ISO 27001:2022 Bijlage A 6.5 schrijft voor dat organisaties rollen en verantwoordelijkheden op het gebied van informatiebeveiliging moeten specificeren die van kracht blijven, zelfs als personeel vertrekt of opnieuw wordt toegewezen. Communiceer deze taken en verantwoordelijkheden aan de werknemer en eventuele derde partijen.
Werknemers zijn wettelijk verplicht om alle informatie die hun werkgever hen toevertrouwt, vertrouwelijk te houden. Het is van essentieel belang dat het personeel de vereisten voor de bescherming van de gegevens van hun werkgever begrijpt.
Werkgevers hebben over het algemeen het recht om van hun werknemers te verwachten dat zij vertrouwelijke gegevens beschermen en deze niet exploiteren voor persoonlijk gewin, bijvoorbeeld door handel met voorkennis of andere onwettige activiteiten.
Een paar voorbeelden van taken en verantwoordelijkheden op het gebied van informatiebeveiliging zijn:
Het is van essentieel belang dat organisaties zich bewust zijn van hun verplichtingen bij het beheren van persoonlijke gegevens om te voorkomen dat zij inbreuk maken op de privacyregelgeving, aangezien de gevolgen voor zowel het bedrijf als het personeel ernstig kunnen zijn.
Boek een chat van 30 minuten met ons en wij laten u zien hoe
bijlage A 6.5 moet worden geïmplementeerd bij het vertrek van een werknemer of contractant uit de organisatie, of wanneer een contract vóór de afloop ervan afloopt.
Met deze controle worden de informatiebeveiligingsbelangen van de organisatie gewaarborgd bij dienstverbandwijzigingen of contractbeëindigingen.
Deze Bijlage A-controle beschermt tegen de mogelijkheid dat werknemers misbruik maken van hun toegang tot vertrouwelijke informatie en processen voor persoonlijk gewin of kwade bedoelingen, vooral na hun vertrek uit de organisatie of functie.
ISO 27001:2022 Bijlage A 6.5 beoogt het waarborgen van de gegevensbeveiligingsbelangen van de organisatie bij wijziging of beëindiging van dienstverbanden of contracten. Dit heeft betrekking op werknemers, opdrachtnemers en derden die toegang krijgen tot vertrouwelijke gegevens.
Beoordeel of personen (inclusief contractuele personen) met toegang tot uw gevoelige persoonlijke gegevens uw organisatie verlaten en neem maatregelen om te garanderen dat zij uw gevoelige persoonlijke gegevens niet bewaren en blijven gebruiken nadat ze zijn vertrokken.
Als u merkt dat een persoon vertrekt en er een kans bestaat dat vertrouwelijke persoonlijke informatie openbaar wordt gemaakt, moet u passende maatregelen nemen voordat hij of zij vertrekt, of zo snel mogelijk daarna, om ervoor te zorgen dat dit niet gebeurt.
Om aan de criteria van bijlage A 6.5 te voldoen, moet de arbeidsovereenkomst of overeenkomst van een individu dit specificeren verantwoordelijkheden op het gebied van informatiebeveiliging en plichten die nog steeds gelden na het beëindigen van de relatie.
Verantwoordelijkheden op het gebied van informatiebeveiliging kunnen zijn opgenomen in andere contracten of overeenkomsten die langer duren dan de arbeidsperiode van een werknemer.
Bij het verlaten van een functie of het veranderen van baan moet de zittende functionaris ervoor zorgen dat zijn beveiligingsverantwoordelijkheden worden overgedragen en dat alle toegangsgegevens worden verwijderd en vervangen.
Raadpleeg het ISO 27001:2022-standaarddocument voor meer details over dit proces.
ISO 27001:2022 Bijlage A 6.5 is een aanpassing van ISO 27001:2013 Bijlage A 7.3.1 in plaats van een nieuwe bijlage A-controle.
De basisprincipes van deze twee controles zijn gelijk, al zijn er kleine verschillen. Zo verschillen de implementatierichtlijnen in beide versies enigszins.
