Mikä on Control 6.5?
Ohjaus 6.5 standardissa ISO 27002:2022 kattaa organisaatioiden tarpeen määritellä tietoturvatehtävät ja -vastuut, jotka pysyvät voimassa, jos henkilöstö lopettaa työnsä tai siirtyy uudelle osastolle.
Näistä velvollisuuksista ja vastuista tulee ilmoittaa työntekijälle sekä muille asiaankuuluville osapuolille.
Tiedotusvelvollisuudet ja vastuut selitetty
Tiedotusvelvollisuudet ja -vastuut ovat velvollisuuksia, jotka työntekijällä on työnantajaansa kohtaan luottamuksellisten tietojen käsittelyssä. Velvollisuus pitää tiedot luottamuksellisina on lakisääteinen velvollisuus useimmissa osavaltioissa, joten on tärkeää, että työntekijät ymmärtävät, mitä heidän on tehtävä, kun on kyse työnantajansa tietojen suojaamisesta.
Useimmissa tapauksissa työnantajilla on oikeus odottaa työntekijöidensä suojaavan luottamuksellisia tietoja tietoja, mutta älä myöskään käytä niitä henkilökohtaisiin tarkoituksiin hyötyä esimerkiksi sisäpiirikaupoista tai muusta laittomasta toiminnasta.
Esimerkkejä tietoturvatehtävistä ja -vastuista ovat:
- Henkilötietojen luottamuksellisuuden suojaaminen.
- Pidä kirjaa siitä, miten henkilötietoja käsitellään, käytetään ja luovutetaan.
- Sen varmistamiseksi, että tiedot ovat tarkkoja ja luotettavia. Tämä sisältää sen varmistamisen, että se on kerätty luotettavasta lähteestä, tallennettu turvallisesti ja poistettu turvallisesti, kun sitä ei enää tarvita.
- Sen varmistamiseksi, että vain valtuutetut henkilöt pääsevät käsiksi tietoihin.
- Käyttää ja paljastaa henkilötietoja oikeudenmukaisesti ja laillisesti, asiaa koskevien lakien mukaisesti.
Organisaationa on tärkeää ymmärtää omasi vastuuta henkilötietojen käsittelyssä koska näin voit välttää tietosuojalakien rikkomisen, millä voi olla vakavia seurauksia sekä yrityksellesi että työntekijöillesi.
Attribuuttien ohjaustaulukko 6.5
Kontrollit luokitellaan attribuuttien avulla. Näiden avulla voit nopeasti yhdistää ohjausvalintasi yleisesti käytettyihin alan termeihin ja spesifikaatioihin.
Ohjauksen 6.5 attribuutit ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Henkilöstöturvallisuus | #Hallinto ja ekosysteemi |
| #Integrity | #Vahvuuksien hallinta | |||
| #Saatavuus |
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Mikä on hallinnan tarkoitus 6.5?
Valvonta 6.5 on valvonta, joka tulee ottaa käyttöön, kun työntekijä tai urakoitsija lähtee organisaatiosta tai sopimus irtisanotaan ennen sen päättymistä.
Tämän valvonnan tarkoituksena on suojata organisaation tietoturvaetuja osana työsuhteen tai sopimusten muutos- tai irtisanomista.
Tämä ohjaus voi myös toimia suojana riski työntekijöille, joilla on pääsy arkaluonteisiin tietoihin ja prosesseihin, jotka käyttävät asemaansa väärin henkilökohtaisen hyödyn tai ilkeän tarkoituksen vuoksi, erityisesti sen jälkeen, kun he ovat lähteneet organisaatiosta tai työtehtävästä.
Ohjaus 6.5 Selitetty
Control 6.5 pyrkii suojella organisaation tietoturvaetuja osana työsuhteen tai sopimusten muuttamis- tai irtisanomista. Tämä koskee työntekijöitä, urakoitsijoita ja kolmansia osapuolia, joilla on pääsy arkaluonteisiin tietoihisi.
Valvonnan toteuttaminen tarkoittaa sen arvioimista, poistuvatko henkilöt (mukaan lukien kolmannen osapuolen palveluksessa olevat), joilla on pääsy arkaluonteisiin henkilötietoihisi, ja onko tarpeen ryhtyä toimenpiteisiin sen varmistamiseksi, etteivät he säilytä ja jatka pääsyä arkaluonteisiin henkilötietoihisi. henkilötiedot lähtönsä jälkeen.
Jos huomaat jonkun lähtevän ja on olemassa vaara, että arkaluontoisia henkilötietoja saatetaan paljastaa, sinun on ryhdyttävä kohtuullisiin toimenpiteisiin ennen hänen lähtöään tai mahdollisimman pian lähdön jälkeen, jotta näin ei tapahdu.
Mitä se sisältää ja kuinka vaatimukset täytetään
Valvontavaatimusten 6.5 täyttämiseksi henkilön työ-, sopimus- tai sopimusehdoissa tulee määritellä kaikki tietoturvavastuut ja -tehtävät jotka jäävät voimaan suhteen päätyttyä.
Tietoturvatehtävät voivat sisältyä myös muihin sopimuksiin, jotka ulottuvat työntekijän työsuhteen päättymisen jälkeen.
Jokaisen, joka eroaa tai vaihtaa työpaikkaa, tulee siirtää tietoturvavastuunsa ja -tehtävänsä uudelle henkilölle, kaikki käyttöoikeudet poistetaan ja uusi luodaan.
Lisätietoja tämän toiminnasta löytyy osoitteesta ISO 27002:2022 -standardidokumentti.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Muutokset ja erot standardista ISO 27002:2013
Ohjaus 6.5 uudessa ISO 27002:2022:ssa ei ole uusi ohjausobjekti, vaan se on muutettu versio ISO 7.3.1:27002:n ohjausversiosta 2013.
