ISO 27001:2022 Bylae A 6.5 beveel aan dat organisasies inligtingsekuriteitsrolle en -verantwoordelikhede spesifiseer wat effektief bly selfs al verlaat personeel of word hertoegewys. Kommunikeer hierdie pligte en verantwoordelikhede aan die werknemer en enige toepaslike derde party.
Werknemers is wetlik verplig om enige inligting wat hul werkgewer aan hulle toevertrou vertroulik te hou. Dit is noodsaaklik vir personeel om die vereistes vir die beskerming van hul werkgewer se data te begryp.
Werkgewers is oor die algemeen geregtig om hul werkers te verwag om vertroulike data te beskerm en dit nie vir persoonlike wins uit te buit nie, bv. deur binnehandel of ander onwettige aktiwiteite.
'n Paar voorbeelde van inligtingsekuriteitspligte en -verantwoordelikhede sluit in:
Dit is noodsaaklik vir organisasies om bewus te wees van hul verpligtinge wanneer hulle persoonlike data bestuur, om nie inbreuk te maak op enige privaatheidsregulasies nie, aangesien die reperkussies vir beide die besigheid en sy personeel erg kan wees.
Bespreek 'n 30 minute klets met ons en ons sal jou wys hoe
Aanhangsel A 6.5 moet geïmplementeer word by 'n werknemer of kontrakteur se vertrek uit die organisasie, of wanneer 'n kontrak voor sy verstryking eindig.
Hierdie beheer beskerm die organisasie se inligtingsekuriteitsbelange in die geval van diensveranderings of kontrakbeëindigings.
Hierdie Bylae A Beheer beskerm teen die moontlikheid dat werknemers voordeel trek uit hul toegang tot vertroulike inligting en prosesse vir persoonlike gewin of kwaadwillige opset, veral na hul vertrek uit die organisasie of werk.
Die ISO 27001: 2022 Bylae A 6.5 poog om die organisasie se datasekuriteitsbelange te beskerm in die geval van verandering of beëindiging van diens of kontrakte. Dit dek werknemers, kontrakteurs en derde partye wat toegang tot vertroulike data verkry.
Evalueer of enige persone (insluitend gekontrakteerdes) met toegang tot jou sensitiewe persoonlike data jou organisasie verlaat en neem maatreëls om te verseker dat hulle nie jou sensitiewe persoonlike data behou en volhou om toegang te verkry nadat hulle vertrek het nie.
As jy bespeur dat 'n individu vertrek en daar 'n kans is dat vertroulike persoonlike inligting geopenbaar kan word, moet jy toepaslike stappe doen, hetsy voor hulle vertrek of so vinnig as moontlik daarna om te verseker dat dit nie gebeur nie.
Om aan die kriteria van Aanhangsel A 6.5 te voldoen, moet 'n individu se dienskontrak of -ooreenkoms enige spesifiseer inligtingsekuriteitsverantwoordelikhede en pligte wat steeds staan na die sluiting van die verhouding.
Inligtingsekuriteitsverantwoordelikhede kan ingesluit word in ander kontrakte of ooreenkomste wat langer as 'n werknemer se dienstydperk duur.
Wanneer hy 'n rol verlaat of van werk verander, moet die posbekleër verseker dat hul sekuriteitsverantwoordelikhede oorgedra word en alle toegangsbewyse uitgevee en vervang word.
Raadpleeg die ISO 27001:2022-standaarddokument vir verdere besonderhede van hierdie proses.
ISO 27001:2022 Bylae A 6.5 is 'n aanpassing van ISO 27001:2013 Bylae A 7.3.1 eerder as 'n nuwe Bylae A-kontrole.
Die grondbeginsels van hierdie twee kontroles is dieselfde, hoewel daar klein verskille is. Byvoorbeeld, die implementeringsriglyne verskil effens in beide weergawes.
Die eerste deel van Bylae A 7.3.1 in ISO 27001:2013 bepaal dat organisasies:
By beëindiging is dit noodsaaklik om die nodige inligtingsekuriteit en wetlike vereistes te kommunikeer, asook enige toepaslike vertroulikheidsooreenkomste en diensbepalings en -voorwaardes wat vir 'n bepaalde tydperk na die beëindiging van die werknemer of kontrakteur se aanstelling mag geld.
Dieselfde afdeling Bylae A 6.5 van ISO 27001:2022 bepaal dat:
Die prosedure vir die bestuur van diensbeëindiging of -verandering moet spesifiseer watter inligtingsekuriteitsverantwoordelikhede en -verpligtinge van krag bly na beëindiging of verandering. Dit kan insluit die handhawing van vertroulikheid van inligting, intellektuele eiendom en ander kennis wat verkry is, asook enige ander verantwoordelikhede wat in 'n vertroulikheidsooreenkoms bepaal word.
