ISO 27001:2022 Bylae A 6.6 – Vertroulikheid of nie-openbaarmakingsooreenkomste

• sien ISO 27002:2022 Beheer 6.6 vir meer inligting.
• sien ISO 27001:2013 Bylae A 13.2.4 vir meer inligting.

Wat is ISO 27001:2022 Bylae A 6.6?

ISO 27001:2022 Bylae A 6.6 bepaal dat organisasies maatreëls moet instel om vertroulike inligting teen ongemagtigde openbaarmaking te beskerm. Dit sluit in die totstandkoming van vertroulikheidsooreenkomste met belanghebbende partye en personeel.

Organisasies moet bepalings vir hul ooreenkomste met ander partye skep nadat hulle die organisasie s'n oorweeg het inligting-sekuriteit behoeftes, die soort inligting wat bestuur moet word, die klassifikasievlak daarvan, die doel waarvoor dit bedoel is, en die toegang wat die ander party toegelaat word.

Vertroulikheid of nie-openbaarmakingsooreenkomste verduidelik

'n Vertroulikheids- of Nie-openbaarmakingsooreenkoms (NDA) is 'n regsdokument wat die openbaarmaking van handelsgeheime en ander vertroulike inligting verbied.

Vertroulike inligting kan 'n maatskappy se sakeplan, finansiële syfers, kliëntelyste en ander eksklusiewe besonderhede insluit. Hierdie kontrakte word in 'n verskeidenheid omstandighede gebruik, soos:

• 'n Vertroulikheidsooreenkoms kan deel vorm van 'n dienskontrak vir 'n nuwe rekruut. Dit verseker dat die werknemer hom daarvan weerhou om enige vertroulike inligting rakende die besigheid, sy produkte of dienste, personeel of verskaffers bekend te maak. Besighede gebruik ook nie-openbaarmakingsooreenkomste om hul voormalige werknemers te verhinder om sensitiewe inligting ná indiensneming bekend te maak.
• Vertroulikheidsooreenkomste word gereeld by saketransaksies ingesluit, soos om 'n firma te koop, met 'n ander maatskappy te kombineer of 'n onderneming te verkoop. Hierdie ooreenkomste is ontwerp om beide partye te keer om enige vertroulike inligting wat tydens die transaksie verkry is bekend te maak.
• Vennootskappe behels die gebruik van vertroulikheidsooreenkomste wanneer een party hul bestaande kliënt wil beskerm of verskaffer verhoudings van bekendmaking na 'n nuwe vennoot. Byvoorbeeld, as 'n onderneming befondsing van waagkapitaliste benodig, kan dit hierdie beleggers versoek om NDA's te onderteken om vertroulike data aangaande die maatskappy se produkte of dienste te beveilig.

Vennootskappe bevat dikwels vertroulikheidsklousules in hul vennootskapsooreenkoms, waardeur elke vennoot instem om enige vertroulike inligting wat tydens die vennootskap verkry is, heeltemal vertroulik te hou.

Doel van vertroulikheidsooreenkomste

Vertroulikheidsooreenkomste word algemeen deur individue en besighede gebruik. Hulle dien 'n reeks doelwitte, insluitend:

• Beskerm hul handelsgeheime en eiendomsinligting teen mededingers wat dit kan uitbuit.
• Verhoed dat personeel sensitiewe korporatiewe data aan ander organisasies bekend maak.
• beveiliging intellektuele eiendomsregte soos patente en kopiereg.

Wat is die doel van ISO 27001:2022 Bylae A 6.6?

ISO 27001:2022 Bylae A 6.6 moet toegepas word om die sekuriteit van data te verseker wanneer personeel, vennote en verskaffers met 'n organisasie saamwerk.

Hierdie beheer is ontwerp om die organisasie se data te beveilig en om ondertekenaars in te lig oor hul verpligting om inligting verantwoordelik en wettig te bestuur en te beskerm. Dit dien ook as 'n hulpmiddel vir die behoud van intellektuele eiendomsregte, byvoorbeeld patente, handelsmerke, handelsgeheime en kopiereg.

