ISO 27701:2025 er publisert
Den oppdaterte ISO 27701:2025-standarden ble utgitt i juli 2025 og erstattet 2019-utgaven. Innholdet på denne siden gjelder 2019 utgave, som fortsatt er gyldig i overgangsperioden frem til oktober 2028.
ISO 27701 klausul 6.4: Styrking av menneskelig ressurssikkerhet
En del av å fremme en proaktiv tilnærming til personvern innebærer å implementere robuste sikkerhetskontroller for menneskelige ressurser som styrer egnetheten og kompetansen til alt personell som er forventes å samhandle med PII på organisasjonens vegne.
ISO klassifiserer slike tiltak i to kategorier:
- Screening før ansettelse (referanser, ID-sjekker etc).
- De kontraktsmessige forpliktelsene som personell forventes å overholde når de blir en del av organisasjonen.
Hva dekkes av ISO 27701 klausul 6.4
Klausul 6.4 inneholder to hovedunderklausuler som inneholder spesifikk veiledning knyttet til tilsvarende informasjon innenfor ISO 27002, om enn under dekke av personvern, snarere enn generell informasjonssikkerhet:
- ISO 27701 6.4.1.1 – Screening (Referanser ISO 27002 Control 6.1)
- ISO 27701 6.4.1.2 – Vilkår og betingelser for ansettelse (referanser ISO 27002 kontroll 6.2)
I motsetning til andre deler av ISO 27701, er ingen av klausulene relevante for noe spesifikt område av GDPR, og de inneholder heller ingen tilleggsveiledning for PIMS-relaterte aktiviteter.
På grunn av en rekke lovmessige og kontraktuelle faktorer inneholder ISO 27701 6.4.1.2 (omhandler hovedsakelig arbeidskontrakter) informasjon som krever kryssreferanser med forskjellige andre klausuler inneholdt i ISO 27002. Organisasjoner bør derfor se nøye på deres kontraktsmessige vilkår og betingelser, og tilpasse sin HR-drift deretter.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
ISO 27701 klausul 6.4.1.1 – Screening
Referanser ISO 27002 Kontroll 6.1
Organisasjoner bør opprette en screeningsprosess for å styrke menneskelig ressurssikkerhet, inkludert alt heltids- og deltidspersonell, og bør også utvides til tredjepartskontraktører gjennom relevante leverandøravtaler.
Organisasjoner bør sikre at de er oppmerksomme på sitt ansvar som PII-behandler når de samler inn informasjon om kandidater og leverandører, inkludert å holde seg på rett side av nasjonal og delegert lovgivning som styrer hvordan kandidater informeres om screeningsaktiviteter før de utføres.
Bakgrunnssjekker bør minimum inneholde:
- Referanser (ideelt sett en bedrift og en personlig referanse).
- En fullstendig verifisering av kandidatens CV.
- Verifikasjon av akademiske, profesjonelle og yrkesfaglige kvalifikasjoner og sertifiseringer.
- IDV (Identity Verification) som tar hensyn til offentlig utstedt ID-materiale, eller et passende verifikasjonsnivå der slike dokumenter ikke kan produseres (f.eks. kontoutskrifter eller korrespondanse fra lokale myndigheter).
Hvis kandidaten skal ansettes i en rolle som er kommersielt sensitiv, eller gir kandidaten en stor grad av tillit dersom de skulle lykkes med søknaden, bør organisasjoner også vurdere å gjennomføre forbedrede undersøkelsesprosedyrer – som kredittsjekk og/ eller kontroll av strafferegistret – etter behov.
Organisasjoner bør også vurdere måter å verifisere pågående egnethet av alt personell som er ansatt i en kritisk rolle. Slike prosedyrer bør avgjøres på en jobb for jobb basis, og det bør ikke skilles mellom nye ansatte, eller eksisterende ansatte som har blitt forfremmet til en rolle som har et større ansvar.
Sysselsettingsscreening er ikke alltid i stand til å gjennomføres i tide. Der dette skjer, bør organisasjoner vurdere alternative handlingsmåter som minimerer risikoen forbundet med en ikke-screenet medarbeider, inkludert:
- Forsinket ombordstigning.
- Begrenset tilgang til systemer.
- Tilbakeholder selskapets eiendeler og utstyr.
- Oppsigelse.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
ISO 27701 klausul 6.4.1.2 – Vilkår og betingelser for ansettelse
Referanser ISO 27002 Kontroll 6.2
Ansettelseskontrakter bør utarbeides og undertegnes med tanke på organisatorisk informasjonssikkerhet, inkludert eventuelle emnespesifikke retningslinjer som er utviklet for å bidra til å styrke personvernet på avdelingsbasis.
Kontrakter bør ha en grad av personverntiltak som er proporsjonale med rollen de er knyttet til, og bør gjennomgås i møte med gjeldende lovgivning, eller regulatoriske/kontraktsmessige forpliktelser.
Personvernroller og -ansvar bør spres bredt til kandidater gjennom hele rekrutteringsprosessen. Arbeidskontrakter bør inneholde:
- NDA-klausuler som utvides til alle ansatte som håndterer konfidensiell informasjon og/eller sikrer organisatoriske eiendeler (se ISO 27002 6.6).
- Alle organisasjonens og ansattes juridiske forpliktelser, spesielt alle som omhandler IP eller personvern, se (se ISO 27002 5.32 og 5.34).
- Alt relevant ansvar angående klassifisering og håndtering av informasjon, behandlingsfasiliteter og IKT-tjenester (se ISO 27002 5.9 og 5.13).
- Hva konsekvensene er for personell som viser organisasjonens retningslinjer for personvern.
- Der det er relevant, en rekke ansvarsområder som overføres i en passende periode etter at personell har forlatt organisasjonen (f.eks. NDAer, IP-bestemmelser).
Sammen med løpende ansettelsesansvar, kan personell også bli bedt om å følge en organisasjonsomfattende 'atferdskodeks', som fastsetter de grunnleggende prinsippene for en organisasjons personvernoperasjon, og PII-relaterte aktiviteter.
Relevante ISO 27002 kontroller
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
- ISO 27002
Støttekontroller fra ISO 27002 og GDPR
| ISO 27701 klausulidentifikator | ISO 27701 Klausulnavn | ISO 27002-krav | Tilknyttede GDPR-artikler |
|---|---|---|---|
| 6.4.1.1 | Screening |
6.1 – Screening for ISO 27002 |
none |
| 6.4.1.2 | Vilkår og betingelser for ansettelse |
6.2 – Ansettelsesvilkår for ISO 27002 |
none |
Hvordan ISMS.online hjelper
Vår skybaserte plattform lar deg få tilgang til alle PIMS-ressursene dine på ett sted. Du kan bruke vår brukervennlige plattform til å dokumentere alt du trenger for å vise at du oppfyller kravene i ISO 27701.
Vår Assured Results Method (ARM) avmystifiserer kravene i ISO 27701 og gir deg selvtillit mens du går videre mot å oppnå sertifisering. Vi har et internt team med informasjonssikkerhetseksperter som kan gi veiledning og svare på spørsmål for å hjelpe deg på vei mot ISO 27701-sertifisering.
Finn ut mer av bestille en demo.
