ISO 27701 lauseke 6.4: Henkilöstön turvallisuuden vahvistaminen
Olennainen osa ennakoivan lähestymistavan edistämistä yksityisyyden suojaan sisältää vankan henkilöresurssien turvavalvonnan toteuttamisen, joka ohjaa kaiken henkilöstön soveltuvuutta ja pätevyyttä. odotetaan olevan vuorovaikutuksessa henkilökohtaisten tunnistetietojen kanssa järjestön puolesta.
ISO luokittelee tällaiset toimenpiteet kahteen luokkaan:
- Työllistymistä edeltävä seulonta (viitteet, henkilöllisyystarkastukset jne.).
- Sopimusvelvoitteet, joita henkilöstön odotetaan noudattavan, kun heistä tulee osa organisaatiota.
Mitä ISO 27701:n lauseke 6.4 kattaa
Kohdassa 6.4 on kaksi pääalalauseketta, jotka sisältävät erityisiä ohjeita linkitetty vastaaviin ISO 27002 -standardin tietoihin, vaikkakin yksityisyyden suojan varjolla yleisen tietoturvan sijaan:
- ISO 27701 6.4.1.1 – Seulonta (viitteet ISO 27002 Control 6.1)
- ISO 27701 6.4.1.2 – Työehdot (viitteet ISO 27002 Control 6.2)
Toisin kuin muut ISO 27701:n osat, kumpikaan lauseke ei liity mihinkään tiettyyn GDPR-alueeseen, eivätkä ne sisällä lisäohjeita PIMS:ään liittyvistä toiminnoista.
Useista lainsäädännöllisistä ja sopimukseen liittyvistä tekijöistä johtuen ISO 27701 6.4.1.2 (pääasiassa työsopimuksia käsittelevä) sisältää tietoja, jotka edellyttävät ristiviittauksia moniin muihin ISO 27002 -standardiin sisältyviin lausekkeisiin. Organisaatioiden tulee siksi tarkastella tarkasti sopimusehtojaan, ja mukauttaa HR-toimintaansa vastaavasti.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
ISO 27701, lauseke 6.4.1.1 – Seulonta
Viitteet ISO 27002 Control 6.1
Organisaatioiden tulisi luoda seulontaprosessi henkilöstöresurssien turvallisuuden vahvistamiseksi, mukaan lukien koko kokopäiväinen ja osa-aikainen henkilöstö, ja se olisi laajennettava koskemaan myös kolmansia osapuolia vastaavien toimittajasopimusten kautta.
Organisaatioiden tulee varmistaa, että ne ovat tietoisia vastuustaan henkilötietojen käsittelijänä kerätessään tietoja ehdokkaista ja toimittajista, mukaan lukien pysyttelevät oikealla puolella kansallisessa ja hajautettussa lainsäädännössä, joka säätelee, miten hakijoille tiedotetaan seulontatoimista ennen niiden suorittamista.
Taustatarkistusten tulee sisältää vähintään:
- Referenssit (mieluiten yritys ja henkilökohtainen referenssi).
- Täydellinen tarkastus ehdokkaan ansioluettelosta.
- Akateemisen, ammatillisen ja ammatillisen pätevyyden ja todistusten todentaminen.
- IDV (Identity Verification), jossa otetaan huomioon viranomaisten myöntämä henkilöllisyystodistus, tai asianmukainen varmennustaso, jos tällaisia asiakirjoja ei voida esittää (esim. tiliotteet tai paikallisviranomaisten kirjeenvaihto).
Jos hakija on tarkoitus työllistää kaupallisesti arkaluontoisessa roolissa tai antaa hakijalle paljon luottamusta, jos hän menestyy hakemuksessaan, organisaatioiden tulee myös harkita tehostettujen seulontamenettelyjen toteuttamista – kuten luottotarkistuksia ja/ tai rikosrekisteritarkistukset – tarpeen mukaan.
Organisaatioiden tulisi myös pohtia tapoja varmistaa jatkuva soveltuvuus kaikista kriittisissä tehtävissä työskentelevistä henkilöistä. Tällaisista menettelyistä olisi päätettävä a työkohtaisesti, eikä eroa pitäisi tehdä uuden henkilöstön tai nykyisen henkilöstön välillä, joka on ylennetty tehtävään, jossa on suurempi vastuu.
