ISO 27001:2022 Liite A Valvonta 6.4

Kurinpitoprosessi

Varaa demo

pohja,näkymä,modernista,pilvenpiirtäjistä,liiketoiminnassa,piirissä,vastaan,sinistä

Mikä on ISO 27001:2022 liite A 6.4?

ISO 27001:2022 liite A 6.4 edellyttää, että organisaatiot ottavat käyttöön kurinpidollisen prosessin, joka toimii pelotteena tietoturva rikkomuksia.

Tästä prosessista tulee toteuttaa muodollinen viestintä ja asettaa tietoturvapolitiikkaa rikkoville työntekijöille ja muille sidosryhmille sopiva rangaistus.

Tietoturvaloukkaus selitetty

Lisätietoja turvallisuuspolitiikka rikkomukset ovat tietojen asianmukaista käsittelyä koskevien määräysten rikkomista. Organisaatiot laativat nämä käytännöt suojatakseen luottamuksellisia, omistusoikeudellisia ja henkilökohtaisia ​​tietoja, kuten asiakastietoja ja luottokorttinumeroita. Lisäksi näihin sisältyy myös tietoturvakäytäntöjä, joilla varmistetaan, että tietokoneisiin tallennetut tiedot pysyvät turvassa ja ehjinä.

Jos käytät yrityksen sähköpostia henkilökohtaisten viestien lähettämiseen ilman esimiehesi lupaa, tämä voi olla yrityksen politiikan rikkomus. Lisäksi, jos teet virheen käyttäessäsi yrityksen laitteita tai ohjelmistoja, jotka vahingoittavat joko laitteistoa tai niihin tallennettuja tietoja, on myös tietoturvapolitiikan rikkomus.

Jos työntekijä rikkoo organisaation tietoturvapolitiikkaa, seurauksena voi olla kurinpitotoimi tai irtisanominen. Tietyissä tilanteissa yritys voi päättää olla irtisanomatta työntekijää, joka rikkoo sen tietokoneen käyttökäytäntöjä, vaan ryhtyä muihin sopiviin toimenpiteisiin estääkseen yrityksen käytäntöjen loukkaukset.

Siirry aiheeseen

ISO 27001:2022 liitteen A 6.4 tarkoitus?

Kurinpitomenettelyn tarkoituksena on varmistaa, että henkilöstö ja muut asianosaiset tunnistavat tietoturvapolitiikan rikkomisen seuraukset.

Liite A 6.4 on suunniteltu sekä ehkäisemään että auttamaan tietoturvakäytäntöjen rikkomusten käsittelyssä varmistaen, että työntekijät ja muut asiaan liittyvät sidosryhmät ovat tietoisia seurauksista.

Tehokkaan tietoturvaohjelman tulee sisältää kyky hallita sopivia kurinpitotoimia tietoturvamääräyksiä rikkoville työntekijöille. Näin varmistetaan, että henkilökunta ymmärtää ennalta määriteltyjen määräysten noudattamatta jättämisen seuraukset, mikä vähentää tahallisen tai tahattoman tietovuodon todennäköisyyttä.

Esimerkkejä toiminnoista, jotka voidaan sisällyttää tämän hallinnan täytäntöönpanoon:

  • Järjestä säännöllisiä koulutustilaisuuksia, jotta henkilökunta pysyy ajan tasalla politiikan muutoksista.

  • Suunnittele kurinpidolliset toimenpiteet tietoturvaperiaatteiden noudattamatta jättämiselle.

  • Toimita jokaiselle työntekijälle kopio organisaation kurinpitomenettelyistä.

  • Varmista vastaavissa tilanteissa, että kurinpitomenettelyjä noudatetaan johdonmukaisesti.

Viitekehyksessä hahmotellut kurinpitotoimenpiteet olisi pantava nopeasti täytäntöön tapahtuman jälkeen, jotta estetään mahdolliset organisaation periaatteiden rikkomukset.

Mitä se sisältää ja kuinka vaatimukset täytetään

Tavatakseen liitteen A vaatimukset 6.4, kurinpidollisiin toimiin on ryhdyttävä, jos on näyttöä siitä, että organisaation käytäntöjä, menettelytapoja tai määräyksiä ei noudateta. Tämä sisältää myös kaikki sovellettavat lait ja määräykset.

