Wat is Beheer 6.6?
Beheer 6.6 in ISO 27002:2022 dek die behoefte vir organisasies om die lekkasie van vertroulike inligting te voorkom deur vertroulikheidsooreenkomste met belanghebbende partye en personeel daar te stel.
Organisasies moet die bepalings van hul ooreenkomste met ander partye bepaal op grond van die organisasie se inligtingsekuriteitsvereistes, met inagneming van die tipe inligting wat gehanteer moet word, die klassifikasievlak daarvan, die beoogde gebruik daarvan en toegelate toegang deur die ander party.
Vertroulikheid of nie-openbaarmakingsooreenkomste verduidelik
’n Vertroulikheids- of nie-openbaarmakingsooreenkoms (NDA) is ’n regsdokument wat die vrystelling van handelsgeheime en ander vertroulike inligting verhoed.
Vertroulike inligting kan die maatskappy se sakeplan insluit, finansiële data, kliëntelyste en ander eiendomsinligting. Hierdie ooreenkomste kan in 'n wye verskeidenheid situasies gebruik word, insluitend:
- Indiensneming – ’n Vertroulikheidsooreenkoms kan deel wees van die dienskontrak vir ’n nuwe werknemer. Die ooreenkoms verseker dat die werknemer geen vertroulike inligting oor die maatskappy, sy produkte of dienste, werknemers of verskaffers bekend maak nie. Nie-openbaarmakingsooreenkomste word ook deur besighede gebruik om te verhoed dat hul werknemers sensitiewe inligting bekend maak nadat hulle hul werk verlaat het.
- Besigheidstransaksies – Vertroulikheidsooreenkomste word dikwels by saketransaksies ingesluit, soos die aankoop van ’n maatskappy, samesmelting met ’n ander maatskappy of die verkoop van ’n besigheid. Die doel van hierdie ooreenkomste is om te verhoed dat beide partye enige vertroulike inligting wat tydens die transaksie verkry is, bekend maak.
- vennootskappe – Vertroulikheidsooreenkomste word dikwels in saketransaksies gebruik wanneer een party sy bestaande verhoudings met klante of verskaffers wil beskerm teen bekendmaking aan ’n nuwe vennoot. Byvoorbeeld, as 'n maatskappy befondsing van waagkapitaliste soek, kan dit daardie beleggers vra om NDA's te onderteken om eiendomsinligting oor die maatskappy se produkte of dienste te beskerm.
Vennootskappe sluit dikwels vertroulikheidsklousules in as deel van hul vennootskapsooreenkoms sodat elke vennoot instem om nie enige vertroulike inligting wat tydens hul vennootskap verkry is, bekend te maak nie.
Doel van vertroulikheidsooreenkomste
Vertroulikheidsooreenkomste word deur individue en besighede aangegaan. Hulle het baie doeleindes, soos:
- Beskerming van handelsgeheime en eiendomsinligting van mededingers wat dit andersins teen hulle kan gebruik;
- Voorkoming van 'n werknemer om sensitiewe maatskappyinligting met 'n ander maatskappy te deel; en
- Beskerming van intellektuele eiendom (IP) regte soos patente en kopiereg.
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Eienskappe Tabel van beheer 6.6
Kontroles word geklassifiseer met behulp van eienskappe. Deur dit te gebruik, kan jy vinnig jou beheerkeuse pas by algemeen gebruikte industrieterme en -spesifikasies.
Eienskappe vir beheer 6.6 is:
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Beskerm | #Batebestuur | #Beskerming |
| #Integriteit | #Inligtingbeskerming | |||
| #Beskikbaarheid | #Fisiese sekuriteit | |||
| #Stelsel- en netwerksekuriteit |
Wat is die doel van beheer 6.6?
Beheer 6.6 moet geïmplementeer word om die sekuriteit van inligting te verseker wanneer personeel, vennote en verskaffers met 'n organisasie werk.
Hierdie beheer is bedoel om die organisasie se inligting en om ondertekenaars van hul verantwoordelikheid in te lig om inligting op 'n verantwoordelike en gemagtigde manier te hanteer en te beskerm. Dit word ook gebruik as 'n hulpmiddel vir die beskerming van intellektuele eiendomsregte, soos patente, handelsmerke, handelsgeheime en kopiereg.
