ISO 27002:2022, Beheer 6.3 – Inligtingsekuriteitsbewustheid, onderwys en opleiding

Wat is die doel van beheer 6.3?

Die doel van Beheer 6.3 is om te verseker dat personeel en relevante belanghebbende partye bewus is van en behoorlik opgelei is om hul inligtingsekuriteitsverantwoordelikhede na te kom.

Beheer 6.3 dek 'n reeks aktiwiteite wat help verseker dat mense die kennis en vaardighede het wat nodig is om binne 'n organisasie se inligting-sekuriteit raamwerk. Die hooffokus hiervan beheer is op bewusmakingsaktiwiteite oor die belangrikheid van inligtingsekuriteit, die aanmoediging van goeie praktyk, en die bevordering van voldoening aan relevante beleide en prosedures.

Beheer 6.3 Verduidelik

Inligtingsekuriteitsbewustheid, onderwys en opleiding is 'n kritieke komponent van 'n organisasie se algehele risikobestuurstrategie en moet as 'n integrale deel van die organisasie se sekuriteitsbeleid beskou word.

Beheer 6.3 definieer die behoefte vir organisasies om 'n inligtingsekuriteitbewustheidsprogram te hê wat aan alle werknemers die nodige kennis en vaardighede verskaf om inligtingsbates te beskerm. Dit verskaf leiding oor wat in 'n effektiewe bewusmakingsprogram ingesluit moet word.

Byvoorbeeld, die organisasie moet dalk ten minste jaarliks ​​sekuriteitsbewusmakingsopleiding in plek stel, of soos vereis deur die risiko-assessering, vir alle werknemers en kontrakteurs aan wie rolle toegeken is waarin hulle toegang het tot sensitiewe inligtingbates of ander tipe inligting. stelsels wat sensitiewe data stoor, verwerk of oordra.

Wat is betrokke en hoe om aan die vereistes te voldoen

Die vereiste vir beheer 6.3 is dat 'n organisasie 'n proses moet hê om te verseker dat werknemers voldoende opgelei is oor hoe om hul werkspligte veilig en veilig uit te voer op 'n wyse wat inligtingsekuriteit benadeel nie. Dit kan bereik word deur opleidingsessies. Dit kan ook bereik word met behulp van aanlynbronne soos video's of webinars.

Die inligtingsekuriteitbewustheid, -opvoeding en -opleidingsprogramme moet ontwikkel word in ooreenstemming met die organisasie se inligtingsekuriteitsbeleid, onderwerpspesifieke beleide en toepaslike inligtingsekuriteitsprosedures. Dit moet ook die organisasie se inligting wat beskerm moet word en die inligtingsekuriteitskontroles wat geïmplementeer is om dit te beskerm, in ag neem. Dit moet periodiek gebeur.

Inleidende bewustheid, opvoeding en opleiding kan van toepassing wees op nuwe werknemers sowel as diegene wat oorskakel na nuwe posisies of take wat vereis aansienlik verskillende vlakke van inligtingsekuriteit.

Die bewusmakingsveldtog moet 'n verskeidenheid aktiwiteite insluit om bewusmaking te verhoog. Dit sluit veldtogte, boekies, plakkate, nuusbriewe, webwerwe, inligtingsessies, inligtingsessies, e-leermodules en e-posse in.

Volgens kontrole 6.3 moet hierdie program die volgende dek:

• Bestuur se verbintenis tot inligtingsekuriteit regdeur die organisasie;
• Vertroudheid met en nakoming van toepaslike inligtingsekuriteitsreëls en -verpligtinge, insluitend inligtingsekuriteitsbeleid en onderwerpspesifieke beleide, standaarde, wette, statute, regulasies, kontrakte en ooreenkomste;
• Persoonlike aanspreeklikheid vir eie optrede en gebrek aan optrede, algemeen verantwoordelikhede ten opsigte van die beveiliging of beskerming van inligting wat aan die organisasie behoort en belanghebbende partye;
• Basiese inligtingsekuriteitsprosedures [bv. inligtingsekuriteitsgebeurtenisverslagdoening (6.8)] sowel as basislynkontroles [byvoorbeeld wagwoordsekuriteit];
• Bykomende kontakpunte en hulpbronne vir bykomende inligting en advies oor inligtingsekuriteit sake, insluitend verdere inligtingsekuriteitbewustheidsmateriaal.

Veranderinge en verskille vanaf ISO 27002:2013

Die ISO 27002: 2022 is nie 'n heeltemal nuwe beheer nie. Hierdie weergawe van ISO 27002, wat in Februarie 2022 gepubliseer is, is 'n opdatering van die vorige weergawe, wat in 2013 gepubliseer is. Gevolglik is beheer 6.3 in ISO 27002:2022 nie 'n splinternuwe beheer nie. Dit is 'n effens gewysigde weergawe van beheer 7.2.2 in ISO 27002:2013.

