ISO 27001:2022 Anhang A Kontrolle 6.5

Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses

Demo buchen

lässig, Mann, freiberuflich, arbeiten, auf, Laptop, Computer, und, klicken, drahtlos

Was ist ISO 27001:2022 Anhang A 6.5?

ISO 27001:2022 Anhang A 6.5 schreibt vor, dass Organisationen Rollen und Verantwortlichkeiten für die Informationssicherheit festlegen, die auch dann wirksam bleiben, wenn Mitarbeiter ausscheiden oder neu zugewiesen werden. Teilen Sie diese Pflichten und Verantwortlichkeiten dem Mitarbeiter und allen zuständigen Dritten mit.

Informationspflichten und Verantwortlichkeiten erklärt

Arbeitnehmer sind gesetzlich verpflichtet, alle Informationen, die ihr Arbeitgeber ihnen anvertraut, vertraulich zu behandeln. Für Mitarbeiter ist es wichtig, die Anforderungen zum Schutz der Daten ihres Arbeitgebers zu verstehen.

Arbeitgeber haben im Allgemeinen das Recht, von ihren Mitarbeitern zu verlangen, dass sie vertrauliche Daten schützen und sie nicht zum persönlichen Vorteil ausnutzen, z. B. durch Insiderhandel oder andere rechtswidrige Aktivitäten.

Einige Beispiele für Aufgaben und Verantwortlichkeiten im Bereich Informationssicherheit sind:

  • Die Gewährleistung der Vertraulichkeit personenbezogener Daten ist von größter Bedeutung.

  • Es ist wichtig, ein Protokoll darüber zu führen, wie Daten verwaltet, angewendet und geteilt wird.

  • Die Gewährleistung der Genauigkeit und Zuverlässigkeit der Daten ist von größter Bedeutung. Dies erfordert eine Sammlung aus zuverlässigen Quellen, eine sichere Lagerung und eine sichere Entsorgung, wenn sie nicht mehr benötigt werden.

  • Stellen Sie sicher, dass nur autorisierte Personen Zugriff auf Informationen haben.

  • Persönliche Daten rechtmäßig und in Übereinstimmung mit den geltenden Gesetzen nutzen und weitergeben.

Für Unternehmen ist es wichtig, sich ihrer Pflichten bei der Verwaltung personenbezogener Daten bewusst zu sein, um Verstöße gegen Datenschutzbestimmungen zu vermeiden, da die Auswirkungen sowohl für das Unternehmen als auch für seine Mitarbeiter verheerend sein könnten.

Zum Thema springen

Was ist der Zweck von ISO 27001:2022 Anhang A 6.5?

Anhang A 6.5 sollte umgesetzt werden, wenn ein Mitarbeiter oder Auftragnehmer die Organisation verlässt oder wenn ein Vertrag vor seinem Ablauf endet.

Diese Kontrolle wahrt die Informationssicherheitsinteressen der Organisation im Falle von Beschäftigungsänderungen oder Vertragskündigungen.

Diese Anhang-A-Kontrolle schützt vor der Möglichkeit, dass Mitarbeiter ihren Zugang zu vertraulichen Informationen und Prozessen zum persönlichen Vorteil oder in böswilliger Absicht ausnutzen, insbesondere nach ihrem Ausscheiden aus der Organisation oder dem Arbeitsplatz.

Anhang A Steuerung 6.5 erklärt

ISO 27001:2022 Anlage A 6.5 dient der Wahrung der Datenschutzinteressen der Organisation im Falle einer Änderung oder Beendigung von Beschäftigungsverhältnissen oder Verträgen. Dies betrifft Mitarbeiter, Auftragnehmer und Dritte, die Zugriff auf vertrauliche Daten erhalten.

