ISO 27001:2022 Liite A 6.5 velvoittaa organisaatiot määrittelemään tietoturvaroolit ja -vastuut, jotka pysyvät voimassa, vaikka henkilöstö lähtee tai siirrettäisiin. Ilmoita nämä tehtävät ja vastuut työntekijälle ja kaikille soveltuville kolmansille osapuolille.
Työntekijät ovat lain mukaan velvollisia pitämään luottamuksellisina kaikki työnantajansa heille antamat tiedot. Henkilöstön on olennaisen tärkeää ymmärtää työnantajan tietojen suojaamisen vaatimukset.
Työnantajilla on yleensä oikeus olettaa, että työntekijät suojaavat luottamuksellisia tietoja, eivätkä käytä niitä henkilökohtaisen hyödyn saamiseksi, esimerkiksi sisäpiirikauppojen tai muun laittoman toiminnan kautta.
Muutamia esimerkkejä tietoturvatehtävistä ja -vastuista ovat:
Organisaatioiden on olennaista tiedostaa velvollisuutensa henkilötietojensa käsittelyssä, jotta ne eivät loukkaa tietosuojamääräyksiä, sillä seuraukset voivat olla vakavia sekä yritykselle että sen henkilöstölle.
Varaa 30 minuutin chat kanssamme, niin näytämme sinulle kuinka
Liite A 6.5 tulee panna täytäntöön työntekijän tai urakoitsijan erotessa organisaatiosta tai kun sopimus päättyy ennen sen päättymistä.
Tämä valvonta turvaa organisaation tietoturvaetuja työsuhteen muutosten tai sopimusten päättyessä.
Tämä liite A valvonta suojaa työntekijöiden mahdollisuutta hyödyntää pääsyään luottamuksellisiin tietoihin ja prosesseihin henkilökohtaisen hyödyn tai ilkeä tarkoitusta varten, erityisesti organisaatiosta tai työstä lähtemisen jälkeen.
ISO 27001: 2022 Liite A 6.5 pyrkii turvaamaan organisaation tietoturvaetuja työsuhteen tai sopimusten muuttuessa tai päättyessä. Tämä kattaa työntekijät, urakoitsijat ja kolmannet osapuolet, jotka pääsevät luottamuksellisiin tietoihin.
Arvioi, ovatko henkilöt (mukaan lukien sopimushenkilöt), joilla on pääsy arkaluonteisiin henkilötietoihisi, poistumassa organisaatiostasi, ja ryhdy toimenpiteisiin sen varmistamiseksi, että he eivät säilytä ja jatka pääsyä arkaluonteisiin henkilötietoihisi poistuttuaan.
Jos huomaat henkilön lähtevän ja on mahdollista, että luottamuksellisia henkilötietoja paljastetaan, sinun on ryhdyttävä tarvittaviin toimenpiteisiin joko ennen lähtöä tai mahdollisimman nopeasti sen jälkeen varmistaaksesi, että näin ei tapahdu.
Liitteen A 6.5 kriteerien täyttämiseksi henkilön työsopimuksessa tai sopimuksessa on määriteltävä mikä tahansa tietoturvavastuut ja velvollisuudet, jotka ovat edelleen voimassa suhteen päättymisen jälkeen.
Tietoturvavastuu voi sisältyä muihin sopimuksiin, jotka kestävät pidempään kuin työntekijän palvelusaika.
Roolista poistuessaan tai työpaikkaa vaihtaessaan vakiintuneen toimijan on varmistettava, että hänen turvallisuusvastuunsa siirretään ja kaikki käyttöoikeudet poistetaan ja korvataan.
Lisätietoja tästä prosessista on ISO 27001:2022 -standardiasiakirjassa.
ISO 27001:2022 liite A 6.5 on mukautus standardin ISO 27001:2013 liitteen A 7.3.1. uuden liitteen A valvonnan sijaan.
Näiden kahden ohjauksen perusteet ovat samanlaiset, vaikka niissä on pieniä eroja. Esimerkiksi käyttöönotto-ohjeet poikkeavat hieman molemmissa versioissa.
