ISO 27001 – Liite A.7: Henkilöstön turvallisuus

Mikä on liitteen A.7.1 tavoite?

Liite A.7.1 koskee ennen työllistymistä. Tämän liitteen tavoitteena on varmistaa, että työntekijät ja urakoitsijat ymmärtävät vastuunsa ja sopivat niihin tehtäviin, joihin heitä harkitaan. Se kattaa myös sen, mitä tapahtuu, kun nämä ihmiset lähtevät tai vaihtavat rooleja.

Se on tärkeä osa tietoturvan hallintajärjestelmää (ISMS), varsinkin jos haluat saavuttaa ISO 27001 -sertifikaatin.

A.7.1.1 Seulonta

Hyvä valvonta kattaa kaikkien työnhakijoiden tausta- ja pätevyystarkastukset. Ne on suoritettava asiaankuuluvien lakien, määräysten ja eettisten periaatteiden mukaisesti, ja niiden tulee olla oikeassa suhteessa liiketoiminnan vaatimuksiin, käytettävissä olevien tietojen luokitukseen ja niihin liittyviin havaittuihin riskeihin.

Esimerkiksi henkilökunnalle, joka käyttää korkeamman tason tietoresursseja, joihin liittyy suurempi riski, voidaan tehdä paljon tiukempia tarkastuksia kuin henkilökunnalle, joka pääsee vain julkisiin tietoihin tai käsittelee omaisuutta rajoitetulla uhalla. Riittävän ja oikeasuhteisen HR-valvonnan käyttöönotto kaikissa työsuhteen vaiheissa auttaa vähentämään tahattomien tai haitallisten uhkien todennäköisyyttä.

Tarkastuksen tulisi tapahtua myös urakoitsijoiden osalta (ellei heidän emoorganisaationsa täytä laajempia turvatarkastuksiasi, esim. sillä on oma ISO 27001 ja se tekee omat taustatarkistuksensa).

Tarkastaja odottaa näkevänsä seulontaprosessin, jossa selkeitä menettelytapoja käytetään johdonmukaisesti joka kerta, jotta vältytään myös mieltymysten tai ennakkoluulojen riskiltä. Ihannetapauksessa tämä on linjassa koko organisaation palkkausprosessin kanssa.

A.7.1.2 Työehdot

Työntekijöiden ja urakoitsijoiden kanssa tehtävässä sopimussopimuksessa on mainittava heidän ja organisaation tietoturvavastuut. Nämä sopimukset ovat hyvä paikka asettaa keskeiset tietoturvallisuuteen liittyvät yleiset ja yksilölliset vastuut, koska niillä on juridista painoarvoa – eli ne on tuettu lailla.

Tämä on myös erittäin tärkeää GDPR:n ja vuoden 2018 uuden tietosuojalain kannalta. Niiden tulisi viitata ja kattaa useita valvonta-alueita, mukaan lukien yleinen ISMS:n noudattaminen sekä tarkemmin sanottuna hyväksyttävä käyttö, immateriaalioikeuksien omistus, omaisuuden palautus jne.

Suosittelemme työskentelemään HR-juristin kanssa, jos olet epävarma, sillä työsopimusten vääristymisen seuraukset voivat tietoturvallisuuden (ja muiden ulottuvuuksien) näkökulmasta olla merkittäviä.

Mikä on liitteen A.7.2 tavoite?

Tämän liitteen tavoitteena on varmistaa, että työntekijät ja urakoitsijat ovat tietoisia tietoturvavelvollisuuksistaan ​​ja täyttävät ne työsuhteen aikana.

A.7.2.1 Johdon vastuut

Hyvä kontrolli kuvaa, kuinka työntekijät ja urakoitsijat soveltavat tietoturvaa organisaation käytäntöjen ja menettelytapojen mukaisesti.

Esimiehille asetettujen vastuiden tulisi sisältää vaatimuksia; Varmista, että henkilöt, joista he ovat vastuussa, ymmärtävät heidän työtehtäviinsä liittyvät tietoturvauhat, haavoittuvuudet ja hallintakeinot ja saavat säännöllistä koulutusta (kohta A7.2.2); Varmista, että hankitaan ennakoiva ja riittävä tuki asiaankuuluville tietoturvakäytännöille ja -valvonnalle; ja vahvistaa työehtojen vaatimuksia.

