ISO 27002:2022, Beheer 6.1 – Sifting

Algemene riglyne oor beheer 6.1

Siftingsaktiwiteite moet die volgende kontrole insluit:

1. Verwysings, insluitend beide besigheids- en persoonlike verklarings.
2. CV-verifikasie, om te verseker dat die kandidaat nie enige relevante inligting weggelaat het nie en slegs akkurate en betroubare inligting ingesluit het.
3. Bevestiging van akademiese, beroeps- en professionele kwalifikasies en sertifisering.
4. Identiteitsverifikasie, soos bevestig deur 'n derdeparty-regerings- of openbare sektororganisasie (paspoort- en/of bestuurslisensiekontrole).
5. Kredietkontroles en kriminele rekordkontroles, vir enige rolle wat geskik geag word vir verbeterde keuring.

Agtergrondverifikasie sluit dikwels die versameling, verwerking en oordrag van PII en/of beskermde kenmerke in (VK-wetgewing). As sodanig moet organisasies streng nakoming van enige heersende indiensnemingswetgewing verseker, waar hulle ook al bedrywig is.

Dit behels gewoonlik om die kandidaat in te lig oor die keuringsproses (beide in terme van die data wat verwerk word en waarvoor dit gebruik word), voordat die verifikasie uitgevoer word.

Screening prosedures moet die verantwoordelike personeel duidelik uiteensit vir die uitvoering van die keuring namens die organisasie, en die onderliggende rede waarom keuring in die eerste plek uitgevoer word.

Indien keuring op verskaffers uitgevoer moet word, is dit belangrik om hierdie vereiste in enige kontraktuele ooreenkomste in te sluit voordat dienste gelewer word.

Sodra 'n werknemer/verskaffer nagegaan en aangestel is, sal die organisasie moet stappe doen om te verseker dat die kandidaat die vermoë het om hul rol uit te voer soos geadverteer, en het hulself bewys as 'n betroubare individu, veral as hul rol enige inligtingsekuriteitverwante aktiwiteite insluit.

Leiding – Verbeterde keuring

Beheer 6.1 gee organisasies aansienlike speelruimte oor die omstandighede wat vereis word voordat verbeterde keuringskontroles begin word.

Sulke prosedures moet op 'n werk-vir-werk basis besluit word, en geen onderskeid moet gemaak word tussen nuwe personeel, of bestaande personeel wat bevorder is tot 'n rol wat 'n groter mate van verantwoordelikheid inhou nie.

Rolle wat verbeterde sifting vereis, kan gedefinieer word as enige wat handel oor inligtingsverwerking as 'n daaglikse aktiwiteit (bv. HR), of enige rol wat die hantering of verwerking van PII, finansiële inligting of enige ander tipe sensitiewe data insluit.

Organisasies moet ook maniere oorweeg om die deurlopende geskiktheid van enige personeel wat in 'n kritieke rol in diens is, te verifieer.

Leiding – Onvolledige verifikasies

In sekere omstandighede (dringende aanstellings, derdeparty-vertragings, toepassingsfoute, ens.), kan keuring nie altyd betyds voltooi word nie.

Waar dit gebeur, moet organisasies alternatiewe maniere van aksie oorweeg wat die risiko's wat verband hou met 'n ongekeurde personeellid verminder, insluitend:

1. Vertraagde aan boord.
2. Beperkte toegang tot stelsels.
3. Weerhou maatskappy bates en toerusting.
4. Beëindiging van diens.

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022-6.1 vervang 27002:2013-7.1.1 (Sifting).

27002:2022-6.1 bevat dieselfde basiese riglyne as 27002:2013-7.1.1 om organisasies te adviseer oor watter inligting geverifieer moet word voordat 'n werknemer/verskaffer met hul werk begin (verwysings, CV, identiteit, ens.).

Voortbou op die basiese leiding wat aangebied word, bevat 27002:2022-6.1 ook bykomende inligting oor hoe organisasies moet reageer op onvolledige verifikasies, insluitend potensiële beëindiging.

Hoe ISMS.online help

Die ISMS.aanlyn-platform bied 'n reeks kragtige nutsmiddels wat die manier waarop jy kan dokumenteer, implementeer, onderhou en verbeter jou inligtingsekuriteitbestuurstelsel (ISMS) en bereik voldoening aan ISO 27002.

Kontak vandag nog om bespreek 'n demo.