Controle 6.5 in ISO 27002:2022 bestrijkt de noodzaak voor organisaties om de taken en verantwoordelijkheden op het gebied van informatiebeveiliging te definiëren die geldig blijven als personeel stopt met werken of naar een nieuwe afdeling verhuist.
Deze taken en verantwoordelijkheden moeten zowel aan de werknemer als aan elke andere relevante partij worden gecommuniceerd.
Informatieplichten en verantwoordelijkheden zijn de verplichtingen die een werknemer heeft jegens zijn of haar werkgever als het gaat om de omgang met vertrouwelijke informatie. De plicht om informatie vertrouwelijk te houden is in de meeste staten een wettelijke verplichting, dus het is belangrijk dat werknemers begrijpen wat ze moeten doen als het gaat om het beschermen van de informatie van hun werkgever.
In de meeste gevallen hebben werkgevers het recht om van hun werknemers niet alleen te verwachten dat zij vertrouwelijke informatie beschermen informatie, maar gebruik die informatie ook niet voor persoonlijk gebruik verkrijgen, bijvoorbeeld door handel met voorkennis of andere illegale activiteiten.
Voorbeelden van taken en verantwoordelijkheden op het gebied van informatiebeveiliging zijn onder meer:
Als organisatie is het belangrijk om uw situatie te begrijpen verantwoordelijkheden bij het omgaan met persoonlijke informatie omdat u hierdoor het overtreden van de privacywetten kunt voorkomen, wat ernstige gevolgen kan hebben voor zowel uw bedrijf als uw werknemers.
Besturingselementen worden geclassificeerd met behulp van attributen. Hiermee kunt u uw besturingsselectie snel afstemmen op veelgebruikte termen en specificaties in de branche.
Attributen voor controle 6.5 zijn:
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Human Resource-beveiliging #Vermogensbeheer | #Governance en ecosysteem |
Controle 6.5 is een controle die moet worden geïmplementeerd wanneer een medewerker of opdrachtnemer de organisatie verlaat, of het contract wordt beëindigd voordat het afloopt.
Het doel van deze controle is het beschermen van de informatiebeveiligingsbelangen van de organisatie als onderdeel van het proces van het wijzigen of beëindigen van dienstverbanden of contracten.
Deze controle kan ook werken ter bescherming tegen de risico voor werknemers die toegang hebben tot gevoelige informatie en processen, waarbij zij hun positie misbruiken voor persoonlijk gewin of kwade bedoelingen, vooral nadat zij de organisatie of functie hebben verlaten.
Controle 6.5 heeft tot doel het beschermen van de informatiebeveiligingsbelangen van de organisatie als onderdeel van het proces van het wijzigen of beëindigen van dienstverbanden of contracten. Dit geldt ook voor werknemers, opdrachtnemers en derden die toegang hebben tot uw gevoelige informatie.
Het implementeren van de controle betekent dat u beoordeelt of personen (inclusief degenen die in dienst zijn van een derde partij) die toegang hebben tot uw gevoelige persoonsgegevens uw organisatie verlaten en of het nodig is om stappen te ondernemen om ervoor te zorgen dat zij uw gevoelige persoonsgegevens niet bewaren en er toegang tot blijven krijgen. persoonsgegevens na hun vertrek.
Als u constateert dat iemand weggaat en er een risico bestaat dat gevoelige persoonsgegevens openbaar worden gemaakt, dan moet u redelijke stappen ondernemen voordat hij vertrekt, of zo snel mogelijk nadat hij is vertrokken, zodat dit niet gebeurt.
Om aan de vereisten voor controle 6.5 te voldoen, moeten de voorwaarden van het dienstverband, contract of overeenkomst van een individu de alle verantwoordelijkheden en plichten op het gebied van informatiebeveiliging die van kracht blijven na het einde van de relatie.
Informatiebeveiligingstaken kunnen ook worden opgenomen in andere contracten of overeenkomsten die verder reiken dan het einde van het dienstverband van een werknemer.
Van iedereen die ontslag neemt of van baan verandert, moeten de verantwoordelijkheden en plichten op het gebied van informatiebeveiliging worden overgedragen aan een nieuwe persoon, en moeten alle toegangsgegevens worden verwijderd en een nieuwe worden aangemaakt.
Meer informatie over hoe dit werkt vindt u in de ISO 27002:2022 standaarddocument.
Controle 6.5 in de nieuwe ISO 27002:2022 is geen nieuwe controle, maar een aangepaste versie van controle 7.3.1 in ISO 27002:2013.
Hoewel de basisprincipes van deze twee bedieningselementen vergelijkbaar zijn, zijn er kleine variaties. De implementatierichtlijnen in beide versies zijn bijvoorbeeld enigszins verschillend.