Bewerten Sie, ob Personen (einschließlich Vertragspersonen) mit Zugriff auf Ihre sensiblen personenbezogenen Daten Ihr Unternehmen verlassen, und ergreifen Sie Maßnahmen, um sicherzustellen, dass diese Ihre sensiblen personenbezogenen Daten nach ihrem Verlassen nicht behalten und weiterhin darauf zugreifen.

Wenn Sie feststellen, dass eine Person abreist und die Möglichkeit besteht, dass vertrauliche persönliche Informationen preisgegeben werden, müssen Sie entweder vor der Abreise oder so schnell wie möglich danach geeignete Maßnahmen ergreifen, um sicherzustellen, dass dies nicht geschieht.

Was dazugehört und wie man die Anforderungen erfüllt

Um die Kriterien von Anhang A 6.5 zu erfüllen, sollte der Arbeitsvertrag oder die Vereinbarung einer Person solche Angaben enthalten Verantwortlichkeiten im Bereich Informationssicherheit und Pflichten, die auch nach Beendigung der Beziehung bestehen bleiben.

Verantwortlichkeiten für die Informationssicherheit können in anderen Verträgen oder Vereinbarungen enthalten sein, die länger als die Beschäftigungsdauer eines Mitarbeiters gelten.

Beim Ausscheiden aus einer Position oder einem Stellenwechsel muss der Amtsinhaber sicherstellen, dass seine Sicherheitsverantwortung übertragen wird und alle Zugangsdaten gelöscht und ersetzt werden.

Weitere Einzelheiten zu diesem Prozess finden Sie im Standarddokument ISO 27001:2022.

Änderungen und Unterschiede zu ISO 27001:2013

ISO 27001:2022 Anhang A 6.5 ist eine Anpassung von ISO 27001:2013 Anhang A 7.3.1 anstelle einer neuen Anhang-A-Kontrolle.

Die Grundlagen dieser beiden Steuerungen sind ähnlich, es gibt jedoch kleine Unterschiede. Beispielsweise unterscheiden sich die Umsetzungshinweise in beiden Versionen geringfügig.

Der erste Teil von Anhang A 7.3.1 in ISO 27001:2013 schreibt vor, dass Organisationen:

Bei der Kündigung ist es wichtig, die erforderlichen Informationssicherheits- und rechtlichen Anforderungen sowie alle geltenden Vertraulichkeitsvereinbarungen und Beschäftigungsbedingungen mitzuteilen, die für einen bestimmten Zeitraum nach dem Ende des Beschäftigungsverhältnisses des Mitarbeiters oder Auftragnehmers gelten können.

Im gleichen Abschnitt Anhang A 6.5 der ISO 27001:2022 heißt es:

Das Verfahren zur Bewältigung der Beendigung oder Änderung des Arbeitsverhältnisses sollte festlegen, welche Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit nach der Beendigung oder Änderung bestehen bleiben. Dies kann die Wahrung der Vertraulichkeit von Informationen, geistigem Eigentum und anderen erworbenen Kenntnissen sowie alle anderen in einer Vertraulichkeitsvereinbarung festgelegten Verantwortlichkeiten umfassen.

Die Verantwortlichkeiten und Pflichten, die auch nach Beendigung des Arbeitsverhältnisses, Vertrags oder der Vereinbarung einer Person bestehen bleiben, sollten in den Geschäftsbedingungen aufgeführt werden. Darüber hinaus können alle Verträge oder Vereinbarungen, die sich über einen bestimmten Zeitraum über das Ende des Arbeitsverhältnisses hinaus erstrecken, Verantwortlichkeiten für die Informationssicherheit beinhalten.

Trotz des unterschiedlichen Wortlauts haben beide Anhang-A-Kontrollen in ihrem jeweiligen Kontext eine weitgehend ähnliche Struktur und einen ähnlichen Zweck. Um Anhang A 6.5 benutzerfreundlicher zu gestalten, wurde die Sprache vereinfacht, sodass Benutzer den Inhalt besser verstehen können.

