ISO 27002 :2022, Controle 6.3. Informatiebeveiligingsbewustzijn, onderwijs en training omvat de noodzaak voor medewerkers van een organisatie om het juiste bewustzijn, onderwijs en training op het gebied van informatiebeveiliging te ontvangen, plus regelmatige updates van het informatiebeveiligingsbeleid van de organisatie, vooral als dit van toepassing is op hun functie.
Bewustzijn van informatiebeveiliging, onderwijs en training (IT-beveiligingsbewustzijn) is het proces waarbij gebruikers worden geïnformeerd over het belang van informatiebeveiliging en hen wordt aangemoedigd hun eigen computerbeveiligingsgewoonten te verbeteren.
Gebruikers moeten op de hoogte worden gesteld van de beveiliging risico’s die uit hun activiteiten kunnen voortvloeien en hoe zij zich hiertegen kunnen beschermen.
Bewustzijn, opleiding en training op het gebied van informatiebeveiliging zijn cruciale componenten voor het succes van elke organisatie. Het is van cruciaal belang dat alle medewerkers het belang van informatiebeveiliging begrijpen en welke gevolgen dit voor iedereen heeft.
Hoe beter medewerkers begrijpen hoe ze zichzelf tegen cyberdreigingen kunnen beschermen, hoe veiliger uw organisatie zal zijn.
Besturingselementen kunnen worden gegroepeerd met behulp van attributen. Als u naar de kenmerken van het besturingselement kijkt, kunt u deze gemakkelijker in verband brengen met gevestigde branchevereisten en terminologie. De volgende attributen zijn bepalend 6.3.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Human Resource-beveiliging | #Governance en ecosysteem |
Het doel van Controle 6.3 is ervoor te zorgen dat personeel en relevante belanghebbenden op de hoogte zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze naar behoren hebben opgeleid.
Controle 6.3 omvat een reeks activiteiten die ervoor zorgen dat mensen over de kennis en vaardigheden beschikken die nodig zijn om binnen de organisatie te functioneren. informatiebeveiliging kader. De belangrijkste focus hiervan De controle ligt op bewustmakingsactiviteiten over het belang van informatiebeveiliging, het aanmoedigen van goede praktijken en het bevorderen van de naleving van relevant beleid en procedures.
Bewustzijn, opleiding en training op het gebied van informatiebeveiliging zijn een cruciaal onderdeel van de algehele risicobeheerstrategie van een organisatie en moeten worden beschouwd als een integraal onderdeel van het beveiligingsbeleid van de organisatie.
Controle 6.3 definieert de noodzaak voor organisaties om een bewustmakingsprogramma voor informatiebeveiliging te hebben dat alle werknemers voorziet van de noodzakelijke kennis en vaardigheden om informatiemiddelen beschermen. Het biedt richtlijnen over wat er moet worden opgenomen in een effectief bewustmakingsprogramma.
Het kan bijvoorbeeld nodig zijn dat de organisatie ten minste jaarlijks, of zoals vereist door de risicobeoordeling, een training op het gebied van beveiligingsbewustzijn organiseert voor alle werknemers en contractanten aan wie rollen zijn toegewezen waarin zij toegang hebben tot gevoelige informatie of andere soorten informatie. systemen die gevoelige gegevens opslaan, verwerken of verzenden.
De eis voor controle 6.3 is dat een organisatie een proces moet hebben om ervoor te zorgen dat werknemers adequaat worden opgeleid over hoe ze hun taken veilig en zeker kunnen uitvoeren op een manier die brengt de informatiebeveiliging niet in gevaar. Dit kan worden bereikt door middel van trainingen. Dit kan ook worden bereikt met behulp van online bronnen zoals video's of webinars.
De bewustzijns-, onderwijs- en trainingsprogramma's op het gebied van informatiebeveiliging moeten worden ontwikkeld in overeenstemming met het informatiebeveiligingsbeleid van de organisatie, het onderwerpspecifieke beleid en de relevante informatiebeveiligingsprocedures. Er moet ook rekening worden gehouden met de informatie van de organisatie die moet worden beschermd en met de informatiebeveiligingscontroles die zijn geïmplementeerd om deze te beschermen. Dit zou periodiek moeten gebeuren.
Inleidende bewustwording, opleiding en training kunnen van toepassing zijn op nieuwe werknemers, maar ook op degenen die overstappen naar nieuwe functies of taken vereisen aanzienlijk verschillende niveaus van informatiebeveiliging.
