Beheer 6.6 in ISO 27002:2022 dek die behoefte vir organisasies om die lekkasie van vertroulike inligting te voorkom deur vertroulikheidsooreenkomste met belanghebbende partye en personeel daar te stel.
Organisasies moet die bepalings van hul ooreenkomste met ander partye bepaal op grond van die organisasie se inligtingsekuriteitsvereistes, met inagneming van die tipe inligting wat gehanteer moet word, die klassifikasievlak daarvan, die beoogde gebruik daarvan en toegelate toegang deur die ander party.
’n Vertroulikheids- of nie-openbaarmakingsooreenkoms (NDA) is ’n regsdokument wat die vrystelling van handelsgeheime en ander vertroulike inligting verhoed.
Vertroulike inligting kan die maatskappy se sakeplan insluit, finansiële data, kliëntelyste en ander eiendomsinligting. Hierdie ooreenkomste kan in 'n wye verskeidenheid situasies gebruik word, insluitend:
Vennootskappe sluit dikwels vertroulikheidsklousules in as deel van hul vennootskapsooreenkoms sodat elke vennoot instem om nie enige vertroulike inligting wat tydens hul vennootskap verkry is, bekend te maak nie.
Vertroulikheidsooreenkomste word deur individue en besighede aangegaan. Hulle het baie doeleindes, soos:
Kontroles word geklassifiseer met behulp van eienskappe. Deur dit te gebruik, kan jy vinnig jou beheerkeuse pas by algemeen gebruikte industrieterme en -spesifikasies.
Eienskappe vir beheer 6.5 is:
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Batebestuur #Inligtingbeskerming #Fisiese sekuriteit #Stelsel- en netwerksekuriteit | #Beskerming |
Beheer 6.6 moet geïmplementeer word om die sekuriteit van inligting te verseker wanneer personeel, vennote en verskaffers met 'n organisasie werk.
Hierdie beheer is bedoel om die organisasie se inligting en om ondertekenaars van hul verantwoordelikheid in te lig om inligting op 'n verantwoordelike en gemagtigde manier te hanteer en te beskerm. Dit word ook gebruik as 'n hulpmiddel vir die beskerming van intellektuele eiendomsregte, soos patente, handelsmerke, handelsgeheime en kopiereg.
Dit is belangrik vir werkgewers om 'n nie-openbaarmakingsooreenkoms in plek te hê voordat enige vertroulike inligting aan 'n werknemer of kontrakteur bekend gemaak word. Die ooreenkoms sal uiteensit hoe noukeurig die individu die inligting waaraan hulle blootgestel word, moet bewaar en hoe lank die tydperk van vertroulikheid sal strek nadat diens beëindig is.
Beheer 6.6 het ten doel om die intellektuele eiendom en besigheidsbelange van jou organisasie te beskerm deur die openbaarmaking van sensitiewe inligting aan derde partye te voorkom. Dit verwys na 'n wettige kontrak of 'n reëling tussen jou organisasie en sy werknemers, vennote, kontrakteurs, verskaffers en ander derde partye wat die gebruik van vertroulike inligting beheer.
Vertroulike inligting is enige inligting wat nie aan die publiek of ander maatskappye in 'n soortgelyke bedryf beskikbaar gestel is nie. Voorbeelde sluit in handelsgeheime, kliëntelyste, formules en sakeplanne.
Die beheer moet geïmplementeer word wanneer bepaal word of a derde party sal toegang tot sensitiewe persoonlike data hê, en of stappe gedoen moet word om te verseker dat hulle nie die organisasie se sensitiewe persoonlike data na hul vertrek behou en voortgaan om toegang te verkry nie.
Wanneer 'n organisasie bepaal dat 'n derde party die besigheidsverhouding verlaat, en daar 'n risiko is dat sensitiewe organisasie- of maatskappydata as gevolg daarvan bekend gemaak kan word, moet die organisasie redelike stappe neem voordat daardie derde party vertrek, of so gou as moontlik nadat hulle vertrek het, om sodanige openbaarmaking te voorkom.
Ek sal beslis ISMS.online aanbeveel, dit maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.