Het eerste deel van bijlage A 7.3.1 in ISO 27001:2013 schrijft voor dat organisaties:
Bij beëindiging is het van essentieel belang dat u de noodzakelijke informatiebeveiligings- en wettelijke vereisten communiceert, evenals eventuele toepasselijke vertrouwelijkheidsovereenkomsten en arbeidsvoorwaarden die voor een bepaalde periode kunnen lopen na het einde van de indiensttreding van de werknemer of opdrachtnemer.
In hetzelfde onderdeel, bijlage A 6.5 van ISO 27001:2022, wordt het volgende bepaald:
In de procedure voor het beheer van de beëindiging of wijziging van het dienstverband moet worden gespecificeerd welke verantwoordelijkheden en verplichtingen op het gebied van informatiebeveiliging van kracht blijven na beëindiging of wijziging. Dit kan het behoud van de vertrouwelijkheid van informatie, intellectueel eigendom en andere verworven kennis omvatten, evenals alle andere verantwoordelijkheden die zijn vastgelegd in een vertrouwelijkheidsovereenkomst.
Verantwoordelijkheden en plichten die van kracht blijven na de beëindiging van het dienstverband, contract of overeenkomst van een persoon moeten gedetailleerd worden beschreven in de algemene voorwaarden. Bovendien kunnen contracten of overeenkomsten die een bepaalde periode na het einde van het dienstverband van het individu bestrijken, verantwoordelijkheden op het gebied van informatiebeveiliging omvatten.
Ondanks het verschil in bewoording hebben beide bijlage A-controles in hun respectieve contexten grotendeels dezelfde structuur en hetzelfde doel. Om bijlage A 6.5 gebruiksvriendelijker te maken, is de taal vereenvoudigd, waardoor gebruikers de inhoud ervan beter kunnen begrijpen.
De 2022-versie van ISO 27001 bevat voor elk besturingselement een doelverklaring en een attributentabel, die gebruikers helpt deze te begrijpen en te implementeren. Dit ontbreekt in de editie van 2013.
In de onderstaande tabel vindt u meer informatie over elke afzonderlijke ISO 27001:2022 Annex A-controle.
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Organisatorische controles | Bijlage A 5.1 | Bijlage A 5.1.1 Bijlage A 5.1.2 | Beleid voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.2 | Bijlage A 6.1.1 | Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.3 | Bijlage A 6.1.2 | Scheiding van taken |
| Organisatorische controles | Bijlage A 5.4 | Bijlage A 7.2.1 | Directie verantwoordelijkheden |
| Organisatorische controles | Bijlage A 5.5 | Bijlage A 6.1.3 | Contact met autoriteiten |
| Organisatorische controles | Bijlage A 5.6 | Bijlage A 6.1.4 | Contact met speciale interessegroepen |
| Organisatorische controles | Bijlage A 5.7 | NIEUW | Bedreiging Intelligentie |
| Organisatorische controles | Bijlage A 5.8 | Bijlage A 6.1.5 Bijlage A 14.1.1 | Informatiebeveiliging in projectmanagement |
| Organisatorische controles | Bijlage A 5.9 | Bijlage A 8.1.1 Bijlage A 8.1.2 | Inventarisatie van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.10 | Bijlage A 8.1.3 Bijlage A 8.2.3 | Aanvaardbaar gebruik van informatie en andere bijbehorende activa |
| Organisatorische controles | Bijlage A 5.11 | Bijlage A 8.1.4 | Teruggave van activa |
| Organisatorische controles | Bijlage A 5.12 | Bijlage A 8.2.1 | Classificatie van informatie |
| Organisatorische controles | Bijlage A 5.13 | Bijlage A 8.2.2 | Etikettering van informatie |
| Organisatorische controles | Bijlage A 5.14 | Bijlage A 13.2.1 Bijlage A 13.2.2 Bijlage A 13.2.3 | Informatieoverdracht |