Dit is belangrik vir werkgewers om 'n nie-openbaarmakingsooreenkoms in plek te hê voordat enige vertroulike inligting aan 'n werknemer of kontrakteur bekend gemaak word. Die ooreenkoms sal uiteensit hoe noukeurig die individu die inligting waaraan hulle blootgestel word, moet bewaar en hoe lank die tydperk van vertroulikheid sal strek nadat diens beëindig is.
Beheer 6.6 Verduidelik
Beheer 6.6 het ten doel om die intellektuele eiendom en besigheidsbelange van jou organisasie te beskerm deur die openbaarmaking van sensitiewe inligting aan derde partye te voorkom. Dit verwys na 'n wettige kontrak of 'n reëling tussen jou organisasie en sy werknemers, vennote, kontrakteurs, verskaffers en ander derde partye wat die gebruik van vertroulike inligting beheer.
Vertroulike inligting is enige inligting wat nie aan die publiek of ander maatskappye in 'n soortgelyke bedryf beskikbaar gestel is nie. Voorbeelde sluit in handelsgeheime, kliëntelyste, formules en sakeplanne.
Die beheer moet geïmplementeer word wanneer bepaal word of a derde party sal toegang tot sensitiewe persoonlike data hê, en of stappe gedoen moet word om te verseker dat hulle nie die organisasie se sensitiewe persoonlike data na hul vertrek behou en voortgaan om toegang te verkry nie.
Wanneer 'n organisasie bepaal dat 'n derde party die besigheidsverhouding verlaat, en daar 'n risiko is dat sensitiewe organisasie- of maatskappydata as gevolg daarvan bekend gemaak kan word, moet die organisasie redelike stappe neem voordat daardie derde party vertrek, of so gou as moontlik nadat hulle vertrek het, om sodanige openbaarmaking te voorkom.
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Wat is betrokke en hoe om aan die vereistes te voldoen
Beheer 6.6 beteken dat die partye by die ooreenkoms nie vertroulike inligting wat deur die ooreenkoms gedek word, bekend maak nie. Die inligting mag slegs openbaar gemaak word met skriftelike toestemming van die organisasie of in ooreenstemming met 'n hofbevel. Dit is belangrik om sensitiewe inligting oor sakepraktyke, intellektuele eiendom en navorsing en ontwikkeling te beskerm.
Om aan die vereistes van beheer 6.6 te voldoen, moet 'n "vertroulikheid" en "nie-openbaarmaking"-ooreenkoms/-kontrak sorgvuldig opgestel word sodat dit alle handelsgeheime en sensitiewe data/inligtingsaspekte van die organisasie se transaksies en transaksies dek. Dit is belangrik dat beide partye hul verpligtinge ingevolge die kontrak en pligte tydens en na die einde van die besigheidsverhouding verstaan.
'n Vertroulikheidsklousule kan ook ingesluit word in ander kontrakte wat verder strek as die einde van die werknemer se diens of derdeparty-aanstelling.
Dit is noodsaaklik dat die persoon wat 'n besigheidsverhouding verlaat of van werk verander, sy of haar sekuriteitsverantwoordelikhede en -pligte aan 'n nuwe persoon oorgedra word, en dat alle toegangsbewyse uitgevee word en 'n nuwe een geskep word.
Die volgende elemente moet in ag geneem word wanneer vertroulikheids- en nie-openbaarmakingsooreenkomste geïdentifiseer word:
- 'n Beskrywing van die inligting wat beskerm moet word (bv. vertroulike data);
- Duur van 'n ooreenkoms, insluitend situasies waar vertroulikheid onbepaald gehandhaaf moet word of totdat die inligting openbaar word;
- Die vereiste optrede in die geval van beëindiging van 'n ooreenkoms;
- Verantwoordelikhede en aksies wat ondertekenaars moet neem om ongemagtigde openbaarmaking van inligting te voorkom;
- Hoe eienaarskap van inligting, handelsgeheime en intellektuele eiendom vertroulikheid beïnvloed;
- Die toegelate gebruik van vertroulike inligting, tesame met die regte van die ondertekenaar om dit te gebruik;
- Die reg om te monitor of ouditaktiwiteite wat behels hoogs sensitiewe inligting;
- Die prosedure om ongemagtigde openbaarmakings of lekkasies van vertroulike inligting in kennis te stel en aan te meld;
- Die bepalings vir die terugkeer of vernietiging van inligting by beëindiging van die ooreenkoms;
- Die stappe wat geneem moet word indien die ooreenkoms nie nagekom word nie.
