Wat is beheer 6.5?
Beheer 6.5 in ISO 27002:2022 dek die behoefte vir organisasies om die inligtingsekuriteitspligte en -verantwoordelikhede te definieer wat geldig bly indien personeel ophou werk of na 'n nuwe departement oorskuif.
Hierdie pligte en verantwoordelikhede moet aan die werknemer sowel as enige ander relevante party gekommunikeer word.
Inligtingspligte en -verantwoordelikhede verduidelik
Inligtingspligte en -verantwoordelikhede is die verpligtinge wat 'n werknemer teenoor sy of haar werkgewer het wanneer dit kom by die hantering van vertroulike inligting. Die plig om inligting vertroulik te hou is 'n wetlike verpligting in die meeste state, daarom is dit belangrik dat werknemers verstaan wat hulle moet doen wanneer dit kom by die beskerming van hul werkgewer se inligting.
In die meeste gevalle het werkgewers die reg om van hul werknemers te verwag om nie net vertroulik te beskerm nie inligting maar ook nie daardie inligting vir persoonlike gebruik nie wins soos deur binnehandel of ander onwettige aktiwiteite.
Voorbeelde van inligtingsekuriteitspligte en -verantwoordelikhede sluit in:
- Beskerming van vertroulikheid van persoonlike inligting.
- Hou rekord van hoe persoonlike inligting hanteer, gebruik en bekend gemaak word.
- Om te verseker dat inligting akkuraat en betroubaar is. Dit sluit in om te verseker dat dit van 'n betroubare bron afgehaal is, veilig gestoor is en veilig uitgevee is wanneer dit nie meer nodig is nie.
- Om te verseker dat slegs gemagtigde mense toegang tot inligting het.
- Om te gebruik en bekend te maak persoonlike data regverdig en wettig, in ooreenstemming met die toepaslike wette.
As 'n organisasie is dit belangrik om jou te verstaan verantwoordelikhede wanneer persoonlike inligting hanteer word want dit sal jou help om privaatheidswette te oortree, wat ernstige gevolge vir beide jou besigheid en jou werknemers kan hê.
Eienskappe Tabel van beheer 6.5
Kontroles word geklassifiseer met behulp van eienskappe. Deur dit te gebruik, kan jy vinnig jou beheerkeuse pas by algemeen gebruikte industrieterme en -spesifikasies.
Eienskappe vir beheer 6.5 is:
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Beskerm | #Menslikehulpbronsekuriteit | #Beheer en ekosisteem |
| #Integriteit | #Batebestuur | |||
| #Beskikbaarheid |
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Wat is die doel van beheer 6.5?
Beheer 6.5 is 'n beheer wat geïmplementeer moet word wanneer 'n werknemer of kontrakteur die organisasie verlaat, of die kontrak beëindig word voordat dit verstryk.
Die doel van hierdie beheer is om die organisasie se inligtingsekuriteitsbelange te beskerm as deel van die proses om diens of kontrakte te verander of te beëindig.
Hierdie beheer kan ook werk om te beskerm teen die risiko van werknemers wat toegang het tot sensitiewe inligting en prosesse, misbruik hul posisie vir persoonlike gewin of kwaadwillige opset, veral nadat hulle die organisasie of werksrol verlaat het.
Beheer 6.5 Verduidelik
Beheer 6.5 het ten doel om die organisasie se inligtingsekuriteitsbelange te beskerm as deel van die proses om diens of kontrakte te verander of te beëindig. Dit sluit werknemers, kontrakteurs en derde partye in wat toegang tot jou sensitiewe inligting het.
Die implementering van die beheer beteken om te bepaal of enige individue (insluitend diegene in diens van 'n derde party) wat toegang tot jou sensitiewe persoonlike data het, jou organisasie verlaat en of dit nodig is om stappe te neem om te verseker dat hulle nie jou sensitiewe inligting behou en voortgaan om toegang te verkry nie. persoonlike data na hul vertrek.
As jy vind dat iemand vertrek en daar 'n risiko is dat sensitiewe persoonlike data bekend gemaak kan word, dan moet jy redelike stappe doen voordat hulle vertrek, of so gou moontlik nadat hulle vertrek het, so dit gebeur nie.
Wat is betrokke en hoe om aan die vereistes te voldoen
Om aan die vereistes vir beheer 6.5 te voldoen, moet die bepalings en voorwaardes van 'n individu se diens, kontrak of ooreenkoms spesifiseer enige inligtingsekuriteitsverantwoordelikhede en -pligte wat na die einde van die verhouding van krag bly.
Inligtingssekerheidspligte kan ook ingesluit word in ander kontrakte of ooreenkomste wat verder strek as die einde van 'n werknemer se diens.
Enigiemand wat ophou of van werk verander, moet hul inligtingsekuriteitsverantwoordelikhede en -pligte aan 'n nuwe persoon oorgedra word, en al die toegangsbewyse moet uitgevee word en 'n nuwe een word geskep.
Meer inligting oor hoe dit werk kan gevind word in die ISO 27002:2022 standaarddokument.
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Veranderinge en verskille vanaf ISO 27002:2013
Beheer 6.5 in die nuwe ISO 27002:2022 is nie 'n nuwe beheer nie, dit is eerder 'n gewysigde weergawe van beheer 7.3.1 in ISO 27002:2013.
