Mikä on Control 6.6?
ISO 6.6:27002:n valvonta 2022 kattaa organisaatioiden tarpeen estää luottamuksellisten tietojen vuotaminen tekemällä salassapitosopimuksia asianosaisten ja henkilöstön kanssa.
Organisaatioiden tulee määrittää muiden osapuolten kanssa tekemiensä sopimusten ehdot organisaation tietoturvavaatimukset, ottaen huomioon käsiteltävän tiedon tyyppi, sen luokitustaso, käyttötarkoitus ja toiselle osapuolelle sallittu pääsy.
Luottamuksellisuus- tai salassapitosopimukset selitetty
Salassapito- tai salassapitosopimus (NDA) on oikeudellinen asiakirja, joka estää liikesalaisuuksien ja muiden luottamuksellisten tietojen julkistamisen.
Luottamuksellinen tiedot voivat sisältää yrityksen liiketoimintasuunnitelman, taloustiedot, asiakasluettelot ja muut omistusoikeudelliset tiedot. Näitä sopimuksia voidaan käyttää monissa tilanteissa, mukaan lukien:
- Työllisyys – Salassapitosopimus voi olla osa uuden työntekijän työsopimusta. Sopimuksella varmistetaan, että työntekijä ei paljasta luottamuksellisia tietoja yrityksestä, sen tuotteista tai palveluista, työntekijöistä tai myyjistä. Yritykset käyttävät salassapitosopimuksia myös estääkseen työntekijöitään paljastamasta arkaluontoisia tietoja työnsä jälkeen.
- Yrityksen tilisiirrot – Salassapitosopimukset sisältyvät usein liiketoimiin, kuten yrityksen ostoon, sulautumiseen toiseen yritykseen tai yrityksen myymiseen. Näiden sopimusten tarkoituksena on estää molempia osapuolia paljastamasta kaupan aikana saamiaan luottamuksellisia tietoja.
- Kumppanuudet – Luottamuksellisuussopimuksia käytetään usein liiketoimissa, kun toinen osapuoli haluaa suojata olemassa olevia suhteitaan asiakkaiden tai toimittajien kanssa paljastumiselta uudelle kumppanille. Jos yritys esimerkiksi hakee rahoitusta pääomasijoittajilta, se voi pyytää näitä sijoittajia allekirjoittamaan NDA:n suojatakseen yrityksen tuotteita tai palveluita koskevia omistusoikeudellisia tietoja.
Kumppanuudet sisältävät usein luottamuksellisuuslausekkeita osana kumppanuussopimusta, joten jokainen kumppani sitoutuu olemaan paljastamatta kumppanuuden aikana saamiaan luottamuksellisia tietoja.
Luottamuksellisuussopimusten tarkoitus
Salassapitosopimuksia tekevät niin yksityishenkilöt kuin yrityksetkin. Niillä on monia tarkoituksia, kuten:
- Liikesalaisuuksien ja omistusoikeudellisten tietojen suojaaminen kilpailijoilta, jotka muuten voisivat käyttää niitä niitä vastaan;
- Työntekijän estäminen jakamasta arkaluonteisia yritystietoja toisen yrityksen kanssa; ja
- Immateriaalioikeuksien, kuten patenttien ja tekijänoikeuksien, suojaaminen.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Attribuuttien ohjaustaulukko 6.6
Kontrollit luokitellaan attribuuttien avulla. Näiden avulla voit nopeasti yhdistää ohjausvalintasi yleisesti käytettyihin alan termeihin ja spesifikaatioihin.
Ohjauksen 6.6 attribuutit ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Vahvuuksien hallinta | #Suojaus |
| #Integrity | #Tiedon suojaus | |||
| #Saatavuus | #Fyysinen turvallisuus | |||
| #Järjestelmä- ja verkkoturvallisuus |
Mikä on hallinnan tarkoitus 6.6?
Valvonta 6.6 tulisi ottaa käyttöön, jotta voidaan varmistaa tietoturva, kun henkilöstö, kumppanit ja toimittajat työskentelevät organisaation kanssa.
Tämän ohjauksen tarkoituksena on suojata järjestön tiedot ja ilmoittaa allekirjoittajille heidän vastuustaan käsitellä ja suojata tietoja vastuullisesti ja valtuutetulla tavalla. Sitä käytetään myös työkaluna immateriaalioikeuksien, kuten patenttien, tavaramerkkien, liikesalaisuuksien ja tekijänoikeuksien, suojaamiseen.
