ISO 27001:2022 Bijlage A Controle 6.4

Disciplinair proces

Boek een demo

onderkant,weergave,van,moderne,wolkenkrabbers,in,bedrijf,wijk,tegen,blauw

Wat is ISO 27001:2022 bijlage A 6.4?

ISO 27001:2022 Annex A 6.4 vereist dat organisaties een disciplinair proces opzetten om als afschrikmiddel te fungeren tegen informatiebeveiliging schendingen.

Er moet formele communicatie over dit proces worden geïmplementeerd en er moet een boete worden vastgesteld die geschikt is voor werknemers en andere belanghebbenden die het informatiebeveiligingsbeleid schenden.

Schending van informatiebeveiliging uitgelegd

Informatie veiligheidsbeleid overtredingen vormen een inbreuk op de regels voor een goede omgang met informatie. Organisaties stellen dit beleid vast om vertrouwelijke, bedrijfseigen en persoonlijke gegevens, zoals klantgegevens en creditcardnummers, te beschermen. Bovendien is hierin ook een computerbeveiligingsbeleid opgenomen om ervoor te zorgen dat gegevens die op computers zijn opgeslagen veilig en intact blijven.

Als u bedrijfs-e-mail gebruikt om persoonlijke communicatie te verzenden zonder toestemming van uw supervisor, kan dit een inbreuk op het bedrijfsbeleid vormen. Mocht u bovendien een fout maken bij het gebruik van de apparatuur of software van het bedrijf, wat resulteert in schade aan de apparatuur of de gegevens die erop zijn opgeslagen, dan is dit ook een overtreding van het informatiebeveiligingsbeleid.

Als een medewerker het informatiebeveiligingsbeleid van een organisatie schendt, kunnen disciplinaire maatregelen of ontslag het gevolg zijn. In bepaalde situaties kan een bedrijf ervoor kiezen om een ​​werknemer die het computergebruiksbeleid schendt niet te ontslaan, maar andere passende stappen te ondernemen om verdere schendingen van het bedrijfsbeleid te stoppen.

Ga naar onderwerp

Het doel van ISO 27001:2022 bijlage A 6.4?

Het doel van het disciplinaire proces is ervoor te zorgen dat het personeel en andere belanghebbenden de gevolgen van een inbreuk op het informatiebeveiligingsbeleid onderkennen.

Bijlage A 6.4 is bedoeld om eventuele schendingen van het informatiebeveiligingsbeleid af te schrikken en te helpen, en ervoor te zorgen dat werknemers en andere gerelateerde belanghebbenden zich bewust zijn van de gevolgen.

Een effectief informatiebeveiligingsprogramma moet de capaciteit omvatten om passende disciplinaire maatregelen te nemen tegen werknemers die de informatiebeveiligingsregels schenden. Als u dit doet, zorgt u ervoor dat het personeel de gevolgen begrijpt van het negeren van vooraf gedefinieerde voorschriften, waardoor de kans op opzettelijk of onbedoeld gegevenslekken wordt verkleind.

Voorbeelden van activiteiten die kunnen worden opgenomen bij het afdwingen van deze controle zijn:

  • Voer regelmatig trainingen uit om het personeel op de hoogte te houden van beleidswijzigingen.

  • Ontwerp disciplinaire maatregelen voor het niet naleven van het informatiebeveiligingsbeleid.

  • Geef elke werknemer een kopie van de disciplinaire procedures van de organisatie.

  • Zorg er in soortgelijke situaties voor dat de disciplinaire procedures consequent worden gevolgd.

De in het kader geschetste disciplinaire maatregelen moeten na een incident snel worden geïmplementeerd om verdere schendingen van het organisatiebeleid te ontmoedigen.

Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan

Om te ontmoeten vereisten van bijlage A 6.4 moeten disciplinaire maatregelen worden genomen als er aanwijzingen zijn dat het beleid, de procedures of de regelgeving van de organisatie niet worden nageleefd. Hieronder valt ook eventuele toepasselijke wet- en regelgeving.

Volgens bijlage A 6.4 moet het formele disciplinaire proces rekening houden met de volgende elementen bij het kiezen van een geleidelijke aanpak:

  • Er moet rekening worden gehouden met de omvang van de inbreuk, de aard, de ernst en de gevolgen ervan.

  • Of de overtreding opzettelijk of per ongeluk was.

