ISO 6.6:27002:n valvonta 2022 kattaa organisaatioiden tarpeen estää luottamuksellisten tietojen vuotaminen tekemällä salassapitosopimuksia asianosaisten ja henkilöstön kanssa.
Organisaatioiden tulee määrittää muiden osapuolten kanssa tekemiensä sopimusten ehdot organisaation tietoturvavaatimukset, ottaen huomioon käsiteltävän tiedon tyyppi, sen luokitustaso, käyttötarkoitus ja toiselle osapuolelle sallittu pääsy.
Salassapito- tai salassapitosopimus (NDA) on oikeudellinen asiakirja, joka estää liikesalaisuuksien ja muiden luottamuksellisten tietojen julkistamisen.
Luottamuksellinen tiedot voivat sisältää yrityksen liiketoimintasuunnitelman, taloustiedot, asiakasluettelot ja muut omistusoikeudelliset tiedot. Näitä sopimuksia voidaan käyttää monissa tilanteissa, mukaan lukien:
Kumppanuudet sisältävät usein luottamuksellisuuslausekkeita osana kumppanuussopimusta, joten jokainen kumppani sitoutuu olemaan paljastamatta kumppanuuden aikana saamiaan luottamuksellisia tietoja.
Salassapitosopimuksia tekevät niin yksityishenkilöt kuin yrityksetkin. Niillä on monia tarkoituksia, kuten:
Kontrollit luokitellaan attribuuttien avulla. Näiden avulla voit nopeasti yhdistää ohjausvalintasi yleisesti käytettyihin alan termeihin ja spesifikaatioihin.
Ohjauksen 6.5 attribuutit ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Vahvuuksien hallinta #Tiedon suojaus #Fyysinen turvallisuus #Järjestelmä- ja verkkoturvallisuus | #Suojaus |
Valvonta 6.6 tulisi ottaa käyttöön, jotta voidaan varmistaa tietoturva, kun henkilöstö, kumppanit ja toimittajat työskentelevät organisaation kanssa.
Tämän ohjauksen tarkoituksena on suojata järjestön tiedot ja ilmoittaa allekirjoittajille heidän vastuustaan käsitellä ja suojata tietoja vastuullisesti ja valtuutetulla tavalla. Sitä käytetään myös työkaluna immateriaalioikeuksien, kuten patenttien, tavaramerkkien, liikesalaisuuksien ja tekijänoikeuksien, suojaamiseen.
On tärkeää, että työnantajat tekevät salassapitosopimuksen, ennen kuin he paljastavat luottamuksellisia tietoja työntekijälle tai urakoitsijalle. Sopimuksessa määrätään, kuinka tarkasti henkilön tulee suojata saamiaan tietoja ja kuinka kauan salassapitoaika kestää työsuhteen päätyttyä.
Control 6.6 pyrkii suojaamaan organisaatiosi immateriaalioikeuksia ja liiketoimintaetuja estämällä arkaluonteisten tietojen paljastamisen kolmansille osapuolille. Se viittaa organisaatiosi ja sen työntekijöiden, kumppaneiden, urakoitsijoiden, myyjien ja muiden kolmansien osapuolten väliseen lailliseen sopimukseen tai järjestelyyn. joka säätelee luottamuksellisten tietojen käyttöä.
Luottamuksellisia tietoja ovat kaikki tiedot, joita ei ole saatettu yleisön tai muiden saman alan yritysten saataville. Esimerkkejä ovat liikesalaisuudet, asiakasluettelot, kaavat ja liiketoimintasuunnitelmat.
Valvonta tulisi toteuttaa arvioitaessa, onko a kolmannella osapuolella on pääsy arkaluonteisiin henkilötietoihin, ja onko ryhdyttävä toimenpiteisiin sen varmistamiseksi, että he eivät säilytä organisaation arkaluontoisia henkilötietoja ja pääse niitä edelleen käsiksi lähtemisensä jälkeen.
Kun organisaatio toteaa, että kolmas osapuoli on poistumassa liikesuhteesta ja on olemassa vaara, että arkaluonteisia organisaation tai yrityksen tietoja saatetaan paljastaa, organisaation on ryhdyttävä kohtuullisiin toimiin ennen kuin kolmas osapuoli lähtee tai mahdollisimman pian. sen jälkeen, kun he ovat lähteneet, tällaisen paljastamisen estämiseksi.
Suosittelisin ehdottomasti ISMS.onlinea, sillä se tekee ISMS:n määrittämisestä ja hallinnasta niin helppoa kuin mahdollista.
