ISO 27002: 2022, Ohjaus 6.4. Kurinpitoprosessi puhuu organisaatioiden tarpeesta ottaa käyttöön jonkinlainen kurinpitoprosessi pelotteena, jotta henkilöstö ei syyllisty tietoturvaloukkauksiin.
Tästä prosessista on tiedotettava virallisesti, ja työntekijöille ja muille asiaankuuluville osapuolille, jotka syyllistyvät, on suunniteltava sopiva rangaistus tietoturvapolitiikka rikkomisesta.
Tietoturvapolitiikan rikkominen on tietojen asianmukaista käsittelyä koskevien sääntöjen tai lakien rikkomista. Organisaatiot ovat laatineet tietoturvakäytännöt luottamuksellisten, omistusoikeudellisten ja henkilökohtaisten tietojen, kuten asiakastietojen ja luottokorttinumeroiden, suojaamiseksi. Tietoturvakäytännöt sisältävät myös tietoturvakäytännöt, jotka auttavat varmistamaan tietokoneisiin tallennettujen tietojen turvallisuuden ja eheyden.
Jos sinulla ei esimerkiksi ole esimiehesi lupaa käyttää yrityksen sähköpostia henkilökohtaisten sähköpostien lähettämiseen, se voi johtaa yrityksen käytäntöjen rikkomiseen. Lisäksi jos teet virheen käyttäessäsi yrityksen laitteita tai ohjelmistoja ja vahingoitat niitä tai niille tallennettuja tietoja, sitä voidaan pitää tietoturvapolitiikan rikkomuksena.
Jos työntekijä rikkoo organisaation tietoturvapolitiikkaa, hän voi joutua kurinpitotoimiin tai työsuhteen irtisanomiseen. Joissakin tapauksissa yritys voi päättää olla irtisanomatta työntekijää, joka rikkoo sen tietokoneen käyttökäytäntöä, vaan ryhtyä muihin asianmukaisiin toimenpiteisiin estääkseen yrityksen käytäntöjen vastaiset rikkomukset.
Ohjaimet voidaan ryhmitellä attribuuttien avulla. Kun tarkastelet ohjausobjektin ominaisuuksia, voit helpommin yhdistää sen vakiintuneisiin alan vaatimuksiin ja terminologiaan. Seuraavat attribuutit ohjaavat 6.4.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä #Korjaava | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella #Vastata | #Henkilöstöturvallisuus | #Hallinto ja ekosysteemi |
Kurinpitomenettelyn tarkoituksena on varmistaa, että henkilöstö ja muut asianosaiset ymmärtävät tietoturvapolitiikan rikkomisen seuraukset.
Sen lisäksi, että varmistetaan, että työntekijät ja muut asiaankuuluvat osapuolet ymmärtävät tietoturvakäytäntörikkomusten seuraukset, valvonta 6.4 on suunniteltu estämään näitä käytäntöjä rikkovia henkilöitä ja auttamaan heitä käsittelemään.
Tehokkaan tietoturvaohjelman avaintekijä on kyky toteuttaa asianmukaiset kurinpitotoimenpiteet työntekijöitä vastaan, jotka rikkovat tietoturvakäytäntöjä ja -menettelyjä. Tällä tavalla, työntekijät ovat tietoisia seurauksista vakiintuneiden käytäntöjen ja menettelyjen rikkominen, mikä vähentää tahallisten tai vahingossa tapahtuvien tietoturvaloukkausten mahdollisuutta.
Seuraavat ovat esimerkkejä toiminnoista, jotka voidaan sisällyttää tämän hallinnan toteuttamiseen:
Viitekehyksessä/asiakirjassa kuvatut kurinpitotoimenpiteet tulee toteuttaa välittömästi tapahtuman jälkeen, jotta muut, jotka saattavat haluta rikkoa organisaation käytäntöjä, hillitään.
Valvonnan 6.4 vaatimusten täyttämiseksi on ryhdyttävä kurinpitotoimiin, jos on näyttöä siitä, että organisaation toimintaperiaatteita, menettelytapoja tai määräyksiä ei ole noudatettu. Tämä sisältää organisaatiota koskevien lakien ja määräysten noudattamatta jättämisen.
Valvonnan 6.4 mukaan muodollisen kurinpitoprosessin tulee tarjota asteittainen vastaus, joka ottaa huomioon seuraavat tekijät:
Toimenpiteessä tulee ottaa huomioon kaikki asiaankuuluvat oikeudelliset, lainsäädännölliset, sääntelyyn liittyvät, sopimusperusteiset ja yritysvelvoitteet sekä kaikki muut asiaan liittyvät olosuhteet.