Liitteen A 6.4 kohdan mukaan muodollisessa kurinpitoprosessissa on otettava huomioon seuraavat osatekijät, kun otetaan huomioon asteittainen lähestymistapa:

  • Rikkomisen laajuus, sen luonne, vakavuus ja seuraukset on otettava huomioon.

  • Olipa rikos tahallinen vai tahaton.

  • Riippumatta siitä, onko kyseessä ensimmäinen vai toistuva rikos.

  • On harkittava, onko rikkoja saanut riittävästi koulutusta.

Harkitse kaikkia asiaankuuluvia oikeudellisia, lainsäädännöllisiä, sääntelyyn perustuvia, sopimus- ja yritysvelvoitteita sekä kaikkia muita asiaankuuluvia tekijöitä ryhtyessäsi toimiin.

Muutokset ja erot standardista ISO 27001:2013

ISO 27001:2022 Liite A 6.4 korvaa standardin ISO 27001:2013 Liite A 7.2.3 ISO 2022:n tarkistetussa vuoden 27001 versiossa.

ISO 27001:2022 käyttää käyttäjäystävällistä kieltä varmistaakseen, että standardin käyttäjät ymmärtävät sen sisällön. Sanamuodoissa on pieniä eroja, mutta yleinen konteksti ja sisältö pysyvät samoina.

Ainoa ero, jonka huomaat, on liitteen A tarkistusnumero, joka on muutettu 7.2.3:sta 6.4:ksi. Lisäksi vuoden 2022 standardissa on lisäetuna attribuuttitaulukko ja käyttötarkoitus, jotka puuttuvat vuoden 2013 versiosta.

Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista

Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.

ISO 27001:2022 Organisaation valvonta

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Organisaation valvontaLiite A 5.1Liite A 5.1.1
Liite A 5.1.2		Tietoturvakäytännöt
Organisaation valvontaLiite A 5.2Liite A 6.1.1Tietoturvan roolit ja vastuut
Organisaation valvontaLiite A 5.3Liite A 6.1.2Tehtävien erottelu
Organisaation valvontaLiite A 5.4Liite A 7.2.1Johtamisvastuut
Organisaation valvontaLiite A 5.5Liite A 6.1.3Ota yhteyttä viranomaisiin
Organisaation valvontaLiite A 5.6Liite A 6.1.4Ota yhteyttä erityisiin eturyhmiin
Organisaation valvontaLiite A 5.7UUSIThreat Intelligence
Organisaation valvontaLiite A 5.8Liite A 6.1.5
Liite A 14.1.1		Tietoturva projektinhallinnassa
Organisaation valvontaLiite A 5.9Liite A 8.1.1
Liite A 8.1.2		Tietojen ja muiden niihin liittyvien omaisuuserien luettelo
Organisaation valvontaLiite A 5.10Liite A 8.1.3
Liite A 8.2.3		Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö
Organisaation valvontaLiite A 5.11Liite A 8.1.4Omaisuuden palautus
Organisaation valvontaLiite A 5.12Liite A 8.2.1Tietojen luokitus
Organisaation valvontaLiite A 5.13Liite A 8.2.2Tietojen merkitseminen
Organisaation valvontaLiite A 5.14Liite A 13.2.1
Liite A 13.2.2
Liite A 13.2.3		Tietojen siirto
Organisaation valvontaLiite A 5.15Liite A 9.1.1
Liite A 9.1.2		Kulunvalvonta
Organisaation valvontaLiite A 5.16Liite A 9.2.1Identity Management
Organisaation valvontaLiite A 5.17Liite A 9.2.4
Liite A 9.3.1
Liite A 9.4.3		Todennustiedot
Organisaation valvontaLiite A 5.18Liite A 9.2.2
Liite A 9.2.5
Liite A 9.2.6		Käyttöoikeudet
Organisaation valvontaLiite A 5.19Liite A 15.1.1Tietoturva toimittajasuhteissa
Organisaation valvontaLiite A 5.20Liite A 15.1.2Tietoturvasta huolehtiminen toimittajasopimusten puitteissa
Organisaation valvontaLiite A 5.21Liite A 15.1.3Tietoturvan hallinta ICT:n toimitusketjussa
Organisaation valvontaLiite A 5.22Liite A 15.2.1
Liite A 15.2.2		Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta
Organisaation valvontaLiite A 5.23UUSITietoturva pilvipalveluiden käyttöön
Organisaation valvontaLiite A 5.24Liite A 16.1.1Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu
Organisaation valvontaLiite A 5.25Liite A 16.1.4Tietoturvatapahtumien arviointi ja päätös
Organisaation valvontaLiite A 5.26Liite A 16.1.5Vastaus tietoturvaloukkauksiin
Organisaation valvontaLiite A 5.27Liite A 16.1.6Tietoturvahäiriöistä oppimista
Organisaation valvontaLiite A 5.28Liite A 16.1.7Todisteiden kerääminen
Organisaation valvontaLiite A 5.29Liite A 17.1.1
Liite A 17.1.2
Liite A 17.1.3		Tietoturva häiriön aikana
Organisaation valvontaLiite A 5.30UUSIICT-valmius liiketoiminnan jatkuvuutta varten
Organisaation valvontaLiite A 5.31Liite A 18.1.1
Liite A 18.1.5		Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset
Organisaation valvontaLiite A 5.32Liite A 18.1.2Immateriaalioikeudet
Organisaation valvontaLiite A 5.33Liite A 18.1.3Tietueiden suojaus
Organisaation valvontaLiite A 5.34 Liite A 18.1.4Yksityisyys ja henkilötietojen suoja
Organisaation valvontaLiite A 5.35Liite A 18.2.1Tietoturvan riippumaton katsaus
Organisaation valvontaLiite A 5.36Liite A 18.2.2
Liite A 18.2.3		Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen
Organisaation valvontaLiite A 5.37Liite A 12.1.1Dokumentoidut toimintaohjeet