Verantwoordelikhede en pligte wat van krag bly na die beëindiging van 'n individu se diens, kontrak of ooreenkoms moet in hul bepalings en voorwaardes uiteengesit word. Daarbenewens kan enige kontrakte of ooreenkomste wat oor 'n bepaalde tydperk na die einde van die individu se diens strek, inligtingsekuriteitsverantwoordelikhede insluit.
Ten spyte van die verskil in bewoording, het beide Bylae A-kontroles 'n grootliks soortgelyke struktuur en doel in hul onderskeie kontekste. Om aanhangsel A 6.5 meer gebruikersvriendelik te maak, is die taal vereenvoudig, sodat gebruikers die inhoud daarvan beter kan verstaan.
Die 2022-weergawe van ISO 27001 bevat 'n verklaring van doel en kenmerktabel vir elke beheer, wat gebruikers help om dit te verstaan en te implementeer. Dit is afwesig in die 2013-uitgawe.
In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 | Bylae A 5.1.1 Bylae A 5.1.2 | Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 | Bylae A 6.1.5 Bylae A 14.1.1 | Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 | Bylae A 8.1.1 Bylae A 8.1.2 | Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 | Bylae A 8.1.3 Bylae A 8.2.3 | Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 | Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 | Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 | Bylae A 9.1.1 Bylae A 9.1.2 | Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 | Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 | Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 | Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 | Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 | Bylae A 15.2.1 Bylae A 15.2.2 | Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 | Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 | Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 | Bylae A 18.1.1 Bylae A 18.1.5 | Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 | Bylae A 18.2.2 Bylae A 18.2.3 | Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 | Bylae A 16.1.2 Bylae A 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 | Bylae A 11.1.2 Bylae A 11.1.6 | Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 | Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 | Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 | Bylae A 6.2.1 Bylae A 11.2.8 | Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 | Bylae A 12.6.1 Bylae A 18.2.3 | Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 | Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 | Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van bevoorregte nutsprogramme |
| Tegnologiese kontroles | Bylae A 8.19 | Bylae A 12.5.1 Bylae A 12.6.2 | Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 | Bylae A 10.1.1 Bylae A 10.1.2 | Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 | Bylae A 14.1.2 Bylae A 14.1.3 | Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige stelselargitektuur en ingenieursbeginsels |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 | Bylae A 14.2.8 Bylae A 14.2.9 | Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 | Bylae A 12.1.4 Bylae A 14.2.6 | Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 | Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 | Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
In ooreenstemming met die aanbeveling van ISO 27001:2022 Bylae A 6.5, neem Menslike Hulpbronne gewoonlik beheer oor die hele beëindigingsproses in die meeste organisasies, en werk saam met die individu se toesighouer om inligtingsekuriteit as deel van die prosedures te verseker.
Personeel wat deur 'n eksterne party (byvoorbeeld 'n verskaffer) verskaf word, moet beëindig word in ooreenstemming met die kontrak wat tussen die organisasie en die eksterne party opgestel is.
Die ISO 27001:2022-standaard het grotendeels onveranderd gebly, bloot opgedateer vir verbeterde bruikbaarheid. Geen organisasie wat tans aan ISO 27001:2013 voldoen, hoef enige ekstra maatreëls te tref om daaraan te voldoen nie.
Om aan die veranderinge in ISO 27001:2022 te voldoen, sal die organisasie slegs geringe veranderings aan hul bestaande metodes en prosesse moet aanbring, veral as dit poog om sertifisering te hernu.
Maatskappye kan ISMS.online inspan om te help met hul nakoming van ISO 27001:2022. Hierdie platform vereenvoudig die proses van bestuur, opdatering, toetsing en evaluering van hul sekuriteitsprotokolle.
Ons wolk-gebaseerde platform vereenvoudig ISMS-bestuur, wat jou in staat stel om doeltreffend toesig te hou oor risikobestuur, beleide, planne, prosedures en meer, alles uit een enkele bron. Die platform is eenvoudig en die gebruikersvriendelike koppelvlak maak dit maklik om op te tel.
ISMS.online stel jou organisasie in staat om:
As jy 'n besigheid bedryf wat voldoening aan ISO 27001 vereis, verskaf ISMS.Online 'n omvattende seleksie van kenmerke om jou in staat te stel om hierdie noodsaaklike taak uit te voer.
Kontak ons nou om reël 'n demonstrasie.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
