Ohjaus 6.5 standardissa ISO 27002:2022 kattaa organisaatioiden tarpeen määritellä tietoturvatehtävät ja -vastuut, jotka pysyvät voimassa, jos henkilöstö lopettaa työnsä tai siirtyy uudelle osastolle.
Näistä velvollisuuksista ja vastuista tulee ilmoittaa työntekijälle sekä muille asiaankuuluville osapuolille.
Tiedotusvelvollisuudet ja -vastuut ovat velvollisuuksia, jotka työntekijällä on työnantajaansa kohtaan luottamuksellisten tietojen käsittelyssä. Velvollisuus pitää tiedot luottamuksellisina on lakisääteinen velvollisuus useimmissa osavaltioissa, joten on tärkeää, että työntekijät ymmärtävät, mitä heidän on tehtävä, kun on kyse työnantajansa tietojen suojaamisesta.
Useimmissa tapauksissa työnantajilla on oikeus odottaa työntekijöidensä suojaavan luottamuksellisia tietoja tietoja, mutta älä myöskään käytä niitä henkilökohtaisiin tarkoituksiin hyötyä esimerkiksi sisäpiirikaupoista tai muusta laittomasta toiminnasta.
Esimerkkejä tietoturvatehtävistä ja -vastuista ovat:
Organisaationa on tärkeää ymmärtää omasi vastuuta henkilötietojen käsittelyssä koska näin voit välttää tietosuojalakien rikkomisen, millä voi olla vakavia seurauksia sekä yrityksellesi että työntekijöillesi.
Kontrollit luokitellaan attribuuttien avulla. Näiden avulla voit nopeasti yhdistää ohjausvalintasi yleisesti käytettyihin alan termeihin ja spesifikaatioihin.
Ohjauksen 6.5 attribuutit ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Henkilöstöturvallisuus #Vahvuuksien hallinta | #Hallinto ja ekosysteemi |
Valvonta 6.5 on valvonta, joka tulee ottaa käyttöön, kun työntekijä tai urakoitsija lähtee organisaatiosta tai sopimus irtisanotaan ennen sen päättymistä.
Tämän valvonnan tarkoituksena on suojata organisaation tietoturvaetuja osana työsuhteen tai sopimusten muutos- tai irtisanomista.
Tämä ohjaus voi myös toimia suojana riski työntekijöille, joilla on pääsy arkaluonteisiin tietoihin ja prosesseihin, jotka käyttävät asemaansa väärin henkilökohtaisen hyödyn tai ilkeän tarkoituksen vuoksi, erityisesti sen jälkeen, kun he ovat lähteneet organisaatiosta tai työtehtävästä.
Control 6.5 pyrkii suojella organisaation tietoturvaetuja osana työsuhteen tai sopimusten muuttamis- tai irtisanomista. Tämä koskee työntekijöitä, urakoitsijoita ja kolmansia osapuolia, joilla on pääsy arkaluonteisiin tietoihisi.
Valvonnan toteuttaminen tarkoittaa sen arvioimista, poistuvatko henkilöt (mukaan lukien kolmannen osapuolen palveluksessa olevat), joilla on pääsy arkaluonteisiin henkilötietoihisi, ja onko tarpeen ryhtyä toimenpiteisiin sen varmistamiseksi, etteivät he säilytä ja jatka pääsyä arkaluonteisiin henkilötietoihisi. henkilötiedot lähtönsä jälkeen.
Jos huomaat jonkun lähtevän ja on olemassa vaara, että arkaluontoisia henkilötietoja saatetaan paljastaa, sinun on ryhdyttävä kohtuullisiin toimenpiteisiin ennen hänen lähtöään tai mahdollisimman pian lähdön jälkeen, jotta näin ei tapahdu.
Valvontavaatimusten 6.5 täyttämiseksi henkilön työ-, sopimus- tai sopimusehdoissa tulee määritellä kaikki tietoturvavastuut ja -tehtävät jotka jäävät voimaan suhteen päätyttyä.
Tietoturvatehtävät voivat sisältyä myös muihin sopimuksiin, jotka ulottuvat työntekijän työsuhteen päättymisen jälkeen.
Jokaisen, joka eroaa tai vaihtaa työpaikkaa, tulee siirtää tietoturvavastuunsa ja -tehtävänsä uudelle henkilölle, kaikki käyttöoikeudet poistetaan ja uusi luodaan.
Lisätietoja tämän toiminnasta löytyy osoitteesta ISO 27002:2022 -standardidokumentti.
Ohjaus 6.5 uudessa ISO 27002:2022:ssa ei ole uusi ohjausobjekti, vaan se on muutettu versio ISO 7.3.1:27002:n ohjausversiosta 2013.
Vaikka näiden kahden säätimen perusasiat ovat samankaltaisia, niissä on pieniä eroja. Esimerkiksi molempien versioiden käyttöönotto-ohjeet ovat hieman erilaiset.
