Controle 6.6 in ISO 27002:2022 heeft betrekking op de noodzaak voor organisaties om het lekken van vertrouwelijke informatie te voorkomen door vertrouwelijkheidsovereenkomsten af te sluiten met belanghebbenden en personeel.
Organisaties moeten de voorwaarden van hun overeenkomsten met andere partijen bepalen op basis van de informatiebeveiligingseisen van de organisatie, rekening houdend met het type informatie dat moet worden verwerkt, het classificatieniveau ervan, het beoogde gebruik ervan en de toegestane toegang door de andere partij.
Een vertrouwelijkheids- of geheimhoudingsovereenkomst (NDA) is een juridisch document dat de vrijgave van bedrijfsgeheimen en andere vertrouwelijke informatie verhindert.
Inzichten door informatie kan het bedrijfsplan van het bedrijf omvatten, financiële gegevens, klantenlijsten en andere bedrijfseigen informatie. Deze overeenkomsten kunnen in een groot aantal situaties worden gebruikt, waaronder:
Partnerschappen bevatten vaak vertrouwelijkheidsclausules als onderdeel van hun partnerschapsovereenkomst, zodat elke partner ermee instemt geen vertrouwelijke informatie bekend te maken die tijdens zijn partnerschap is verkregen.
Geheimhoudingsovereenkomsten worden door zowel particulieren als bedrijven aangegaan. Ze hebben vele doeleinden, zoals:
Besturingselementen worden geclassificeerd met behulp van attributen. Hiermee kunt u uw besturingsselectie snel afstemmen op veelgebruikte termen en specificaties in de branche.
Attributen voor controle 6.5 zijn:
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Vermogensbeheer #Informatiebescherming #Fysieke bewaking #Systeem- en netwerkbeveiliging | #Bescherming |
Controle 6.6 moet worden geïmplementeerd om de veiligheid van informatie te garanderen wanneer personeel, partners en leveranciers met een organisatie samenwerken.
Deze controle is bedoeld om de informatie van de organisatie en om ondertekenaars op hun verantwoordelijkheid te wijzen om informatie op een verantwoordelijke en geautoriseerde manier te behandelen en te beschermen. Het wordt ook gebruikt als instrument voor de bescherming van intellectuele eigendomsrechten, zoals patenten, handelsmerken, bedrijfsgeheimen en auteursrechten.
Het is belangrijk dat werkgevers een geheimhoudingsverklaring hebben opgesteld voordat zij vertrouwelijke informatie aan een werknemer of aannemer bekendmaken. In de overeenkomst wordt vastgelegd hoe nauwgezet het individu de informatie waaraan hij of zij wordt blootgesteld moet bewaken en hoe lang de vertrouwelijkheidsperiode zal duren nadat het dienstverband is beëindigd.
Controle 6.6 heeft tot doel het intellectuele eigendom en de zakelijke belangen van uw organisatie te beschermen door de openbaarmaking van gevoelige informatie aan derden te voorkomen. Het verwijst naar een juridisch contract of een regeling tussen uw organisatie en haar werknemers, partners, contractanten, verkopers en andere derde partijen die het gebruik van vertrouwelijke informatie regelt.
Vertrouwelijke informatie is alle informatie die niet beschikbaar is gesteld aan het publiek of aan andere bedrijven in een vergelijkbare sector. Voorbeelden hiervan zijn bedrijfsgeheimen, klantenlijsten, formules en bedrijfsplannen.
De controle moet worden geïmplementeerd bij de beoordeling of: derde partij toegang heeft tot gevoelige persoonsgegevens, en of er stappen moeten worden ondernomen om ervoor te zorgen dat zij na hun vertrek de gevoelige persoonsgegevens van de organisatie niet bewaren en er toegang toe blijven hebben.
Wanneer een organisatie vaststelt dat een derde partij de zakelijke relatie beëindigt en er een risico bestaat dat als gevolg daarvan gevoelige organisatie- of bedrijfsgegevens openbaar worden gemaakt, moet de organisatie redelijke stappen ondernemen voordat die derde partij vertrekt, of zo snel mogelijk. nadat zij zijn vertrokken, om dergelijke openbaarmaking te voorkomen.
Ik zou ISMS.online zeker aanbevelen, het maakt het opzetten en beheren van uw ISMS zo eenvoudig mogelijk.