  • Ongeacht of het om een ​​eerste of herhaalde overtreding gaat.

  • Er moet worden overwogen of de overtreder voldoende is opgeleid.

Houd bij het ondernemen van actie rekening met alle relevante wettelijke, wetgevende, regelgevende, contractuele en zakelijke verplichtingen, evenals met alle andere relevante factoren.

Wijzigingen en verschillen ten opzichte van ISO 27001:2013

ISO 27001:2022 bijlage A 6.4 vervangt ISO 27001:2013 Bijlage A 7.2.3 in de herziene versie van 2022 van ISO 27001.

ISO 27001:2022 maakt gebruik van gebruiksvriendelijke taal om ervoor te zorgen dat de gebruikers van de norm de inhoud ervan kunnen begrijpen. Er zijn kleine variaties in de formulering, maar de algehele context en inhoud blijven hetzelfde.

Het enige verschil dat u zult opmerken is dat het bijlage A-controlenummer is gewijzigd van 7.2.3 in 6.4. Bovendien heeft de 2022-standaard het extra voordeel van een attributentabel en een doelverklaring die ontbreken in de 2013-versie.

Tabel met alle ISO 27001:2022 bijlage A-controles

In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.

ISO 27001:2022 Organisatorische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Organisatorische controlesBijlage A 5.1Bijlage A 5.1.1
Bijlage A 5.1.2		Beleid voor informatiebeveiliging
Organisatorische controlesBijlage A 5.2Bijlage A 6.1.1Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging
Organisatorische controlesBijlage A 5.3Bijlage A 6.1.2Scheiding van taken
Organisatorische controlesBijlage A 5.4Bijlage A 7.2.1Directie verantwoordelijkheden
Organisatorische controlesBijlage A 5.5Bijlage A 6.1.3Contact met autoriteiten
Organisatorische controlesBijlage A 5.6Bijlage A 6.1.4Contact met speciale interessegroepen
Organisatorische controlesBijlage A 5.7NIEUWBedreiging Intelligentie
Organisatorische controlesBijlage A 5.8Bijlage A 6.1.5
Bijlage A 14.1.1		Informatiebeveiliging in projectmanagement
Organisatorische controlesBijlage A 5.9Bijlage A 8.1.1
Bijlage A 8.1.2		Inventarisatie van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.10Bijlage A 8.1.3
Bijlage A 8.2.3		Aanvaardbaar gebruik van informatie en andere bijbehorende activa
Organisatorische controlesBijlage A 5.11Bijlage A 8.1.4Teruggave van activa
Organisatorische controlesBijlage A 5.12Bijlage A 8.2.1Classificatie van informatie
Organisatorische controlesBijlage A 5.13Bijlage A 8.2.2Etikettering van informatie
Organisatorische controlesBijlage A 5.14Bijlage A 13.2.1
Bijlage A 13.2.2
Bijlage A 13.2.3		Informatieoverdracht
Organisatorische controlesBijlage A 5.15Bijlage A 9.1.1
Bijlage A 9.1.2		Access Controle
Organisatorische controlesBijlage A 5.16Bijlage A 9.2.1Identiteitsbeheer
Organisatorische controlesBijlage A 5.17Bijlage A 9.2.4
Bijlage A 9.3.1
Bijlage A 9.4.3		Authenticatie-informatie
Organisatorische controlesBijlage A 5.18Bijlage A 9.2.2
Bijlage A 9.2.5
Bijlage A 9.2.6		Toegangsrechten
Organisatorische controlesBijlage A 5.19Bijlage A 15.1.1Informatiebeveiliging in leveranciersrelaties
Organisatorische controlesBijlage A 5.20Bijlage A 15.1.2Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten
Organisatorische controlesBijlage A 5.21Bijlage A 15.1.3Beheer van informatiebeveiliging in de ICT-toeleveringsketen
Organisatorische controlesBijlage A 5.22Bijlage A 15.2.1
Bijlage A 15.2.2		Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten
Organisatorische controlesBijlage A 5.23NIEUWInformatiebeveiliging voor gebruik van cloudservices
Organisatorische controlesBijlage A 5.24Bijlage A 16.1.1Planning en voorbereiding van informatiebeveiligingsincidentbeheer
Organisatorische controlesBijlage A 5.25Bijlage A 16.1.4Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen
Organisatorische controlesBijlage A 5.26Bijlage A 16.1.5Reactie op informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.27Bijlage A 16.1.6Leren van informatiebeveiligingsincidenten
Organisatorische controlesBijlage A 5.28Bijlage A 16.1.7Verzameling van bewijsmateriaal
Organisatorische controlesBijlage A 5.29Bijlage A 17.1.1
Bijlage A 17.1.2
Bijlage A 17.1.3		Informatiebeveiliging tijdens disruptie
Organisatorische controlesBijlage A 5.30NIEUWICT-gereedheid voor bedrijfscontinuïteit
Organisatorische controlesBijlage A 5.31Bijlage A 18.1.1
Bijlage A 18.1.5		Wettelijke, statutaire, regelgevende en contractuele vereisten
Organisatorische controlesBijlage A 5.32Bijlage A 18.1.2Intellectuele eigendomsrechten
Organisatorische controlesBijlage A 5.33Bijlage A 18.1.3Bescherming van records
Organisatorische controlesBijlage A 5.34 Bijlage A 18.1.4Privacy en bescherming van PII
Organisatorische controlesBijlage A 5.35Bijlage A 18.2.1Onafhankelijke beoordeling van informatiebeveiliging
Organisatorische controlesBijlage A 5.36Bijlage A 18.2.2
Bijlage A 18.2.3		Naleving van beleid, regels en normen voor informatiebeveiliging
Organisatorische controlesBijlage A 5.37Bijlage A 12.1.1Gedocumenteerde operationele procedures