Beheer 7.2.2 in ISO 27002:2013 het nie 'n kenmerktabel of 'n doelstelling wat in beheer 6.3 van die ISO 27002:2022-weergawe ingesluit is nie.

Met dit gesê, behalwe die verandering in kontrolenommer, is daar geen ander waarneembare verskil tussen die twee kontroles nie. Ten spyte van die feit dat die fraseologie van die twee kontroles verskil, is die inhoud en konteks van die twee kontroles in wese dieselfde.

Die taal in beheer 6.3 is gemaak om meer gebruikersvriendelik te wees, sodat mense wat die standaard gaan gebruik beter in staat sal wees om met die inhoud daarvan verband te hou.

Wie is in beheer van hierdie proses?

Die antwoord op hierdie vraag hang van jou organisasie af. In baie organisasies word die inligtingsekuriteitbewustheid, opvoeding en opleidingsprogramme deur die sekuriteitspan bestuur. In ander organisasies word dit deur die MH-afdeling of 'n ander funksie hanteer.

Die belangrike ding is om seker te maak dat iemand verantwoordelik is vir die skep en implementering van jou organisasie se sekuriteitsbewusmakingsprogram. Hierdie individu of departement moet ook onder toesig wees van die inligtingsekuriteitsbestuurder (indien 'n ander persoon in beheer van hierdie rol is).

Hierdie persoon moet 'n goeie begrip van inligtingsekuriteit hê en in staat wees om met werknemers te kommunikeer oor verskeie onderwerpe wat met sekuriteit se beste praktyke verband hou. Hierdie persoon behoort ook in staat te wees om inhoud vir jou opleidingsprogramme te ontwikkel en gereelde opleidingsessies vir werknemers te hou.

Dit is belangrik om te verstaan ​​dat inligtingsekuriteit nie net die verantwoordelikheid van IT is nie. Dit is almal se verantwoordelikheid. Organisasies moet 'n span mense hê wat verantwoordelik is vir sekuriteit, maar hulle moet ook seker maak dat almal die belangrikheid van vertroulikheid en integriteit verstaan.

Wat beteken hierdie veranderinge vir jou?

Jy hoef nie veel te doen nie, want ISO 27002: 2022 is nie 'n nuwe standaard nie, maar 'n hersiening van die 2013-weergawe. Daar word dus verwag dat die meeste organisasies nie veranderings hoef aan te bring nie.

As jy egter reeds die 2013-weergawe van ISO 27002 geïmplementeer het, sal jy moet evalueer of hierdie veranderinge relevant is vir jou organisasie. Jy sal ook jou sekuriteitsprosesse moet hersien as jy dit is beplanning vir ISMS-sertifisering. Dit sal verseker dat jou prosesse aan die hersiene standaard voldoen.

Ons ISO 27002:2022-gids, beskikbaar vir gratis aflaai op ons webwerf, het verdere inligting oor hoe die nuwe ISO 27002 jou inligtingsekuriteitsbedrywighede kan beïnvloed en ISO 27001 sertifisering.

Hoe ISMS.Online help

ISMS.Online is 'n volledige oplossing vir ISO 27002 implementering. Dit is 'n web-gebaseerde stelsel wat jou toelaat om wys dat jou inligtingsekuriteitbestuurstelsel (ISMS) voldoen met die goedgekeurde standaarde met behulp van weldeurdagte prosesse, prosedures en kontrolelyste.

Dit is nie net 'n maklik-om-te gebruik platform vir die bestuur van jou ISO 27002 implementering nie, maar ook 'n uitstekende hulpmiddel om jou personeel op te lei oor inligtingsekuriteit beste praktyke en prosesse, sowel as om al jou pogings te dokumenteer.

Die Voordele van die gebruik van ISMS.Aanlyn:

• Maklik om te gebruik aanlyn platform wat vanaf enige toestel verkry kan word.
• Dit is heeltemal aanpasbaar om aan u behoeftes te voldoen.
• Aanpasbare werkvloeie en prosesse om by jou besigheidsbehoeftes te pas.
• Opleidingsinstrumente om nuwe werknemers te help om vinniger aan die gang te kom.
• 'n Biblioteek van sjablone vir dokumente soos beleide, prosedures, planne en kontrolelyste.

ISMS.Online vereenvoudig die proses van implementering van ISO 27002 deur al die nodige hulpbronne, inligting en gereedskap op een plek te verskaf. Dit laat jou toe om te kyk of jou ISMS aan die standaard voldoen met net 'n paar kliks van jou muis, wat andersins lank sou neem as dit met die hand gedoen word.

Wil jy dit in aksie sien?

Kontak vandag nog om bespreek 'n demo.