Die ISO 27001: 2022, Bylae A 6.3, Bewusmaking, Onderwys en Opleiding van Inligtingsekuriteit, beklemtoon die behoefte aan personeel om geskikte onderrig in inligtingsekuriteit te ontvang, insluitend gereelde beleidsopknappings wat betrekking het op hul rolle.
Inligtingsekuriteitsbewustheid, onderwys en opleiding (IT-sekuriteitsbewustheid) behels om gebruikers in te lig oor die belangrikheid van inligtingsekuriteit en om hulle te inspireer om hul rekenaarsekuriteitspraktyke te verbeter.
Gebruikers moet ingelig word oor die potensiële sekuriteitsrisiko's verbonde aan hul aktiwiteite en opgevoed word oor hoe om daarteen te waak.
Bewustheid, onderwys en opleiding van inligtingsekuriteit is noodsaaklik vir enige organisasie se sukses. Alle personeel moet die belangrikheid van inligtingsekuriteit en die gevolge wat dit vir almal inhou, begryp.
Hoe groter die begrip van personeel oor hoe om hulself teen kubergevare te beskerm, hoe veiliger sal jou organisasie wees.
Versoek 'n kwotasie
Die doel van ISO 27001:2022 Bylae A 6.3 is om te verseker dat personeel en pertinente belanghebbendes ingelig is oor en behoorlik opgevoed word om hul inligtingsekuriteitsverpligtinge na te kom.
ISO 27001:2022 Bylae A 6.3 gee besonderhede oor die reeks aktiwiteite wat nodig is om te verseker dat personeel die kennis en vermoëns besit wat nodig is om in die organisasie se inligtingsekuriteitsraamwerk te funksioneer. Hierdie Bylae A-beheer fokus hoofsaaklik op die bewusmaking van die belangrikheid van inligtingsekuriteit, die voorspraak van goeie praktyk en die aanmoediging van voldoening aan relevante beleide en regulasies.
Inligtingsekuriteitsopvoeding, bewustheid en opleiding is noodsaaklike komponente van 'n organisasie se risikobestuurstrategie en moet in die sekuriteitsbeleid geïnkorporeer word. Deur werknemers die kennis en gereedskap te voorsien wat hulle nodig het, kan organisasies verseker dat hul sekuriteitsmaatreëls doeltreffend is.
ISO 27001:2022 Bylae A 6.3 beskryf die noodsaaklikheid vir besighede om 'n inligtingsekuriteitbewustheidsprogram te hê om aan alle personeel die toepaslike kennis en vermoëns te gee om inligtinghulpbronne te beskerm. Dit gee raad oor wat in 'n produktiewe bewusmakingsprogram ingesluit moet word.
Die organisasie sal dalk minstens een keer per jaar sekuriteitsbewustheidsopleiding moet verskaf, of soos die risiko-assessering bepaal, aan alle personeel met toegang tot sensitiewe inligtingbates of inligtingstelsels wat sensitiewe data stoor, verwerk of oordra.
Organisasies moet 'n proses implementeer wat verseker dat werknemers voldoende opgelei is om hul werkspligte veilig en veilig uit te voer, sonder om inligtingsekuriteit in te boet. Opleiding kan in sessies of deur middel van aanlynbronne soos video's of webinars gedoen word. Bylae A 6.3 dikteer dit.
Inligtingsekuriteitsbewustheid, onderwys en opleidingsprogramme moet ontwikkel word in lyn met die organisasie se beleid, onderwerpspesifieke beleide en relevante sekuriteitsprosedures. Dit moet die inligting in ag neem wat beskerm moet word en die sekuriteitskontroles wat in plek is om dit te beskerm, en moet gereeld plaasvind.
Die bekendstelling van bewustheid, opvoeding en opleiding aan beide nuwe werknemers en diegene wat oorskakel na rolle wat verskillende vlakke van sekuriteit benodig, is voordelig.
'n Bewusmakingsveldtog moet uit veelvuldige aktiwiteite bestaan om begrip te verhoog. Dit kan veldtogte, boekies, plakkate, nuusbriewe, webwerwe, inligtingsessies, inligtingsessies, e-leermodules en e-posse behels.
Volgens Bylae A 6.3 moet hierdie program die volgende insluit:
ISO 27001:2022 is nie 'n heeltemal nuwe beheer nie. Hierdie weergawe van ISO 27001, gepubliseer in Oktober 2022, dateer die vorige weergawe ISO 27001:2013 op.
ISO 27001:2013 Bylae A Beheer 7.2.2 het nie die kenmerktabel en doelstelling wat in ISO 27001:2022 Bylae A Beheer 6.3 verskaf word nie.
