Die ISO 27002: 2022, Beheer 6.4. Dissiplinêre Proses praat oor die behoefte vir organisasies om een of ander vorm van dissiplinêre proses in te stel om as afskrikmiddel te dien sodat personeel nie inligtingsekuriteitskendings sal pleeg nie.
Hierdie proses moet formeel gekommunikeer word en 'n geskikte boete moet ontwerp word vir werknemers en ander relevante belanghebbende partye wat 'n inligtingsekuriteitsbeleid skending.
Oortreding van inligtingsekuriteitsbeleid is 'n oortreding van die reëls of wette wat die behoorlike hantering van inligting beheer. Inligtingsekuriteitsbeleide word deur organisasies ingestel om vertroulike, eiendoms- en persoonlike data te beskerm, soos kliënterekords en kredietkaartnommers. Inligtingsekuriteitsbeleide sluit ook rekenaarsekuriteitsbeleide in wat help om die veiligheid en integriteit van data wat op rekenaars gestoor word, te verseker.
Byvoorbeeld, as jy nie toestemming van jou toesighouer het om maatskappy-e-pos te gebruik om persoonlike e-posse te stuur nie, kan dit lei tot 'n oortreding van maatskappybeleid. Daarbenewens, as jy 'n fout maak terwyl jy maatskappytoerusting of sagteware gebruik en skade aan dit of die data wat daarop gestoor is veroorsaak, kan dit ook as 'n inligtingsekuriteitsbeleidoortreding beskou word.
As 'n werknemer 'n organisasie se inligtingsekuriteitsbeleid oortree, kan hy of sy onderhewig wees aan dissiplinêre stappe of diensbeëindiging. In sommige gevalle kan 'n maatskappy kies om nie 'n werknemer te beëindig wat sy rekenaargebruikbeleid verbreek nie, maar eerder ander toepaslike maatreëls tref om toekomstige oortredings van maatskappybeleid te voorkom.
Kontroles kan gegroepeer word met behulp van eienskappe. As jy na die kontrole se eienskappe kyk, kan jy dit makliker in verband bring met gevestigde bedryfsvereistes en terminologie. Die volgende eienskappe is in beheer 6.4.
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende #Regstellend | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm #Reageer | #Menslikehulpbronsekuriteit | #Beheer en ekosisteem |
Die doel van die dissiplinêre proses is om te verseker dat personeel en ander relevante belanghebbende partye die gevolge van 'n inligtingsekuriteitsbeleidskending verstaan.
Behalwe om te verseker dat werknemers en ander relevante belanghebbende partye die gevolge van inligtingsekuriteitsbeleidskendings verstaan, is beheer 6.4 ontwerp om diegene wat hierdie beleide oortree, af te skrik en te help hanteer.
'n Sleutelelement van 'n effektiewe inligtingsekuriteitsprogram is die vermoë om toepaslike dissiplinêre aksies te implementeer vir werknemers wat inligtingsekuriteitsbeleide en -prosedures oortree. Op hierdie manier, werknemers is bewus van die gevolge van die oortreding van gevestigde beleide en prosedures, en sodoende die potensiaal vir opsetlike of toevallige data-oortredings verminder.
Die volgende is voorbeelde van aktiwiteite wat by die implementering van hierdie beheer ingesluit kan word:
Die dissiplinêre aksies wat in die raamwerk/dokument uitgespel word, moet onmiddellik na 'n voorval geneem word, om ander te ontmoedig wat dalk organisatoriese beleide wil oortree.
Om aan die vereistes van beheer 6.4 te voldoen, moet dissiplinêre stappe geneem word wanneer daar bewyse is van nie-nakoming van die beleide, prosedures of regulasies van die organisasie. Dit sluit in nie-nakoming van wetgewing en regulasies wat op die organisasie van toepassing is.
Volgens kontrole 6.4 moet die formele dissiplinêre proses voorsiening maak vir 'n gegradueerde reaksie wat die volgende faktore in ag neem:
Die optrede moet alle tersaaklike wetlike, wetgewende, regulatoriese, kontraktuele en korporatiewe verpligtinge, sowel as enige ander tersaaklike omstandighede, in ag neem.