Werkgewers moet verseker dat 'n nie-openbaarmakingsooreenkoms in plek is voordat enige vertroulike inligting aan 'n werknemer of kontrakteur bekend gemaak word. Die Ooreenkoms sal die individu se verantwoordelikheid om die geheimhouding van die inligting en die duur van die tydperk van vertroulikheid te handhaaf nadat diens beëindig is, duidelik te maak.

Bylae A 6.6 Verduidelik

ISO 27001:2022 Bylae A Beheer 6.6 is ontwerp om jou organisasie se intellektuele eiendom en besigheidsbelange te beskerm deur die bekendmaking van vertroulike data aan derde partye te stop. Dit behels die totstandkoming van 'n wettige ooreenkoms of reëling tussen jou organisasie en sy personeel, geassosieerdes, kontrakteurs, verskaffers en ander buitestanders, wat die gebruik van geklassifiseerde inligting beheer.

Vertroulike inligting is enige data wat nie openbaar gemaak of met ander organisasies in dieselfde sektor gedeel is nie. Dit sluit handelsgeheime, kliëntregisters, formules en besigheidstrategieë in.

Evalueer beheer wanneer daar besluit word of 'n derde party toegang tot sensitiewe persoonlike data toegelaat sal word en of stappe geneem moet word om te verseker dat hulle nie die organisasie se sensitiewe persoonlike data behou of voortgaan om toegang te verkry wanneer hulle vertrek nie.

Wanneer 'n derde party 'n organisasie verlaat, en daar is potensiaal vir sensitiewe data om blootgelê te word, moet die organisasie die nodige stappe neem om openbaarmaking voor of kort na hul vertrek te voorkom.

Wat is betrokke en hoe om aan die vereistes te voldoen

Die ISO 27001: 2022 Bylae A 6.6 vereis dat partye tot die ooreenkoms hulle daarvan weerhou om vertroulike inligting wat onder die omvang daarvan val, bekend te maak. Toestemming van die organisasie is nodig in enige gevalle waar openbaarmaking nodig is, behalwe 'n hofbevel. Hierdie bepaling is noodsaaklik om data rakende besigheidsaktiwiteite, intellektuele eiendom en navorsing en ontwikkeling te beskerm.

Om aan Bylae A 6.6 te voldoen, moet 'n vertroulikheids- en nie-openbaarmakingsooreenkoms/-kontrak met presiesheid voorberei word om alle handelsgeheime en sensitiewe data/inligting wat verband hou met die maatskappy se aktiwiteite en transaksies te beskerm. Dit is noodsaaklik dat beide partye hul pligte en verantwoordelikhede ingevolge die ooreenkoms tydens en na die sluiting van die sakevennootskap begryp.

’n Vertroulikheidsklousule kan ingesluit word in kontrakte wat verder strek as die werknemer se diens of die aanstelling van derde partye. Dit moet gedoen word om te verseker dat die inligting veilig bly.

Dit is noodsaaklik dat 'n vertrekkende werknemer of een wat van werk verander, hul sekuriteitspligte en -verantwoordelikhede oorgedra word aan iemand nuut, met alle toegangsbewyse verwyder en nuwes geskep.

Wanneer vertroulikheid en nie-openbaarmakingsooreenkomste beoordeel word, moet 'n mens verskeie elemente in gedagte hou.