Standardin ISO 7.3.1:27001 liitteen A 2013 ensimmäisessä osassa määrätään, että organisaatioiden on:
Irtisanomisen yhteydessä on olennaista ilmoittaa tarvittavat tietoturva- ja lakivaatimukset sekä mahdolliset sovellettavat salassapitosopimukset ja työehdot, jotka voivat olla voimassa tietyn ajan työntekijän tai urakoitsijan toimeksiannon päättymisen jälkeen.
Saman kohdan ISO 6.5:27001 liitteessä A 2022 määrätään, että:
Työsuhteen päättymisen tai muutoksen hallintamenettelyssä tulee määritellä, mitkä tietoturvavastuut ja -velvoitteet jäävät voimaan irtisanomisen tai muutoksen jälkeen. Tämä voi sisältää tiedon, immateriaaliomaisuuden ja muun hankitun tiedon luottamuksellisuuden säilyttämisen sekä muut luottamuksellisuussopimuksessa määrätyt velvollisuudet.
Vastuut ja velvollisuudet, jotka jäävät voimaan henkilön työsuhteen, työsopimuksen tai sopimuksen päättymisen jälkeen, tulee kuvata niiden ehdoissa. Lisäksi kaikki sopimukset, jotka kattavat tietyn ajanjakson henkilön työsuhteen päättymisen jälkeen, voivat sisältää tietoturvavastuita.
Sanamuotojen eroista huolimatta molemmilla liitteen A valvontatoimilla on pitkälti samanlainen rakenne ja tarkoitus omissa yhteyksissään. Liitteen A 6.5 käyttäjäystävällisyyden lisäämiseksi kieltä on yksinkertaistettu, jotta käyttäjät voivat ymmärtää paremmin sen sisältöä.
ISO 2022:n vuoden 27001 versio sisältää käyttötarkoituksen ja attribuuttitaulukon jokaiselle säätimelle, mikä auttaa käyttäjiä ymmärtämään ja toteuttamaan niitä. Tämä puuttuu vuoden 2013 painoksesta.
Alla olevasta taulukosta löydät lisätietoja jokaisesta yksittäisestä ISO 27001:2022 liitteen A valvonnasta.
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Organisaation valvonta | Liite A 5.1 | Liite A 5.1.1 Liite A 5.1.2 | Tietoturvakäytännöt |
| Organisaation valvonta | Liite A 5.2 | Liite A 6.1.1 | Tietoturvan roolit ja vastuut |
| Organisaation valvonta | Liite A 5.3 | Liite A 6.1.2 | Tehtävien erottelu |
| Organisaation valvonta | Liite A 5.4 | Liite A 7.2.1 | Johtamisvastuut |
| Organisaation valvonta | Liite A 5.5 | Liite A 6.1.3 | Ota yhteyttä viranomaisiin |
| Organisaation valvonta | Liite A 5.6 | Liite A 6.1.4 | Ota yhteyttä erityisiin eturyhmiin |
| Organisaation valvonta | Liite A 5.7 | UUSI | Threat Intelligence |
| Organisaation valvonta | Liite A 5.8 | Liite A 6.1.5 Liite A 14.1.1 | Tietoturva projektinhallinnassa |
| Organisaation valvonta | Liite A 5.9 | Liite A 8.1.1 Liite A 8.1.2 | Tietojen ja muiden niihin liittyvien omaisuuserien luettelo |
| Organisaation valvonta | Liite A 5.10 | Liite A 8.1.3 Liite A 8.2.3 | Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö |
| Organisaation valvonta | Liite A 5.11 | Liite A 8.1.4 | Omaisuuden palautus |
| Organisaation valvonta | Liite A 5.12 | Liite A 8.2.1 | Tietojen luokitus |
| Organisaation valvonta | Liite A 5.13 | Liite A 8.2.2 | Tietojen merkitseminen |
| Organisaation valvonta | Liite A 5.14 | Liite A 13.2.1 Liite A 13.2.2 Liite A 13.2.3 | Tietojen siirto |