On tärkeää, että työnantajat tekevät salassapitosopimuksen, ennen kuin he paljastavat luottamuksellisia tietoja työntekijälle tai urakoitsijalle. Sopimuksessa määrätään, kuinka tarkasti henkilön tulee suojata saamiaan tietoja ja kuinka kauan salassapitoaika kestää työsuhteen päätyttyä.
Ohjaus 6.6 Selitetty
Control 6.6 pyrkii suojaamaan organisaatiosi immateriaalioikeuksia ja liiketoimintaetuja estämällä arkaluonteisten tietojen paljastamisen kolmansille osapuolille. Se viittaa organisaatiosi ja sen työntekijöiden, kumppaneiden, urakoitsijoiden, myyjien ja muiden kolmansien osapuolten väliseen lailliseen sopimukseen tai järjestelyyn. joka säätelee luottamuksellisten tietojen käyttöä.
Luottamuksellisia tietoja ovat kaikki tiedot, joita ei ole saatettu yleisön tai muiden saman alan yritysten saataville. Esimerkkejä ovat liikesalaisuudet, asiakasluettelot, kaavat ja liiketoimintasuunnitelmat.
Valvonta tulisi toteuttaa arvioitaessa, onko a kolmannella osapuolella on pääsy arkaluonteisiin henkilötietoihin, ja onko ryhdyttävä toimenpiteisiin sen varmistamiseksi, että he eivät säilytä organisaation arkaluontoisia henkilötietoja ja pääse niitä edelleen käsiksi lähtemisensä jälkeen.
Kun organisaatio toteaa, että kolmas osapuoli on poistumassa liikesuhteesta ja on olemassa vaara, että arkaluonteisia organisaation tai yrityksen tietoja saatetaan paljastaa, organisaation on ryhdyttävä kohtuullisiin toimiin ennen kuin kolmas osapuoli lähtee tai mahdollisimman pian. sen jälkeen, kun he ovat lähteneet, tällaisen paljastamisen estämiseksi.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Mitä se sisältää ja kuinka vaatimukset täytetään
Valvonta 6.6 tarkoittaa, että sopimuksen osapuolet eivät paljasta sopimuksen kattamia luottamuksellisia tietoja. Tietoja saa luovuttaa vain organisaation kirjallisella suostumuksella tai oikeuden määräyksen mukaisesti. Tämä on tärkeää liiketoimintakäytäntöjä, immateriaalioikeuksia sekä tutkimusta ja kehitystä koskevien arkaluonteisten tietojen suojaamiseksi.
Valvonnan kohdan 6.6 vaatimusten täyttämiseksi "luottamuksellisuutta" ja "salpaamista koskeva" sopimus/sopimus on laadittava huolellisesti siten, että se kattaa kaikki liikesalaisuudet ja arkaluonteiset tiedot/tietonäkökohdat organisaation liiketoimista ja liiketoimista. On tärkeää, että molemmat osapuolet ymmärtävät sopimuksen mukaiset velvoitteensa ja tehtävänsä liikesuhteen aikana ja sen päätyttyä.
Salassapitolauseke voidaan sisällyttää myös muihin sopimuksiin, jotka ulottuvat työntekijän työsuhteen päättymisen tai kolmannen osapuolen toimeksiannon jälkeen.
On välttämätöntä, että liikesuhteesta lähtevän tai työpaikkaa vaihtavan henkilön turvallisuusvastuut ja -tehtävät siirretään uudelle henkilölle, kaikki käyttöoikeudet poistetaan ja uusi luodaan.
Seuraavat tekijät tulee ottaa huomioon määriteltäessä salassapito- ja salassapitosopimuksia:
- Kuvaus tiedoista, jotka on suojattava (esim. luottamukselliset tiedot);
- Sopimuksen kesto, mukaan lukien tilanteet, joissa luottamuksellisuus on säilytettävä toistaiseksi tai kunnes tiedot tulevat julkisiksi;
- Vaadittavat toimenpiteet sopimuksen irtisanomisen yhteydessä;
- Allekirjoittajien olisi toteutettava velvollisuudet ja toimet estääkseen tietojen luvattoman luovuttamisen;
- Miten tietojen, liikesalaisuuksien ja henkisen omaisuuden omistus vaikuttaa luottamuksellisuuteen?
- Luottamuksellisten tietojen sallittu käyttö sekä allekirjoittajan oikeudet käyttää niitä;
- Oikeus tarkkailla tai tarkastustoimintaan erittäin arkaluontoista tietoa;
- Luottamuksellisten tietojen luvattomista luovutuksista tai vuodoista ilmoittamisen ja raportoinnin menettely;
- Tietojen palauttamisen tai tuhoamisen ehdot sopimuksen päättyessä;
- Toimenpiteet, joihin on ryhdyttävä, jos sopimusta ei noudateta.