As jy vertroud is met ISO 27002:2013, sal jy weet dat al is die kontrole-identiteit/-nommer verander, is kontrole 6.4 in ISO 27002:2022 nie juis 'n nuwe beheer nie. Dit is eerder 'n gewysigde weergawe van beheer 7.2.3 in ISO 27002:2013.
Dit gesê, daar is geen noemenswaardige verskille tussen die twee kontroles in beide weergawes van ISO 27002 nie. Die klein verskil wat jy sal sien is dat die kontrolenommer van 7.23 na 6.4 verander is. Ook, in die 2022-weergawe van die standaard, is die kenmerktabel en doelverklaring ingesluit. Hierdie twee kenmerke is nie in die 2013-weergawe nie.
Afgesien van hul verskillende bewoording, is hierdie kontroles basies identies wat hul inhoud en konteks betref. Gebruikersvriendelik terminologie is in ISO 27002:2022 gebruik om seker te maak dat die standaard se gebruikers die inhoud daarvan beter kan verstaan.
In die meeste gevalle word die dissiplinêre proses deur die departementsbestuurder of menslike hulpbronne verteenwoordiger. Dit is nie ongewoon vir die MH-verteenwoordiger om die verantwoordelikheid van dissiplinêre optrede teenoor iemand anders in die organisasie, soos 'n inligtingsekuriteitspesialis.
Die hoofdoel van dissiplinêre stappe is om die organisasie te beskerm teen enige verdere oortredings deur die werknemer. Dit het ook ten doel om soortgelyke te voorkom voorvalle van herhaling deur te verseker dat alle werknemers die belangrikheid van inligtingsekuriteitskendings verstaan.
Om seker te maak dat dissiplinêre stappe geneem word teen 'n werknemer wat 'n organisasie se beleide of prosedures oortree het, is dit belangrik dat daar duidelike riglyne is vir die hantering van sulke situasies. Hierdie riglyne moet spesifieke instruksies insluit oor hoe om ondersoeke uit te voer en die aksies wat geneem moet word nadat ondersoeke afgehandel is.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
As jy wonder wat hierdie veranderinge vir jou beteken, hier is 'n kort uiteensetting van die belangrikste punte:
Die struktuur van die standaard bly onveranderd. Sommige kontroles is egter gewysig om die betekenis daarvan te verduidelik of konsekwentheid met ander dele van die standaard te verbeter.
As jy egter van voorneme is om die verkryging van ISMS-sertifisering, sal jy dalk jou sekuriteitsprosedures moet ondersoek om te verifieer dat dit aan die hersiene standaard voldoen.
Om meer te wete te kom oor hoe die nuwe ISO 27002 jou inligtingsekuriteitsbedrywighede en ISO 27001 sertifisering, kyk asseblief na ons gratis ISO 27002:2022-gids.
ISMS.Online is die toonaangewende ISO 27002 bestuurstelselsagteware wat voldoening ondersteun met ISO 27002, en help maatskappye om hul sekuriteitsbeleide en -prosedures met die standaard in lyn te bring.
Die wolk-gebaseerde platform bied 'n volledige stel gereedskap om organisasies te help met die opstel van 'n inligtingsekuriteitbestuurstelsel (ISMS) volgens ISO 27002.
Hierdie instrumente sluit in:
ISMS.Online laat gebruikers ook toe om:
ISMS.Online verskaf ook leiding oor hoe om jou ISMS die beste te implementeer deur wenke te verskaf oor hoe om beleide en prosedures te skep wat verband hou met aspekte soos risikobestuur, opleiding vir personeelsekuriteitsbewustheid en insidentreaksiebeplanning.
Ons platform is van nuuts af ontwerp met die hulp van inligtingsekuriteitskundiges van regoor die wêreld, en ons het dit ontwikkel op 'n manier wat dit maklik maak vir mense sonder enige tegniese kennis oor inligtingsekuriteitbestuurstelsels (ISMS) om dit te gebruik.
Wil jy dit in aksie sien?
Kontak vandag nog om bespreek 'n demo.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