| Organisaation valvonta | Liite A 5.15 | Liite A 9.1.1 Liite A 9.1.2 | Kulunvalvonta |
| Organisaation valvonta | Liite A 5.16 | Liite A 9.2.1 | Identity Management |
| Organisaation valvonta | Liite A 5.17 | Liite A 9.2.4 Liite A 9.3.1 Liite A 9.4.3 | Todennustiedot |
| Organisaation valvonta | Liite A 5.18 | Liite A 9.2.2 Liite A 9.2.5 Liite A 9.2.6 | Käyttöoikeudet |
| Organisaation valvonta | Liite A 5.19 | Liite A 15.1.1 | Tietoturva toimittajasuhteissa |
| Organisaation valvonta | Liite A 5.20 | Liite A 15.1.2 | Tietoturvasta huolehtiminen toimittajasopimusten puitteissa |
| Organisaation valvonta | Liite A 5.21 | Liite A 15.1.3 | Tietoturvan hallinta ICT:n toimitusketjussa |
| Organisaation valvonta | Liite A 5.22 | Liite A 15.2.1 Liite A 15.2.2 | Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta |
| Organisaation valvonta | Liite A 5.23 | UUSI | Tietoturva pilvipalveluiden käyttöön |
| Organisaation valvonta | Liite A 5.24 | Liite A 16.1.1 | Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu |
| Organisaation valvonta | Liite A 5.25 | Liite A 16.1.4 | Tietoturvatapahtumien arviointi ja päätös |
| Organisaation valvonta | Liite A 5.26 | Liite A 16.1.5 | Vastaus tietoturvaloukkauksiin |
| Organisaation valvonta | Liite A 5.27 | Liite A 16.1.6 | Tietoturvahäiriöistä oppimista |
| Organisaation valvonta | Liite A 5.28 | Liite A 16.1.7 | Todisteiden kerääminen |
| Organisaation valvonta | Liite A 5.29 | Liite A 17.1.1 Liite A 17.1.2 Liite A 17.1.3 | Tietoturva häiriön aikana |
| Organisaation valvonta | Liite A 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuutta varten |
| Organisaation valvonta | Liite A 5.31 | Liite A 18.1.1 Liite A 18.1.5 | Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset |
| Organisaation valvonta | Liite A 5.32 | Liite A 18.1.2 | Immateriaalioikeudet |
| Organisaation valvonta | Liite A 5.33 | Liite A 18.1.3 | Tietueiden suojaus |
| Organisaation valvonta | Liite A 5.34 | Liite A 18.1.4 | Yksityisyys ja henkilötietojen suoja |
| Organisaation valvonta | Liite A 5.35 | Liite A 18.2.1 | Tietoturvan riippumaton katsaus |
| Organisaation valvonta | Liite A 5.36 | Liite A 18.2.2 Liite A 18.2.3 | Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen |
| Organisaation valvonta | Liite A 5.37 | Liite A 12.1.1 | Dokumentoidut toimintaohjeet |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Ihmisten ohjaukset | Liite A 6.1 | Liite A 7.1.1 | Seulonta |
| Ihmisten ohjaukset | Liite A 6.2 | Liite A 7.1.2 | Palvelussuhteen ehdot |
| Ihmisten ohjaukset | Liite A 6.3 | Liite A 7.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| Ihmisten ohjaukset | Liite A 6.4 | Liite A 7.2.3 | Kurinpitoprosessi |
| Ihmisten ohjaukset | Liite A 6.5 | Liite A 7.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| Ihmisten ohjaukset | Liite A 6.6 | Liite A 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| Ihmisten ohjaukset | Liite A 6.7 | Liite A 6.2.2 | Etätyö |