Die Version 2022 von ISO 27001 enthält eine Zweckerklärung und eine Attributtabelle für jede Kontrolle, die den Benutzern hilft, diese zu verstehen und umzusetzen. Dies fehlt in der Ausgabe 2013.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.

ISO 27001:2022 Organisationskontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Organisatorische KontrollenAnhang A 5.1Anhang A 5.1.1
Anhang A 5.1.2		Richtlinien zur Informationssicherheit
Organisatorische KontrollenAnhang A 5.2Anhang A 6.1.1Rollen und Verantwortlichkeiten im Bereich Informationssicherheit
Organisatorische KontrollenAnhang A 5.3Anhang A 6.1.2Aufgabentrennung
Organisatorische KontrollenAnhang A 5.4Anhang A 7.2.1Führungsaufgaben
Organisatorische KontrollenAnhang A 5.5Anhang A 6.1.3Kontakt mit Behörden
Organisatorische KontrollenAnhang A 5.6Anhang A 6.1.4Kontakt mit speziellen Interessengruppen
Organisatorische KontrollenAnhang A 5.7NEU!Threat Intelligence
Organisatorische KontrollenAnhang A 5.8Anhang A 6.1.5
Anhang A 14.1.1		Informationssicherheit im Projektmanagement
Organisatorische KontrollenAnhang A 5.9Anhang A 8.1.1
Anhang A 8.1.2		Inventar der Informationen und anderer damit verbundener Vermögenswerte
Organisatorische KontrollenAnhang A 5.10Anhang A 8.1.3
Anhang A 8.2.3		Akzeptable Nutzung von Informationen und anderen damit verbundenen Vermögenswerten
Organisatorische KontrollenAnhang A 5.11Anhang A 8.1.4Rückgabe von Vermögenswerten
Organisatorische KontrollenAnhang A 5.12Anhang A 8.2.1Klassifizierung von Informationen
Organisatorische KontrollenAnhang A 5.13Anhang A 8.2.2Kennzeichnung von Informationen
Organisatorische KontrollenAnhang A 5.14Anhang A 13.2.1
Anhang A 13.2.2
Anhang A 13.2.3		Informationsübertragung
Organisatorische KontrollenAnhang A 5.15Anhang A 9.1.1
Anhang A 9.1.2		Access Control
Organisatorische KontrollenAnhang A 5.16Anhang A 9.2.1Identitätsmanagement
Organisatorische KontrollenAnhang A 5.17Anhang A 9.2.4
Anhang A 9.3.1
Anhang A 9.4.3		Authentifizierungsinformationen
Organisatorische KontrollenAnhang A 5.18Anhang A 9.2.2
Anhang A 9.2.5
Anhang A 9.2.6		Zugangsrechte
Organisatorische KontrollenAnhang A 5.19Anhang A 15.1.1Informationssicherheit in Lieferantenbeziehungen
Organisatorische KontrollenAnhang A 5.20Anhang A 15.1.2Adressierung der Informationssicherheit in Lieferantenvereinbarungen
Organisatorische KontrollenAnhang A 5.21Anhang A 15.1.3Management der Informationssicherheit in der IKT-Lieferkette
Organisatorische KontrollenAnhang A 5.22Anhang A 15.2.1
Anhang A 15.2.2		Überwachung, Überprüfung und Änderungsmanagement von Lieferantendienstleistungen
Organisatorische KontrollenAnhang A 5.23NEU!Informationssicherheit für die Nutzung von Cloud-Diensten
Organisatorische KontrollenAnhang A 5.24Anhang A 16.1.1Planung und Vorbereitung des Managements von Informationssicherheitsvorfällen
Organisatorische KontrollenAnhang A 5.25Anhang A 16.1.4Bewertung und Entscheidung zu Informationssicherheitsereignissen
Organisatorische KontrollenAnhang A 5.26Anhang A 16.1.5Reaktion auf Informationssicherheitsvorfälle
Organisatorische KontrollenAnhang A 5.27Anhang A 16.1.6Aus Informationssicherheitsvorfällen lernen
Organisatorische KontrollenAnhang A 5.28Anhang A 16.1.7Beweissammlung
Organisatorische KontrollenAnhang A 5.29Anhang A 17.1.1
Anhang A 17.1.2
Anhang A 17.1.3		Informationssicherheit bei Störungen
Organisatorische KontrollenAnhang A 5.30NEU!IKT-Bereitschaft für Geschäftskontinuität
Organisatorische KontrollenAnhang A 5.31Anhang A 18.1.1
Anhang A 18.1.5		Rechtliche, gesetzliche, behördliche und vertragliche Anforderungen
Organisatorische KontrollenAnhang A 5.32Anhang A 18.1.2Rechte an geistigem Eigentum
Organisatorische KontrollenAnhang A 5.33Anhang A 18.1.3Schutz von Aufzeichnungen
Organisatorische KontrollenAnhang A 5.34 Anhang A 18.1.4Datenschutz und Schutz personenbezogener Daten
Organisatorische KontrollenAnhang A 5.35Anhang A 18.2.1Unabhängige Überprüfung der Informationssicherheit
Organisatorische KontrollenAnhang A 5.36Anhang A 18.2.2
Anhang A 18.2.3		Einhaltung von Richtlinien, Regeln und Standards für die Informationssicherheit
Organisatorische KontrollenAnhang A 5.37Anhang A 12.1.1Dokumentierte Betriebsabläufe

