Mikä on Control 6.4?
ISO 27002: 2022, Ohjaus 6.4. Kurinpitoprosessi puhuu organisaatioiden tarpeesta ottaa käyttöön jonkinlainen kurinpitoprosessi pelotteena, jotta henkilöstö ei syyllisty tietoturvaloukkauksiin.
Tästä prosessista on tiedotettava virallisesti, ja työntekijöille ja muille asiaankuuluville osapuolille, jotka syyllistyvät, on suunniteltava sopiva rangaistus tietoturvapolitiikka rikkomisesta.
Tietoturvaloukkaus selitetty
Tietoturvapolitiikan rikkominen on tietojen asianmukaista käsittelyä koskevien sääntöjen tai lakien rikkomista. Organisaatiot ovat laatineet tietoturvakäytännöt luottamuksellisten, omistusoikeudellisten ja henkilökohtaisten tietojen, kuten asiakastietojen ja luottokorttinumeroiden, suojaamiseksi. Tietoturvakäytännöt sisältävät myös tietoturvakäytännöt, jotka auttavat varmistamaan tietokoneisiin tallennettujen tietojen turvallisuuden ja eheyden.
Jos sinulla ei esimerkiksi ole esimiehesi lupaa käyttää yrityksen sähköpostia henkilökohtaisten sähköpostien lähettämiseen, se voi johtaa yrityksen käytäntöjen rikkomiseen. Lisäksi jos teet virheen käyttäessäsi yrityksen laitteita tai ohjelmistoja ja vahingoitat niitä tai niille tallennettuja tietoja, sitä voidaan pitää tietoturvapolitiikan rikkomuksena.
Jos työntekijä rikkoo organisaation tietoturvapolitiikkaa, hän voi joutua kurinpitotoimiin tai työsuhteen irtisanomiseen. Joissakin tapauksissa yritys voi päättää olla irtisanomatta työntekijää, joka rikkoo sen tietokoneen käyttökäytäntöä, vaan ryhtyä muihin asianmukaisiin toimenpiteisiin estääkseen yrityksen käytäntöjen vastaiset rikkomukset.
Ominaisuustaulukko
Ohjaimet voidaan ryhmitellä attribuuttien avulla. Kun tarkastelet ohjausobjektin ominaisuuksia, voit helpommin yhdistää sen vakiintuneisiin alan vaatimuksiin ja terminologiaan. Seuraavat attribuutit ohjaavat 6.4.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Henkilöstöturvallisuus | #Hallinto ja ekosysteemi |
| #Korjaava | #Integrity | #Vastata | ||
| #Saatavuus |
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Mikä on hallinnan tarkoitus 6.4?
Kurinpitomenettelyn tarkoituksena on varmistaa, että henkilöstö ja muut asianosaiset ymmärtävät tietoturvapolitiikan rikkomisen seuraukset.
Sen lisäksi, että varmistetaan, että työntekijät ja muut asiaankuuluvat osapuolet ymmärtävät tietoturvakäytäntörikkomusten seuraukset, valvonta 6.4 on suunniteltu estämään näitä käytäntöjä rikkovia henkilöitä ja auttamaan heitä käsittelemään.
Tehokkaan tietoturvaohjelman avaintekijä on kyky toteuttaa asianmukaiset kurinpitotoimenpiteet työntekijöitä vastaan, jotka rikkovat tietoturvakäytäntöjä ja -menettelyjä. Tällä tavalla, työntekijät ovat tietoisia seurauksista vakiintuneiden käytäntöjen ja menettelyjen rikkominen, mikä vähentää tahallisten tai vahingossa tapahtuvien tietoturvaloukkausten mahdollisuutta.