Esimiehillä on kriittinen rooli turvallisuustietoisuuden ja tunnollisuuden varmistamisessa koko organisaatiossa ja sopivan "turvallisuuskulttuurin" kehittämisessä.

A.7.2.2 Tietoturvatietoisuus, koulutus ja koulutus

Kaikkien työntekijöiden ja asiaankuuluvien urakoitsijoiden on saatava asianmukainen tietoisuuskoulutus ja koulutus tehdäkseen työnsä hyvin ja turvallisesti. Heidän on myös saatava säännöllisesti päivityksiä organisaation politiikoista ja menettelytavoista, kun niitä muutetaan, sekä hyvä ymmärrys sovellettavasta lainsäädännöstä, joka vaikuttaa heihin rooliin.

On tavallista, että tietoturvatiimi tekee yhteistyötä HR- tai oppimis- ja kehitystiimin kanssa taitojen, tietojen, pätevyyden ja tietoisuuden arvioimiseksi sekä suunnitella ja toteuttaa tietoisuus-, koulutus- ja koulutusohjelman koko työelämän ajan (ei vain induktio). Sinun on pystyttävä osoittamaan tämä koulutus ja vaatimustenmukaisuus tilintarkastajille.

Harkitse myös huolellisesti, kuinka koulutus ja tietoisuus tarjotaan, jotta henkilöstö ja urakoitsijaresurssit saavat parhaan mahdollisuuden ymmärtää ja seurata sitä – tämä tarkoittaa tarkkaa huomiota sisältöön ja toimitustapaan.

Mikä on liitteen A.7.3 tavoite?

Liite A.7.3 koskee työsuhteen päättymistä ja muutosta. Tämän liitteen tavoitteena on suojella organisaation etuja osana työsuhteen muutos- ja irtisanomista.

A.7.3.1 Työsuhteen päättyminen tai muutos

Työsuhteen päättymisen tai muutoksen jälkeen voimassa olevat tietoturvavastuut ja -velvoitteet on määriteltävä, ilmoitettava työntekijälle tai urakoitsijalle ja pantava täytäntöön. Esimerkkejä ovat tietojen pitäminen luottamuksellisina ja organisaatiolle kuuluvien tietojen jättäminen pois.

On todella tärkeää varmistaa, että tieto säilyy suojattuna työntekijän tai urakoitsijan lähtemisen jälkeen, sillä ihmiset itse kävelevät tietovarastoja. Sopimusehtojen tulisi vahvistaa tätä, ja eroavan prosessiin ja/tai sopimuksen irtisanomiseen (mukaan lukien omaisuuden palauttaminen) tulee sisältyä muistutus henkilöille siitä, että heillä on joitain velvollisuuksia organisaatiota kohtaan myös lähtemisen jälkeen.

Tarkastaja haluaa nähdä todisteita siitä, että lähteneet ovat palauttaneet omaisuutensa ja että prosessi on päätetty ja dokumentoitu osoittaakseen, että omaisuusluetteloon (A8.1.1) päivitetään myös tarvittaessa.

Tämä ei koske vain lopettamista ja poistumista. Jos työntekijä vaihtaa roolia, esimerkiksi siirtyy toiminnasta myyntiin, sinun tulee tehdä tarkistus osoittaaksesi, ettei hänellä enää ole pääsyä tietoresursseihin, joita ei vaadita uudessa roolissa, ja heillä on pääsy tulevaisuutta varten tarvittaviin tietoresursseihin.

A.7.2.3 Kurinpitoprosessi

On oltava dokumentoitu kurinpitoprosessi ja siitä on tiedotettava (yllä olevan kohdan A7.2.2 mukaisesti). Vaikka tässä keskitytään kurinpitotoimiin tietoturvaloukkausten jälkeen, se voidaan yhdistää myös muihin kurinpidollisiin syihin. Jos organisaatiossasi on jo tunnustettu henkilöstöhallinnon kurinpitoprosessi, varmista, että se kattaa tietoturvan ISO 27001:2013 -standardin edellyttämällä tavalla.