• Die vertroulike data wat beskerm moet word.
• Die ooreenkoms se duur, insluitend geleenthede wanneer vertroulikheid voortdurend gehandhaaf moet word of totdat die data openbaar gemaak word, sal bepaal word.
• In die geval van die beëindiging van 'n ooreenkoms, die nodige stappe wat geneem moet word.
• Ondertekenaars moet alle nodige stappe doen om die ongemagtigde openbaarmaking van inligting te voorkom.
• Eienaarskap van data, vertroulike besigheidskennis en intellektuele eiendom wat 'n effek op vertroulikheid het.
• Die ondertekenaar het die reg om vertroulike inligting in ooreenstemming met die magtiging te gebruik.
• Die reg om toesig te hou of aktiwiteite te evalueer wat uiters geklassifiseerde data behels.
• Die proses om in te lig en in te lig oor nie-goedgekeurde onthullings of vermorsing van private inligting moet gevolg word.
• By beëindiging van hierdie ooreenkoms moet enige data of inligting wat tussen partye gedeel word, teruggestuur of vernietig word.
• Indien die ooreenkoms nie nagekom word nie, watter maatreëls sal getref word.

Die organisasie moet verseker dat vertroulikheid en nie-openbaarmakingsooreenkomste by die wette van die betrokke jurisdiksie hou.

Periodiek en wanneer veranderinge hul vereistes beïnvloed, is dit nodig om vertroulikheids- en nie-openbaarmakingsooreenkomste te hersien.

Verdere besonderhede oor hierdie proses kan in die ISO 27001:2022-standaard gevind word.

Veranderinge en verskille vanaf ISO 27001:2013

ISO 27001:2022 Bylae A 6.6 is 'n wysiging van ISO 27001:2013 Bylae A 13.2.4, eerder as 'n nuwe kontrole.

Die twee Bylae A-kontroles het verskeie parallelle, hoewel hulle nie identies is nie. Byvoorbeeld, die implementeringsinstruksies van albei is dieselfde, maar nie dieselfde nie.

Die eerste deel van ISO 27001:2013 implementeringsleiding, Bylae A 13.2.4, beklemtoon dat:

“Vertroulikheids- of nie-openbaarmakingsooreenkomste moet die vereiste aanspreek om vertroulike inligting te beskerm deur wetlik afdwingbare terme te gebruik. Vertroulikheids- of nie-openbaarmakingsooreenkomste is van toepassing op eksterne partye of werknemers van die organisasie.

Elemente moet gekies of bygevoeg word met inagneming van die tipe van die ander party en sy toelaatbare toegang of hantering van vertroulike inligting.”

Bylae A 6.6 van ISO 27001:2022 verklaar dat enige organisasie toepaslike maatreëls moet tref om:

“Vertroulikheids- of nie-openbaarmakingsooreenkomste moet die vereiste aanspreek om vertroulike inligting te beskerm deur wetlik afdwingbare terme te gebruik. Vertroulikheids- of nie-openbaarmakingsooreenkomste is van toepassing op belanghebbende partye en personeel van die organisasie.

Gebaseer op 'n organisasie se inligtingsekuriteitsvereistes, moet die bepalings in die ooreenkomste bepaal word deur die tipe inligting wat hanteer sal word, die klassifikasievlak daarvan, die gebruik daarvan en die toelaatbare toegang deur die ander party in ag te neem.”

Beide kontroles het 'n analoog struktuur en funksie in hul individuele kontekste, alhoewel hulle in semantiese betekenis verskil. Bylae A 6.6 gebruik 'n meer eenvoudige, gebruikersvriendelike taal, wat dit makliker maak om die inhoud en konteks te begryp. Gevolglik kan gebruikers makliker met die standaard identifiseer.

Die 2022-paaiement van ISO 27001 sluit verklarings van voorneme en kenmerktabelle per Bylae A Beheer in, om begrip en suksesvolle implementering te help. Dit word nie in die 2013-uitgawe verskaf nie.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.

Wie is in beheer van hierdie proses?

Volgens Bylae A 6.6 van ISO 27001:2022 hou die Menslike Hulpbronne-afdeling gewoonlik toesig oor die opstel en afdwinging van die vertroulikheids-/nie-openbaarmakingsooreenkoms in die meeste organisasies, in samewerking met die betrokke derde party se toesighoudende bestuurder/departement.

Die inligtingsekuriteitsbeampte, verkoops- of produksiebestuurder kan almal as die toesighoudende bestuurder optree.