ISO 27001:2022 Personenkontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
MenschenkontrollenAnhang A 6.1Anhang A 7.1.1Untersuchungen
MenschenkontrollenAnhang A 6.2Anhang A 7.1.2Allgemeine Geschäftsbedingungen
MenschenkontrollenAnhang A 6.3Anhang A 7.2.2Informationssicherheitsbewusstsein, Bildung und Schulung
MenschenkontrollenAnhang A 6.4Anhang A 7.2.3Disziplinarverfahren
MenschenkontrollenAnhang A 6.5Anhang A 7.3.1Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses
MenschenkontrollenAnhang A 6.6Anhang A 13.2.4Vertraulichkeits- oder Geheimhaltungsvereinbarungen
MenschenkontrollenAnhang A 6.7Anhang A 6.2.2Fernarbeit
MenschenkontrollenAnhang A 6.8Anhang A 16.1.2
Anhang A 16.1.3		Berichterstattung über Informationssicherheitsereignisse

Physische Kontrollen nach ISO 27001:2022

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Physikalische KontrollenAnhang A 7.1Anhang A 11.1.1Physische Sicherheitsbereiche
Physikalische KontrollenAnhang A 7.2Anhang A 11.1.2
Anhang A 11.1.6		Physischer Eintritt
Physikalische KontrollenAnhang A 7.3Anhang A 11.1.3Sicherung von Büros, Räumen und Einrichtungen
Physikalische KontrollenAnhang A 7.4NEU!Physische Sicherheitsüberwachung
Physikalische KontrollenAnhang A 7.5Anhang A 11.1.4Schutz vor physischen und umweltbedingten Bedrohungen
Physikalische KontrollenAnhang A 7.6Anhang A 11.1.5Arbeiten in sicheren Bereichen
Physikalische KontrollenAnhang A 7.7Anhang A 11.2.9Klarer Schreibtisch und klarer Bildschirm
Physikalische KontrollenAnhang A 7.8Anhang A 11.2.1Standort und Schutz der Ausrüstung
Physikalische KontrollenAnhang A 7.9Anhang A 11.2.6Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes
Physikalische KontrollenAnhang A 7.10Anhang A 8.3.1
Anhang A 8.3.2
Anhang A 8.3.3
 Anhang A 11.2.5		Speichermedien
Physikalische KontrollenAnhang A 7.11Anhang A 11.2.2Unterstützende Dienstprogramme
Physikalische KontrollenAnhang A 7.12Anhang A 11.2.3Verkabelungssicherheit
Physikalische KontrollenAnhang A 7.13Anhang A 11.2.4Wartung der Ausrüstung
Physikalische KontrollenAnhang A 7.14Anhang A 11.2.7Sichere Entsorgung oder Wiederverwendung von Geräten

