- Bekijk ISO 27002:2022 Controle 6.6 voor meer informatie.
- Bekijk ISO 27001:2013 Bijlage A 13.2.4 voor meer informatie.
Wat is ISO 27001:2022 bijlage A 6.6?
ISO 27001:2022 Annex A 6.6 stelt dat organisaties maatregelen moeten treffen om vertrouwelijke informatie te beschermen tegen ongeoorloofde openbaarmaking. Hierbij hoort ook het maken van vertrouwelijkheidsovereenkomsten met belanghebbenden en medewerkers.
Organisaties moeten voorwaarden opstellen voor hun overeenkomsten met andere partijen, nadat ze die van de organisatie hebben overwogen informatiebeveiliging behoeften, het soort informatie dat moet worden beheerd, het classificatieniveau ervan, het doel waarvoor deze is bedoeld en de toegang die de andere partij mag krijgen.
Vertrouwelijkheids- of geheimhoudingsovereenkomsten uitgelegd
Een vertrouwelijkheids- of geheimhoudingsovereenkomst (NDA) is een juridisch document dat de openbaarmaking van bedrijfsgeheimen en andere vertrouwelijke informatie verbiedt.
Vertrouwelijke informatie kan het bedrijfsplan van een bedrijf, financiële cijfers, klantenlijsten en andere exclusieve details omvatten. Deze contracten worden in verschillende omstandigheden gebruikt, zoals:
- Een geheimhoudingsovereenkomst kan deel uitmaken van een arbeidsovereenkomst voor een nieuwe aanwerving. Dit zorgt ervoor dat de medewerker zich onthoudt van het openbaar maken van vertrouwelijke informatie over het bedrijf, zijn producten of diensten, personeel of leveranciers. Bedrijven maken ook gebruik van geheimhoudingsovereenkomsten om te voorkomen dat hun voormalige werknemers na hun dienstverband gevoelige informatie openbaar maken.
- Geheimhoudingsovereenkomsten worden regelmatig opgenomen in zakelijke deals, zoals het kopen van een bedrijf, het samengaan met een ander bedrijf of het verkopen van een onderneming. Deze overeenkomsten zijn bedoeld om te voorkomen dat beide partijen vertrouwelijke informatie onthullen die tijdens de transactie is verkregen.
- Partnerschappen omvatten het gebruik van vertrouwelijkheidsovereenkomsten wanneer een partij zijn bestaande klant wil beschermen of relaties met leveranciers zodat deze niet aan een nieuwe partner wordt bekendgemaakt. Als een onderneming bijvoorbeeld financiering nodig heeft van durfkapitalisten, kan zij deze investeerders vragen NDA's te ondertekenen om vertrouwelijke gegevens over de producten of diensten van het bedrijf veilig te stellen.
Partnerschappen bevatten vaak vertrouwelijkheidsclausules in hun partnerschapsovereenkomst, waarbij elke partner ermee instemt alle tijdens het partnerschap verkregen vertrouwelijke informatie volledig vertrouwelijk te houden.
Doel van vertrouwelijkheidsovereenkomsten
Vertrouwelijkheidsovereenkomsten worden vaak gebruikt door zowel particulieren als bedrijven. Ze dienen een reeks doelstellingen, waaronder:
- Het beschermen van hun bedrijfsgeheimen en bedrijfseigen informatie tegen concurrenten die deze zouden kunnen exploiteren.
- Voorkom dat medewerkers gevoelige bedrijfsgegevens aan andere organisaties doorgeven.
- Beveiligen intellectuele eigendomsrechten zoals patenten en auteursrechten.
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Wat is het doel van ISO 27001:2022 bijlage A 6.6?
ISO 27001:2022 bijlage A 6.6 moet worden toegepast om de veiligheid van gegevens te garanderen wanneer personeel, partners en leveranciers samenwerken met een organisatie.
Deze controle is bedoeld om de gegevens van de organisatie te beveiligen en om ondertekenaars te informeren over hun verplichting om informatie op verantwoorde en wettige wijze te beheren en te beveiligen. Het dient ook als een instrument voor het behoud van intellectuele eigendomsrechten, bijvoorbeeld patenten, handelsmerken, bedrijfsgeheimen en auteursrechten.
Werkgevers moeten ervoor zorgen dat er een geheimhoudingsovereenkomst is opgesteld voordat vertrouwelijke informatie aan een werknemer of contractant wordt bekendgemaakt. De Overeenkomst verduidelijkt de verantwoordelijkheid van het individu om de geheimhouding van de informatie te handhaven en de duur van de vertrouwelijkheidsperiode nadat het dienstverband is beëindigd.
