ISO 27002:2022, Controle 6.4. Disciplinair proces spreekt over de noodzaak voor organisaties om een vorm van disciplinaire procedure in te voeren die als afschrikmiddel dient, zodat personeel geen inbreuken op de informatiebeveiliging begaat.
Dit proces moet formeel worden gecommuniceerd en er moet een passende straf worden opgesteld voor werknemers en andere relevante belanghebbenden die een overtreding begaan informatiebeveiligingsbeleid overtreding.
Schending van het informatiebeveiligingsbeleid is een overtreding van de regels of wetten die de juiste omgang met informatie regelen. Informatiebeveiligingsbeleid wordt door organisaties opgesteld om vertrouwelijke, bedrijfseigen en persoonlijke gegevens, zoals klantgegevens en creditcardnummers, te beschermen. Informatiebeveiligingsbeleid omvat ook computerbeveiligingsbeleid dat de veiligheid en integriteit van gegevens die op computers zijn opgeslagen, helpt garanderen.
Als u bijvoorbeeld geen toestemming van uw supervisor heeft om bedrijfse-mail te gebruiken om persoonlijke e-mails te verzenden, kan dit resulteren in een schending van het bedrijfsbeleid. Als u bovendien een fout maakt bij het gebruik van bedrijfsapparatuur of -software en schade aan de apparatuur of de daarop opgeslagen gegevens veroorzaakt, kan dit ook worden beschouwd als een schending van het informatiebeveiligingsbeleid.
Als een werknemer in strijd is met het informatiebeveiligingsbeleid van een organisatie, kan hij of zij worden onderworpen aan disciplinaire maatregelen of ontslag. In sommige gevallen kan een bedrijf ervoor kiezen om een werknemer die het computergebruiksbeleid overtreedt niet te ontslaan, maar in plaats daarvan andere passende maatregelen te nemen om toekomstige schendingen van het bedrijfsbeleid te voorkomen.
Besturingselementen kunnen worden gegroepeerd met behulp van attributen. Als u naar de kenmerken van het besturingselement kijkt, kunt u deze gemakkelijker in verband brengen met gevestigde branchevereisten en terminologie. De volgende attributen zijn bepalend 6.4.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief #Correctief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen #Antwoorden | #Human Resource-beveiliging | #Governance en ecosysteem |
Het doel van het disciplinaire proces is ervoor te zorgen dat personeel en andere relevante belanghebbenden de gevolgen van een schending van het informatiebeveiligingsbeleid begrijpen.
Naast het garanderen dat werknemers en andere relevante belanghebbenden de gevolgen van schendingen van het informatiebeveiligingsbeleid begrijpen, is controle 6.4 bedoeld om degenen die dit beleid schenden af te schrikken en te helpen aanpakken.
Een sleutelelement van een effectief informatiebeveiligingsprogramma is het vermogen om passende disciplinaire maatregelen te nemen tegen werknemers die het informatiebeveiligingsbeleid en de -procedures schenden. Op deze manier, Medewerkers zijn zich bewust van de gevolgen van het schenden van vastgesteld beleid en procedures, waardoor de kans op opzettelijke of onbedoelde datalekken wordt verkleind.
Hieronder volgen voorbeelden van activiteiten die kunnen worden opgenomen bij het implementeren van deze controle:
De disciplinaire maatregelen die in het raamwerk/document worden beschreven, moeten onmiddellijk na een incident worden genomen, om anderen te ontmoedigen die mogelijk het beleid van de organisatie willen schenden.
Om aan de vereisten van controle 6.4 te voldoen, moeten disciplinaire maatregelen worden genomen wanneer er aanwijzingen zijn voor niet-naleving van het beleid, de procedures of de regelgeving van de organisatie. Hieronder valt ook het niet naleven van wet- en regelgeving die op de organisatie van toepassing is.
Volgens controlepunt 6.4 moet het formele disciplinaire proces voorzien in een stapsgewijze reactie waarbij rekening wordt gehouden met de volgende factoren:
Bij de actie moet rekening worden gehouden met alle relevante wettelijke, wetgevende, regelgevende, contractuele en bedrijfsverplichtingen, evenals met alle andere relevante omstandigheden.
