ISO 27001 – Bijlage A.7: Beveiliging van menselijke hulpbronnen

Wat is het doel van bijlage A.7.1?

Bijlage A.7.1 gaat over vóór het dienstverband. Het doel van deze bijlage is ervoor te zorgen dat werknemers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de rollen waarvoor zij in aanmerking komen. Het behandelt ook wat er gebeurt als die mensen weggaan of van rol veranderen.

Het is een belangrijk onderdeel van het informatiebeveiligingsbeheersysteem (ISMS), vooral als u de ISO 27001-certificering wilt behalen.

A.7.1.1 Screening

Een goede controle omvat antecedentenonderzoek en competentiecontroles van alle kandidaten voor een baan. Deze moeten worden uitgevoerd in overeenstemming met de relevante wetten, regelgeving en ethiek, en moeten in verhouding staan ​​tot de zakelijke vereisten, de classificatie van de informatie waartoe toegang wordt verkregen en de waargenomen risico's die daarmee gepaard gaan.

Personeel dat toegang heeft tot informatie op een hoger niveau en meer risico met zich meebrengt, kan bijvoorbeeld aan veel strengere controles worden onderworpen dan personeel dat alleen toegang krijgt tot openbare informatie of met beperkte dreiging met activa omgaat. Het invoeren van adequate en proportionele HR-controles in alle fasen van het dienstverband helpt de kans op accidentele of kwaadwillige bedreigingen te verkleinen.

De screening moet ook plaatsvinden voor contractanten (tenzij hun moederorganisatie voldoet aan uw bredere veiligheidscontroles, bijvoorbeeld hun eigen ISO 27001 heeft en hun eigen antecedentenonderzoek doet).

Een auditor zal verwachten dat er een screeningproces plaatsvindt met duidelijke procedures die elke keer consistent worden toegepast om ook eventuele voorkeurs-/vooroordelenrisico's te helpen voorkomen. Idealiter wordt dit afgestemd op het algemene wervingsproces van de organisatie.

A.7.1.2 Arbeidsvoorwaarden

In de contractuele overeenkomst met medewerkers en opdrachtnemers moeten hun verantwoordelijkheden en die van de organisatie op het gebied van informatiebeveiliging worden vastgelegd. Deze overeenkomsten zijn een goede plek om de belangrijkste algemene en individuele verantwoordelijkheden op het gebied van informatiebeveiliging neer te leggen, aangezien deze een juridisch gewicht hebben – wat betekent dat ze door de wet worden ondersteund.

Dit is ook erg belangrijk met betrekking tot de AVG en de nieuwe Data Protection Act 2018. Ze moeten verwijzen naar en een hele reeks controlegebieden bestrijken, waaronder de algehele naleving van het ISMS, maar ook meer specifiek aanvaardbaar gebruik, IER-eigendom, teruggave van activa, enz.

Wij raden u aan om met een HR-advocaat samen te werken als u het niet zeker weet, aangezien de gevolgen van het verkeerd afsluiten van arbeidsovereenkomsten vanuit het perspectief van informatiebeveiliging (en andere dimensies) aanzienlijk kunnen zijn.

Wat is het doel van bijlage A.7.2?

Het doel van deze bijlage is ervoor te zorgen dat werknemers en opdrachtnemers zich tijdens hun dienstverband bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen.

A.7.2.1 Managementverantwoordelijkheden

Een goede controle beschrijft hoe medewerkers en opdrachtnemers informatiebeveiliging toepassen in overeenstemming met het beleid en de procedures van de organisatie.

De verantwoordelijkheden die aan managers worden opgelegd, moeten eisen omvatten om: Ervoor zorgen dat degenen voor wie zij verantwoordelijk zijn, de bedreigingen, kwetsbaarheden en controles op het gebied van de informatiebeveiliging begrijpen die relevant zijn voor hun functie, en regelmatig training krijgen (volgens A7.2.2); Verzekeren van buy-in voor proactieve en adequate ondersteuning voor relevant informatiebeveiligingsbeleid en -controles; en Versterk de vereisten van de arbeidsvoorwaarden.