Valvonta 6.6 tarkoittaa, että sopimuksen osapuolet eivät paljasta sopimuksen kattamia luottamuksellisia tietoja. Tietoja saa luovuttaa vain organisaation kirjallisella suostumuksella tai oikeuden määräyksen mukaisesti. Tämä on tärkeää liiketoimintakäytäntöjä, immateriaalioikeuksia sekä tutkimusta ja kehitystä koskevien arkaluonteisten tietojen suojaamiseksi.
Valvonnan kohdan 6.6 vaatimusten täyttämiseksi "luottamuksellisuutta" ja "salpaamista koskeva" sopimus/sopimus on laadittava huolellisesti siten, että se kattaa kaikki liikesalaisuudet ja arkaluonteiset tiedot/tietonäkökohdat organisaation liiketoimista ja liiketoimista. On tärkeää, että molemmat osapuolet ymmärtävät sopimuksen mukaiset velvoitteensa ja tehtävänsä liikesuhteen aikana ja sen päätyttyä.
Salassapitolauseke voidaan sisällyttää myös muihin sopimuksiin, jotka ulottuvat työntekijän työsuhteen päättymisen tai kolmannen osapuolen toimeksiannon jälkeen.
On välttämätöntä, että liikesuhteesta lähtevän tai työpaikkaa vaihtavan henkilön turvallisuusvastuut ja -tehtävät siirretään uudelle henkilölle, kaikki käyttöoikeudet poistetaan ja uusi luodaan.
Seuraavat tekijät tulee ottaa huomioon määriteltäessä salassapito- ja salassapitosopimuksia:
Organisaation tulee varmistaa, että luottamuksellisuus- ja salassapitosopimukset ovat sen lainkäyttöalueen lakien mukaisia, jossa niitä sovelletaan.
Luottamuksellisuus- ja salassapitosopimukset tulisi tarkistaa säännöllisesti ja aina, kun muutokset vaikuttavat niiden vaatimuksiin.
Lisätietoja siitä, miten tämä toimii, on saatavilla ISO 27002:2022 -standardin asiakirjassa.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Ohjaus 6.6 uudessa ISO 27002:2022:ssa ei ole uusi ohjausobjekti, vaan se on muunneltu versio ISO 13.2.4:27002:n ohjausyksiköstä 2013.
Vaikka nämä kaksi säädintä sisältävät samanlaisia ominaisuuksia, ne eroavat hieman. Esimerkiksi, vaikka molempien versioiden käyttöönotto-ohjeet ovat samanlaisia, ne eivät ole identtisiä.
Ensimmäinen osa täytäntöönpano-ohjeita standardin ISO 13.2.4:27002 ohjauskohdassa 2013 todetaan, että:
"Luottamuksellisuus- tai salassapitosopimuksissa tulisi käsitellä vaatimusta luottamuksellisten tietojen suojaamisesta laillisesti täytäntöönpanokelpoisin ehdoin. Ulkopuolisiin osapuoliin tai organisaation työntekijöihin sovelletaan salassapito- tai salassapitosopimuksia. Elementit tulee valita tai lisätä ottaen huomioon toisen osapuolen tyyppi ja luottamuksellisten tietojen luottamuksellinen käyttö tai käsittely.
Samassa kohdassa ISO 6.6:27002:n ohjauskohdassa 2022 todetaan, että:
"Luottamuksellisuus- tai salassapitosopimuksissa tulisi käsitellä vaatimusta luottamuksellisten tietojen suojaamisesta laillisesti täytäntöönpanokelpoisin ehdoin. Asianomaisiin osapuoliin ja organisaation henkilöstöön sovelletaan salassapito- tai salassapitosopimuksia.
Sopimusten ehdot tulee määritellä organisaation tietoturvavaatimusten perusteella ottaen huomioon käsiteltävän tiedon tyyppi, sen luokitustaso, käyttö ja toisen osapuolen sallittu käyttöoikeus.
Molemmilla säätimillä, vaikka ne eroavat semanttisesta merkityksestä, on samanlainen rakenne ja toiminta vastaavassa kontekstissaan. Ohjaus 6.6 käyttää kuitenkin yksinkertaisempaa ja käyttäjäystävällisempää kieltä, jotta sisältö ja konteksti ovat helpompia ymmärtää. Tämä tarkoittaa, että standardia käyttävät voivat kohdata sen sisältöön helpommin.
Lisäksi ISO 2022:n vuoden 27002 versio sisältää kunkin ohjausobjektin käyttötarkoitus- ja attribuuttitaulukot, jotka auttavat käyttäjiä ymmärtämään ja toteuttamaan säätimiä tehokkaammin. Nämä kaksi osiota eivät ole saatavilla vuoden 2013 painoksessa.