ISO 27001:2022 Technologische Kontrollen

Anhang A KontrolltypISO/IEC 27001:2022 Anhang A KennungISO/IEC 27001:2013 Anhang A KennungAnhang A Name
Technologische KontrollenAnhang A 8.1Anhang A 6.2.1
Anhang A 11.2.8		Benutzer-Endpunktgeräte
Technologische KontrollenAnhang A 8.2Anhang A 9.2.3Privilegierte Zugriffsrechte
Technologische KontrollenAnhang A 8.3Anhang A 9.4.1Beschränkung des Informationszugriffs
Technologische KontrollenAnhang A 8.4Anhang A 9.4.5Zugang zum Quellcode
Technologische KontrollenAnhang A 8.5Anhang A 9.4.2Sichere Authentifizierung
Technologische KontrollenAnhang A 8.6Anhang A 12.1.3Kapazitätsmanagement
Technologische KontrollenAnhang A 8.7Anhang A 12.2.1Schutz vor Malware
Technologische KontrollenAnhang A 8.8Anhang A 12.6.1
Anhang A 18.2.3		Management technischer Schwachstellen
Technologische KontrollenAnhang A 8.9NEU!Configuration Management
Technologische KontrollenAnhang A 8.10NEU!Löschen von Informationen
Technologische KontrollenAnhang A 8.11NEU!Datenmaskierung
Technologische KontrollenAnhang A 8.12NEU!Verhinderung von Datenlecks
Technologische KontrollenAnhang A 8.13Anhang A 12.3.1Informationssicherung
Technologische KontrollenAnhang A 8.14Anhang A 17.2.1Redundanz von Informationsverarbeitungseinrichtungen
Technologische KontrollenAnhang A 8.15Anhang A 12.4.1
Anhang A 12.4.2
Anhang A 12.4.3		Protokollierung
Technologische KontrollenAnhang A 8.16NEU!Überwachungsaktivitäten
Technologische KontrollenAnhang A 8.17Anhang A 12.4.4Uhrensynchronisation
Technologische KontrollenAnhang A 8.18Anhang A 9.4.4Verwendung von Privileged Utility-Programmen
Technologische KontrollenAnhang A 8.19Anhang A 12.5.1
Anhang A 12.6.2		Installation von Software auf Betriebssystemen
Technologische KontrollenAnhang A 8.20Anhang A 13.1.1Netzwerksicherheit
Technologische KontrollenAnhang A 8.21Anhang A 13.1.2Sicherheit von Netzwerkdiensten
Technologische KontrollenAnhang A 8.22Anhang A 13.1.3Trennung von Netzwerken
Technologische KontrollenAnhang A 8.23NEU!Web-Filter
Technologische KontrollenAnhang A 8.24Anhang A 10.1.1
Anhang A 10.1.2		Verwendung von Kryptographie
Technologische KontrollenAnhang A 8.25Anhang A 14.2.1Sicherer Entwicklungslebenszyklus
Technologische KontrollenAnhang A 8.26Anhang A 14.1.2
Anhang A 14.1.3		Anforderungen an die Anwendungssicherheit
Technologische KontrollenAnhang A 8.27Anhang A 14.2.5Sichere Systemarchitektur und technische Prinzipien
Technologische KontrollenAnhang A 8.28NEU!Sichere Codierung
Technologische KontrollenAnhang A 8.29Anhang A 14.2.8
Anhang A 14.2.9		Sicherheitstests in Entwicklung und Akzeptanz
Technologische KontrollenAnhang A 8.30Anhang A 14.2.7Ausgelagerte Entwicklung
Technologische KontrollenAnhang A 8.31Anhang A 12.1.4
Anhang A 14.2.6		Trennung von Entwicklungs-, Test- und Produktionsumgebungen
Technologische KontrollenAnhang A 8.32Anhang A 12.1.2
Anhang A 14.2.2
Anhang A 14.2.3
Anhang A 14.2.4		Änderungsmanagement
Technologische KontrollenAnhang A 8.33Anhang A 14.3.1Testinformationen
Technologische KontrollenAnhang A 8.34Anhang A 12.7.1Schutz von Informationssystemen während Audittests