Organisaation tulee varmistaa, että luottamuksellisuus- ja salassapitosopimukset ovat sen lainkäyttöalueen lakien mukaisia, jossa niitä sovelletaan.
Luottamuksellisuus- ja salassapitosopimukset tulisi tarkistaa säännöllisesti ja aina, kun muutokset vaikuttavat niiden vaatimuksiin.
Lisätietoja siitä, miten tämä toimii, on saatavilla ISO 27002:2022 -standardin asiakirjassa.
Muutokset ja erot standardista ISO 27002:2013
Ohjaus 6.6 uudessa ISO 27002:2022:ssa ei ole uusi ohjausobjekti, vaan se on muunneltu versio ISO 13.2.4:27002:n ohjausyksiköstä 2013.
Vaikka nämä kaksi säädintä sisältävät samanlaisia ominaisuuksia, ne eroavat hieman. Esimerkiksi, vaikka molempien versioiden käyttöönotto-ohjeet ovat samanlaisia, ne eivät ole identtisiä.
Ensimmäinen osa täytäntöönpano-ohjeita standardin ISO 13.2.4:27002 ohjauskohdassa 2013 todetaan, että:
"Luottamuksellisuus- tai salassapitosopimuksissa tulisi käsitellä vaatimusta luottamuksellisten tietojen suojaamisesta laillisesti täytäntöönpanokelpoisin ehdoin. Ulkopuolisiin osapuoliin tai organisaation työntekijöihin sovelletaan salassapito- tai salassapitosopimuksia. Elementit tulee valita tai lisätä ottaen huomioon toisen osapuolen tyyppi ja luottamuksellisten tietojen luottamuksellinen käyttö tai käsittely.
Samassa kohdassa ISO 6.6:27002:n ohjauskohdassa 2022 todetaan, että:
"Luottamuksellisuus- tai salassapitosopimuksissa tulisi käsitellä vaatimusta luottamuksellisten tietojen suojaamisesta laillisesti täytäntöönpanokelpoisin ehdoin. Asianomaisiin osapuoliin ja organisaation henkilöstöön sovelletaan salassapito- tai salassapitosopimuksia.
Sopimusten ehdot tulee määritellä organisaation tietoturvavaatimusten perusteella ottaen huomioon käsiteltävän tiedon tyyppi, sen luokitustaso, käyttö ja toisen osapuolen sallittu käyttöoikeus.
Molemmilla säätimillä, vaikka ne eroavat semanttisesta merkityksestä, on samanlainen rakenne ja toiminta vastaavassa kontekstissaan. Ohjaus 6.6 käyttää kuitenkin yksinkertaisempaa ja käyttäjäystävällisempää kieltä, jotta sisältö ja konteksti ovat helpompia ymmärtää. Tämä tarkoittaa, että standardia käyttävät voivat kohdata sen sisältöön helpommin.
Lisäksi ISO 2022:n vuoden 27002 versio sisältää kunkin ohjausobjektin käyttötarkoitus- ja attribuuttitaulukot, jotka auttavat käyttäjiä ymmärtämään ja toteuttamaan säätimiä tehokkaammin. Nämä kaksi osiota eivät ole saatavilla vuoden 2013 painoksessa.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Kuka on vastuussa tästä prosessista?
ISO 6.6 -standardin ohjauksen 27002 mukaan henkilöstöosasto hoitaa useimmissa organisaatioissa yleensä salassapito- tai salassapitosopimuksen laadinnan ja toimeenpanon, mikä edellyttää yhteistyötä asianomaisen kolmannen osapuolen valvovan esimiehen tai osaston kanssa.
Ohjaava johtaja voi olla tietoturvapäällikkö, myynti- tai tuotantopäällikkö.
Nämä osastot ja johtajat ovat myös vastuussa siitä, että kaikilla organisaation käyttämillä kolmansien osapuolien toimittajilla on käytössään riittävät turvatoimenpiteet luottamuksellisten tietojen suojaamiseksi luvattomalta paljastamiselta tai käytöltä.
Heidän tulee varmistaa, että kaikki työntekijät allekirjoittavat salassapitosopimuksen, kun he alkavat työskennellä yrityksessä.
Useimmissa tapauksissa (riippuen organisaation laajuudesta) kaikki työntekijät, joilla on pääsy luottamuksellisiin tietoihin, allekirjoittavat luottamuksellisuus- tai salassapitosopimukset.
