ISO 27001 – Bylae A.7: Menslike Hulpbronsekuriteit

Wat is die doel van Aanhangsel A.7.1?

Bylae A.7.1 handel oor voor indiensneming. Die doel van hierdie aanhangsel is om te verseker dat werknemers en kontrakteurs hul verantwoordelikhede verstaan ​​en geskik is vir die rolle waarvoor hulle oorweeg word. Dit dek ook wat gebeur wanneer daardie mense verlaat of rolle verander.

Dit is 'n belangrike deel van die inligtingsekuriteitbestuurstelsel (ISMS), veral as jy ISO 27001-sertifisering wil behaal.

A.7.1.1 Sifting

'n Goeie kontrole dek agtergrondverifikasie en bevoegdheidskontroles van alle kandidate vir indiensneming. Dit moet in ooreenstemming met die toepaslike wette, regulasies en etiek uitgevoer word, en moet eweredig wees aan die besigheidsvereistes, die klassifikasie van die inligting waartoe toegang verkry sal word en die waargenome risiko's verbonde.

Byvoorbeeld, personeel wat toegang tot inligtingsbates op hoër vlak wat meer risiko inhou, kan onderhewig wees aan baie strenger kontroles as personeel wat net ooit toegang tot openbare inligting kry of bates met beperkte bedreiging hanteer. Die instel van voldoende en proporsionele HR-kontroles in alle stadiums van indiensneming help om die waarskynlikheid van toevallige of kwaadwillige bedreigings te verminder.

Die keuring moet ook vir kontrakteurs plaasvind (tensy hul ouerorganisasie aan jou breër sekuriteitskontroles voldoen, bv. hul eie ISO 27001 het en hul eie agtergrondondersoeke doen).

'n Ouditeur sal verwag om 'n siftingsproses te sien met duidelike prosedures wat elke keer konsekwent uitgevoer word om ook te help om enige voorkeur-/vooroordeelrisiko's te vermy. Ideaal gesproke sal dit in lyn wees met die algehele organisasie-aanstellingsproses.

A.7.1.2 Diensbepalings en -voorwaardes

Die kontraktuele ooreenkoms met werknemers en kontrakteurs moet hul en die organisasie se verantwoordelikhede vir inligtingsekuriteit vermeld. Hierdie ooreenkomste is 'n goeie plek om sleutelinligtingsekuriteit algemene en individuele verantwoordelikhede te plaas, aangesien dit wettige gewig dra - wat beteken dat hulle deur die wet gerugsteun word.

Dit is ook baie belangrik met betrekking tot GDPR en die nuwe Databeskermingswet 2018. Hulle moet verwys na en dek 'n hele reeks beheerareas insluitend algehele voldoening aan die ISMS sowel as meer spesifiek aanvaarbare gebruik, IPR eienaarskap, teruggawe van bates ens.

Ons beveel aan om saam met 'n HR-prokureur te werk as jy onseker is, aangesien die gevolge daarvan om dienskontrakte verkeerd te kry vanuit 'n inligtingsekuriteitsperspektief (en ander dimensies) beduidend kan wees.

Wat is die doel van Aanhangsel A.7.2?

Die doel van hierdie aanhangsel is om te verseker dat werknemers en kontrakteurs bewus is van en hul inligtingsekuriteitsverantwoordelikhede tydens indiensneming nakom.

A.7.2.1 Bestuursverantwoordelikhede

'n Goeie kontrole beskryf hoe werknemers en kontrakteurs inligtingsekuriteit toepas in ooreenstemming met die beleide en prosedures van die organisasie.

Die verantwoordelikhede wat op bestuurders geplaas word, moet vereistes insluit om; Verseker dat diegene waarvoor hulle verantwoordelik is, die inligtingsekuriteitsbedreigings, kwesbaarhede en kontroles wat relevant is tot hul werksrolle verstaan ​​en gereelde opleiding ontvang (soos per A7.2.2); Verseker inkoop by proaktiewe en voldoende ondersteuning vir relevante inligtingsekuriteitsbeleide en -kontroles; en Versterk die vereistes van die diensbepalings en -voorwaardes.