Managers spelen een cruciale rol bij het waarborgen van het veiligheidsbewustzijn en de consciëntieusheid in de hele organisatie en bij het ontwikkelen van een passende ‘veiligheidscultuur’.

A.7.2.2 Bewustzijn van informatiebeveiliging, onderwijs en training

Alle werknemers en relevante contractanten moeten passende bewustmakingseducatie en -training krijgen om hun werk goed en veilig te kunnen doen. Ze moeten regelmatig updates ontvangen over het beleid en de procedures van de organisatie wanneer deze ook worden gewijzigd, samen met een goed begrip van de toepasselijke wetgeving die van invloed is op hen in hun functie.

Het is gebruikelijk dat het informatiebeveiligingsteam samenwerkt met HR of een Learning & Development-team om beoordelingen van vaardigheden, kennis, competentie en bewustzijn uit te voeren en een programma voor bewustwording, opleiding en training te plannen en te implementeren gedurende de gehele levenscyclus van het dienstverband (niet alleen bij inductie). Die training en compliance moet je aan auditors kunnen aantonen.

Overweeg ook zorgvuldig hoe de training en het bewustzijn worden gegeven om het personeel en de contractanten de beste kans te geven deze te begrijpen en te volgen – dit betekent zorgvuldige aandacht voor de inhoud en het medium voor de levering.

Wat is het doel van bijlage A.7.3?

Bijlage A.7.3 gaat over beëindiging en verandering van dienstverband. Het doel van deze bijlage is het beschermen van de belangen van de organisatie als onderdeel van het proces van verandering en beëindiging van het dienstverband.

A.7.3.1 Beëindiging of wijziging van arbeidsverantwoordelijkheden

Verantwoordelijkheden en verplichtingen op het gebied van informatiebeveiliging die geldig blijven na beëindiging of verandering van dienstverband moeten worden gedefinieerd, gecommuniceerd aan de werknemer of opdrachtnemer en worden afgedwongen. Voorbeelden hiervan zijn het vertrouwelijk houden van informatie en het niet achterlaten met informatie die eigendom is van de organisatie.

Het is erg belangrijk om ervoor te zorgen dat informatie beschermd blijft nadat een medewerker of opdrachtnemer de organisatie heeft verlaten, aangezien mensen zelf door de dataopslag lopen. De contractuele voorwaarden zouden dit moeten versterken, en het proces van de vertrekkende partij en/of het contractbeëindigingsproces (inclusief de teruggave van activa) zou een herinnering aan individuen moeten omvatten dat zij een aantal verantwoordelijkheden jegens de organisatie hebben, zelfs nadat zij zijn vertrokken.

Een auditor zal bewijs willen zien dat vertrekkers hun bezittingen hebben teruggegeven en dat het proces wordt afgesloten en gedocumenteerd om aan te tonen dat de bezittingen waar nodig ook zijn bijgewerkt in de inventaris van de bezittingen (A8.1.1).

Het gaat hier niet alleen om beëindiging en vertrek. Als een medewerker van rol verandert, bijvoorbeeld van operationeel naar verkoop gaat, moet u een beoordeling uitvoeren om aan te tonen dat hij of zij niet langer toegang heeft tot informatiemiddelen die niet nodig zijn in de nieuwe rol, en wordt voorzien van toegang tot informatiemiddelen die nodig zijn voor de toekomst.

A.7.2.3 Disciplinair proces

Er moet een gedocumenteerd disciplinair proces bestaan ​​en gecommuniceerd worden (in lijn met A7.2.2 hierboven). Hoewel het hier vooral gericht is op disciplinaire maatregelen na inbreuken op de beveiliging, kan het ook aansluiten bij andere disciplinaire redenen. Als uw organisatie al over een erkend HR-disciplinair proces beschikt, zorg er dan voor dat dit informatiebeveiliging omvat op de manier die vereist is voor de ISO 27001:2013-norm.