| Organisatorische controles | Bijlage A 5.15 | Bijlage A 9.1.1 Bijlage A 9.1.2 | Access Controle |
| Organisatorische controles | Bijlage A 5.16 | Bijlage A 9.2.1 | Identiteitsbeheer |
| Organisatorische controles | Bijlage A 5.17 | Bijlage A 9.2.4 Bijlage A 9.3.1 Bijlage A 9.4.3 | Authenticatie-informatie |
| Organisatorische controles | Bijlage A 5.18 | Bijlage A 9.2.2 Bijlage A 9.2.5 Bijlage A 9.2.6 | Toegangsrechten |
| Organisatorische controles | Bijlage A 5.19 | Bijlage A 15.1.1 | Informatiebeveiliging in leveranciersrelaties |
| Organisatorische controles | Bijlage A 5.20 | Bijlage A 15.1.2 | Het aanpakken van informatiebeveiliging binnen leveranciersovereenkomsten |
| Organisatorische controles | Bijlage A 5.21 | Bijlage A 15.1.3 | Beheer van informatiebeveiliging in de ICT-toeleveringsketen |
| Organisatorische controles | Bijlage A 5.22 | Bijlage A 15.2.1 Bijlage A 15.2.2 | Monitoring, beoordeling en wijzigingsbeheer van leveranciersdiensten |
| Organisatorische controles | Bijlage A 5.23 | NIEUW | Informatiebeveiliging voor gebruik van cloudservices |
| Organisatorische controles | Bijlage A 5.24 | Bijlage A 16.1.1 | Planning en voorbereiding van informatiebeveiligingsincidentbeheer |
| Organisatorische controles | Bijlage A 5.25 | Bijlage A 16.1.4 | Beoordeling en beslissing over informatiebeveiligingsgebeurtenissen |
| Organisatorische controles | Bijlage A 5.26 | Bijlage A 16.1.5 | Reactie op informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.27 | Bijlage A 16.1.6 | Leren van informatiebeveiligingsincidenten |
| Organisatorische controles | Bijlage A 5.28 | Bijlage A 16.1.7 | Verzameling van bewijsmateriaal |
| Organisatorische controles | Bijlage A 5.29 | Bijlage A 17.1.1 Bijlage A 17.1.2 Bijlage A 17.1.3 | Informatiebeveiliging tijdens disruptie |
| Organisatorische controles | Bijlage A 5.30 | NIEUW | ICT-gereedheid voor bedrijfscontinuïteit |
| Organisatorische controles | Bijlage A 5.31 | Bijlage A 18.1.1 Bijlage A 18.1.5 | Wettelijke, statutaire, regelgevende en contractuele vereisten |
| Organisatorische controles | Bijlage A 5.32 | Bijlage A 18.1.2 | Intellectuele eigendomsrechten |
| Organisatorische controles | Bijlage A 5.33 | Bijlage A 18.1.3 | Bescherming van records |
| Organisatorische controles | Bijlage A 5.34 | Bijlage A 18.1.4 | Privacy en bescherming van PII |
| Organisatorische controles | Bijlage A 5.35 | Bijlage A 18.2.1 | Onafhankelijke beoordeling van informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.36 | Bijlage A 18.2.2 Bijlage A 18.2.3 | Naleving van beleid, regels en normen voor informatiebeveiliging |
| Organisatorische controles | Bijlage A 5.37 | Bijlage A 12.1.1 | Gedocumenteerde operationele procedures |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Mensencontroles | Bijlage A 6.1 | Bijlage A 7.1.1 | Doorlichting |
| Mensencontroles | Bijlage A 6.2 | Bijlage A 7.1.2 | Arbeidsvoorwaarden |
| Mensencontroles | Bijlage A 6.3 | Bijlage A 7.2.2 | Informatiebeveiligingsbewustzijn, onderwijs en training |
| Mensencontroles | Bijlage A 6.4 | Bijlage A 7.2.3 | Disciplinair proces |
| Mensencontroles | Bijlage A 6.5 | Bijlage A 7.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| Mensencontroles | Bijlage A 6.6 | Bijlage A 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| Mensencontroles | Bijlage A 6.7 | Bijlage A 6.2.2 | Werken op afstand |