Als u bekend bent met ISO 27002:2013, weet u dat, ook al is de controle-identiteit/-nummer gewijzigd, controle 6.4 in ISO 27002:2022 niet bepaald een nieuwe controle is. Het is eerder een aangepaste versie van controle 7.2.3 in ISO 27002:2013.
Dat gezegd hebbende zijn er geen significante verschillen tussen de twee controles in beide versies van ISO 27002. Het kleine verschil dat u zult opmerken is dat het controlenummer is gewijzigd van 7.23 in 6.4. Ook zijn in de 2022-versie van de standaard de attributentabel en de doelverklaring opgenomen. Deze twee functies zijn niet aanwezig in de versie van 2013.
Afgezien van hun verschillende bewoordingen zijn deze bedieningselementen in principe identiek wat betreft hun inhoud en context. Gebruikersvriendelijk terminologie werd gebruikt in ISO 27002:2022 om ervoor te zorgen dat de gebruikers van de standaard de inhoud ervan beter kunnen begrijpen.
In de meeste gevallen wordt het disciplinaire proces afgehandeld door de afdelingsmanager of personeelszaken vertegenwoordiger. Het is niet ongebruikelijk dat de HR-vertegenwoordiger taken delegeert verantwoordelijkheid voor disciplinaire maatregelen aan iemand anders in de organisatie, zoals een informatiebeveiligingsspecialist.
Het belangrijkste doel van disciplinaire maatregelen is om de organisatie te beschermen tegen verdere overtredingen door de werknemer. Het is ook bedoeld om soortgelijke gevallen te voorkomen incidenten zich niet meer voordoen door ervoor te zorgen dat alle werknemers de betekenis van schendingen van de informatiebeveiliging begrijpen.
Om ervoor te zorgen dat er disciplinaire maatregelen worden genomen tegen een medewerker die het beleid of de procedures van een organisatie heeft overtreden, is het belangrijk dat er duidelijke richtlijnen zijn voor de omgang met dergelijke situaties. Deze richtlijnen moeten specifieke instructies bevatten over het uitvoeren van onderzoeken en de acties die moeten worden ondernomen nadat de onderzoeken zijn afgerond.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Als u zich afvraagt wat deze veranderingen voor u betekenen, vindt u hier een kort overzicht van de belangrijkste punten:
De structuur van de standaard blijft ongewijzigd. Sommige controles zijn echter gewijzigd om de betekenis ervan te verduidelijken of de consistentie met andere delen van de standaard te verbeteren.
Als u echter van plan bent het behalen van een ISMS-certificering, moet u mogelijk uw beveiligingsprocedures onderzoeken om na te gaan of ze in overeenstemming zijn met de herziene norm.
Wilt u meer weten over hoe de nieuwe ISO 27002 uw informatiebeveiligingsactiviteiten kan beïnvloeden? ISO 27001 certificering, bekijk dan onze gratis ISO 27002:2022-gids.
ISMS.Online is de toonaangevende ISO 27002 managementsysteemsoftware die compliance ondersteunt met ISO 27002, en helpt bedrijven hun beveiligingsbeleid en -procedures op één lijn te brengen met de norm.
Het cloudgebaseerde platform biedt een complete set tools om organisaties te helpen bij het opzetten van een informatiebeveiligingsbeheersysteem (ISMS) volgens ISO 27002.
Deze tools omvatten:
Met ISMS.Online kunnen gebruikers ook:
ISMS.Online biedt ook richtlijnen over hoe u uw ISMS het beste kunt implementeren door tips te geven over hoe u beleid en procedures kunt opstellen met betrekking tot aspecten als risicobeheer, training van personeelsbewustzijn op het gebied van beveiliging en planning van incidentrespons.
Ons platform is helemaal opnieuw ontworpen met de hulp van informatiebeveiligingsexperts van over de hele wereld, en we hebben het zo ontwikkeld dat het gemakkelijk is voor mensen zonder enige technische kennis over informatiebeveiligingsbeheersystemen (ISMS) om het te gebruiken.
Wil je het in actie zien?
Neem vandaag nog contact op met boek een demo.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