Beheer 6.6 beteken dat die partye by die ooreenkoms nie vertroulike inligting wat deur die ooreenkoms gedek word, bekend maak nie. Die inligting mag slegs openbaar gemaak word met skriftelike toestemming van die organisasie of in ooreenstemming met 'n hofbevel. Dit is belangrik om sensitiewe inligting oor sakepraktyke, intellektuele eiendom en navorsing en ontwikkeling te beskerm.
Om aan die vereistes van beheer 6.6 te voldoen, moet 'n "vertroulikheid" en "nie-openbaarmaking"-ooreenkoms/-kontrak sorgvuldig opgestel word sodat dit alle handelsgeheime en sensitiewe data/inligtingsaspekte van die organisasie se transaksies en transaksies dek. Dit is belangrik dat beide partye hul verpligtinge ingevolge die kontrak en pligte tydens en na die einde van die besigheidsverhouding verstaan.
'n Vertroulikheidsklousule kan ook ingesluit word in ander kontrakte wat verder strek as die einde van die werknemer se diens of derdeparty-aanstelling.
Dit is noodsaaklik dat die persoon wat 'n besigheidsverhouding verlaat of van werk verander, sy of haar sekuriteitsverantwoordelikhede en -pligte aan 'n nuwe persoon oorgedra word, en dat alle toegangsbewyse uitgevee word en 'n nuwe een geskep word.
Die volgende elemente moet in ag geneem word wanneer vertroulikheids- en nie-openbaarmakingsooreenkomste geïdentifiseer word:
Die organisasie moet verseker dat vertroulikheids- en nie-openbaarmakingsooreenkomste in ooreenstemming is met die wette van die jurisdiksie waar dit van toepassing is.
'n Hersiening van vertroulikheids- en nie-openbaarmakingsooreenkomste moet periodiek plaasvind en wanneer veranderinge ook al hul vereistes beïnvloed.
Meer inligting oor hoe dit werk is beskikbaar in die ISO 27002:2022-standaarddokument.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Beheer 6.6 in die nuwe ISO 27002:2022 is nie 'n nuwe beheer nie, dit is eerder 'n gewysigde weergawe van beheer 13.2.4 in ISO 27002:2013.
Alhoewel hierdie twee kontroles soortgelyke kenmerke bevat, verskil hulle effens. Byvoorbeeld, terwyl die implementeringsriglyne in beide weergawes soortgelyk is, is hulle nie identies nie.
Die eerste deel van die implementeringsleiding in beheer 13.2.4 in ISO 27002:2013 verklaar dat:
“Vertroulikheids- of nie-openbaarmakingsooreenkomste moet die vereiste aanspreek om vertroulike inligting te beskerm deur wetlik afdwingbare terme te gebruik. Vertroulikheids- of nie-openbaarmakingsooreenkomste is van toepassing op eksterne partye of werknemers van die organisasie. Elemente moet gekies of bygevoeg word met inagneming van die tipe van die ander party en sy toelaatbare toegang of hantering van vertroulike inligting.”
Dieselfde afdeling in beheer 6.6 van ISO 27002:2022 sê dat:
“Vertroulikheids- of nie-openbaarmakingsooreenkomste moet die vereiste aanspreek om vertroulike inligting te beskerm deur wetlik afdwingbare terme te gebruik. Vertroulikheids- of nie-openbaarmakingsooreenkomste is van toepassing op belanghebbende partye en personeel van die organisasie.
Gebaseer op 'n organisasie se inligtingsekuriteitsvereistes, moet die bepalings in die ooreenkomste bepaal word deur die tipe inligting wat hanteer sal word, die klassifikasievlak daarvan, die gebruik daarvan en die toelaatbare toegang deur die ander party in ag te neem.”
Albei kontroles, hoewel dit verskil in semantiese betekenis, het soortgelyke struktuur en funksie in hul onderskeie kontekste. Beheer 6.6 gebruik egter 'n meer vereenvoudigde en gebruikersvriendelike taal sodat die inhoud en konteks makliker verstaanbaar is. Dit beteken diegene wat die standaard gaan gebruik, kan makliker met die inhoud daarvan verband hou.