ISO 27001:2022 People Controls

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Ihmisten ohjauksetLiite A 6.1Liite A 7.1.1Seulonta
Ihmisten ohjauksetLiite A 6.2Liite A 7.1.2Palvelussuhteen ehdot
Ihmisten ohjauksetLiite A 6.3Liite A 7.2.2Tietoturvatietoisuus, koulutus ja koulutus
Ihmisten ohjauksetLiite A 6.4Liite A 7.2.3Kurinpitoprosessi
Ihmisten ohjauksetLiite A 6.5Liite A 7.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
Ihmisten ohjauksetLiite A 6.6Liite A 13.2.4Luottamuksellisuus- tai salassapitosopimukset
Ihmisten ohjauksetLiite A 6.7Liite A 6.2.2Etätyö
Ihmisten ohjauksetLiite A 6.8Liite A 16.1.2
Liite A 16.1.3		Tietoturvatapahtumien raportointi

ISO 27001:2022 Fyysiset kontrollit

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Fyysiset säätimetLiite A 7.1Liite A 11.1.1Fyysisen turvallisuuden rajat
Fyysiset säätimetLiite A 7.2Liite A 11.1.2
Liite A 11.1.6		Fyysinen sisäänpääsy
Fyysiset säätimetLiite A 7.3Liite A 11.1.3Toimistojen, huoneiden ja tilojen turvaaminen
Fyysiset säätimetLiite A 7.4UUSIFyysisen turvallisuuden valvonta
Fyysiset säätimetLiite A 7.5Liite A 11.1.4Fyysisiltä ja ympäristöuhkilta suojautuminen
Fyysiset säätimetLiite A 7.6Liite A 11.1.5Työskentely turvallisilla alueilla
Fyysiset säätimetLiite A 7.7Liite A 11.2.9Selkeä työpöytä ja selkeä näyttö
Fyysiset säätimetLiite A 7.8Liite A 11.2.1Laitteiden sijoitus ja suojaus
Fyysiset säätimetLiite A 7.9Liite A 11.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
Fyysiset säätimetLiite A 7.10Liite A 8.3.1
Liite A 8.3.2
Liite A 8.3.3
 Liite A 11.2.5		Tallennusväline
Fyysiset säätimetLiite A 7.11Liite A 11.2.2Apuohjelmat
Fyysiset säätimetLiite A 7.12Liite A 11.2.3Kaapeloinnin turvallisuus
Fyysiset säätimetLiite A 7.13Liite A 11.2.4Laitteiden huolto
Fyysiset säätimetLiite A 7.14Liite A 11.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