Ten spyte van die variasie in kontrolegetalle, blyk daar geen ander onderskeid tussen die twee Bylae A-kontroles te wees nie. Alhoewel die bewoording van die twee Bylae A-kontroles verskil, bly die betekenis en doel daarvan dieselfde.
Bylae A Beheer 6.3 is ontwerp om meer gebruikersvriendelik te wees, wat mense in staat stel om die inhoud daarvan beter te verstaan.
In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 | Bylae A 5.1.1 Bylae A 5.1.2 | Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 | Bylae A 6.1.5 Bylae A 14.1.1 | Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 | Bylae A 8.1.1 Bylae A 8.1.2 | Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 | Bylae A 8.1.3 Bylae A 8.2.3 | Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 | Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 | Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 | Bylae A 9.1.1 Bylae A 9.1.2 | Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 | Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 | Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 | Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 | Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 | Bylae A 15.2.1 Bylae A 15.2.2 | Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 | Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 | Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 | Bylae A 18.1.1 Bylae A 18.1.5 | Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 | Bylae A 18.2.2 Bylae A 18.2.3 | Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 | Bylae A 16.1.2 Bylae A 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 | Bylae A 11.1.2 Bylae A 11.1.6 | Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 | Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 | Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 | Bylae A 6.2.1 Bylae A 11.2.8 | Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 | Bylae A 12.6.1 Bylae A 18.2.3 | Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 | Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 | Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van bevoorregte nutsprogramme |
| Tegnologiese kontroles | Bylae A 8.19 | Bylae A 12.5.1 Bylae A 12.6.2 | Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 | Bylae A 10.1.1 Bylae A 10.1.2 | Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 | Bylae A 14.1.2 Bylae A 14.1.3 | Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige stelselargitektuur en ingenieursbeginsels |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 | Bylae A 14.2.8 Bylae A 14.2.9 | Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 | Bylae A 12.1.4 Bylae A 14.2.6 | Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 | Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 | Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Hierdie reaksie hang af van jou organisasie. Baie organisasies se sekuriteitspanne bestuur hul inligtingsekuriteitsbewussyn, onderrig en opleidingsprogramme. Sommige organisasies vertrou egter die MH-afdeling of 'n ander tak toe om dit te hanteer.
Om te verseker dat iemand beheer neem van die formulering en uitvoering van jou organisasie se sekuriteitsbewusmakingsprogram is noodsaaklik. Die inligtingsekuriteitsbestuurder moet toesig hou oor hierdie individu/departement (indien anders as hulleself).
Hierdie individu moet oor grondige kennis van inligtingsekuriteit beskik en in staat wees om met personeel te praat oor verskeie sekuriteitsprotokolle. Verder moet hulle inhoud vir jou opleidingsprogramme kan skep en herhalende opleiding vir personeel kan doen.
Dit is noodsaaklik om te verstaan dat inligtingsekuriteit nie bloot die plig van IT is nie. Alle werknemers moet verantwoordelik gehou word. Maatskappye moet 'n span skep wat toegewy is aan sekuriteit, maar hulle moet ook verseker dat almal die belangrikheid van vertroulikheid en betroubaarheid begryp.
ISO 27001:2022 Bylae A 6.3 is 'n hersiening van ISO 27001:2013 Bylae A 7.2.2 en nie 'n nuwe Bylae A Kontrole nie. Gevolglik sal die meeste organisasies nie nodig hê om iets te verander nie.
As jy reeds die 2013-weergawe van ISO 27001 geïmplementeer het, moet jy evalueer of hierdie veranderinge van toepassing is op jou maatskappy. Net so, as jy beplan ISMS sertifisering, moet jy jou sekuriteitsprosesse hersien om te verseker dat dit aan die hersiene standaard voldoen.
ISMS.aanlyn bied 'n omvattende oplossing vir ISO 27001:2022 implementering. Dit is 'n webgebaseerde platform wat organisasies in staat stel om hul voldoening aan ISO 27001-standaarde te demonstreer deur vaartbelynde prosesse, prosedures en kontrolelyste.
Hierdie platform fasiliteer nie net die implementering van ISO 27001 nie, maar bied ook 'n uitstekende hulpbron om personeel op te lei oor die beste praktyke vir inligtingsekuriteit en om alle pogings te dokumenteer.
Die voordele van die gebruik van ISMS.Online is volop:
ISMS.online stroomlyn die implementering van ISO 27001, en bied al die hulpbronne, inligting en gereedskap wat jy nodig het op een plek. Net 'n paar kliks van jou muis is al wat nodig is om te verseker dat jou ISMS aan die standaard voldoen.
Kontak ons nou om reël 'n demonstrasie.
Ek het ISO 27001 op die harde manier gedoen, so ek waardeer regtig hoeveel tyd dit ons gespaar het om ISO 27001-sertifisering te behaal.