Tämä koskee yleensä kaikkia työntekijöitä, jotka työskentelevät myynti-, markkinointi-, asiakaspalvelu- tai muilla osastoilla, joissa he saattavat joutua kosketuksiin asiakkaita, asiakkaita tai myyjiä koskevien luottamuksellisten tietojen kanssa.
Joissakin tapauksissa, vaikka kahden osapuolen välillä ei olisikaan varsinaista kirjallista sopimusta, organisaatioilla tulee olla käytäntöjä, joissa vaaditaan työntekijöiden allekirjoittamaan luottamuksellisuussopimus, ennen kuin he saavat pääsyn asiakkaita tai toimittajia koskeviin arkaluonteisiin tietoihin.
Joitakin riskejä, jotka liittyvät riittävän salassapitosopimuspolitiikan puutteeseen, ovat:
- Työntekijät voivat vahingossa vuotaa arkaluonteisia tietoja jollekin yrityksen ulkopuoliselle, jolla ei pitäisi olla pääsyä niihin, mikä aiheuttaa vahinkoa organisaatiolle.
- Työntekijä voi paljastaa arkaluonteisia tietoja kilpailijalle.
- Tyytymätön työntekijä voi varastaa yrityksen immateriaaliomaisuuden (IP) ja käyttää sitä omaksi hyödykseen.
- Työntekijät voivat vahingossa jättää arkaluonteisia tietoja tietokoneen työpöydälle töissä tai kannettavalle tietokoneelleen kotona, jotka hakkeri voi varastaa.
Mitä nämä muutokset merkitsevät sinulle?
ISO 27002:2013 -standardia ei ole merkittävästi muutettu. Standardi päivitettiin vain käytettävyyden helpottamiseksi. Organisaatioiden, jotka tällä hetkellä noudattavat ISO 27002:2013 -standardia, ei tarvitse tehdä lisätoimenpiteitä noudattaa noudattamista standardin kanssa.
ISO 27002:2022 -standardin muutosten noudattamiseksi organisaatio voi joutua tekemään pieniä muutoksia olemassa oleviin prosesseihinsa ja menettelytapoihinsa, varsinkin jos uudelleensertifiointi on tarpeen.
Saat lisätietoja siitä, kuinka nämä muutokset 6.6:n hallintaan vaikuttavat organisaatioosi, tutustumalla ISO 27002:2022 -oppaaseen.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.Online auttaa
ISO 27002 on laajalti tunnustettu tietoturvastandardi joka tarjoaa organisaatiolle joukon vaatimuksia tietojensa luottamuksellisuuden, eheyden ja saatavuuden suojaamiseksi. Standardin on kehittänyt Kansainvälinen standardointijärjestö ISO, kansalaisjärjestö, joka asettaa, arvioi ja julkaisee kansainvälisiä standardeja.
ISMS.Online auttaa organisaatioita ja yrityksiä täyttämään ISO 27002 -standardin vaatimukset tarjoamalla niille alustan, jonka avulla on helppo hallita luottamuksellisuus- tai salassapitokäytäntöjä ja -menettelyjä, päivittää niitä tarpeen mukaan, testata ja seurata niiden tehokkuutta.
Tarjoamme pilvipohjaisen alustan luottamuksellisuuden ja tietoturvan hallintajärjestelmien hallinta, mukaan lukien salassapitolausekkeet, riskienhallinta, käytännöt, suunnitelmat ja menettelyt yhdessä keskeisessä paikassa. Alusta on helppokäyttöinen ja siinä on intuitiivinen käyttöliittymä, jonka avulla sen käytön oppiminen on helppoa.
ISMS.Onlinen avulla voit:
- Dokumentoi prosessisi. Tämän intuitiivisen käyttöliittymän avulla voit dokumentoida prosessisi ilman ohjelmiston asentamista tietokoneellesi tai verkkoon.
- Automatisoi omasi riskinarviointi prosessiin.
- Osoita vaatimustenmukaisuus helposti online-raporttien ja tarkistuslistojen avulla.
- Pidä kirjaa edistymisestä työskennellessäsi sertifiointiin.
ISMS.Online tarjoaa a täyden valikoiman ominaisuuksia auttaa organisaatioita ja yrityksiä saavuttamaan alan standardien ISO 27001 ja/tai ISO 27002 ISMS noudattamisen.
Ota meihin yhteyttä jo tänään aikataulun esittely.
Hyppää aiheeseen