| Ihmisten ohjaukset | Liite A 6.8 | Liite A 16.1.2 Liite A 16.1.3 | Tietoturvatapahtumien raportointi |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Fyysiset säätimet | Liite A 7.1 | Liite A 11.1.1 | Fyysisen turvallisuuden rajat |
| Fyysiset säätimet | Liite A 7.2 | Liite A 11.1.2 Liite A 11.1.6 | Fyysinen sisäänpääsy |
| Fyysiset säätimet | Liite A 7.3 | Liite A 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| Fyysiset säätimet | Liite A 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| Fyysiset säätimet | Liite A 7.5 | Liite A 11.1.4 | Fyysisiltä ja ympäristöuhkilta suojautuminen |
| Fyysiset säätimet | Liite A 7.6 | Liite A 11.1.5 | Työskentely turvallisilla alueilla |
| Fyysiset säätimet | Liite A 7.7 | Liite A 11.2.9 | Selkeä työpöytä ja selkeä näyttö |
| Fyysiset säätimet | Liite A 7.8 | Liite A 11.2.1 | Laitteiden sijoitus ja suojaus |
| Fyysiset säätimet | Liite A 7.9 | Liite A 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| Fyysiset säätimet | Liite A 7.10 | Liite A 8.3.1 Liite A 8.3.2 Liite A 8.3.3 Liite A 11.2.5 | Tallennusväline |
| Fyysiset säätimet | Liite A 7.11 | Liite A 11.2.2 | Apuohjelmat |
| Fyysiset säätimet | Liite A 7.12 | Liite A 11.2.3 | Kaapeloinnin turvallisuus |
| Fyysiset säätimet | Liite A 7.13 | Liite A 11.2.4 | Laitteiden huolto |
| Fyysiset säätimet | Liite A 7.14 | Liite A 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
| Liite A Ohjaustyyppi | ISO/IEC 27001:2022 liitteen A tunniste | ISO/IEC 27001:2013 liitteen A tunniste | Liite A Nimi |
|---|---|---|---|
| Tekniset säädöt | Liite A 8.1 | Liite A 6.2.1 Liite A 11.2.8 | Käyttäjän päätelaitteet |
| Tekniset säädöt | Liite A 8.2 | Liite A 9.2.3 | Etuoikeutetut käyttöoikeudet |
| Tekniset säädöt | Liite A 8.3 | Liite A 9.4.1 | Tietoihin pääsyn rajoitus |
| Tekniset säädöt | Liite A 8.4 | Liite A 9.4.5 | Pääsy lähdekoodiin |
| Tekniset säädöt | Liite A 8.5 | Liite A 9.4.2 | Suojattu todennus |
| Tekniset säädöt | Liite A 8.6 | Liite A 12.1.3 | Kapasiteetin hallinta |
| Tekniset säädöt | Liite A 8.7 | Liite A 12.2.1 | Suojaus haittaohjelmia vastaan |
| Tekniset säädöt | Liite A 8.8 | Liite A 12.6.1 Liite A 18.2.3 | Teknisten haavoittuvuuksien hallinta |
| Tekniset säädöt | Liite A 8.9 | UUSI | Configuration Management |
| Tekniset säädöt | Liite A 8.10 | UUSI | Tietojen poistaminen |
| Tekniset säädöt | Liite A 8.11 | UUSI | Tietojen peittäminen |
| Tekniset säädöt | Liite A 8.12 | UUSI | Tietovuotojen esto |
| Tekniset säädöt | Liite A 8.13 | Liite A 12.3.1 | Tietojen varmuuskopiointi |
| Tekniset säädöt | Liite A 8.14 | Liite A 17.2.1 | Tietojenkäsittelylaitteiden redundanssi |
| Tekniset säädöt | Liite A 8.15 | Liite A 12.4.1 Liite A 12.4.2 Liite A 12.4.3 | Hakkuu |
| Tekniset säädöt | Liite A 8.16 | UUSI | Seurantatoiminnot |
| Tekniset säädöt | Liite A 8.17 | Liite A 12.4.4 | Kellon synkronointi |
| Tekniset säädöt | Liite A 8.18 | Liite A 9.4.4 | Etuoikeutettujen apuohjelmien käyttö |
| Tekniset säädöt | Liite A 8.19 | Liite A 12.5.1 Liite A 12.6.2 | Ohjelmistojen asennus käyttöjärjestelmiin |
