Wat is beheer 6.4?
Die ISO 27002: 2022, Beheer 6.4. Dissiplinêre Proses praat oor die behoefte vir organisasies om een of ander vorm van dissiplinêre proses in te stel om as afskrikmiddel te dien sodat personeel nie inligtingsekuriteitskendings sal pleeg nie.
Hierdie proses moet formeel gekommunikeer word en 'n geskikte boete moet ontwerp word vir werknemers en ander relevante belanghebbende partye wat 'n inligtingsekuriteitsbeleid skending.
Oortreding van inligtingsekuriteit verduidelik
Oortreding van inligtingsekuriteitsbeleid is 'n oortreding van die reëls of wette wat die behoorlike hantering van inligting beheer. Inligtingsekuriteitsbeleide word deur organisasies ingestel om vertroulike, eiendoms- en persoonlike data te beskerm, soos kliënterekords en kredietkaartnommers. Inligtingsekuriteitsbeleide sluit ook rekenaarsekuriteitsbeleide in wat help om die veiligheid en integriteit van data wat op rekenaars gestoor word, te verseker.
Byvoorbeeld, as jy nie toestemming van jou toesighouer het om maatskappy-e-pos te gebruik om persoonlike e-posse te stuur nie, kan dit lei tot 'n oortreding van maatskappybeleid. Daarbenewens, as jy 'n fout maak terwyl jy maatskappytoerusting of sagteware gebruik en skade aan dit of die data wat daarop gestoor is veroorsaak, kan dit ook as 'n inligtingsekuriteitsbeleidoortreding beskou word.
As 'n werknemer 'n organisasie se inligtingsekuriteitsbeleid oortree, kan hy of sy onderhewig wees aan dissiplinêre stappe of diensbeëindiging. In sommige gevalle kan 'n maatskappy kies om nie 'n werknemer te beëindig wat sy rekenaargebruikbeleid verbreek nie, maar eerder ander toepaslike maatreëls tref om toekomstige oortredings van maatskappybeleid te voorkom.
Eienskappe tabel
Kontroles kan gegroepeer word met behulp van eienskappe. As jy na die kontrole se eienskappe kyk, kan jy dit makliker in verband bring met gevestigde bedryfsvereistes en terminologie. Die volgende eienskappe is in beheer 6.4.
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Beskerm | #Menslikehulpbronsekuriteit | #Beheer en ekosisteem |
| #Regstellend | #Integriteit | #Reageer | ||
| #Beskikbaarheid |
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Wat is die doel van beheer 6.4?
Die doel van die dissiplinêre proses is om te verseker dat personeel en ander relevante belanghebbende partye die gevolge van 'n inligtingsekuriteitsbeleidskending verstaan.
Behalwe om te verseker dat werknemers en ander relevante belanghebbende partye die gevolge van inligtingsekuriteitsbeleidskendings verstaan, is beheer 6.4 ontwerp om diegene wat hierdie beleide oortree, af te skrik en te help hanteer.
'n Sleutelelement van 'n effektiewe inligtingsekuriteitsprogram is die vermoë om toepaslike dissiplinêre aksies te implementeer vir werknemers wat inligtingsekuriteitsbeleide en -prosedures oortree. Op hierdie manier, werknemers is bewus van die gevolge van die oortreding van gevestigde beleide en prosedures, en sodoende die potensiaal vir opsetlike of toevallige data-oortredings verminder.
Die volgende is voorbeelde van aktiwiteite wat by die implementering van hierdie beheer ingesluit kan word:
- Hou periodieke opleidingsessies oor beleidsveranderinge;
- Dissiplinêre aksies te ontwerp vir nie-nakoming van inligtingsekuriteitsbeleide;
- Voorsien 'n afskrif van die organisasie se dissiplinêre prosedures aan elke werknemer;
- Verseker dat dissiplinêre prosedures konsekwent in soortgelyke situasies gevolg word.
Die dissiplinêre aksies wat in die raamwerk/dokument uitgespel word, moet onmiddellik na 'n voorval geneem word, om ander te ontmoedig wat dalk organisatoriese beleide wil oortree.
Wat is betrokke en hoe om aan die vereistes te voldoen
Om aan die vereistes van beheer 6.4 te voldoen, moet dissiplinêre stappe geneem word wanneer daar bewyse is van nie-nakoming van die beleide, prosedures of regulasies van die organisasie. Dit sluit in nie-nakoming van wetgewing en regulasies wat op die organisasie van toepassing is.
Volgens kontrole 6.4 moet die formele dissiplinêre proses voorsiening maak vir 'n gegradueerde reaksie wat die volgende faktore in ag neem:
- Die aard (wie, wat, wanneer, hoe), swaartekrag en gevolge van die oortreding;
- Of die oortreding kwaadwillig (opsetlik) of onopsetlik (toevallig) was;
- Of dit die eerste of tweede oortreding is;
- Of die oortreder voldoende opleiding ontvang het of nie.
Die optrede moet alle tersaaklike wetlike, wetgewende, regulatoriese, kontraktuele en korporatiewe verpligtinge, sowel as enige ander tersaaklike omstandighede, in ag neem.