Die organisasie moet verseker dat vertroulikheids- en nie-openbaarmakingsooreenkomste in ooreenstemming is met die wette van die jurisdiksie waar dit van toepassing is.
'n Hersiening van vertroulikheids- en nie-openbaarmakingsooreenkomste moet periodiek plaasvind en wanneer veranderinge ook al hul vereistes beïnvloed.
Meer inligting oor hoe dit werk is beskikbaar in die ISO 27002:2022-standaarddokument.
Veranderinge en verskille vanaf ISO 27002:2013
Beheer 6.6 in die nuwe ISO 27002:2022 is nie 'n nuwe beheer nie, dit is eerder 'n gewysigde weergawe van beheer 13.2.4 in ISO 27002:2013.
Alhoewel hierdie twee kontroles soortgelyke kenmerke bevat, verskil hulle effens. Byvoorbeeld, terwyl die implementeringsriglyne in beide weergawes soortgelyk is, is hulle nie identies nie.
Die eerste deel van die implementeringsleiding in beheer 13.2.4 in ISO 27002:2013 verklaar dat:
“Vertroulikheids- of nie-openbaarmakingsooreenkomste moet die vereiste aanspreek om vertroulike inligting te beskerm deur wetlik afdwingbare terme te gebruik. Vertroulikheids- of nie-openbaarmakingsooreenkomste is van toepassing op eksterne partye of werknemers van die organisasie. Elemente moet gekies of bygevoeg word met inagneming van die tipe van die ander party en sy toelaatbare toegang of hantering van vertroulike inligting.”
Dieselfde afdeling in beheer 6.6 van ISO 27002:2022 sê dat:
“Vertroulikheids- of nie-openbaarmakingsooreenkomste moet die vereiste aanspreek om vertroulike inligting te beskerm deur wetlik afdwingbare terme te gebruik. Vertroulikheids- of nie-openbaarmakingsooreenkomste is van toepassing op belanghebbende partye en personeel van die organisasie.
Gebaseer op 'n organisasie se inligtingsekuriteitsvereistes, moet die bepalings in die ooreenkomste bepaal word deur die tipe inligting wat hanteer sal word, die klassifikasievlak daarvan, die gebruik daarvan en die toelaatbare toegang deur die ander party in ag te neem.”
Albei kontroles, hoewel dit verskil in semantiese betekenis, het soortgelyke struktuur en funksie in hul onderskeie kontekste. Beheer 6.6 gebruik egter 'n meer vereenvoudigde en gebruikersvriendelike taal sodat die inhoud en konteks makliker verstaanbaar is. Dit beteken diegene wat die standaard gaan gebruik, kan makliker met die inhoud daarvan verband hou.
Daarbenewens bevat die 2022-weergawe van ISO 27002 doelstellings- en kenmerktabelle vir elke kontrole, wat gebruikers help om die kontroles meer effektief te verstaan en te implementeer. Hierdie twee afdelings is nie in die 2013-uitgawe beskikbaar nie.
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
Wie is in beheer van hierdie proses?
Volgens beheer 6.6 van die ISO 27002-standaard bestuur die menslikehulpbronafdeling gewoonlik die opstel en implementering van die vertroulikheids- of nie-openbaarmakingsooreenkoms in die meeste organisasies, wat die samewerking met die toesighoudende bestuurder of departement van die betrokke derde party behels.
Die toesighoudende bestuurder kan die inligtingsekuriteitsbeampte, verkoops- of produksiebestuurder wees.
Hierdie departemente en hoofde is ook verantwoordelik om te verseker dat enige derdeparty-verskaffers wat deur die organisasie gebruik word, voldoende sekuriteitsmaatreëls in plek het om vertroulike inligting te beskerm teen ongemagtigde openbaarmaking of gebruik.
Hulle moet seker maak dat alle werknemers 'n vertroulikheidsooreenkoms onderteken wanneer hulle vir die maatskappy begin werk.