ISO 7.3.1: 27002:n ohjaus 2013:n käyttöönotto-ohjeiden ensimmäisessä osassa todetaan, että
”Irtisanoutumisvelvollisuuksista tiedottamisen tulee sisältää jatkuvat tietoturvavaatimukset ja lailliset vastuut sekä tarvittaessa luottamuksellisuussopimukseen sisältyvät vastuut ja työehdot, jotka jatkuvat määrätyn ajan työntekijän tai urakoitsijan työsuhteen päättymisen jälkeen. ”
Sama jakso standardin ISO 6.5:27002 ohjauskohdassa 2022 sanoo, että
”Työn irtisanomisen tai muutoksen hallintaprosessissa tulisi määritellä, mitkä tietoturvavastuut ja -tehtävät säilyvät voimassa irtisanomisen tai muutoksen jälkeen. Tämä voi sisältää tietojen, immateriaalioikeuksien ja muun hankitun tiedon luottamuksellisuuden sekä minkä tahansa muun luottamuksellisuussopimuksen sisältämät vastuut.
Työsuhteen tai sopimuksen päättymisen jälkeen edelleen voimassa olevat vastuut ja tehtävät tulee sisällyttää henkilön työehtoihin, sopimukseen tai sopimukseen. Myös muut sopimukset, jotka jatkuvat määrätyn ajan henkilön työsuhteen päättymisen jälkeen, voivat sisältää tietoturvavastuita."
Siitä huolimatta, riippumatta siitä, kuinka paljon niiden sanamuodot eroavat, molemmilla ohjausobjekteilla on enimmäkseen samanlainen rakenne ja toiminta omassa kontekstissaan. Control 6.5:ssä käytettyä kieltä on yksinkertaistettu käyttäjäystävällisemmäksi, jotta standardia käyttävien on helpompi samaistua sen sisältöön.
On myös tärkeää huomauttaa, että ISO 2022:n vuoden 27002 versio sisältää myös kunkin ohjausobjektin käyttötarkoituksen ja attribuuttitaulukon, joka auttaa käyttäjiä ymmärtämään ja toteuttamaan säätimiä paremmin. Nämä kaksi osaa puuttuvat vuoden 2013 painoksesta.
Kontrollin 6.5 suositusten mukaisesti henkilöstöosasto vastaa useimmissa organisaatioissa pääsääntöisesti irtisanomisen kokonaisprosessista ja tekee yhteistyötä siirtyvän henkilön valvovan esimiehen kanssa valvomaan asiaan liittyvien menettelyjen tietoturvaelementtejä.
Ulkopuolisen osapuolen (esimerkiksi toimittajan) toimittaman henkilöstön irtisanominen tapahtuu ulkopuolisen tahon toimesta organisaation ja ulkopuolisen osapuolen välillä solmitun sopimuksen ehtojen mukaisesti.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Jos et käytä ISMS.onlinea, teet elämästäsi vaikeampaa kuin sen tarvitsee olla!
ISO 27002:2013 -standardia ei ole merkittävästi muutettu. Standardi on juuri päivitetty käytettävyyden helpottamiseksi. Organisaation, joka tällä hetkellä noudattaa ISO 27002:2013 -standardia, ei tarvitse ryhtyä lisätoimiin ISO 27002 -standardin noudattamisen ylläpitämiseksi.
ISO 27002:2022:n muutosten noudattamiseksi organisaation tarvitsee tehdä vain pieniä muutoksia olemassa oleviin prosesseihinsa ja menetelmiinsä, varsinkin jos se aikoo sertifioida uudelleen.
Jos haluat tietää lisää siitä, miten nämä muutokset 6.5:een vaikuttavat organisaatioosi, tutustu ISO 27002:2022 -oppaaseen.
Yritykset voivat käyttää ISMS.Onlinea auttaakseen niitä ISO 27002 -vaatimustenmukaisuuspyrkimyksissään tarjoamalla niille alustan, jonka avulla on helppo hallita tietoturvakäytäntöjä ja -menettelyjä, päivittää niitä tarvittaessa, testata ja seurata niiden tehokkuutta.
Pilvipohjaisen alustamme avulla voit nopeasti ja helposti hallita kaikkia ISMS:si näkökohtia, mukaan lukien riskienhallinta, käytännöt, suunnitelmat, menettelyt ja paljon muuta, yhdessä keskeisessä paikassa. Alusta on helppokäyttöinen ja siinä on intuitiivinen käyttöliittymä, jonka avulla sen käytön oppiminen on helppoa.
ISMS.Onlinen avulla voit:
Jos olet yritys, jonka on noudatettava ISO 27001 ja/tai ISO 27002, ISMS.Online tarjoaa täyden valikoiman ominaisuuksia, jotka auttavat sinua saavuttamaan tämän tärkeän tavoitteen.
Ota yhteyttä jo tänään varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