Die departemente en hoofde moet waarborg dat enige derdeparty-verkopers in diens van die organisasie behoorlike veiligheidsmaatreëls het om vertroulike data te beskerm teen nie-goedgekeurde vrystelling of gebruik.

Alle werknemers moet 'n vertroulikheidsooreenkoms onderteken aan die begin van hul diens by die maatskappy.

In baie organisasies, ongeag die grootte, word van alle personeel wat vertroulike inligting hanteer, vereis om 'n vertroulikheids- of nie-openbaarmakingsooreenkoms te onderteken.

Werknemers in verkope, bemarking, kliëntediens en ander departemente wat interaksie het met vertroulike inligting rakende kliënte, kliënte en verskaffers moet opleiding ontvang.

Organisasies behoort beleide in plek te hê wat personeel verplig om 'n vertroulikheidsooreenkoms te onderteken voordat toegang verkry word tot sensitiewe inligting rakende kliënte of verskaffers, selfs al is geen skriftelike ooreenkoms teenwoordig nie.

Versuim om 'n vertroulikheidsooreenkomsbeleid te hê, kan tot ernstige risiko's lei. Hierdie risiko's sluit in:

• Werknemers kan, onbedoeld, vertroulike inligting bekend maak aan individue buite die besigheid wat nie toegang behoort te hê nie, en sodoende die organisasie beskadig.
• 'n Werknemer kan sensitiewe inligting aan 'n mededinger bekend maak.
• ’n Ontevrede werker mag die firma se intellektuele eiendom steel en dit vir eie gewin aanwend.
• Werkers kan per ongeluk vertroulike data op hul rekenaars by die kantoor of op hul skootrekenaars by die huis los, wat diefstal deur 'n kubermisdadiger waag.

Wat beteken hierdie veranderinge vir jou?

Die ISO 27001-standaard bly grootliks onveranderd. Om bruikbaarheid te verbeter, is dit eenvoudig opgedateer. Organisasies wat aan hierdie standaard voldoen, hoef dus geen ekstra stappe te neem om daaraan te voldoen nie.

Om aan die veranderinge in ISO 27001:2022 te voldoen, sal die organisasie dalk effense veranderings aan hul huidige prosesse en prosedures moet aanbring, veral as hulle hersertifisering vereis.

Raadpleeg asseblief ons ISO 27001-gids om verdere insig te kry in die impak van die wysiging van ISO 2022:27001 op jou besigheid.

Hoe ISMS.Online Help

ISMS.Online fasiliteer organisasies en besighede om aan die standaarde van ISO 27001:2022 te voldoen deur 'n platform wat die bestuur vergemaklik van vertroulikheids- of nie-openbaarmakingsprotokolle, wat dit moontlik maak om bygewerk te word soos nodig, getoets en vir doeltreffendheid opgespoor te word.

Ons bied 'n wolk-gebaseerde platform om vertroulikheid en inligtingsekuriteit te bestuur Bestuurstelsels, insluitend nie-openbaarmakingsklousules, risikobestuur, beleide, planne en prosedures, alles op een gesentraliseerde plek. Die platform is gebruikersvriendelik en het 'n intuïtiewe koppelvlak wat dit maklik maak om te leer.

ISMS.Online fasiliteer:

• Teken jou prosesse gerieflik op met hierdie gebruikersvriendelike koppelvlak. U hoef geen sagteware op u masjien of netwerk te installeer nie!
• Vereenvoudig jou risikobepalingsproses deur dit te outomatiseer.
• Verseker nakoming van regulasies met aanlyn verslae en kontrolelyste.
• Handhaaf 'n register van vordering terwyl jy streef na sertifisering.

ISMS.Online bied 'n omvattende keuse van gereedskap om maatskappye en organisasies te help om aan die vereistes van ISO 27001 en/of te voldoen ISO 27001 ISMS. Ons maak dit maklik om aan die industriestandaard te voldoen en gee jou gemoedsrus.

Kontak ons ​​nou om reël 'n demonstrasie.