ISO 27001:2022 Tekniset hallintalaitteet

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Tekniset säädötLiite A 8.1Liite A 6.2.1
Liite A 11.2.8		Käyttäjän päätelaitteet
Tekniset säädötLiite A 8.2Liite A 9.2.3Etuoikeutetut käyttöoikeudet
Tekniset säädötLiite A 8.3Liite A 9.4.1Tietoihin pääsyn rajoitus
Tekniset säädötLiite A 8.4Liite A 9.4.5Pääsy lähdekoodiin
Tekniset säädötLiite A 8.5Liite A 9.4.2Suojattu todennus
Tekniset säädötLiite A 8.6Liite A 12.1.3Kapasiteetin hallinta
Tekniset säädötLiite A 8.7Liite A 12.2.1Suojaus haittaohjelmia vastaan
Tekniset säädötLiite A 8.8Liite A 12.6.1
Liite A 18.2.3		Teknisten haavoittuvuuksien hallinta
Tekniset säädötLiite A 8.9UUSIConfiguration Management
Tekniset säädötLiite A 8.10UUSITietojen poistaminen
Tekniset säädötLiite A 8.11UUSITietojen peittäminen
Tekniset säädötLiite A 8.12UUSITietovuotojen esto
Tekniset säädötLiite A 8.13Liite A 12.3.1Tietojen varmuuskopiointi
Tekniset säädötLiite A 8.14Liite A 17.2.1Tietojenkäsittelylaitteiden redundanssi
Tekniset säädötLiite A 8.15Liite A 12.4.1
Liite A 12.4.2
Liite A 12.4.3		Hakkuu
Tekniset säädötLiite A 8.16UUSISeurantatoiminnot
Tekniset säädötLiite A 8.17Liite A 12.4.4Kellon synkronointi
Tekniset säädötLiite A 8.18Liite A 9.4.4Etuoikeutettujen apuohjelmien käyttö
Tekniset säädötLiite A 8.19Liite A 12.5.1
Liite A 12.6.2		Ohjelmistojen asennus käyttöjärjestelmiin
Tekniset säädötLiite A 8.20Liite A 13.1.1Verkkoturvallisuus
Tekniset säädötLiite A 8.21Liite A 13.1.2Verkkopalveluiden turvallisuus
Tekniset säädötLiite A 8.22Liite A 13.1.3Verkkojen erottelu
Tekniset säädötLiite A 8.23UUSIWeb-suodatus
Tekniset säädötLiite A 8.24Liite A 10.1.1
Liite A 10.1.2		Kryptografian käyttö
Tekniset säädötLiite A 8.25Liite A 14.2.1Turvallisen kehityksen elinkaari
Tekniset säädötLiite A 8.26Liite A 14.1.2
Liite A 14.1.3		Sovelluksen suojausvaatimukset
Tekniset säädötLiite A 8.27Liite A 14.2.5Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet
Tekniset säädötLiite A 8.28UUSITurvallinen koodaus
Tekniset säädötLiite A 8.29Liite A 14.2.8
Liite A 14.2.9		Tietoturvatestaus kehitys- ja hyväksymisvaiheessa
Tekniset säädötLiite A 8.30Liite A 14.2.7Ulkoistettu kehitys
Tekniset säädötLiite A 8.31Liite A 12.1.4
Liite A 14.2.6		Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan
Tekniset säädötLiite A 8.32Liite A 12.1.2
Liite A 14.2.2
Liite A 14.2.3
Liite A 14.2.4		Muutoksen hallinta
Tekniset säädötLiite A 8.33Liite A 14.3.1Testitiedot
Tekniset säädötLiite A 8.34Liite A 12.7.1Tietojärjestelmien suojaus tarkastustestauksen aikana

Kuka on vastuussa tästä prosessista?

Useimmissa tapauksissa kurinpitoprosessia valvoo osastopäällikkö tai henkilöstöedustaja. Ei ole harvinaista, että HR-edustaja antaa kurinpitovastuun jollekin muulle organisaatiossa, kuten tietoturva-asiantuntijalle.

Kurinpitotoimien ensisijaisena tavoitteena on suojella organisaatiota kaikilta henkilöstön jäsenen aiheuttamilta lisärikkomuksilta. Lisäksi pyritään estämään vastaavien tapausten uusiutumista varmistamalla, että kaikki työntekijät ovat tietoisia tietoturvaloukkausten merkityksestä.