ISO 6.6 -standardin ohjauksen 27002 mukaan henkilöstöosasto hoitaa useimmissa organisaatioissa yleensä salassapito- tai salassapitosopimuksen laadinnan ja toimeenpanon, mikä edellyttää yhteistyötä asianomaisen kolmannen osapuolen valvovan esimiehen tai osaston kanssa.
Ohjaava johtaja voi olla tietoturvapäällikkö, myynti- tai tuotantopäällikkö.
Nämä osastot ja johtajat ovat myös vastuussa siitä, että kaikilla organisaation käyttämillä kolmansien osapuolien toimittajilla on käytössään riittävät turvatoimenpiteet luottamuksellisten tietojen suojaamiseksi luvattomalta paljastamiselta tai käytöltä.
Heidän tulee varmistaa, että kaikki työntekijät allekirjoittavat salassapitosopimuksen, kun he alkavat työskennellä yrityksessä.
Useimmissa tapauksissa (riippuen organisaation laajuudesta) kaikki työntekijät, joilla on pääsy luottamuksellisiin tietoihin, allekirjoittavat luottamuksellisuus- tai salassapitosopimukset.
Tämä koskee yleensä kaikkia työntekijöitä, jotka työskentelevät myynti-, markkinointi-, asiakaspalvelu- tai muilla osastoilla, joissa he saattavat joutua kosketuksiin asiakkaita, asiakkaita tai myyjiä koskevien luottamuksellisten tietojen kanssa.
Joissakin tapauksissa, vaikka kahden osapuolen välillä ei olisikaan varsinaista kirjallista sopimusta, organisaatioilla tulee olla käytäntöjä, joissa vaaditaan työntekijöiden allekirjoittamaan luottamuksellisuussopimus, ennen kuin he saavat pääsyn asiakkaita tai toimittajia koskeviin arkaluonteisiin tietoihin.
Joitakin riskejä, jotka liittyvät riittävän salassapitosopimuspolitiikan puutteeseen, ovat:
Olemme kustannustehokkaita ja nopeita
ISO 27002:2013 -standardia ei ole merkittävästi muutettu. Standardi päivitettiin vain käytettävyyden helpottamiseksi. Organisaatioiden, jotka tällä hetkellä noudattavat ISO 27002:2013 -standardia, ei tarvitse tehdä lisätoimenpiteitä noudattaa noudattamista standardin kanssa.
ISO 27002:2022 -standardin muutosten noudattamiseksi organisaatio voi joutua tekemään pieniä muutoksia olemassa oleviin prosesseihinsa ja menettelytapoihinsa, varsinkin jos uudelleensertifiointi on tarpeen.
Saat lisätietoja siitä, kuinka nämä muutokset 6.6:n hallintaan vaikuttavat organisaatioosi, tutustumalla ISO 27002:2022 -oppaaseen.
ISO 27002 on laajalti tunnustettu tietoturvastandardi joka tarjoaa organisaatiolle joukon vaatimuksia tietojensa luottamuksellisuuden, eheyden ja saatavuuden suojaamiseksi. Standardin on kehittänyt Kansainvälinen standardointijärjestö ISO, kansalaisjärjestö, joka asettaa, arvioi ja julkaisee kansainvälisiä standardeja.
ISMS.Online auttaa organisaatioita ja yrityksiä täyttämään ISO 27002 -standardin vaatimukset tarjoamalla niille alustan, jonka avulla on helppo hallita luottamuksellisuus- tai salassapitokäytäntöjä ja -menettelyjä, päivittää niitä tarpeen mukaan, testata ja seurata niiden tehokkuutta.
Tarjoamme pilvipohjaisen alustan luottamuksellisuuden ja tietoturvan hallintajärjestelmien hallinta, mukaan lukien salassapitolausekkeet, riskienhallinta, käytännöt, suunnitelmat ja menettelyt yhdessä keskeisessä paikassa. Alusta on helppokäyttöinen ja siinä on intuitiivinen käyttöliittymä, jonka avulla sen käytön oppiminen on helppoa.
ISMS.Onlinen avulla voit:
ISMS.Online tarjoaa a täyden valikoiman ominaisuuksia auttaa organisaatioita ja yrityksiä saavuttamaan alan standardien ISO 27001 ja/tai ISO 27002 ISMS noudattamisen.
Ota meihin yhteyttä jo tänään aikataulun esittely.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Siirron jälkeen olemme pystyneet vähentämään hallintoon käytettyä aikaa.