Seuraavat ovat esimerkkejä toiminnoista, jotka voidaan sisällyttää tämän hallinnan toteuttamiseen:
- Järjestä säännöllisiä koulutustilaisuuksia politiikan muutoksista;
- Suunnittele kurinpitotoimia tietoturvakäytäntöjen noudattamatta jättämisestä;
- Toimita jokaiselle työntekijälle kopio organisaation kurinpitomenettelyistä;
- Varmista, että kurinpitomenettelyjä noudatetaan johdonmukaisesti vastaavissa tilanteissa.
Viitekehyksessä/asiakirjassa kuvatut kurinpitotoimenpiteet tulee toteuttaa välittömästi tapahtuman jälkeen, jotta muut, jotka saattavat haluta rikkoa organisaation käytäntöjä, hillitään.
Mitä se sisältää ja kuinka vaatimukset täytetään
Valvonnan 6.4 vaatimusten täyttämiseksi on ryhdyttävä kurinpitotoimiin, jos on näyttöä siitä, että organisaation toimintaperiaatteita, menettelytapoja tai määräyksiä ei ole noudatettu. Tämä sisältää organisaatiota koskevien lakien ja määräysten noudattamatta jättämisen.
Valvonnan 6.4 mukaan muodollisen kurinpitoprosessin tulee tarjota asteittainen vastaus, joka ottaa huomioon seuraavat tekijät:
- Rikkomisen luonne (kuka, mitä, milloin, miten), vakavuus ja seuraukset;
- Oliko rikos ilkeä (tahallinen) vai tahaton (vahingossa);
- Onko tämä ensimmäinen vai toinen rikos;
- Onko rikkoja saanut riittävää koulutusta vai ei.
Toimenpiteessä tulee ottaa huomioon kaikki asiaankuuluvat oikeudelliset, lainsäädännölliset, sääntelyyn liittyvät, sopimusperusteiset ja yritysvelvoitteet sekä kaikki muut asiaan liittyvät olosuhteet.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Muutokset ja erot standardista ISO 27002:2013
Jos tunnet ISO 27002:2013:n, tiedät, että vaikka kontrollin tunnus/numero on muutettu, ISO 6.4:27002:n ohjaus 2022 ei ole aivan uusi ohjausobjekti. Pikemminkin se on ISO 7.2.3:27002:n ohjausversion 2013 modifioitu versio.
Kahden säätimen välillä ei kuitenkaan ole merkittäviä eroja kummassakaan ISO 27002 -versiossa. Pieni ero, jonka huomaat, on se, että kontrollinumero on muutettu 7.23:sta 6.4:ään. Myös standardin 2022 versiossa on mukana attribuuttitaulukko ja käyttötarkoitus. Nämä kaksi ominaisuutta eivät ole vuoden 2013 versiossa.
Lukuun ottamatta niiden erilaista sanamuotoa, nämä kontrollit ovat sisällöltään ja kontekstiltaan periaatteessa identtisiä. Käyttäjäystävällinen terminologiaa käytettiin ISO 27002:2022:ssa varmistaa, että standardin käyttäjät ymmärtävät paremmin sen sisällön.
Kuka on vastuussa tästä prosessista?
Useimmissa tapauksissa kurinpitoprosessin hoitaa osastopäällikkö tai henkilöstöresurssit edustaja. Ei ole harvinaista, että HR-edustaja delegoi vastuu kurinpidollisista toimista jollekin muulle organisaatiossa, kuten tietoturvaasiantuntija.
Kurinpitotoimien päätarkoituksena on suojella organisaatiota työntekijöiden mahdollisilta uusilta rikkomuksilta. Sillä pyritään myös estämään vastaavaa tapaukset toistuvat varmistamalla, että kaikki työntekijät ymmärtävät tietoturvaloukkausten merkityksen.
Jotta varmistetaan, että organisaation käytäntöjä tai menettelytapoja rikkonutta työntekijää vastaan ryhdytään kurinpitotoimiin, on tärkeää, että tällaisten tilanteiden käsittelyyn on olemassa selkeät ohjeet. Näihin ohjeisiin tulee sisältyä tarkat ohjeet siitä, miten tutkimukset suoritetaan ja toimenpiteistä, joihin on ryhdyttävä tutkimusten päätyttyä.
