Beheer 6.5 in ISO 27002:2022 dek die behoefte vir organisasies om die inligtingsekuriteitspligte en -verantwoordelikhede te definieer wat geldig bly indien personeel ophou werk of na 'n nuwe departement oorskuif.
Hierdie pligte en verantwoordelikhede moet aan die werknemer sowel as enige ander relevante party gekommunikeer word.
Inligtingspligte en -verantwoordelikhede is die verpligtinge wat 'n werknemer teenoor sy of haar werkgewer het wanneer dit kom by die hantering van vertroulike inligting. Die plig om inligting vertroulik te hou is 'n wetlike verpligting in die meeste state, daarom is dit belangrik dat werknemers verstaan wat hulle moet doen wanneer dit kom by die beskerming van hul werkgewer se inligting.
In die meeste gevalle het werkgewers die reg om van hul werknemers te verwag om nie net vertroulik te beskerm nie inligting maar ook nie daardie inligting vir persoonlike gebruik nie wins soos deur binnehandel of ander onwettige aktiwiteite.
Voorbeelde van inligtingsekuriteitspligte en -verantwoordelikhede sluit in:
As 'n organisasie is dit belangrik om jou te verstaan verantwoordelikhede wanneer persoonlike inligting hanteer word want dit sal jou help om privaatheidswette te oortree, wat ernstige gevolge vir beide jou besigheid en jou werknemers kan hê.
Kontroles word geklassifiseer met behulp van eienskappe. Deur dit te gebruik, kan jy vinnig jou beheerkeuse pas by algemeen gebruikte industrieterme en -spesifikasies.
Eienskappe vir beheer 6.5 is:
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Menslikehulpbronsekuriteit #Batebestuur | #Beheer en ekosisteem |
Beheer 6.5 is 'n beheer wat geïmplementeer moet word wanneer 'n werknemer of kontrakteur die organisasie verlaat, of die kontrak beëindig word voordat dit verstryk.
Die doel van hierdie beheer is om die organisasie se inligtingsekuriteitsbelange te beskerm as deel van die proses om diens of kontrakte te verander of te beëindig.
Hierdie beheer kan ook werk om te beskerm teen die risiko van werknemers wat toegang het tot sensitiewe inligting en prosesse, misbruik hul posisie vir persoonlike gewin of kwaadwillige opset, veral nadat hulle die organisasie of werksrol verlaat het.
Beheer 6.5 het ten doel om die organisasie se inligtingsekuriteitsbelange te beskerm as deel van die proses om diens of kontrakte te verander of te beëindig. Dit sluit werknemers, kontrakteurs en derde partye in wat toegang tot jou sensitiewe inligting het.
Die implementering van die beheer beteken om te bepaal of enige individue (insluitend diegene in diens van 'n derde party) wat toegang tot jou sensitiewe persoonlike data het, jou organisasie verlaat en of dit nodig is om stappe te neem om te verseker dat hulle nie jou sensitiewe inligting behou en voortgaan om toegang te verkry nie. persoonlike data na hul vertrek.
As jy vind dat iemand vertrek en daar 'n risiko is dat sensitiewe persoonlike data bekend gemaak kan word, dan moet jy redelike stappe doen voordat hulle vertrek, of so gou moontlik nadat hulle vertrek het, so dit gebeur nie.
Om aan die vereistes vir beheer 6.5 te voldoen, moet die bepalings en voorwaardes van 'n individu se diens, kontrak of ooreenkoms spesifiseer enige inligtingsekuriteitsverantwoordelikhede en -pligte wat na die einde van die verhouding van krag bly.
Inligtingssekerheidspligte kan ook ingesluit word in ander kontrakte of ooreenkomste wat verder strek as die einde van 'n werknemer se diens.
Enigiemand wat ophou of van werk verander, moet hul inligtingsekuriteitsverantwoordelikhede en -pligte aan 'n nuwe persoon oorgedra word, en al die toegangsbewyse moet uitgevee word en 'n nuwe een word geskep.
Meer inligting oor hoe dit werk kan gevind word in die ISO 27002:2022 standaarddokument.
Beheer 6.5 in die nuwe ISO 27002:2022 is nie 'n nuwe beheer nie, dit is eerder 'n gewysigde weergawe van beheer 7.3.1 in ISO 27002:2013.
Alhoewel die basiese beginsels van hierdie twee kontroles soortgelyk is, is daar geringe variasies. Byvoorbeeld, die implementeringsriglyne in beide weergawes verskil effens.