Controle 6.6 houdt in dat partijen bij de overeenkomst vertrouwelijke informatie die onder de overeenkomst valt, niet openbaar maken. De informatie mag alleen openbaar worden gemaakt met schriftelijke toestemming van de organisatie of in overeenstemming met een gerechtelijk bevel. Dit is belangrijk om gevoelige informatie over bedrijfspraktijken, intellectueel eigendom en onderzoek en ontwikkeling te beschermen.
Om aan de vereisten van controle 6.6 te voldoen, moet een “vertrouwelijkheids”- en “geheimhoudings”-overeenkomst/-contract zorgvuldig worden opgesteld, zodat deze alle bedrijfsgeheimen en gevoelige gegevens/informatieaspecten van de transacties en transacties van de organisatie omvat. Het is belangrijk dat beide partijen hun verplichtingen uit hoofde van het contract en hun plichten tijdens en na het einde van de zakelijke relatie begrijpen.
Ook in andere contracten die verder reiken dan het einde van het dienstverband van de werknemer of de inschakeling van derden kan een geheimhoudingsclausule worden opgenomen.
Het is absoluut noodzakelijk dat de persoon die een zakelijke relatie verlaat of van baan verandert, zijn of haar verantwoordelijkheden en plichten op het gebied van beveiliging overdraagt aan een nieuwe persoon, en dat alle toegangsgegevens worden verwijderd en een nieuwe wordt aangemaakt.
Bij het identificeren van vertrouwelijkheids- en geheimhoudingsovereenkomsten moet rekening worden gehouden met de volgende elementen:
De organisatie moet ervoor zorgen dat vertrouwelijkheids- en geheimhoudingsovereenkomsten in overeenstemming zijn met de wetten van het rechtsgebied waar ze van toepassing zijn.
Een beoordeling van vertrouwelijkheids- en geheimhoudingsovereenkomsten moet periodiek plaatsvinden en telkens wanneer wijzigingen van invloed zijn op hun vereisten.
Meer informatie over hoe dit werkt vindt u in het ISO 27002:2022 normdocument.
Boek een hands-on sessie op maat
op basis van uw behoeften en doelen
Boek uw demo
Controle 6.6 in de nieuwe ISO 27002:2022 is geen nieuwe controle, maar een aangepaste versie van controle 13.2.4 in ISO 27002:2013.
Hoewel deze twee bedieningselementen vergelijkbare functies bevatten, verschillen ze enigszins. Hoewel de implementatierichtlijnen in beide versies vergelijkbaar zijn, zijn ze bijvoorbeeld niet identiek.
De eerste onderdeel van de implementatiebegeleiding in controle 13.2.4 in ISO 27002:2013 staat dat:
“Vertrouwelijkheids- of geheimhoudingsovereenkomsten moeten tegemoet komen aan de eis om vertrouwelijke informatie te beschermen met behulp van juridisch afdwingbare voorwaarden. Voor externe partijen of medewerkers van de organisatie gelden geheimhoudings- of geheimhoudingsovereenkomsten. Elementen moeten worden geselecteerd of toegevoegd met inachtneming van het type van de andere partij en haar toegestane toegang tot of omgang met vertrouwelijke informatie.”
In hetzelfde gedeelte van controle 6.6 van ISO 27002:2022 staat het volgende:
“Vertrouwelijkheids- of geheimhoudingsovereenkomsten moeten tegemoet komen aan de eis om vertrouwelijke informatie te beschermen met behulp van juridisch afdwingbare voorwaarden. Er zijn vertrouwelijkheids- of geheimhoudingsovereenkomsten van toepassing op belanghebbenden en personeel van de organisatie.
Op basis van de informatiebeveiligingseisen van een organisatie moeten de voorwaarden in de overeenkomsten worden bepaald door rekening te houden met het soort informatie dat zal worden verwerkt, het classificatieniveau, het gebruik ervan en de toegestane toegang door de andere partij.”
Hoewel beide besturingselementen verschillen in semantische betekenis, hebben ze een vergelijkbare structuur en functie in hun respectieve contexten. Controle 6.6 gebruikt echter een vereenvoudigde en gebruiksvriendelijkere taal, zodat de inhoud en context gemakkelijker te begrijpen zijn. Dit betekent dat degenen die de standaard gaan gebruiken, zich gemakkelijker tot de inhoud ervan kunnen identificeren.