ISO 27001:2022 Personeelscontroles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
MensencontrolesBijlage A 6.1Bijlage A 7.1.1Doorlichting
MensencontrolesBijlage A 6.2Bijlage A 7.1.2Arbeidsvoorwaarden
MensencontrolesBijlage A 6.3Bijlage A 7.2.2Informatiebeveiligingsbewustzijn, onderwijs en training
MensencontrolesBijlage A 6.4Bijlage A 7.2.3Disciplinair proces
MensencontrolesBijlage A 6.5Bijlage A 7.3.1Verantwoordelijkheden na beëindiging of verandering van dienstverband
MensencontrolesBijlage A 6.6Bijlage A 13.2.4Vertrouwelijkheids- of geheimhoudingsovereenkomsten
MensencontrolesBijlage A 6.7Bijlage A 6.2.2Werken op afstand
MensencontrolesBijlage A 6.8Bijlage A 16.1.2
Bijlage A 16.1.3		Rapportage van informatiebeveiligingsgebeurtenissen

ISO 27001:2022 Fysieke controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Fysieke controlesBijlage A 7.1Bijlage A 11.1.1Fysieke beveiligingsperimeters
Fysieke controlesBijlage A 7.2Bijlage A 11.1.2
Bijlage A 11.1.6		Fysieke toegang
Fysieke controlesBijlage A 7.3Bijlage A 11.1.3Beveiliging van kantoren, kamers en faciliteiten
Fysieke controlesBijlage A 7.4NIEUWFysieke beveiligingsmonitoring
Fysieke controlesBijlage A 7.5Bijlage A 11.1.4Bescherming tegen fysieke en ecologische bedreigingen
Fysieke controlesBijlage A 7.6Bijlage A 11.1.5Werken in beveiligde gebieden
Fysieke controlesBijlage A 7.7Bijlage A 11.2.9Duidelijk bureau en helder scherm
Fysieke controlesBijlage A 7.8Bijlage A 11.2.1Apparatuurlocatie en bescherming
Fysieke controlesBijlage A 7.9Bijlage A 11.2.6Beveiliging van activa buiten gebouwen
Fysieke controlesBijlage A 7.10Bijlage A 8.3.1
Bijlage A 8.3.2
Bijlage A 8.3.3
 Bijlage A 11.2.5		Opslag media
Fysieke controlesBijlage A 7.11Bijlage A 11.2.2Ondersteunende nutsvoorzieningen
Fysieke controlesBijlage A 7.12Bijlage A 11.2.3Beveiliging van bekabeling
Fysieke controlesBijlage A 7.13Bijlage A 11.2.4Equipment Maintenance
Fysieke controlesBijlage A 7.14Bijlage A 11.2.7Veilige verwijdering of hergebruik van apparatuur