Het eerste deel van de implementatierichtlijnen in controle 7.3.1 in ISO 27002: 2013 stelt dat
“De mededeling van de verantwoordelijkheden op het gebied van de beëindiging van de arbeidsovereenkomst moet lopende informatiebeveiligingseisen en wettelijke verantwoordelijkheden omvatten en, indien van toepassing, de verantwoordelijkheden die zijn vastgelegd in een vertrouwelijkheidsovereenkomst en de arbeidsvoorwaarden die gedurende een bepaalde periode na het einde van het dienstverband van de werknemer of opdrachtnemer voortduren. ”
Hetzelfde gedeelte in controle 6.5 van ISO 27002:2022 stelt dat
“Het proces voor het beheren van beëindiging of verandering van dienstverband moet bepalen welke verantwoordelijkheden en plichten op het gebied van informatiebeveiliging geldig moeten blijven na beëindiging of verandering. Dit kan de vertrouwelijkheid van informatie, intellectueel eigendom en andere verkregen kennis omvatten, evenals verantwoordelijkheden die zijn vastgelegd in andere vertrouwelijkheidsovereenkomsten.
Verantwoordelijkheden en plichten die na beëindiging van het dienstverband of contract nog steeds van kracht zijn, moeten worden vastgelegd in de arbeidsvoorwaarden, het contract of de overeenkomst van het individu. Andere contracten of overeenkomsten die voor een bepaalde periode voortduren na het einde van het dienstverband van het individu kunnen ook verantwoordelijkheden op het gebied van informatiebeveiliging bevatten.”
Dat gezegd hebbende, ongeacht hoeveel hun bewoordingen verschillen, hebben beide bedieningselementen een grotendeels vergelijkbare structuur en functie in hun respectieve contexten. De taal die in control 6.5 wordt gebruikt, is vereenvoudigd om deze gebruiksvriendelijker te maken, zodat degenen die de standaard gaan gebruiken zich gemakkelijker met de inhoud ervan kunnen identificeren.
Het is belangrijk om er ook op te wijzen dat de 2022-versie van ISO 27002 ook wordt geleverd met een doelverklaring en een attributentabel voor elke controle om gebruikers te helpen de controles beter te begrijpen en te implementeren. Deze twee secties ontbreken in de editie van 2013.
In overeenstemming met de aanbevelingen van controle 6.5 is de afdeling personeelszaken is in de meeste organisaties doorgaans verantwoordelijk voor het totale ontslagproces en werkt samen met de toezichthoudende manager van de persoon die overstapt om toezicht te houden op de informatiebeveiligingselementen van de gerelateerde procedures.
Personeel dat door een externe partij (bijvoorbeeld een leverancier) wordt geleverd, wordt door de externe partij beëindigd conform de voorwaarden van het contract dat tussen de organisatie en de externe partij tot stand is gekomen.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
De ISO 27002:2013-norm is niet significant gewijzigd. De standaard is zojuist bijgewerkt om de bruikbaarheid te vergemakkelijken. Het is voor geen enkele organisatie die momenteel voldoet aan ISO 27002:2013 nodig om aanvullende stappen te ondernemen om de naleving van ISO 27002 te behouden.
Om te voldoen aan de herzieningen van ISO 27002:2022 hoeft de organisatie slechts kleine wijzigingen aan te brengen in de bestaande processen en procedures, vooral als er de intentie bestaat om opnieuw te certificeren.
Als u meer wilt weten over hoe deze wijzigingen in controle 6.5 uw organisatie zullen beïnvloeden, raadpleeg dan onze gids over ISO 27002:2022.
Bedrijven kunnen ISMS.Online gebruiken om hen te helpen bij hun ISO 27002-compliance-inspanningen door hen een platform te bieden waarmee ze eenvoudig hun beveiligingsbeleid en -procedures kunnen beheren, indien nodig kunnen bijwerken, testen en hun effectiviteit kunnen monitoren.
Met ons cloudgebaseerde platform kunt u dit snel en eenvoudig doen beheer alle aspecten van uw ISMS, inclusief risicobeheer, beleid, plannen, procedures en meer, op één centrale locatie. Het platform is eenvoudig te gebruiken en heeft een intuïtieve interface waardoor u eenvoudig kunt leren hoe u het moet gebruiken.
Met ISMS.Online kunt u:
Als u een bedrijf bent waar u aan moet voldoen ISO 27001 en/of ISO 27002 biedt ISMS.Online een volledig scala aan functies om u te helpen dit belangrijke doel te bereiken.
Neem vandaag nog contact op met boek een demo.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