Bestuurders speel 'n kritieke rol in die versekering van sekuriteitsbewustheid en pligsgetrouheid regdeur die organisasie en in die ontwikkeling van 'n toepaslike "sekuriteitskultuur".

A.7.2.2 Inligtingsekuriteitsbewustheid, onderwys en opleiding

Alle werknemers en relevante kontrakteurs moet toepaslike bewusmakingsopleiding en opleiding ontvang om hul werk goed en veilig te doen. Hulle moet gereelde opdaterings ontvang in organisatoriese beleide en prosedures wanneer dit ook verander word, tesame met 'n goeie begrip van die toepaslike wetgewing wat hulle in die rol raak.

Dit is algemeen dat die inligtingsekuriteitspan met MH of 'n Leer- en Ontwikkelingspan saamwerk om vaardighede, kennis, bekwaamheid en bewusmakingsassesserings uit te voer en om 'n program van bewusmaking, opvoeding en opleiding regdeur die dienslewensiklus te beplan en te implementeer (nie net by induksie). Jy moet daardie opleiding en nakoming aan ouditeure kan demonstreer.

Oorweeg ook noukeurig hoe die opleiding en bewustheid gelewer word om die personeel en kontrakteurhulpbron die beste kans te gee om dit te verstaan ​​en te volg – ​​dit beteken noukeurige aandag aan inhoud en medium vir lewering.

Wat is die doel van Aanhangsel A.7.3?

Bylae A.7.3 handel oor beëindiging en verandering van diens. Die doelwit in hierdie Bylae is om die organisasie se belange te beskerm as deel van die proses om diens te verander en te beëindig.

A.7.3.1 Beëindiging of verandering van diensverantwoordelikhede

Inligtingsekuriteitsverantwoordelikhede en verpligtinge wat geldig bly na beëindiging of verandering van diens moet gedefinieer, aan die werknemer of kontrakteur gekommunikeer en afgedwing word. Voorbeelde sluit in om inligting vertroulik te hou en om nie weg te gaan met inligting wat aan die organisasie behoort nie.

Dit is regtig belangrik om te verseker dat inligting beskerm bly nadat 'n werknemer of kontrakteur die organisasie verlaat het, aangesien mense self in datawinkels loop. Die kontraktuele bepalings en voorwaardes behoort dit te versterk, en die verlaater se proses en/of kontrakbeëindigingsproses (insluitend die teruggawe van bates) moet 'n herinnering aan individue insluit dat hulle sekere verantwoordelikhede teenoor die organisasie het, selfs nadat hulle vertrek het.

'n Ouditeur sal bewyse wil sien van verlaaters wat hul bates teruggegee het en die proses wat afgesluit en gedokumenteer word om te demonstreer dat bates bygewerk word in die bate-inventaris (A8.1.1) waar toepaslik ook.

Dit gaan nie net oor beëindiging en uitgang nie. As 'n werknemer van rol verander, bv. om van bedrywighede na verkope te beweeg, moet jy 'n hersiening doen om aan te toon dat hulle nie meer toegang het tot inligtingsbates wat nie in die nuwe rol vereis word nie, en is voorsien van toegang tot inligtingsbates wat vir die toekoms nodig is.

A.7.2.3 Dissiplinêre proses

Daar moet 'n gedokumenteerde dissiplinêre proses in plek wees en gekommunikeer word (in ooreenstemming met A7.2.2 hierbo). Alhoewel dit hier gefokus is vir dissiplinêre optrede na sekuriteitsoortredings, kan dit ook met ander dissiplinêre redes gekoppel word. As jou organisasie reeds 'n erkende HR-dissiplinêre proses het, maak seker dat dit inligtingsekuriteit dek op die wyse wat vereis word vir die ISO 27001:2013-standaard.