| Mensencontroles | Bijlage A 6.8 | Bijlage A 16.1.2 Bijlage A 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Fysieke controles | Bijlage A 7.1 | Bijlage A 11.1.1 | Fysieke beveiligingsperimeters |
| Fysieke controles | Bijlage A 7.2 | Bijlage A 11.1.2 Bijlage A 11.1.6 | Fysieke toegang |
| Fysieke controles | Bijlage A 7.3 | Bijlage A 11.1.3 | Beveiliging van kantoren, kamers en faciliteiten |
| Fysieke controles | Bijlage A 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| Fysieke controles | Bijlage A 7.5 | Bijlage A 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| Fysieke controles | Bijlage A 7.6 | Bijlage A 11.1.5 | Werken in beveiligde gebieden |
| Fysieke controles | Bijlage A 7.7 | Bijlage A 11.2.9 | Duidelijk bureau en helder scherm |
| Fysieke controles | Bijlage A 7.8 | Bijlage A 11.2.1 | Apparatuurlocatie en bescherming |
| Fysieke controles | Bijlage A 7.9 | Bijlage A 11.2.6 | Beveiliging van activa buiten gebouwen |
| Fysieke controles | Bijlage A 7.10 | Bijlage A 8.3.1 Bijlage A 8.3.2 Bijlage A 8.3.3 Bijlage A 11.2.5 | Opslag media |
| Fysieke controles | Bijlage A 7.11 | Bijlage A 11.2.2 | Ondersteunende nutsvoorzieningen |
| Fysieke controles | Bijlage A 7.12 | Bijlage A 11.2.3 | Beveiliging van bekabeling |
| Fysieke controles | Bijlage A 7.13 | Bijlage A 11.2.4 | Equipment Maintenance |
| Fysieke controles | Bijlage A 7.14 | Bijlage A 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
| Bijlage A Controletype | ISO/IEC 27001:2022 bijlage A-identificatie | ISO/IEC 27001:2013 bijlage A-identificatie | Bijlage A Naam |
|---|---|---|---|
| Technologische controles | Bijlage A 8.1 | Bijlage A 6.2.1 Bijlage A 11.2.8 | Eindpuntapparaten van gebruikers |
| Technologische controles | Bijlage A 8.2 | Bijlage A 9.2.3 | Bevoorrechte toegangsrechten |
| Technologische controles | Bijlage A 8.3 | Bijlage A 9.4.1 | Beperking van toegang tot informatie |
| Technologische controles | Bijlage A 8.4 | Bijlage A 9.4.5 | Toegang tot broncode |
| Technologische controles | Bijlage A 8.5 | Bijlage A 9.4.2 | Veilige authenticatie |
| Technologische controles | Bijlage A 8.6 | Bijlage A 12.1.3 | Capaciteitsmanagement |
| Technologische controles | Bijlage A 8.7 | Bijlage A 12.2.1 | Bescherming tegen malware |
| Technologische controles | Bijlage A 8.8 | Bijlage A 12.6.1 Bijlage A 18.2.3 | Beheer van technische kwetsbaarheden |
| Technologische controles | Bijlage A 8.9 | NIEUW | Configuration Management |
| Technologische controles | Bijlage A 8.10 | NIEUW | Informatie verwijderen |
| Technologische controles | Bijlage A 8.11 | NIEUW | Gegevensmaskering |
| Technologische controles | Bijlage A 8.12 | NIEUW | Preventie van gegevenslekken |
| Technologische controles | Bijlage A 8.13 | Bijlage A 12.3.1 | Informatieback-up |
| Technologische controles | Bijlage A 8.14 | Bijlage A 17.2.1 | Redundantie van informatieverwerkingsfaciliteiten |
| Technologische controles | Bijlage A 8.15 | Bijlage A 12.4.1 Bijlage A 12.4.2 Bijlage A 12.4.3 | Logging |
| Technologische controles | Bijlage A 8.16 | NIEUW | Bewakingsactiviteiten |
| Technologische controles | Bijlage A 8.17 | Bijlage A 12.4.4 | Kloksynchronisatie |
| Technologische controles | Bijlage A 8.18 | Bijlage A 9.4.4 | Gebruik van bevoorrechte hulpprogramma's |
| Technologische controles | Bijlage A 8.19 | Bijlage A 12.5.1 Bijlage A 12.6.2 | Installatie van software op besturingssystemen |