Työllisyyden seulontaa ei aina voida suorittaa ajoissa. Mikäli näin tapahtuu, organisaatioiden tulee harkita vaihtoehtoisia toimintatapoja, jotka minimoivat tarkastamattomaan henkilöstöön liittyvät riskit, mukaan lukien:
- Viivästynyt käyttöönotto.
- Rajoitettu pääsy järjestelmiin.
- Yrityksen omaisuuden ja laitteiden pidättäminen.
- Työsuhteen irtisanominen.
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
ISO 27701 lauseke 6.4.1.2 – Työehdot
Viitteet ISO 27002 Control 6.2
Työsopimukset tulee laatia ja allekirjoittaa organisaation tietoturvaa ajatellen, mukaan lukien mahdolliset aihekohtaiset käytännöt, jotka on kehitetty vahvistamaan yksityisyyden suojaa osastokohtaisesti.
Sopimuksissa olisi oltava tietynasteisia yksityisyyden suojaa koskevia toimenpiteitä, jotka ovat suhteessa niihin rooliin, joihin ne liittyvät, ja niitä olisi tarkistettava voimassa olevan lainsäädännön tai sääntely-/sopimusvelvoitteiden valossa.
Yksityisyyden suojan roolit ja vastuut tulisi levittää hakijoille laajasti koko rekrytointiprosessin ajan. Työsopimusten tulee sisältää:
- NDA-lausekkeet, jotka ulotetaan koskemaan kaikkia henkilöitä, jotka käsittelevät luottamuksellisia tietoja ja/tai suojattuja organisaation omaisuutta (katso ISO 27002 6.6).
- Kaikki organisaation ja työntekijän lakisääteiset velvoitteet, erityisesti kaikki, jotka liittyvät immateriaalioikeuteen tai yksityisyyden suojaan, katso (katso ISO 27002 5.32 ja 5.34).
- Kaikki asiaankuuluvat vastuut, jotka koskevat tietojen luokittelua ja hallintaa, käsittelylaitteita ja ICT-palveluita (katso ISO 27002 5.9 ja 5.13).
- Mitä seurauksia on henkilöstölle, joka kehuu organisaation tietosuojakäytäntöjä?
- Tarvittaessa joukko vastuita, jotka siirtyvät asianmukaiseksi ajaksi sen jälkeen, kun henkilöstö on lähtenyt organisaatiosta (esim. NDA:t, IP-määräykset).
Jatkuvien työtehtävien ohella henkilöstöä voidaan pyytää noudattamaan myös organisaation laajuisia "eettisiä sääntöjä", jotka määrittelevät organisaation yksityisyyden suojan toiminnan perusperiaatteet ja henkilötietoihin liittyvät toiminnot.
Asiaankuuluvat ISO 27002 -säätimet
- ISO 27002 5.9
- ISO 27002 5.13
- ISO 27002 5.32
- ISO 27002 5.34
- ISO 27002 6.4
- ISO 27002 6.5
- ISO 27002 6.6
Tuetut ohjaimet ISO 27002:sta ja GDPR:stä
| ISO 27701 -lausekkeen tunniste | ISO 27701 -lausekkeen nimi | ISO 27002 -vaatimus | Asiaan liittyvät GDPR-artikkelit |
|---|---|---|---|
| 6.4.1.1 | Seulonta |
6.1 – ISO 27002:n seulonta |
Ei eristetty |
| 6.4.1.2 | Palvelussuhteen ehdot |
6.2 – ISO 27002 -työehdot |
Ei eristetty |
Miten ISMS.online auttaa
Pilvipohjaisen alustamme avulla voit käyttää kaikkia PIMS-resurssejasi yhdessä paikassa. Helppokäyttöisen alustamme avulla voit dokumentoida kaiken, mitä tarvitset osoittaaksesi, että täytät ISO 27701 -standardin vaatimukset.
Assured Results Method (ARM) -menetelmämme tekee selväksi ISO 27701 -standardin vaatimukset ja antaa sinulle luottamusta edistyessäsi sertifioinnin saavuttamisessa. Meillä on sisäinen tietoturva-asiantuntijoiden tiimi, joka voi antaa ohjeita ja vastata kysymyksiin auttaakseen sinua matkallasi ISO 27701 -sertifiointiin.
Lisätietoja: varata demo.