Bijlage A 6.6 Uitleg
ISO 27001:2022 bijlage A Control 6.6 is ontworpen om de intellectuele eigendommen en zakelijke belangen van uw organisatie te beschermen door het vrijgeven van vertrouwelijke gegevens aan derden te stoppen. Het omvat de totstandkoming van een wettelijke overeenkomst of regeling tussen uw organisatie en haar personeel, medewerkers, aannemers, leveranciers en andere buitenstaanders, die het gebruik van geheime informatie controleert.
Vertrouwelijke informatie zijn alle gegevens die niet openbaar zijn gemaakt of gedeeld met andere organisaties in dezelfde sector. Dit omvat bedrijfsgeheimen, klantenregisters, formules en bedrijfsstrategieën.
Beoordeel de controle wanneer u besluit of een derde partij toegang krijgt tot gevoelige persoonlijke gegevens en of er stappen moeten worden ondernomen om te garanderen dat zij de gevoelige persoonlijke gegevens van de organisatie niet bewaren of blijven gebruiken wanneer zij vertrekken.
Wanneer een derde partij een organisatie verlaat en de kans bestaat dat gevoelige gegevens openbaar worden gemaakt, moet de organisatie de nodige stappen ondernemen om openbaarmaking vóór of kort na hun vertrek te voorkomen.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan
ISO 27001:2022 Bijlage A 6.6 vereist dat partijen bij de overeenkomst zich onthouden van het openbaar maken van vertrouwelijke informatie die onder de reikwijdte ervan valt. In alle gevallen waarin openbaarmaking noodzakelijk is, is toestemming van de organisatie nodig, behoudens een gerechtelijk bevel. Deze bepaling is essentieel om gegevens over bedrijfsactiviteiten, intellectuele eigendom en onderzoek en ontwikkeling te beschermen.
Om te voldoen aan bijlage A 6.6 moet een vertrouwelijkheids- en geheimhoudingsovereenkomst/-contract nauwkeurig worden opgesteld om alle bedrijfsgeheimen en gevoelige gegevens/informatie met betrekking tot de activiteiten en transacties van het bedrijf te beschermen. Het is essentieel dat beide partijen hun taken en verantwoordelijkheden uit de overeenkomst begrijpen, zowel tijdens als na het aangaan van de zakelijke samenwerking.
In contracten die verder reiken dan het dienstverband van de werknemer of de inschakeling van derden kan een geheimhoudingsclausule worden opgenomen. Dit moet worden gedaan om ervoor te zorgen dat de informatie veilig blijft.
Het is essentieel dat de beveiligingstaken en verantwoordelijkheden van een vertrekkende werknemer of een veranderende baan worden overgedragen aan een nieuwe persoon, waarbij alle toegangsgegevens worden verwijderd en nieuwe worden aangemaakt.
Bij het beoordelen van vertrouwelijkheids- en geheimhoudingsovereenkomsten moet men een aantal elementen in gedachten houden:
- De vertrouwelijke gegevens die moeten worden beschermd.
- De duur van de Overeenkomst, met inbegrip van de gevallen waarin de vertrouwelijkheid voortdurend moet worden gehandhaafd of totdat de gegevens openbaar worden gemaakt, wordt bepaald.
- Bij ontbinding van een overeenkomst de nodige stappen die genomen moeten worden.
- Ondertekenaars moeten alle noodzakelijke maatregelen nemen om ongeoorloofde openbaarmaking van informatie te voorkomen.
- Eigendom van gegevens, vertrouwelijke bedrijfskennis en intellectueel eigendom dat invloed heeft op de vertrouwelijkheid.
- De ondertekenaar heeft het recht om vertrouwelijke informatie te gebruiken in overeenstemming met de toestemming.
- Het recht om toezicht te houden op of te evalueren van activiteiten waarbij zeer geheime gegevens betrokken zijn.
- Het proces voor het informeren en informeren over niet-goedgekeurde onthullingen of het verspreiden van privé-informatie moet worden gevolgd.
- Bij beëindiging van deze overeenkomst moeten alle gegevens of informatie die tussen partijen worden gedeeld, worden teruggegeven of vernietigd.
- Indien de afspraak niet wordt nageleefd, welke maatregelen worden genomen?
De organisatie moet ervoor zorgen dat vertrouwelijkheids- en geheimhoudingsovereenkomsten in overeenstemming zijn met de wetten van het relevante rechtsgebied.