| Technologische controles | Bijlage A 8.20 | Bijlage A 13.1.1 | Netwerkbeveiliging |
| Technologische controles | Bijlage A 8.21 | Bijlage A 13.1.2 | Beveiliging van netwerkdiensten |
| Technologische controles | Bijlage A 8.22 | Bijlage A 13.1.3 | Segregatie van netwerken |
| Technologische controles | Bijlage A 8.23 | NIEUW | Web filtering |
| Technologische controles | Bijlage A 8.24 | Bijlage A 10.1.1 Bijlage A 10.1.2 | Gebruik van cryptografie |
| Technologische controles | Bijlage A 8.25 | Bijlage A 14.2.1 | Levenscyclus van veilige ontwikkeling |
| Technologische controles | Bijlage A 8.26 | Bijlage A 14.1.2 Bijlage A 14.1.3 | Beveiligingsvereisten voor applicaties |
| Technologische controles | Bijlage A 8.27 | Bijlage A 14.2.5 | Veilige systeemarchitectuur en engineeringprincipes |
| Technologische controles | Bijlage A 8.28 | NIEUW | Veilig coderen |
| Technologische controles | Bijlage A 8.29 | Bijlage A 14.2.8 Bijlage A 14.2.9 | Beveiligingstesten bij ontwikkeling en acceptatie |
| Technologische controles | Bijlage A 8.30 | Bijlage A 14.2.7 | Uitbestede ontwikkeling |
| Technologische controles | Bijlage A 8.31 | Bijlage A 12.1.4 Bijlage A 14.2.6 | Scheiding van ontwikkel-, test- en productieomgevingen |
| Technologische controles | Bijlage A 8.32 | Bijlage A 12.1.2 Bijlage A 14.2.2 Bijlage A 14.2.3 Bijlage A 14.2.4 | Change Management |
| Technologische controles | Bijlage A 8.33 | Bijlage A 14.3.1 | Test informatie |
| Technologische controles | Bijlage A 8.34 | Bijlage A 12.7.1 | Bescherming van informatiesystemen tijdens audittests |
In overeenstemming met de aanbeveling van ISO 27001:2022 bijlage A 6.5 neemt Human Resources in de meeste organisaties gewoonlijk de leiding over het gehele beëindigingsproces, waarbij wordt samengewerkt met de leidinggevende van het individu om de informatiebeveiliging te garanderen als onderdeel van de procedures.
Personeel dat door een externe partij (bijvoorbeeld een leverancier) wordt geleverd, dient te worden beëindigd conform het contract dat tussen de organisatie en de externe partij tot stand is gekomen.
De ISO 27001:2022-standaard is grotendeels ongewijzigd gebleven, alleen bijgewerkt voor verbeterde bruikbaarheid. Geen enkele organisatie die momenteel voldoet aan ISO 27001:2013 hoeft extra maatregelen te nemen om compliant te blijven.
Om aan de veranderingen in ISO 27001:2022 te voldoen, hoeft de organisatie slechts kleine wijzigingen aan te brengen in de bestaande methoden en processen, vooral als het de bedoeling is de certificering te vernieuwen.
Bedrijven kunnen ISMS.online inschakelen om te helpen bij het naleven van ISO 27001:2022. Dit platform vereenvoudigt het proces van het beheren, updaten, testen en evalueren van hun beveiligingsprotocollen.
Ons cloudgebaseerde platform vereenvoudigt ISMS-beheer, waardoor u op efficiënte wijze toezicht kunt houden op risicobeheer, beleid, plannen, procedures en meer, allemaal vanuit één enkele bron. Het platform is eenvoudig en dankzij de gebruiksvriendelijke interface is het eenvoudig op te pikken.
ISMS.online stelt uw organisatie in staat om:
Als u een bedrijf runt dat naleving van ISO 27001 vereist, biedt ISMS.Online een uitgebreide selectie functies waarmee u deze essentiële taak kunt uitvoeren.
Neem nu contact met ons op een demonstratie organiseren.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
