Bortsett fra å sikre at ansatte og andre relevante interesserte parter forstår konsekvensene av brudd på retningslinjene for informasjonssikkerhet, er kontroll 6.4 utformet for å avskrekke og hjelpe til med å håndtere de som bryter disse retningslinjene.
Et sentralt element i et effektivt informasjonssikkerhetsprogram er evnen til å implementere passende disiplinære handlinger for ansatte som bryter retningslinjer og prosedyrer for informasjonssikkerhet. Denne måten, ansatte er klar over konsekvensene for brudd på etablerte retningslinjer og prosedyrer, og dermed redusere potensialet for tilsiktede eller utilsiktede datainnbrudd.
Følgende er eksempler på aktiviteter som kan inkluderes når denne kontrollen implementeres:
- Gjennomføre periodiske treningsøkter om endringer i politikk;
- Utforme disiplinære handlinger for manglende overholdelse av retningslinjer for informasjonssikkerhet;
- Gi en kopi av organisasjonens disiplinære prosedyrer til hver ansatt;
- Sørg for at disiplinære prosedyrer følges konsekvent i lignende situasjoner.
De disiplinære handlingene som er beskrevet i rammeverket/dokumentet bør iverksettes umiddelbart etter en hendelse, for å fraråde andre som måtte ønske å bryte organisasjonens retningslinjer.
Hva er involvert og hvordan du oppfyller kravene
For å oppfylle kravene i kontroll 6.4, må disiplinære tiltak iverksettes når det er bevis på manglende overholdelse av organisasjonens retningslinjer, prosedyrer eller forskrifter. Dette inkluderer manglende overholdelse av lover og regler som gjelder for organisasjonen.
I henhold til kontroll 6.4 skal den formelle disiplinærprosessen sørge for en gradert respons som tar hensyn til følgende faktorer:
- Naturen (hvem, hva, når, hvordan), tyngdekraften og konsekvensene av bruddet;
- Hvorvidt lovbruddet var ondsinnet (forsettlig) eller utilsiktet (tilfeldig);
- Om dette er det første eller andre lovbruddet;
- Hvorvidt overtrederen fikk tilstrekkelig opplæring eller ikke.
Handlingen bør ta hensyn til alle relevante juridiske, lovgivende, regulatoriske, kontraktsmessige og bedriftsforpliktelser, så vel som andre relevante omstendigheter.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Endringer og forskjeller fra ISO 27002:2013
Hvis du er kjent med ISO 27002:2013, vil du vite at selv om kontrollidentiteten/-nummeret er endret, er kontroll 6.4 i ISO 27002:2022 ikke akkurat en ny kontroll. Det er snarere en modifisert versjon av kontroll 7.2.3 i ISO 27002:2013.
Når det er sagt, er det ingen signifikante forskjeller mellom de to kontrollene i begge versjonene av ISO 27002. Den lille forskjellen du vil legge merke til er at kontrollnummeret er endret fra 7.23 til 6.4. I 2022-versjonen av standarden er også attributttabellen og formålserklæringen inkludert. Disse to funksjonene er ikke i 2013-versjonen.
Bortsett fra deres forskjellige ordlyd, er disse kontrollene i utgangspunktet identiske når det gjelder innhold og kontekst. Brukervennlig terminologi ble brukt i ISO 27002:2022 for å sikre at standardens brukere bedre kan forstå innholdet.
Hvem er ansvarlig for denne prosessen?
I de fleste tilfeller håndteres disiplinærprosessen av avdelingsleder eller personal representant. Det er ikke uvanlig at HR-representanten delegerer ansvar for disiplinære tiltak overfor noen andre i organisasjonen, for eksempel en informasjonssikkerhetsspesialist.
Hovedformålet med disiplinærtiltak er å beskytte organisasjonen mot ytterligere brudd fra den ansatte. Den har også som mål å forhindre lignende hendelser som gjentar seg ved å sikre at alle ansatte forstår betydningen av brudd på informasjonssikkerheten.
For å sikre at det iverksettes disiplinære tiltak mot en ansatt som har brutt en organisasjons retningslinjer eller prosedyrer, er det viktig at det finnes klare retningslinjer for håndtering av slike situasjoner. Disse retningslinjene bør inneholde spesifikke instruksjoner om hvordan man gjennomfører undersøkelser og handlinger som bør iverksettes etter at undersøkelser er fullført.
Hva betyr disse endringene for deg?
Hvis du lurer på hva disse endringene betyr for deg, her er en kort oversikt over de viktigste punktene:
- Det er ikke en vesentlig endring, så du trenger ikke å sertifisere på nytt.
- Du kan beholde din eksisterende sertifisering til den utløper (hvis den fortsatt er gyldig).
- Det er ingen store endringer i innholdet i ISO 27002.
- Fokuset er mer på å oppdatere standarden for å samsvare med gjeldende beste praksis og standarder.
Strukturen til standarden forblir uendret. Noen kontroller er imidlertid endret for å tydeliggjøre betydningen eller forbedre samsvar med andre deler av standarden.
Men hvis du har tenkt på oppnå ISMS-sertifisering, kan det hende du må undersøke sikkerhetsprosedyrene dine for å bekrefte at de er i samsvar med den reviderte standarden.
For å lære mer om hvordan den nye ISO 27002 kan påvirke informasjonssikkerhetsoperasjonene dine og ISO 27001 sertifisering, vennligst sjekk ut vår gratis ISO 27002:2022-veiledning.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | NEW | Trusselintelligens |
| 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 8.9 | NEW | Konfigurasjonsstyring |
| 8.10 | NEW | Sletting av informasjon |
| 8.11 | NEW | Datamaskering |
| 8.12 | NEW | Forebygging av datalekkasje |
| 8.16 | NEW | Overvåking av aktiviteter |
| 8.23 | NEW | Web-filtrering |
| 8.28 | NEW | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Hvordan ISMS.Online hjelper
ISMS.Online er den ledende ISO 27002 styringssystemprogramvare som støtter samsvar med ISO 27002, og hjelper bedrifter med å tilpasse sine sikkerhetspolicyer og prosedyrer med standarden.
Den skybaserte plattformen gir et komplett sett med verktøy for å hjelpe organisasjoner med å sette opp en styringssystem for informasjonssikkerhet (ISMS) i henhold til ISO 27002.
Disse verktøyene inkluderer:
- Et bibliotek med maler for vanlige bedriftsdokumenter;
- Et sett med forhåndsdefinerte retningslinjer og prosedyrer;
- An revisjonsverktøy for å støtte interne revisjoner;
- Et grensesnitt for tilpasning ISMS retningslinjer og prosedyrer;
- En godkjenningsarbeidsflyt for alle endringer som er gjort i retningslinjer og prosedyrer;
- En sjekkliste for å sikre at dine retningslinjer og informasjonssikkerhetsprosesser følger de godkjente internasjonale standardene.
ISMS.Online lar også brukere:
- Administrer alle aspekter av ISMS livssyklus med letthet.
- Få sanntidsinnsikt i deres sikkerhetsstilling og samsvarshull.
- Integrer med andre systemer som HR, økonomi og prosjektledelse.
- Demonstrere samsvar med deres ISMS med ISO 27001-standarder.
ISMS.Online gir også veiledning om hvordan du best implementerer ISMS ved å gi tips om hvordan du oppretter retningslinjer og prosedyrer knyttet til aspekter som risikostyring, opplæring i bevisstgjøring av personellsikkerhet og planlegging av hendelser.
Vår plattform har blitt designet fra bunnen av med hjelp av informasjonssikkerhetseksperter fra hele verden, og vi har utviklet den på en måte som gjør det enkelt for personer uten teknisk kunnskap om styringssystemer for informasjonssikkerhet (ISMS) å bruke det.
Vil du se den i aksjon?
Ta kontakt i dag for å bestill en demo.