Daarbenewens bevat die 2022-weergawe van ISO 27002 doelstellings- en kenmerktabelle vir elke kontrole, wat gebruikers help om die kontroles meer effektief te verstaan en te implementeer. Hierdie twee afdelings is nie in die 2013-uitgawe beskikbaar nie.
Volgens beheer 6.6 van die ISO 27002-standaard bestuur die menslikehulpbronafdeling gewoonlik die opstel en implementering van die vertroulikheids- of nie-openbaarmakingsooreenkoms in die meeste organisasies, wat die samewerking met die toesighoudende bestuurder of departement van die betrokke derde party behels.
Die toesighoudende bestuurder kan die inligtingsekuriteitsbeampte, verkoops- of produksiebestuurder wees.
Hierdie departemente en hoofde is ook verantwoordelik om te verseker dat enige derdeparty-verskaffers wat deur die organisasie gebruik word, voldoende sekuriteitsmaatreëls in plek het om vertroulike inligting te beskerm teen ongemagtigde openbaarmaking of gebruik.
Hulle moet seker maak dat alle werknemers 'n vertroulikheidsooreenkoms onderteken wanneer hulle vir die maatskappy begin werk.
In die meeste gevalle (afhangende van hoe groot die organisasie is), word vertroulikheids- of nie-openbaarmakingsooreenkomste onderteken deur alle werknemers wat toegang tot vertroulike inligting het.
Dit sluit tipies enige werknemer in wat in verkope, bemarking, kliëntediens of ander afdelings werk waar hulle met vertroulike inligting rakende kliënte, kliënte of verskaffers in aanraking kan kom.
In sommige gevalle, selfs al is daar nie 'n werklike skriftelike ooreenkoms tussen twee partye nie, moet organisasies beleide in plek hê wat vereis dat werknemers 'n vertroulikheidsooreenkoms onderteken voordat hulle toegang tot sensitiewe inligting oor kliënte of verskaffers toegelaat word.
Sommige risiko's verbonde aan nie 'n voldoende vertroulikheidsooreenkomsbeleid in plek nie, sluit in:
Die ISO 27002:2013-standaard is nie beduidend verander nie. Die standaard is slegs opgedateer om bruikbaarheid te vergemaklik. Organisasies wat tans aan ISO 27002:2013 voldoen, hoef nie enige bykomende stappe te neem om voldoening handhaaf met die standaard.
Om aan die hersienings in ISO 27002:2022 te voldoen, kan die organisasie dit nodig vind om 'n paar geringe wysigings aan sy bestaande prosesse en prosedures aan te bring, veral as daar 'n behoefte is om te hersertifiseer.
Om meer te wete te kom oor hoe hierdie veranderinge aan beheer 6.6 jou organisasie sal beïnvloed, sien asseblief ons gids oor ISO 27002:2022.
ISO 27002 is 'n wyd erkende inligtingsekuriteitstandaard wat 'n stel vereistes vir 'n organisasie verskaf om die vertroulikheid, integriteit en beskikbaarheid van sy inligting te beskerm. Die standaard is ontwikkel deur die Internasionale Organisasie vir Standaardisering (ISO), 'n nie-regeringsorganisasie wat internasionale standaarde stel, hersien en publiseer.
ISMS.Online help organisasies en besighede om aan die vereistes van ISO 27002 te voldoen deur aan hulle 'n platform te bied wat dit maklik maak om hul vertroulikheid of nie-openbaarmakingsbeleide en -prosedures te bestuur, dit op te dateer soos nodig, dit te toets en hul doeltreffendheid te monitor.
Ons bied 'n wolk-gebaseerde platform vir die bestuur van vertroulikheids- en inligtingsekuriteitbestuurstelsels, insluitend nie-openbaarmakingsklousules, risikobestuur, beleide, planne en prosedures, op een sentrale plek. Die platform is maklik om te gebruik en het 'n intuïtiewe koppelvlak wat dit maklik maak om te leer hoe om te gebruik.
ISMS.Online stel jou in staat om:
ISMS.Online bied 'n volledige reeks kenmerke om organisasies en besighede te help om voldoening aan die industriestandaard ISO 27001 en/of ISO 27002 ISMS te bereik.
Kontak ons asseblief vandag om beplan 'n demo.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Sedert ons migreer kon ons die tyd wat aan administrasie bestee word, verminder.