Periodiek en wanneer wijzigingen van invloed zijn op hun vereisten, is het noodzakelijk om de vertrouwelijkheids- en geheimhoudingsovereenkomsten te herzien.
Meer details over dit proces zijn te vinden in de ISO 27001:2022-norm.
Wijzigingen en verschillen ten opzichte van ISO 27001:2013
ISO 27001:2022 Bijlage A 6.6 is een wijziging van ISO 27001:2013 Bijlage A 13.2.4, in plaats van een nieuwe controle.
De twee bijlage A-controles hebben verschillende parallellen, hoewel ze niet identiek zijn. De implementatie-instructies van beide zijn bijvoorbeeld gelijk, maar niet hetzelfde.
Het eerste deel van de implementatierichtlijnen van ISO 27001:2013, bijlage A 13.2.4, benadrukt dat:
“Vertrouwelijkheids- of geheimhoudingsovereenkomsten moeten tegemoet komen aan de eis om vertrouwelijke informatie te beschermen met behulp van juridisch afdwingbare voorwaarden. Voor externe partijen of medewerkers van de organisatie gelden geheimhoudings- of geheimhoudingsovereenkomsten.
Elementen moeten worden geselecteerd of toegevoegd met inachtneming van het type van de andere partij en haar toegestane toegang tot of omgang met vertrouwelijke informatie.”
Bijlage A 6.6 van ISO 27001:2022 verklaart dat elke organisatie passende maatregelen moet nemen om:
“Vertrouwelijkheids- of geheimhoudingsovereenkomsten moeten tegemoet komen aan de eis om vertrouwelijke informatie te beschermen met behulp van juridisch afdwingbare voorwaarden. Er zijn vertrouwelijkheids- of geheimhoudingsovereenkomsten van toepassing op belanghebbenden en personeel van de organisatie.
Op basis van de informatiebeveiligingseisen van een organisatie moeten de voorwaarden in de overeenkomsten worden bepaald door rekening te houden met het soort informatie dat zal worden verwerkt, het classificatieniveau, het gebruik ervan en de toegestane toegang door de andere partij.”
Beide bedieningselementen hebben een analoge structuur en functie in hun individuele context, hoewel ze variëren in semantische betekenis. Bijlage A 6.6 gebruikt een eenvoudiger en gebruiksvriendelijker taalgebruik, waardoor het gemakkelijker wordt de inhoud en context te begrijpen. Hierdoor kunnen gebruikers zich gemakkelijker identificeren met de standaard.
De 2022 aflevering van ISO 27001 bevat intentieverklaringen en attribuuttabellen volgens bijlage A Controle, om het begrip en de succesvolle implementatie te bevorderen. In de editie van 2013 is dit niet voorzien.
Tabel met alle ISO 27001:2022 bijlage A-controles
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 |
Bijlage A 5.1.1 Bijlage A 5.1.2 |
Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 |
Bijlage A 6.1.5 Bijlage A 14.1.1 |
Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 |
Bijlage A 8.1.1 Bijlage A 8.1.2 |
Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 |
Bijlage A 8.1.3 Bijlage A 8.2.3 |
Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 |
Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 |
Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 |
Bijlage A 9.1.1 Bijlage A 9.1.2 |
Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 |
Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 |
Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 |
Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 |
Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 |
Bijlage A 15.2.1 Bijlage A 15.2.2 |
Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 |
Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 |
Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 |
Bijlage A 18.1.1 Bijlage A 18.1.5 |
Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 |
Bijlage A 18.2.2 Bijlage A 18.2.3 |
Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 |
Bijlage A 16.1.2 Bijlage A 16.1.3 |
Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 |
Bijlage A 11.1.2 Bijlage A 11.1.6 |
Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 |
Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 |
Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 |
Bijlage A 6.2.1 Bijlage A 11.2.8 |
Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 |
Bijlage A 12.6.1 Bijlage A 18.2.3 |
Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 |
Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 |
Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's Toegangsrechten |
| Technologische controles | Bijlage A 8.19 |
Bijlage A 12.5.1 Bijlage A 12.6.2 |
Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 |
Bijlage A 10.1.1 Bijlage A 10.1.2 |
Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 |
Bijlage A 14.1.2 Bijlage A 14.1.3 |
Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Principes van veilige systeemarchitectuur en engineeringLeren van incidenten met informatiebeveiliging |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 |
Bijlage A 14.2.8 Bijlage A 14.2.9 |
Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 |
Bijlage A 12.1.4 Bijlage A 14.2.6 |
Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 |
Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 |
Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
Wie is verantwoordelijk voor dit proces?