ISO 27001:2022 Technologische controles

Bijlage A ControletypeISO/IEC 27001:2022 bijlage A-identificatieISO/IEC 27001:2013 bijlage A-identificatieBijlage A Naam
Technologische controlesBijlage A 8.1Bijlage A 6.2.1
Bijlage A 11.2.8		Eindpuntapparaten van gebruikers
Technologische controlesBijlage A 8.2Bijlage A 9.2.3Bevoorrechte toegangsrechten
Technologische controlesBijlage A 8.3Bijlage A 9.4.1Beperking van toegang tot informatie
Technologische controlesBijlage A 8.4Bijlage A 9.4.5Toegang tot broncode
Technologische controlesBijlage A 8.5Bijlage A 9.4.2Veilige authenticatie
Technologische controlesBijlage A 8.6Bijlage A 12.1.3Capaciteitsmanagement
Technologische controlesBijlage A 8.7Bijlage A 12.2.1Bescherming tegen malware
Technologische controlesBijlage A 8.8Bijlage A 12.6.1
Bijlage A 18.2.3		Beheer van technische kwetsbaarheden
Technologische controlesBijlage A 8.9NIEUWConfiguration Management
Technologische controlesBijlage A 8.10NIEUWInformatie verwijderen
Technologische controlesBijlage A 8.11NIEUWGegevensmaskering
Technologische controlesBijlage A 8.12NIEUWPreventie van gegevenslekken
Technologische controlesBijlage A 8.13Bijlage A 12.3.1Informatieback-up
Technologische controlesBijlage A 8.14Bijlage A 17.2.1Redundantie van informatieverwerkingsfaciliteiten
Technologische controlesBijlage A 8.15Bijlage A 12.4.1
Bijlage A 12.4.2
Bijlage A 12.4.3		Logging
Technologische controlesBijlage A 8.16NIEUWBewakingsactiviteiten
Technologische controlesBijlage A 8.17Bijlage A 12.4.4Kloksynchronisatie
Technologische controlesBijlage A 8.18Bijlage A 9.4.4Gebruik van bevoorrechte hulpprogramma's
Technologische controlesBijlage A 8.19Bijlage A 12.5.1
Bijlage A 12.6.2		Installatie van software op besturingssystemen
Technologische controlesBijlage A 8.20Bijlage A 13.1.1Netwerkbeveiliging
Technologische controlesBijlage A 8.21Bijlage A 13.1.2Beveiliging van netwerkdiensten
Technologische controlesBijlage A 8.22Bijlage A 13.1.3Segregatie van netwerken
Technologische controlesBijlage A 8.23NIEUWWeb filtering
Technologische controlesBijlage A 8.24Bijlage A 10.1.1
Bijlage A 10.1.2		Gebruik van cryptografie
Technologische controlesBijlage A 8.25Bijlage A 14.2.1Levenscyclus van veilige ontwikkeling
Technologische controlesBijlage A 8.26Bijlage A 14.1.2
Bijlage A 14.1.3		Beveiligingsvereisten voor applicaties
Technologische controlesBijlage A 8.27Bijlage A 14.2.5Veilige systeemarchitectuur en engineeringprincipes
Technologische controlesBijlage A 8.28NIEUWVeilig coderen
Technologische controlesBijlage A 8.29Bijlage A 14.2.8
Bijlage A 14.2.9		Beveiligingstesten bij ontwikkeling en acceptatie
Technologische controlesBijlage A 8.30Bijlage A 14.2.7Uitbestede ontwikkeling
Technologische controlesBijlage A 8.31Bijlage A 12.1.4
Bijlage A 14.2.6		Scheiding van ontwikkel-, test- en productieomgevingen
Technologische controlesBijlage A 8.32Bijlage A 12.1.2
Bijlage A 14.2.2
Bijlage A 14.2.3
Bijlage A 14.2.4		Change Management
Technologische controlesBijlage A 8.33Bijlage A 14.3.1Test informatie
Technologische controlesBijlage A 8.34Bijlage A 12.7.1Bescherming van informatiesystemen tijdens audittests

Wie is verantwoordelijk voor dit proces?

In de meeste gevallen wordt toezicht gehouden op het disciplinaire proces door de afdelingsmanager of HR-vertegenwoordiger. Het is niet ongebruikelijk dat de HR-vertegenwoordiger de verantwoordelijkheid voor disciplinaire maatregelen overdraagt ​​aan iemand anders in de organisatie, zoals een informatiebeveiligingsexpert.