De bewustmakingscampagne moet een verscheidenheid aan activiteiten omvatten om het bewustzijn te vergroten. Denk hierbij aan campagnes, boekjes, posters, nieuwsbrieven, websites, informatiesessies, briefings, e-learningmodules en e-mails.
Volgens controlepunt 6.3 zou dit programma het volgende moeten omvatten:
ISO 27002:2022 is geen geheel nieuwe controle. Deze versie van ISO 27002, die in februari 2022 is gepubliceerd, is een update van de vorige versie, die in 2013 is gepubliceerd. Daarmee is controle 6.3 in ISO 27002:2022 geen geheel nieuwe controle. Het is een licht gewijzigde versie van controle 7.2.2 in ISO 27002:2013.
Controle 7.2.2 in ISO 27002:2013 heeft geen attributentabel of een doelverklaring, die zijn opgenomen in controle 6.3 van de ISO 27002:2022-versie.
Dat gezegd hebbende, is er, afgezien van de verandering in het controlenummer, geen ander waarneembaar verschil tussen de twee controles. Ondanks het feit dat de formulering van de twee controles verschilt, zijn de inhoud en context van de twee controles in essentie hetzelfde.
De taal in control 6.3 is gebruiksvriendelijker gemaakt, zodat mensen die de standaard gaan gebruiken zich beter in de inhoud ervan kunnen herkennen.
Het antwoord op deze vraag is afhankelijk van uw organisatie. In veel organisaties worden de bewustzijns-, opleidings- en trainingsprogramma's op het gebied van informatiebeveiliging beheerd door het beveiligingsteam. In andere organisaties wordt dit afgehandeld door de HR-afdeling of een andere functie.
Het belangrijkste is om ervoor te zorgen dat iemand verantwoordelijk is voor het opzetten en implementeren van het beveiligingsbewustzijnsprogramma van uw organisatie. Deze persoon of afdeling moet ook onder toezicht staan van de informatiebeveiligingsmanager (als een andere persoon verantwoordelijk is voor deze rol).
Deze persoon moet een goed inzicht hebben in informatiebeveiliging en met werknemers kunnen communiceren over verschillende onderwerpen die verband houden met best practices op het gebied van beveiliging. Deze persoon moet ook inhoud voor uw trainingsprogramma's kunnen ontwikkelen en regelmatig trainingen voor medewerkers kunnen verzorgen.
Het is belangrijk om te begrijpen dat informatiebeveiliging niet alleen de verantwoordelijkheid van IT is. Het is ieders verantwoordelijkheid. Organisaties moeten een team hebben van mensen die verantwoordelijk zijn voor de beveiliging, maar ze moeten er ook voor zorgen dat iedereen het belang van vertrouwelijkheid en integriteit begrijpt.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
U hoeft niet veel te doen want ISO 27002:2022 is geen nieuwe norm maar een herziening van de versie uit 2013. De verwachting is dan ook dat de meeste organisaties geen veranderingen hoeven door te voeren.
Heeft u echter de 2013-versie van ISO 27002 al geïmplementeerd, dan zult u moeten beoordelen of deze wijzigingen relevant zijn voor uw organisatie. Als u dat doet, moet u ook uw beveiligingsprocessen herzien planning voor ISMS-certificering. Dit zorgt ervoor dat uw processen voldoen aan de herziene norm.
Onze ISO 27002:2022-gids, die gratis kan worden gedownload op onze website, bevat meer informatie over hoe de nieuwe ISO 27002 uw informatiebeveiligingsactiviteiten kan beïnvloeden en ISO 27001 certificering.
ISMS.Online is een complete oplossing voor ISO 27002-implementatie. Het is een webgebaseerd systeem waarmee u dat kunt doen laat zien dat uw informatiebeveiligingsbeheersysteem (ISMS) compliant is met de goedgekeurde normen en met behulp van goed doordachte processen, procedures en checklists.
Het is niet alleen een eenvoudig te gebruiken platform voor het beheren van uw ISO 27002-implementatie, maar ook een uitstekend hulpmiddel om uw personeel te trainen in best practices en processen op het gebied van informatiebeveiliging, en om al uw inspanningen te documenteren.
De Voordelen van het gebruik van ISMS.Online:
ISMS.Online vereenvoudigt het implementatieproces van ISO 27002 door alle benodigde bronnen, informatie en hulpmiddelen op één plek aan te bieden. Hiermee kunt u met slechts een paar muisklikken controleren of uw ISMS aan de norm voldoet, wat anders lang zou duren als u dit handmatig doet.
Wil je het in actie zien?
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