Volgens bijlage A 6.6 van ISO 27001:2022 houdt de afdeling Human Resources doorgaans toezicht op het opstellen en handhaven van de vertrouwelijkheids-/geheimhoudingsovereenkomst in de meeste organisaties, in samenwerking met de toezichthoudende manager/afdeling van de relevante derde partij.
De Information Security Officer, Sales of Production Manager kunnen allemaal optreden als toezichthoudend manager.
De afdelingen en hoofden moeten garanderen dat externe leveranciers die door de organisatie worden ingezet de juiste veiligheidsmaatregelen treffen om vertrouwelijke gegevens te beschermen tegen ongeoorloofde vrijgave of gebruik.
Alle werknemers moeten bij aanvang van hun dienstverband bij het bedrijf een geheimhoudingsovereenkomst ondertekenen.
In veel organisaties, ongeacht hun omvang, is al het personeel dat met vertrouwelijke informatie omgaat verplicht een vertrouwelijkheids- of geheimhoudingsverklaring te ondertekenen.
Werknemers op de verkoop-, marketing-, klantenservice- en andere afdelingen die omgaan met vertrouwelijke informatie over klanten, klanten en leveranciers moeten training krijgen.
Organisaties moeten beleid hebben dat medewerkers verplicht een vertrouwelijkheidsovereenkomst te ondertekenen voordat zij toegang krijgen tot gevoelige informatie over klanten of leveranciers, zelfs als er geen schriftelijke overeenkomst is.
Het niet hebben van een beleid inzake vertrouwelijkheidsovereenkomsten kan tot ernstige risico's leiden. Deze risico's omvatten:
- Werknemers kunnen onbedoeld vertrouwelijke informatie bekendmaken aan personen buiten het bedrijf die daar geen toegang toe mogen hebben, waardoor de organisatie wordt geschaad.
- Een werknemer kan gevoelige informatie aan een concurrent bekendmaken.
- Een ontevreden werknemer kan het intellectuele eigendom van het bedrijf stelen en dit voor eigen gewin gebruiken.
- Werknemers kunnen onbedoeld vertrouwelijke gegevens op hun desktop op kantoor of op hun laptop thuis achterlaten, waardoor ze het risico lopen dat deze door een cybercrimineel worden gestolen.
[case_study_slider ids=”88859,101932,92016″ autoplay=”true” autoplay_speed=”5000″]
Wat betekenen deze veranderingen voor u?
De ISO 27001-norm blijft grotendeels ongewijzigd. Om de bruikbaarheid te vergroten, werd het eenvoudigweg bijgewerkt. Organisaties die zich aan deze norm houden, hoeven dus geen extra stappen te ondernemen om compliant te blijven.
Om te voldoen aan de wijzigingen in ISO 27001:2022 kan het zijn dat de organisatie kleine wijzigingen moet aanbrengen in de huidige processen en procedures, vooral als hercertificering vereist is.
Om meer inzicht te krijgen in de impact van het wijzigen van ISO 27001:2022 op uw bedrijf, kunt u onze ISO 27001-gids raadplegen.
Hoe ISMS.Online helpt
ISMS.Online faciliteert organisaties en bedrijven bij het voldoen aan de normen van ISO 27001:2022 door het bieden van een platform dat het beheer vereenvoudigt van vertrouwelijkheids- of geheimhoudingsprotocollen, waardoor deze indien nodig kunnen worden bijgewerkt, getest en gevolgd op hun werkzaamheid.
Wij bieden een cloudgebaseerde oplossing platform voor het beheren van vertrouwelijkheid en informatiebeveiliging Managementsystemen, inclusief geheimhoudingsclausules, risicobeheer, beleid, plannen en procedures, allemaal op één gecentraliseerde plek. Het platform is gebruiksvriendelijk en heeft een intuïtieve interface waardoor het eenvoudig te leren is.
ISMS.Online faciliteert:
- Registreer uw processen eenvoudig met deze gebruiksvriendelijke interface. U hoeft geen software op uw machine of netwerk te installeren!
- Stroomlijn uw risicobeoordelingsproces door het te automatiseren.
- Zorg ervoor dat de regelgeving wordt nageleefd met online rapporten en checklists.
- Houd een voortgangsregister bij terwijl u streeft naar certificering.
ISMS.Online biedt een uitgebreide selectie tools om bedrijven en organisaties te helpen voldoen aan de eisen van ISO 27001 en/of ISO 27001ISMS. Wij maken het gemakkelijk om aan de industriestandaard te voldoen en geven u gemoedsrust.
Neem nu contact met ons op een demonstratie organiseren.