In die meeste gevalle (afhangende van hoe groot die organisasie is), word vertroulikheids- of nie-openbaarmakingsooreenkomste onderteken deur alle werknemers wat toegang tot vertroulike inligting het.
Dit sluit tipies enige werknemer in wat in verkope, bemarking, kliëntediens of ander afdelings werk waar hulle met vertroulike inligting rakende kliënte, kliënte of verskaffers in aanraking kan kom.
In sommige gevalle, selfs al is daar nie 'n werklike skriftelike ooreenkoms tussen twee partye nie, moet organisasies beleide in plek hê wat vereis dat werknemers 'n vertroulikheidsooreenkoms onderteken voordat hulle toegang tot sensitiewe inligting oor kliënte of verskaffers toegelaat word.
Sommige risiko's verbonde aan nie 'n voldoende vertroulikheidsooreenkomsbeleid in plek nie, sluit in:
- Werknemers kan per ongeluk sensitiewe inligting aan iemand buite die maatskappy uitlek wat nie toegang daartoe behoort te hê nie, wat skade aan die organisasie veroorsaak.
- 'n Werknemer mag sensitiewe data aan 'n mededinger bekend maak.
- ’n Ontevrede werknemer mag die maatskappy se intellektuele eiendom (IP) steel en dit tot sy of haar eie voordeel gebruik.
- Werknemers kan per ongeluk sensitiewe inligting op hul rekenaar se lessenaar by die werk of op hul skootrekenaar by die huis laat, wat deur 'n kuberkraker gesteel kan word.
Wat beteken hierdie veranderinge vir jou?
Die ISO 27002:2013-standaard is nie beduidend verander nie. Die standaard is slegs opgedateer om bruikbaarheid te vergemaklik. Organisasies wat tans aan ISO 27002:2013 voldoen, hoef nie enige bykomende stappe te neem om voldoening handhaaf met die standaard.
Om aan die hersienings in ISO 27002:2022 te voldoen, kan die organisasie dit nodig vind om 'n paar geringe wysigings aan sy bestaande prosesse en prosedures aan te bring, veral as daar 'n behoefte is om te hersertifiseer.
Om meer te wete te kom oor hoe hierdie veranderinge aan beheer 6.6 jou organisasie sal beïnvloed, sien asseblief ons gids oor ISO 27002:2022.
Nuwe ISO 27002-kontroles
Nuwe kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.Online help
ISO 27002 is 'n wyd erkende inligtingsekuriteitstandaard wat 'n stel vereistes vir 'n organisasie verskaf om die vertroulikheid, integriteit en beskikbaarheid van sy inligting te beskerm. Die standaard is ontwikkel deur die Internasionale Organisasie vir Standaardisering (ISO), 'n nie-regeringsorganisasie wat internasionale standaarde stel, hersien en publiseer.
ISMS.Online help organisasies en besighede om aan die vereistes van ISO 27002 te voldoen deur aan hulle 'n platform te bied wat dit maklik maak om hul vertroulikheid of nie-openbaarmakingsbeleide en -prosedures te bestuur, dit op te dateer soos nodig, dit te toets en hul doeltreffendheid te monitor.
Ons bied 'n wolk-gebaseerde platform vir die bestuur van vertroulikheids- en inligtingsekuriteitbestuurstelsels, insluitend nie-openbaarmakingsklousules, risikobestuur, beleide, planne en prosedures, op een sentrale plek. Die platform is maklik om te gebruik en het 'n intuïtiewe koppelvlak wat dit maklik maak om te leer hoe om te gebruik.
ISMS.Online stel jou in staat om:
- Dokumenteer jou prosesse. Hierdie intuïtiewe koppelvlak laat jou toe om jou prosesse te dokumenteer sonder om enige sagteware op jou rekenaar of netwerk te installeer.
- Outomatiseer jou risiko-assessering proses.
- Demonstreer nakoming maklik met aanlynverslae en kontrolelyste.
- Hou rekord van vordering terwyl jy na sertifisering werk.
ISMS.Online bied 'n volledige reeks kenmerke om organisasies en besighede te help om voldoening aan die industriestandaard ISO 27001 en/of ISO 27002 ISMS te bereik.
Kontak ons asseblief vandag om beplan 'n demo.
Spring na onderwerp