| Tekniset säädöt | Liite A 8.20 | Liite A 13.1.1 | Verkkoturvallisuus |
| Tekniset säädöt | Liite A 8.21 | Liite A 13.1.2 | Verkkopalveluiden turvallisuus |
| Tekniset säädöt | Liite A 8.22 | Liite A 13.1.3 | Verkkojen erottelu |
| Tekniset säädöt | Liite A 8.23 | UUSI | Web-suodatus |
| Tekniset säädöt | Liite A 8.24 | Liite A 10.1.1 Liite A 10.1.2 | Kryptografian käyttö |
| Tekniset säädöt | Liite A 8.25 | Liite A 14.2.1 | Turvallisen kehityksen elinkaari |
| Tekniset säädöt | Liite A 8.26 | Liite A 14.1.2 Liite A 14.1.3 | Sovelluksen suojausvaatimukset |
| Tekniset säädöt | Liite A 8.27 | Liite A 14.2.5 | Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet |
| Tekniset säädöt | Liite A 8.28 | UUSI | Turvallinen koodaus |
| Tekniset säädöt | Liite A 8.29 | Liite A 14.2.8 Liite A 14.2.9 | Tietoturvatestaus kehitys- ja hyväksymisvaiheessa |
| Tekniset säädöt | Liite A 8.30 | Liite A 14.2.7 | Ulkoistettu kehitys |
| Tekniset säädöt | Liite A 8.31 | Liite A 12.1.4 Liite A 14.2.6 | Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan |
| Tekniset säädöt | Liite A 8.32 | Liite A 12.1.2 Liite A 14.2.2 Liite A 14.2.3 Liite A 14.2.4 | Muutoksen hallinta |
| Tekniset säädöt | Liite A 8.33 | Liite A 14.3.1 | Testitiedot |
| Tekniset säädöt | Liite A 8.34 | Liite A 12.7.1 | Tietojärjestelmien suojaus tarkastustestauksen aikana |
Standardin ISO 27001:2022 liitteen A 6.5 suosituksen mukaisesti henkilöstöhallinto vastaa useimmissa organisaatioissa yleensä koko irtisanomisprosessista ja tekee yhteistyötä henkilön esimiehen kanssa tietoturvan varmistamiseksi osana toimenpiteitä.
Ulkopuolisen osapuolen (esimerkiksi tavarantoimittajan) toimittama henkilöstö tulee irtisanoa organisaation ja ulkopuolisen osapuolen välisen sopimuksen mukaisesti.
ISO 27001:2022 -standardi on pysynyt pääosin ennallaan, vain päivitetty käytettävyyden parantamiseksi. Minkään tällä hetkellä ISO 27001:2013 -standardia noudattavan organisaation ei tarvitse ryhtyä ylimääräisiin toimenpiteisiin vaatimusten noudattamiseksi.
Vastatakseen ISO 27001:2022 -standardin muutoksiin organisaation tarvitsee tehdä vain pieniä muutoksia olemassa oleviin menetelmiinsä ja prosesseihinsa, erityisesti jos tavoitteena on sertifioinnin uusiminen.
Yritykset voivat käyttää ISMS.onlinea auttamaan ISO 27001:2022 -standardin noudattamisessa. Tämä alusta yksinkertaistaa suojausprotokollien hallintaa, päivittämistä, testausta ja arviointia.
Pilvipohjainen alustamme yksinkertaistaa ISMS-hallintaa, jonka avulla voit valvoa tehokkaasti riskinhallintaa, käytäntöjä, suunnitelmia, menettelyjä ja paljon muuta, kaikki yhdestä lähteestä. Alusta on suoraviivainen ja sen käyttäjäystävällinen käyttöliittymä tekee sen noutamisesta helppoa.
ISMS.online antaa organisaatiollesi mahdollisuuden:
Jos yrityksesi edellyttää ISO 27001 -standardin noudattamista, ISMS.Online tarjoaa kattavan valikoiman ominaisuuksia, joiden avulla voit suorittaa tämän tärkeän tehtävän.
Ota meihin yhteyttä nyt järjestää mielenosoitus.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