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Veranderinge en verskille vanaf ISO 27002:2013
As jy vertroud is met ISO 27002:2013, sal jy weet dat al is die kontrole-identiteit/-nommer verander, is kontrole 6.4 in ISO 27002:2022 nie juis 'n nuwe beheer nie. Dit is eerder 'n gewysigde weergawe van beheer 7.2.3 in ISO 27002:2013.
Dit gesê, daar is geen noemenswaardige verskille tussen die twee kontroles in beide weergawes van ISO 27002 nie. Die klein verskil wat jy sal sien is dat die kontrolenommer van 7.23 na 6.4 verander is. Ook, in die 2022-weergawe van die standaard, is die kenmerktabel en doelverklaring ingesluit. Hierdie twee kenmerke is nie in die 2013-weergawe nie.
Afgesien van hul verskillende bewoording, is hierdie kontroles basies identies wat hul inhoud en konteks betref. Gebruikersvriendelik terminologie is in ISO 27002:2022 gebruik om seker te maak dat die standaard se gebruikers die inhoud daarvan beter kan verstaan.
Wie is in beheer van hierdie proses?
In die meeste gevalle word die dissiplinêre proses deur die departementsbestuurder of menslike hulpbronne verteenwoordiger. Dit is nie ongewoon vir die MH-verteenwoordiger om die verantwoordelikheid van dissiplinêre optrede teenoor iemand anders in die organisasie, soos 'n inligtingsekuriteitspesialis.
Die hoofdoel van dissiplinêre stappe is om die organisasie te beskerm teen enige verdere oortredings deur die werknemer. Dit het ook ten doel om soortgelyke te voorkom voorvalle van herhaling deur te verseker dat alle werknemers die belangrikheid van inligtingsekuriteitskendings verstaan.
Om seker te maak dat dissiplinêre stappe geneem word teen 'n werknemer wat 'n organisasie se beleide of prosedures oortree het, is dit belangrik dat daar duidelike riglyne is vir die hantering van sulke situasies. Hierdie riglyne moet spesifieke instruksies insluit oor hoe om ondersoeke uit te voer en die aksies wat geneem moet word nadat ondersoeke afgehandel is.
Wat beteken hierdie veranderinge vir jou?
As jy wonder wat hierdie veranderinge vir jou beteken, hier is 'n kort uiteensetting van die belangrikste punte:
- Dit is nie 'n beduidende verandering nie, so jy hoef nie weer te sertifiseer nie.
- Jy kan jou bestaande sertifisering hou totdat dit verval (indien dit nog geldig is).
- Daar is geen groot veranderinge in die inhoud van ISO 27002 nie.
- Die fokus is meer op die opdatering van die standaard om by huidige beste praktyke en standaarde te pas.
Die struktuur van die standaard bly onveranderd. Sommige kontroles is egter gewysig om die betekenis daarvan te verduidelik of konsekwentheid met ander dele van die standaard te verbeter.
As jy egter van voorneme is om die verkryging van ISMS-sertifisering, sal jy dalk jou sekuriteitsprosedures moet ondersoek om te verifieer dat dit aan die hersiene standaard voldoen.
Om meer te wete te kom oor hoe die nuwe ISO 27002 jou inligtingsekuriteitsbedrywighede en ISO 27001 sertifisering, kyk asseblief na ons gratis ISO 27002:2022-gids.
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
Nuwe ISO 27002-kontroles
Nuwe kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.Online help
ISMS.Online is die toonaangewende ISO 27002 bestuurstelselsagteware wat voldoening ondersteun met ISO 27002, en help maatskappye om hul sekuriteitsbeleide en -prosedures met die standaard in lyn te bring.
Die wolk-gebaseerde platform bied 'n volledige stel gereedskap om organisasies te help met die opstel van 'n inligtingsekuriteitbestuurstelsel (ISMS) volgens ISO 27002.
Hierdie instrumente sluit in:
- 'n Biblioteek van sjablone vir algemene korporatiewe dokumente;
- 'n Stel voorafbepaalde beleide en prosedures;
- An ouditinstrument om interne oudits te ondersteun;
- 'N koppelvlak om aan te pas ISMS beleide en prosedures;
- 'n Goedkeuringswerkvloei vir alle veranderinge aan beleide en prosedures;
- 'n Kontrolelys om seker te maak dat jou beleide en inligtingsekuriteitsprosesse die goedgekeurde internasionale standaarde volg.
ISMS.Online laat gebruikers ook toe om:
- Bestuur alle aspekte van die ISMS lewensiklus met gemak.
- Kry intydse insigte in hul sekuriteitsposisie en voldoeningsgapings.
- Integreer met ander stelsels soos HR, finansies en projekbestuur.
- demonstreer voldoening van hul ISMS aan ISO 27001-standaarde.
ISMS.Online verskaf ook leiding oor hoe om jou ISMS die beste te implementeer deur wenke te verskaf oor hoe om beleide en prosedures te skep wat verband hou met aspekte soos risikobestuur, opleiding vir personeelsekuriteitsbewustheid en insidentreaksiebeplanning.
Ons platform is van nuuts af ontwerp met die hulp van inligtingsekuriteitskundiges van regoor die wêreld, en ons het dit ontwikkel op 'n manier wat dit maklik maak vir mense sonder enige tegniese kennis oor inligtingsekuriteitbestuurstelsels (ISMS) om dit te gebruik.
Wil jy dit in aksie sien?
Kontak vandag nog om bespreek 'n demo.
Spring na onderwerp