Bovendien bevat de 2022-versie van ISO 27002 doelverklaringen en attributentabellen voor elke controle, die gebruikers helpen de controles effectiever te begrijpen en te implementeren. Deze twee secties zijn niet beschikbaar in de editie van 2013.
Volgens controle 6.6 van de ISO 27002-norm beheert de personeelsafdeling in de meeste organisaties doorgaans het opstellen en implementeren van de vertrouwelijkheids- of geheimhoudingsovereenkomst, waarbij wordt samengewerkt met de toezichthoudende manager of afdeling van de betrokken derde partij.
De toezichthoudende manager kan de Information Security Officer, verkoop- of productiemanager zijn.
Deze afdelingen en hoofden zijn er ook verantwoordelijk voor dat externe leveranciers die door de organisatie worden gebruikt, over adequate beveiligingsmaatregelen beschikken om vertrouwelijke informatie te beschermen tegen ongeoorloofde openbaarmaking of gebruik.
Ze moeten ervoor zorgen dat alle werknemers een vertrouwelijkheidsovereenkomst ondertekenen wanneer ze voor het bedrijf gaan werken.
In de meeste gevallen (afhankelijk van hoe groot de organisatie is) worden vertrouwelijkheids- of geheimhoudingsovereenkomsten ondertekend door alle medewerkers die toegang hebben tot vertrouwelijke informatie.
Dit omvat doorgaans elke werknemer die werkt op de verkoop-, marketing-, klantenservice- of andere afdelingen waar hij of zij in contact kan komen met vertrouwelijke informatie over klanten, klanten of leveranciers.
In sommige gevallen moeten organisaties, zelfs als er geen daadwerkelijke schriftelijke overeenkomst tussen twee partijen bestaat, beleid hebben opgesteld dat werknemers verplicht een vertrouwelijkheidsovereenkomst te ondertekenen voordat ze toegang krijgen tot gevoelige informatie over klanten of leveranciers.
Enkele risico's die gepaard gaan met het ontbreken van een adequaat beleid inzake vertrouwelijkheidsovereenkomsten zijn onder meer:
De ISO 27002:2013-norm is niet significant gewijzigd. De standaard is alleen bijgewerkt om de bruikbaarheid te vergemakkelijken. Organisaties die momenteel voldoen aan ISO 27002:2013 hoeven geen aanvullende stappen te ondernemen om naleving handhaven met de standaard.
Om te voldoen aan de herzieningen van ISO 27002:2022 kan de organisatie het nodig vinden om enkele kleine wijzigingen aan te brengen in de bestaande processen en procedures, vooral als er behoefte is aan hercertificering.
Voor meer informatie over hoe deze wijzigingen in controle 6.6 uw organisatie zullen beïnvloeden, kunt u onze handleiding over ISO 27002:2022 raadplegen.
ISO 27002 is een algemeen erkende standaard voor informatiebeveiliging dat een reeks vereisten biedt voor een organisatie om de vertrouwelijkheid, integriteit en beschikbaarheid van haar informatie te beschermen. De standaard is ontwikkeld door de International Organization for Standardization (ISO), een niet-gouvernementele organisatie die internationale standaarden vaststelt, beoordeelt en publiceert.
ISMS.Online helpt organisaties en bedrijven te voldoen aan de vereisten van ISO 27002 door hen een platform te bieden waarmee ze eenvoudig hun vertrouwelijkheids- of geheimhoudingsbeleid en -procedures kunnen beheren, indien nodig kunnen bijwerken, testen en de effectiviteit ervan kunnen controleren.
Wij bieden een cloudgebaseerd platform voor de beheer van vertrouwelijkheids- en informatiebeveiligingsbeheersystemen, inclusief geheimhoudingsclausules, risicobeheer, beleid, plannen en procedures, op één centrale locatie. Het platform is eenvoudig te gebruiken en heeft een intuïtieve interface waardoor u eenvoudig kunt leren hoe u het moet gebruiken.
Met ISMS.Online kunt u:
ISMS.Online biedt een volledige reeks functies om organisaties en bedrijven te helpen voldoen aan de industriestandaard ISO 27001 en/of ISO 27002 ISMS.
Neem vandaag nog contact met ons op een demo plannen.
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Sinds de migratie hebben we de tijd die we aan administratie besteden, kunnen terugdringen.