Mitä nämä muutokset merkitsevät sinulle?
Jos mietit, mitä nämä muutokset merkitsevät sinulle, tässä on lyhyt erittely tärkeimmistä kohdista:
- Muutos ei ole merkittävä, joten sinun ei tarvitse varmentaa uudelleen.
- Voit säilyttää nykyisen sertifikaattisi, kunnes se vanhenee (jos se on edelleen voimassa).
- ISO 27002 -standardin sisällössä ei ole suuria muutoksia.
- Painopiste on enemmän standardin päivittämisessä nykyisten parhaiden käytäntöjen ja standardien mukaiseksi.
Standardin rakenne pysyy ennallaan. Joitakin säätimiä on kuitenkin muutettu niiden merkityksen selventämiseksi tai yhdenmukaisuuden parantamiseksi standardin muiden osien kanssa.
Kuitenkin, jos aiot saada ISMS-sertifikaatti, saatat joutua tutkimaan suojausmenettelyjäsi varmistaaksesi, että ne ovat tarkistetun standardin mukaisia.
Saat lisätietoja siitä, kuinka uusi ISO 27002 voi vaikuttaa tietoturvatoimintoihisi ja ISO 27001 sertifikaatti, tutustu ilmaiseen ISO 27002:2022 -oppaaseemme.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.Online auttaa
ISMS.Online on johtava ISO 27002 hallintajärjestelmäohjelmisto, joka tukee vaatimustenmukaisuutta ISO 27002 -standardin kanssa ja auttaa yrityksiä yhdenmukaistamaan tietoturvapolitiikkansa ja -menettelynsä standardin kanssa.
Pilvipohjainen alusta tarjoaa täydellisen valikoiman työkaluja, jotka auttavat organisaatioita määrittämään tietoturvan hallintajärjestelmä (ISMS) ISO 27002:n mukaan.
Näitä työkaluja ovat:
- Kirjasto malleja yleisille yritysasiakirjoille;
- Joukko ennalta määritettyjä käytäntöjä ja menettelyjä;
- An tarkastustyökalu sisäisten tarkastusten tukemiseksi;
- Käyttöliittymä mukauttamiseen ISMS politiikat ja menettelyt;
- Hyväksynnän työnkulku kaikille käytäntöihin ja menettelyihin tehdyille muutoksille;
- Tarkistuslista varmistaaksesi, että käytäntösi ja tietoturvaprosessisi noudattavat hyväksyttyjä kansainvälisiä standardeja.
ISMS.Online antaa käyttäjille myös mahdollisuuden:
- Hallitse kaikkia ISMS:n osa-alueita elinkaari helposti.
- Saat reaaliaikaisia näkemyksiä heidän tietoturva-asennostaan ja vaatimustenmukaisuusaukoistaan.
- Integroida muihin järjestelmiin, kuten HR-, talous- ja projektinhallintaan.
- Osoittaa ISMS:nsä ISO 27001 -standardin mukaisia.
ISMS.Online tarjoaa myös ohjeita ISMS:n parhaaseen toteuttamiseen tarjoamalla vinkkejä käytäntöjen ja menettelytapojen luomiseen, jotka liittyvät esimerkiksi riskienhallintaan, henkilöstön turvallisuustietoisuuskoulutukseen ja häiriötilanteiden suunnitteluun.
Meidän alustamme on suunniteltu alusta alkaen tietoturva-asiantuntijoiden avulla ympäri maailmaa, ja olemme kehittäneet sen tavalla, joka helpottaa ihmisten, joilla ei ole teknistä tietoa tietoturvan hallintajärjestelmistä (ISMS), käyttää sitä helposti.
Haluatko nähdä sen toiminnassa?
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