Alhoewel die basiese beginsels van hierdie twee kontroles soortgelyk is, is daar geringe variasies. Byvoorbeeld, die implementeringsriglyne in beide weergawes verskil effens.
Die eerste deel van die implementeringsleiding in beheer 7.3.1 in ISO 27002: 2013 sê dat
“Die kommunikasie van beëindigingsverantwoordelikhede moet deurlopende inligtingsekuriteitsvereistes en wetlike verantwoordelikhede insluit en, waar toepaslik, verantwoordelikhede vervat in enige vertroulikheidsooreenkoms en die diensbepalings en -voorwaardes wat voortduur vir 'n bepaalde tydperk na die beëindiging van die werknemer of kontrakteur se diens. ”
Dieselfde afdeling in beheer 6.5 van ISO 27002:2022 sê dat
“Die proses vir die bestuur van diensbeëindiging of -verandering moet definieer watter inligtingsekuriteitsverantwoordelikhede en -pligte geldig moet bly na beëindiging of verandering. Dit kan vertroulikheid van inligting, intellektuele eiendom en ander kennis wat verkry is insluit, sowel as verantwoordelikhede vervat in enige ander vertroulikheidsooreenkoms.
Verantwoordelikhede en pligte wat steeds geldig is na die beëindiging van diens of kontrak, moet vervat word in die individu se bepalings en voorwaardes van diens, kontrak of ooreenkoms. Ander kontrakte of ooreenkomste wat vir 'n bepaalde tydperk na die beëindiging van die individu se diens voortduur, kan ook inligtingsekuriteitsverantwoordelikhede bevat.”
Dit gesê, maak nie saak hoeveel hul bewoordings verskil nie, beide kontroles het 'n meestal soortgelyke struktuur en funksie in hul onderskeie kontekste. Die taal wat in beheer 6.5 gebruik word, is vereenvoudig om dit meer gebruikersvriendelik te maak, sodat diegene wat die standaard gaan gebruik, makliker met die inhoud daarvan kan verband hou.
Dit is belangrik om ook daarop te wys dat die 2022-weergawe van ISO 27002 ook 'n doelverklaring en kenmerktabel vir elke kontrole bevat om gebruikers te help om die kontroles beter te verstaan en te implementeer. Hierdie twee afdelings ontbreek in die 2013-uitgawe.
Wie is in beheer van hierdie proses?
In ooreenstemming met die aanbevelings van kontrole 6.5, is die menslike hulpbronne departement is gewoonlik in beheer van die totale beëindigingsproses in die meeste organisasies, en dit werk saam met die toesighoudende bestuurder van die individu wat oorskakel om toesig te hou oor die inligtingsekuriteitselemente van die verwante prosedures.
Personeel wat deur 'n eksterne party (byvoorbeeld 'n verskaffer) verskaf word, word deur die eksterne party beëindig in ooreenstemming met die bepalings en voorwaardes van die kontrak wat tussen die organisasie en die eksterne party tot stand gebring is.
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
Wat beteken hierdie veranderinge vir jou?
Die ISO 27002:2013-standaard is nie beduidend verander nie. Die standaard is pas opgedateer om bruikbaarheid te vergemaklik. Dit is nie nodig vir enige organisasie wat tans aan ISO 27002:2013 voldoen om enige bykomende stappe te neem om voldoening aan ISO 27002 te handhaaf nie.
Om aan die hersienings in ISO 27002:2022 te voldoen, sal die organisasie slegs geringe wysigings aan sy bestaande prosesse en prosedures hoef aan te bring, veral as daar enige voorneme is om te hersertifiseer.
As jy meer wil leer oor hoe hierdie veranderinge aan beheer 6.5 jou organisasie sal beïnvloed, sien asseblief ons gids oor ISO 27002:2022.
Nuwe ISO 27002-kontroles
Nuwe kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.Online help
Maatskappye kan ISMS.Online gebruik om hulle te help met hul ISO 27002-nakomingspogings deur hulle te voorsien van 'n platform wat dit maklik maak om hul sekuriteitsbeleide en -prosedures te bestuur, dit op te dateer soos nodig, dit te toets en hul doeltreffendheid te monitor.
Ons wolk-gebaseerde platform laat jou toe om vinnig en maklik bestuur al die aspekte van jou ISMS, insluitend risikobestuur, beleide, planne, prosedures en meer, op een sentrale plek. Die platform is maklik om te gebruik en het 'n intuïtiewe koppelvlak wat dit maklik maak om te leer hoe om te gebruik.
ISMS.Online stel jou in staat om:
- Dokumenteer jou prosesse deur 'n intuïtiewe webkoppelvlak te gebruik sonder om enige sagteware op jou rekenaar of netwerk te installeer.
- Outomatiseer jou risiko-assessering proses.
- Demonstreer nakoming maklik met aanlynverslae en kontrolelyste.
- Hou tred met vordering terwyl jy werk aan sertifisering.
As jy 'n besigheid wat moet voldoen aan ISO 27001 en/of ISO 27002, ISMS.Online bied 'n volledige reeks kenmerke om jou te help om hierdie belangrike doelwit te bereik.
Kontak vandag nog om bespreek 'n demo.
Spring na onderwerp