Het primaire doel van disciplinaire maatregelen is om de organisatie te beschermen tegen eventuele verdere overtredingen door het personeelslid. Het is verder bedoeld om verdere soortgelijke incidenten te voorkomen door ervoor te zorgen dat alle werknemers zich bewust zijn van de betekenis van inbreuken op de informatiebeveiliging.

Het is essentieel voor elke organisatie om ervoor te zorgen dat er disciplinaire maatregelen worden genomen wanneer een personeelslid een van haar beleidsregels of procedures heeft overtreden. Om dit te garanderen moeten duidelijke richtlijnen worden opgesteld over de manier waarop met dergelijke situaties moet worden omgegaan, inclusief instructies over hoe onderzoeken moeten worden uitgevoerd en welke acties daarna moeten worden ondernomen.

Wat betekenen deze veranderingen voor u?

Als u zich afvraagt ​​welke gevolgen deze wijzigingen voor u hebben, vindt u hier een beknopte samenvatting van de meest kritische punten:

  • U hoeft niet opnieuw te certificeren; het is maar een kleine wijziging.

  • Behoud uw huidige certificering totdat deze verloopt, op voorwaarde dat deze geldig blijft.

  • Er zijn geen grote wijzigingen aangebracht in ISO 27001:2022 bijlage A 6.4.

  • Het doel is om de standaard in lijn te brengen met de meest actuele best practices en standaarden.

Als je winst wilt maken ISMS-certificering, moet u uw beveiligingsmaatregelen beoordelen om er zeker van te zijn dat ze voldoen aan de herziene norm.

Om inzicht te krijgen in de impact die de nieuwe ISO 27001:2022 zou kunnen hebben op uw gegevensbeveiligingsprocedures en ISO 27001-accreditatie, verwijzen wij u naar onze gratis ISO 27001:2022-gids.

Hoe ISMS.Online helpt

ISMS.online is toonaangevend ISO 27001 managementsysteemsoftware, wat helpt bij het voldoen aan de ISO 27001-norm. Het helpt bedrijven ervoor te zorgen dat hun beveiligingsbeleid en -procedures in overeenstemming zijn met de vereisten.

Deze cloud-gebaseerd platform biedt een volledig scala aan tools om organisaties te helpen bij het opzetten van een Information Security Management System (ISMS) op basis van ISO 27001.

Deze hulpmiddelen bestaan ​​uit:

  • Er is een bibliotheek met sjablonen voor veel voorkomende bedrijfsdocumenten beschikbaar.

  • Er bestaat een verzameling vooraf vastgestelde richtlijnen en protocollen.

  • Er is een audittool beschikbaar om interne audits te vergemakkelijken.

  • Er wordt een interface geboden om het beleid en de procedures van het Information Security Management System (ISMS) te personaliseren.

  • Alle wijzigingen in beleid en procedures moeten worden goedgekeurd via een workflowproces.

  • Maak een lijst om ervoor te zorgen dat uw beleid en informatiebeschermingsmaatregelen in overeenstemming zijn met internationale normen.

ISMS.Online biedt gebruikers de mogelijkheid om:

  • Behandel alle aspecten van de ISMS-levenscyclus met gemak.

  • Krijg direct inzicht in hun beveiligingsstatus en complianceproblemen.

  • Integreer met andere systemen zoals HR, financiën en projectmanagement.

  • Zorg ervoor dat het ISMS voldoet aan de ISO 27001-criteria.

ISMS.Online biedt advies over hoe u uw ISMS optimaal kunt uitvoeren, met begeleiding bij het vormen van beleid en bijbehorende protocollen risicobeheer, training van personeel op het gebied van veiligheidsbewustzijn en voorbereiding op incidentrespons.

Neem nu contact met ons op een demonstratie plannen.

Ons recente succes met het behalen van de ISO 27001-, 27017- en 27018-certificering was voor een groot deel te danken aan ISMS.online.

Karen Burton
Beveiligingsanalist, gedijen gezondheid

Boek uw demo

Vertrouwd door bedrijven overal ter wereld
  • Eenvoudig en makkelijk te gebruiken
  • Ontworpen voor ISO 27001-succes
  • Bespaart u tijd en geld
Boek uw demo
img

ISMS.online ondersteunt nu ISO 42001 - 's werelds eerste AI-managementsysteem. Klik voor meer informatie