Jos tunnet ISO 27002:2013:n, tiedät, että vaikka kontrollin tunnus/numero on muutettu, ISO 6.4:27002:n ohjaus 2022 ei ole aivan uusi ohjausobjekti. Pikemminkin se on ISO 7.2.3:27002:n ohjausversion 2013 modifioitu versio.
Kahden säätimen välillä ei kuitenkaan ole merkittäviä eroja kummassakaan ISO 27002 -versiossa. Pieni ero, jonka huomaat, on se, että kontrollinumero on muutettu 7.23:sta 6.4:ään. Myös standardin 2022 versiossa on mukana attribuuttitaulukko ja käyttötarkoitus. Nämä kaksi ominaisuutta eivät ole vuoden 2013 versiossa.
Lukuun ottamatta niiden erilaista sanamuotoa, nämä kontrollit ovat sisällöltään ja kontekstiltaan periaatteessa identtisiä. Käyttäjäystävällinen terminologiaa käytettiin ISO 27002:2022:ssa varmistaa, että standardin käyttäjät ymmärtävät paremmin sen sisällön.
Useimmissa tapauksissa kurinpitoprosessin hoitaa osastopäällikkö tai henkilöstöresurssit edustaja. Ei ole harvinaista, että HR-edustaja delegoi vastuu kurinpidollisista toimista jollekin muulle organisaatiossa, kuten tietoturvaasiantuntija.
Kurinpitotoimien päätarkoituksena on suojella organisaatiota työntekijöiden mahdollisilta uusilta rikkomuksilta. Sillä pyritään myös estämään vastaavaa tapaukset toistuvat varmistamalla, että kaikki työntekijät ymmärtävät tietoturvaloukkausten merkityksen.
Jotta varmistetaan, että organisaation käytäntöjä tai menettelytapoja rikkonutta työntekijää vastaan ryhdytään kurinpitotoimiin, on tärkeää, että tällaisten tilanteiden käsittelyyn on olemassa selkeät ohjeet. Näihin ohjeisiin tulee sisältyä tarkat ohjeet siitä, miten tutkimukset suoritetaan ja toimenpiteistä, joihin on ryhdyttävä tutkimusten päätyttyä.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Jos mietit, mitä nämä muutokset merkitsevät sinulle, tässä on lyhyt erittely tärkeimmistä kohdista:
Standardin rakenne pysyy ennallaan. Joitakin säätimiä on kuitenkin muutettu niiden merkityksen selventämiseksi tai yhdenmukaisuuden parantamiseksi standardin muiden osien kanssa.
Kuitenkin, jos aiot saada ISMS-sertifikaatti, saatat joutua tutkimaan suojausmenettelyjäsi varmistaaksesi, että ne ovat tarkistetun standardin mukaisia.
Saat lisätietoja siitä, kuinka uusi ISO 27002 voi vaikuttaa tietoturvatoimintoihisi ja ISO 27001 sertifikaatti, tutustu ilmaiseen ISO 27002:2022 -oppaaseemme.
ISMS.Online on johtava ISO 27002 hallintajärjestelmäohjelmisto, joka tukee vaatimustenmukaisuutta ISO 27002 -standardin kanssa ja auttaa yrityksiä yhdenmukaistamaan tietoturvapolitiikkansa ja -menettelynsä standardin kanssa.
Pilvipohjainen alusta tarjoaa täydellisen valikoiman työkaluja, jotka auttavat organisaatioita määrittämään tietoturvan hallintajärjestelmä (ISMS) ISO 27002:n mukaan.
Näitä työkaluja ovat:
ISMS.Online antaa käyttäjille myös mahdollisuuden:
ISMS.Online tarjoaa myös ohjeita ISMS:n parhaaseen toteuttamiseen tarjoamalla vinkkejä käytäntöjen ja menettelytapojen luomiseen, jotka liittyvät esimerkiksi riskienhallintaan, henkilöstön turvallisuustietoisuuskoulutukseen ja häiriötilanteiden suunnitteluun.
Meidän alustamme on suunniteltu alusta alkaen tietoturva-asiantuntijoiden avulla ympäri maailmaa, ja olemme kehittäneet sen tavalla, joka helpottaa ihmisten, joilla ei ole teknistä tietoa tietoturvan hallintajärjestelmistä (ISMS), käyttää sitä helposti.
Haluatko nähdä sen toiminnassa?
Ota yhteyttä jo tänään varaa esittely.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