Jokaisen organisaation on tärkeää varmistaa kurinpidollisten toimien toteuttaminen, kun työntekijä on rikkonut jotakin sen käytäntöjä tai menettelyjä. Tämän varmistamiseksi on laadittava selkeät ohjeet tällaisten tilanteiden käsittelyyn, mukaan lukien ohjeet tutkinnan suorittamisesta ja toimenpiteistä sen jälkeen.

Mitä nämä muutokset merkitsevät sinulle?

Jos pohdit, kuinka nämä muutokset vaikuttavat sinuun, tässä on tiivis yhteenveto kriittisimmistä kohdista:

  • Ei tarvitse varmentaa uudelleen; se on vain pieni muutos.

  • Säilytä nykyinen sertifikaattisi, kunnes se vanhenee, mikäli se on edelleen voimassa.

  • Standardin ISO 27001:2022 liitteen A 6.4 kohtaan ei ole tehty merkittäviä muutoksia.

  • Tavoitteena on saattaa standardi vastaamaan uusimpia parhaita käytäntöjä ja standardeja.

Jos tavoittelet voittoa ISMS-sertifikaatti, sinun tulee arvioida turvatoimesi varmistaaksesi, että ne ovat tarkistetun standardin mukaisia.

Saat käsityksen uuden ISO 27001:2022 -standardin vaikutuksista tietoturvamenettelyihisi ja ISO 27001 -akkreditointiin tutustumalla ilmaiseen ISO 27001:2022 -oppaaseen.

Miten ISMS.Online Help

ISMS.online on johtava ISO 27001 hallintajärjestelmäohjelmisto, mikä auttaa noudattamaan ISO 27001 -standardia. Se auttaa yrityksiä varmistamaan, että niiden turvallisuuspolitiikka ja -menettelyt ovat vaatimusten mukaisia.

Tämä pilvipohjainen alusta tarjoaa täyden valikoiman työkaluja, jotka auttavat organisaatioita luomaan ISO 27001 -standardiin perustuvan tietoturvan hallintajärjestelmän (ISMS).

Nämä työkalut sisältävät:

  • Käytettävissä on mallikirjasto usein kohdattuille yritysasiakirjoille.

  • Käytössä on kokoelma ennalta määritettyjä ohjeita ja protokollia.

  • Sisäisiä tarkastuksia helpottava tarkastustyökalu on käytettävissä.

  • Saatavilla on käyttöliittymä, jolla voidaan mukauttaa tietoturvallisuuden hallintajärjestelmän (ISMS) käytäntöjä ja menettelyjä.

  • Kaikki muutokset käytäntöihin ja menettelyihin on hyväksyttävä työnkulkuprosessin kautta.

  • Luo luettelo varmistaaksesi, että käytäntösi ja tietoturvatoimenpiteesi ovat kansainvälisten standardien mukaisia.

ISMS.Online tarjoaa käyttäjille mahdollisuuden:

  • Hallitse kaikkia ISMS:n elinkaaren osa-alueita helposti.

  • Hanki välitön käsitys heidän tietoturvasta ja vaatimustenmukaisuusongelmista.

  • Integroida muihin järjestelmiin, kuten HR-, talous- ja projektinhallintaan.

  • Varmista, että ISMS on ISO 27001 -standardin mukainen.

ISMS.Online tarjoaa neuvoja ISMS:n optimaaliseen suorittamiseen sekä ohjeita käytäntöjen ja protokollien muodostamiseen liittyen riskienhallinta, henkilöstön turvallisuustietoisuuskoulutus ja vaaratilanteiden reagoinnin valmistelu.

Ota meihin yhteyttä nyt järjestää esittelyn.

Hiljattain saavutettu menestys ISO 27001-, 27017- ja 27018-sertifioinnissa johtui suurelta osin ISMS.onlinesta.

Karen burton
Tietoturva-analyytikko, Kukoista terveys

Varaa esittelysi

Yritykset luottavat kaikkialla
  • Yksinkertainen ja helppokäyttöinen
  • Suunniteltu ISO 27001 -menestykseen
  • Säästät aikaa ja rahaa
Varaa esittelysi
img

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja