Kontroll 6.5 i ISO 27002:2022 dekker behovet for at organisasjoner definerer informasjonssikkerhetsoppgaver og -ansvar som fortsatt gjelder dersom personell slutter å jobbe eller flytter til en ny avdeling.
Disse pliktene og ansvaret bør kommuniseres til den ansatte så vel som enhver annen relevant part.
Informasjonsplikter og -ansvar er de forpliktelsene en arbeidstaker har overfor sin arbeidsgiver når det gjelder håndtering av konfidensiell informasjon. Plikten til å holde informasjon konfidensiell er en juridisk forpliktelse i de fleste stater, så det er viktig for ansatte å forstå hva de er pålagt å gjøre når det gjelder å beskytte sin arbeidsgivers informasjon.
I de fleste tilfeller har arbeidsgivere rett til å forvente at deres ansatte ikke bare beskytter konfidensiell informasjon informasjon, men heller ikke bruke den informasjonen til personlig vinning som gjennom innsidehandel eller andre ulovlige aktiviteter.
Eksempler på informasjonssikkerhetsoppgaver og -ansvar inkluderer:
Som organisasjon er det viktig å forstå din ansvar ved håndtering av personopplysninger fordi det vil hjelpe deg å unngå brudd på personvernlovgivningen, noe som kan få alvorlige konsekvenser for både bedriften din og dine ansatte.
Kontroller klassifiseres ved hjelp av attributter. Ved å bruke disse kan du raskt matche kontrollutvalget ditt med ofte brukte bransjetermer og spesifikasjoner.
Attributter for kontroll 6.5 er:
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Human Resource Security # Asset Management | #Governance og økosystem |
Kontroll 6.5 er en kontroll som bør implementeres når en ansatt eller entreprenør forlater organisasjonen, eller kontrakten sies opp før den utløper.
Formålet med denne kontrollen er å beskytte organisasjonens informasjonssikkerhetsinteresser som en del av prosessen med å endre eller avslutte arbeidsforhold eller kontrakter.
Denne kontrollen kan også fungere for å beskytte mot risiko for ansatte som har tilgang til sensitiv informasjon og prosesser, misbruker sin stilling for personlig vinning eller ondsinnet hensikt, spesielt etter at de har forlatt organisasjonen eller jobbrollen.
Kontroll 6.5 har som mål å beskytte organisasjonens informasjonssikkerhetsinteresser som en del av prosessen med å endre eller avslutte arbeidsforhold eller kontrakter. Dette inkluderer ansatte, kontraktører og tredjeparter som har tilgang til din sensitive informasjon.
Implementering av kontrollen betyr å vurdere om noen enkeltpersoner (inkludert de som er ansatt av en tredjepart) som har tilgang til dine sensitive personopplysninger forlater organisasjonen din, og om det er nødvendig å ta skritt for å sikre at de ikke beholder og fortsetter å få tilgang til dine sensitive personopplysninger etter avreise.
Hvis du oppdager at noen drar og det er fare for at sensitive personopplysninger kan bli utlevert, må du ta rimelige skritt før de drar, eller så snart som mulig etter at de har reist, så dette ikke skjer.
For å oppfylle kravene til kontroll 6.5, bør vilkårene for en persons ansettelse, kontrakt eller avtale spesifisere eventuelle informasjonssikkerhetsansvar og plikter som forblir i kraft etter slutten av forholdet.
Informasjonssikkerhetsplikter kan også inngå i andre kontrakter eller avtaler som strekker seg utover slutten av arbeidsforholdet.
Alle som slutter eller bytter jobb bør få overført informasjonssikkerhetsansvar og plikter til en ny person, og all tilgangslegitimasjon slettet og opprettet en ny.
Mer informasjon om hvordan dette fungerer finner du i ISO 27002:2022 standarddokument.
Kontroll 6.5 i den nye ISO 27002:2022 er ikke en ny kontroll, snarere er det en modifisert versjon av kontroll 7.3.1 i ISO 27002:2013.
Selv om det grunnleggende i disse to kontrollene er like, er det små variasjoner. For eksempel er implementeringsveiledningen i begge versjonene litt forskjellige.
Den første delen av implementeringsveiledningen i kontroll 7.3.1 i ISO 27002: 2013 sier at
"Formidlingen av oppsigelsesansvar bør inkludere pågående informasjonssikkerhetskrav og juridisk ansvar og, der det er hensiktsmessig, ansvar som er inneholdt i enhver konfidensialitetsavtale og ansettelsesvilkårene og ansettelsesvilkårene som fortsetter i en definert periode etter avsluttet ansettelsesforhold til den ansatte eller kontraktøren. ”
Den samme delen i kontroll 6.5 i ISO 27002:2022 sier det
«Prosessen for å håndtere oppsigelse eller endring av ansettelse bør definere hvilke informasjonssikkerhetsansvar og plikter som skal forbli gyldige etter oppsigelse eller endring. Dette kan inkludere konfidensialitet av informasjon, åndsverk og annen innhentet kunnskap, så vel som ansvar inneholdt i enhver annen konfidensialitetsavtale.
Ansvar og plikter som fortsatt er gyldige etter opphør av arbeidsforhold eller kontrakt bør være nedfelt i den enkeltes ansettelsesvilkår, kontrakt eller avtale. Andre kontrakter eller avtaler som varer i en definert periode etter endt arbeidsforhold kan også inneholde informasjonssikkerhetsansvar.»
Når det er sagt, uansett hvor mye deres formuleringer er forskjellige, har begge kontrollene en stort sett lik struktur og funksjon i deres respektive kontekster. Språket som brukes i kontroll 6.5 er forenklet for å gjøre det mer brukervennlig, slik at de som skal bruke standarden lettere skal kunne forholde seg til innholdet.
Det er viktig å også påpeke at 2022-versjonen av ISO 27002 også kommer med en formålserklæring og attributttabell for hver kontroll for å hjelpe brukerne bedre å forstå og implementere kontrollene. Disse to delene mangler i 2013-utgaven.
I tråd med anbefalingene i kontroll 6.5 personalavdelingen er vanligvis ansvarlig for den totale oppsigelsesprosessen i de fleste organisasjoner, og den samarbeider med den tilsynsførende lederen for den enkelte som går over for å overvåke informasjonssikkerhetselementene i de relaterte prosedyrene.
Personell levert av en ekstern part (for eksempel en leverandør) sies opp av den eksterne parten i tråd med vilkårene i kontrakten som ble etablert mellom organisasjonen og den eksterne parten.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
ISO 27002:2013-standarden har ikke blitt vesentlig endret. Standarden ble nettopp oppdatert for å lette brukervennligheten. Det er ikke nødvendig for noen organisasjon som for øyeblikket er i samsvar med ISO 27002:2013 å ta noen ekstra skritt for å opprettholde samsvar med ISO 27002.
For å overholde revisjonene i ISO 27002:2022, trenger organisasjonen kun å gjøre mindre endringer i eksisterende prosesser og prosedyrer, spesielt hvis det er noen intensjon om å re-sertifisere.
Hvis du ønsker å lære mer om hvordan disse endringene for kontroll 6.5 vil påvirke organisasjonen din, kan du se veiledningen vår om ISO 27002:2022.
Bedrifter kan bruke ISMS.Online for å hjelpe dem med deres ISO 27002-samsvarsarbeid ved å gi dem en plattform som gjør det enkelt å administrere sikkerhetspolicyer og -prosedyrer, oppdatere dem etter behov, teste dem og overvåke effektiviteten.
Vår skybaserte plattform lar deg raskt og enkelt administrere alle aspektene ved ISMS, inkludert risikostyring, retningslinjer, planer, prosedyrer og mer, på ett sentralt sted. Plattformen er enkel å bruke og har et intuitivt grensesnitt som gjør det enkelt å lære å bruke.
ISMS.Online lar deg:
Hvis du er en bedrift som må overholde ISO 27001 og/eller ISO 27002, ISMS.Online tilbyr et komplett utvalg funksjoner for å hjelpe deg med å nå dette viktige målet.
Ta kontakt i dag for å bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