Die eerste deel van die implementeringsleiding in beheer 7.3.1 in ISO 27002: 2013 sê dat
“Die kommunikasie van beëindigingsverantwoordelikhede moet deurlopende inligtingsekuriteitsvereistes en wetlike verantwoordelikhede insluit en, waar toepaslik, verantwoordelikhede vervat in enige vertroulikheidsooreenkoms en die diensbepalings en -voorwaardes wat voortduur vir 'n bepaalde tydperk na die beëindiging van die werknemer of kontrakteur se diens. ”
Dieselfde afdeling in beheer 6.5 van ISO 27002:2022 sê dat
“Die proses vir die bestuur van diensbeëindiging of -verandering moet definieer watter inligtingsekuriteitsverantwoordelikhede en -pligte geldig moet bly na beëindiging of verandering. Dit kan vertroulikheid van inligting, intellektuele eiendom en ander kennis wat verkry is insluit, sowel as verantwoordelikhede vervat in enige ander vertroulikheidsooreenkoms.
Verantwoordelikhede en pligte wat steeds geldig is na die beëindiging van diens of kontrak, moet vervat word in die individu se bepalings en voorwaardes van diens, kontrak of ooreenkoms. Ander kontrakte of ooreenkomste wat vir 'n bepaalde tydperk na die beëindiging van die individu se diens voortduur, kan ook inligtingsekuriteitsverantwoordelikhede bevat.”
Dit gesê, maak nie saak hoeveel hul bewoordings verskil nie, beide kontroles het 'n meestal soortgelyke struktuur en funksie in hul onderskeie kontekste. Die taal wat in beheer 6.5 gebruik word, is vereenvoudig om dit meer gebruikersvriendelik te maak, sodat diegene wat die standaard gaan gebruik, makliker met die inhoud daarvan kan verband hou.
Dit is belangrik om ook daarop te wys dat die 2022-weergawe van ISO 27002 ook 'n doelverklaring en kenmerktabel vir elke kontrole bevat om gebruikers te help om die kontroles beter te verstaan en te implementeer. Hierdie twee afdelings ontbreek in die 2013-uitgawe.
In ooreenstemming met die aanbevelings van kontrole 6.5, is die menslike hulpbronne departement is gewoonlik in beheer van die totale beëindigingsproses in die meeste organisasies, en dit werk saam met die toesighoudende bestuurder van die individu wat oorskakel om toesig te hou oor die inligtingsekuriteitselemente van die verwante prosedures.
Personeel wat deur 'n eksterne party (byvoorbeeld 'n verskaffer) verskaf word, word deur die eksterne party beëindig in ooreenstemming met die bepalings en voorwaardes van die kontrak wat tussen die organisasie en die eksterne party tot stand gebring is.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!
Die ISO 27002:2013-standaard is nie beduidend verander nie. Die standaard is pas opgedateer om bruikbaarheid te vergemaklik. Dit is nie nodig vir enige organisasie wat tans aan ISO 27002:2013 voldoen om enige bykomende stappe te neem om voldoening aan ISO 27002 te handhaaf nie.
Om aan die hersienings in ISO 27002:2022 te voldoen, sal die organisasie slegs geringe wysigings aan sy bestaande prosesse en prosedures hoef aan te bring, veral as daar enige voorneme is om te hersertifiseer.
As jy meer wil leer oor hoe hierdie veranderinge aan beheer 6.5 jou organisasie sal beïnvloed, sien asseblief ons gids oor ISO 27002:2022.
Maatskappye kan ISMS.Online gebruik om hulle te help met hul ISO 27002-nakomingspogings deur hulle te voorsien van 'n platform wat dit maklik maak om hul sekuriteitsbeleide en -prosedures te bestuur, dit op te dateer soos nodig, dit te toets en hul doeltreffendheid te monitor.
Ons wolk-gebaseerde platform laat jou toe om vinnig en maklik bestuur al die aspekte van jou ISMS, insluitend risikobestuur, beleide, planne, prosedures en meer, op een sentrale plek. Die platform is maklik om te gebruik en het 'n intuïtiewe koppelvlak wat dit maklik maak om te leer hoe om te gebruik.
ISMS.Online stel jou in staat om:
As jy 'n besigheid wat moet voldoen aan ISO 27001 en/of ISO 27002, ISMS.Online bied 'n volledige reeks kenmerke om jou te help om hierdie belangrike doelwit te bereik.
Kontak vandag nog om bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