Wer ist für diesen Prozess verantwortlich?

Gemäß der Empfehlung von ISO 27001:2022 Anhang A 6.5 übernimmt die Personalabteilung in den meisten Organisationen in der Regel die Verantwortung für den gesamten Kündigungsprozess und arbeitet mit dem Vorgesetzten des Einzelnen zusammen, um die Informationssicherheit als Teil der Verfahren sicherzustellen.

Von einer externen Partei (z. B. einem Lieferanten) bereitgestelltes Personal sollte gemäß dem zwischen der Organisation und der externen Partei geschlossenen Vertrag gekündigt werden.

Was bedeuten diese Veränderungen für Sie?

Die Norm ISO 27001:2022 ist weitgehend unverändert geblieben und wurde lediglich zur Verbesserung der Benutzerfreundlichkeit aktualisiert. Keine Organisation, die derzeit ISO 27001:2013 einhält, muss zusätzliche Maßnahmen ergreifen, um konform zu bleiben.

Um den Änderungen in ISO 27001:2022 gerecht zu werden, muss die Organisation nur geringfügige Änderungen an ihren bestehenden Methoden und Prozessen vornehmen, insbesondere wenn sie eine Erneuerung der Zertifizierung anstrebt.

Wie ISMS.Online hilft

Unternehmen können ISMS.online nutzen, um sie bei der Einhaltung der ISO 27001:2022 zu unterstützen. Diese Plattform vereinfacht den Prozess der Verwaltung, Aktualisierung, Prüfung und Bewertung ihrer Sicherheitsprotokolle.

Unsere cloudbasierte Plattform vereinfacht das ISMS-ManagementSo können Sie Risikomanagement, Richtlinien, Pläne, Verfahren und mehr effizient aus einer einzigen Quelle überwachen. Die Plattform ist unkompliziert und dank der benutzerfreundlichen Oberfläche leicht zu erlernen.

ISMS.online ermöglicht Ihrer Organisation Folgendes:

  • Dokumentieren Sie Ihre Verfahren über eine benutzerfreundliche Weboberfläche, ohne dass eine Softwareinstallation auf Ihrem Computer oder Netzwerk erforderlich ist.

  • Automatisieren Sie Ihre Gefahrenbewertungstechnik für mehr Effizienz.

  • Mit Online-Berichten und Checklisten ist es ganz einfach, Compliance zu erreichen.

  • Überwachen Sie Ihre Fortschritte, während Sie eine Zertifizierung anstreben.

Wenn Sie ein Unternehmen betreiben, das die Einhaltung von ISO 27001 erfordert, bietet ISMS.Online eine umfassende Auswahl an Funktionen, mit denen Sie diese wichtige Aufgabe erfüllen können.

Kontaktieren Sie uns jetzt, um Vereinbaren Sie eine Vorführung.

Siehe ISMS.online
in Aktion

Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo

Verschaffen Sie sich einen Vorsprung bei ISO 27001
  • Alles mit dem Kontrollsatz 2022 aktualisiert
  • Machen Sie vom ersten Moment an, in dem Sie sich anmelden, einen Fortschritt von 81 %
  • Einfach und leicht zu bedienen
Buchen Sie Ihre Demo
img

ISMS.online unterstützt jetzt ISO 42001 – das weltweit erste KI-Managementsystem. Klicken Sie hier, um mehr zu erfahren