Vaikka näiden kahden säätimen perusasiat ovat samankaltaisia, niissä on pieniä eroja. Esimerkiksi molempien versioiden käyttöönotto-ohjeet ovat hieman erilaiset.
ISO 7.3.1: 27002:n ohjaus 2013:n käyttöönotto-ohjeiden ensimmäisessä osassa todetaan, että
”Irtisanoutumisvelvollisuuksista tiedottamisen tulee sisältää jatkuvat tietoturvavaatimukset ja lailliset vastuut sekä tarvittaessa luottamuksellisuussopimukseen sisältyvät vastuut ja työehdot, jotka jatkuvat määrätyn ajan työntekijän tai urakoitsijan työsuhteen päättymisen jälkeen. ”
Sama jakso standardin ISO 6.5:27002 ohjauskohdassa 2022 sanoo, että
”Työn irtisanomisen tai muutoksen hallintaprosessissa tulisi määritellä, mitkä tietoturvavastuut ja -tehtävät säilyvät voimassa irtisanomisen tai muutoksen jälkeen. Tämä voi sisältää tietojen, immateriaalioikeuksien ja muun hankitun tiedon luottamuksellisuuden sekä minkä tahansa muun luottamuksellisuussopimuksen sisältämät vastuut.
Työsuhteen tai sopimuksen päättymisen jälkeen edelleen voimassa olevat vastuut ja tehtävät tulee sisällyttää henkilön työehtoihin, sopimukseen tai sopimukseen. Myös muut sopimukset, jotka jatkuvat määrätyn ajan henkilön työsuhteen päättymisen jälkeen, voivat sisältää tietoturvavastuita."
Siitä huolimatta, riippumatta siitä, kuinka paljon niiden sanamuodot eroavat, molemmilla ohjausobjekteilla on enimmäkseen samanlainen rakenne ja toiminta omassa kontekstissaan. Control 6.5:ssä käytettyä kieltä on yksinkertaistettu käyttäjäystävällisemmäksi, jotta standardia käyttävien on helpompi samaistua sen sisältöön.
On myös tärkeää huomauttaa, että ISO 2022:n vuoden 27002 versio sisältää myös kunkin ohjausobjektin käyttötarkoituksen ja attribuuttitaulukon, joka auttaa käyttäjiä ymmärtämään ja toteuttamaan säätimiä paremmin. Nämä kaksi osaa puuttuvat vuoden 2013 painoksesta.
Kuka on vastuussa tästä prosessista?
Kontrollin 6.5 suositusten mukaisesti henkilöstöosasto vastaa useimmissa organisaatioissa pääsääntöisesti irtisanomisen kokonaisprosessista ja tekee yhteistyötä siirtyvän henkilön valvovan esimiehen kanssa valvomaan asiaan liittyvien menettelyjen tietoturvaelementtejä.
Ulkopuolisen osapuolen (esimerkiksi toimittajan) toimittaman henkilöstön irtisanominen tapahtuu ulkopuolisen tahon toimesta organisaation ja ulkopuolisen osapuolen välillä solmitun sopimuksen ehtojen mukaisesti.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä nämä muutokset merkitsevät sinulle?
ISO 27002:2013 -standardia ei ole merkittävästi muutettu. Standardi on juuri päivitetty käytettävyyden helpottamiseksi. Organisaation, joka tällä hetkellä noudattaa ISO 27002:2013 -standardia, ei tarvitse ryhtyä lisätoimiin ISO 27002 -standardin noudattamisen ylläpitämiseksi.
ISO 27002:2022:n muutosten noudattamiseksi organisaation tarvitsee tehdä vain pieniä muutoksia olemassa oleviin prosesseihinsa ja menetelmiinsä, varsinkin jos se aikoo sertifioida uudelleen.
Jos haluat tietää lisää siitä, miten nämä muutokset 6.5:een vaikuttavat organisaatioosi, tutustu ISO 27002:2022 -oppaaseen.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.Online auttaa
Yritykset voivat käyttää ISMS.Onlinea auttaakseen niitä ISO 27002 -vaatimustenmukaisuuspyrkimyksissään tarjoamalla niille alustan, jonka avulla on helppo hallita tietoturvakäytäntöjä ja -menettelyjä, päivittää niitä tarvittaessa, testata ja seurata niiden tehokkuutta.
Pilvipohjaisen alustamme avulla voit nopeasti ja helposti hallita kaikkia ISMS:si näkökohtia, mukaan lukien riskienhallinta, käytännöt, suunnitelmat, menettelyt ja paljon muuta, yhdessä keskeisessä paikassa. Alusta on helppokäyttöinen ja siinä on intuitiivinen käyttöliittymä, jonka avulla sen käytön oppiminen on helppoa.
ISMS.Onlinen avulla voit:
- Dokumentoi prosessisi käyttämällä intuitiivista verkkokäyttöliittymää ilman, että sinun tarvitsee asentaa mitään ohjelmistoja tietokoneellesi tai verkkoon.
- Automatisoi omasi riskinarviointi prosessiin.
- Osoita vaatimustenmukaisuus helposti online-raporttien ja tarkistuslistojen avulla.
- Seuraa edistymistä työskennellessään sertifioinnissa.
Jos olet yritys, jonka on noudatettava ISO 27001 ja/tai ISO 27002, ISMS.Online tarjoaa täyden valikoiman ominaisuuksia, jotka auttavat sinua saavuttamaan tämän tärkeän tavoitteen.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
