ISO 27001:2022 Anhang A 6.6 – Vertraulichkeits- oder Geheimhaltungsvereinbarungen

• Weitere Informationen finden Sie auch in den ISO 27002:2022 Kontrolle 6.6 .
• Weitere Informationen finden Sie auch in den ISO 27001:2013 Anhang A 13.2.4 .

Was ist ISO 27001:2022 Anhang A 6.6?

ISO 27001:2022 Anhang A 6.6 besagt, dass Organisationen Maßnahmen ergreifen müssen, um vertrauliche Informationen vor unbefugter Offenlegung zu schützen. Dazu gehört auch der Abschluss von Vertraulichkeitsvereinbarungen mit Interessenten und Mitarbeitern.

Organisationen sollten Bedingungen für ihre Vereinbarungen mit anderen Parteien erstellen, nachdem sie die Bedingungen der Organisation berücksichtigt haben Informationssicherheit Anforderungen, die Art der zu verwaltenden Informationen, ihre Klassifizierungsstufe, den Zweck, für den sie bestimmt sind, und den Zugriff, der der anderen Partei gestattet ist.

Vertraulichkeits- oder Geheimhaltungsvereinbarungen erklärt

Eine Vertraulichkeits- oder Geheimhaltungsvereinbarung (NDA) ist ein rechtliches Dokument, das die Offenlegung von Geschäftsgeheimnissen und anderen vertraulichen Informationen verbietet.

Vertrauliche Informationen können den Geschäftsplan eines Unternehmens, Finanzzahlen, Kundenlisten und andere exklusive Details umfassen. Diese Verträge werden unter verschiedenen Umständen genutzt, beispielsweise:

• Eine Vertraulichkeitsvereinbarung kann Teil eines Arbeitsvertrags für einen neuen Mitarbeiter sein. Dadurch wird sichergestellt, dass der Mitarbeiter keine vertraulichen Informationen über das Unternehmen, seine Produkte oder Dienstleistungen, sein Personal oder seine Lieferanten preisgibt. Unternehmen nutzen außerdem Geheimhaltungsvereinbarungen, um ihren ehemaligen Mitarbeitern die Offenlegung sensibler Informationen nach Beendigung des Arbeitsverhältnisses zu verbieten.
• Vertraulichkeitsvereinbarungen sind regelmäßig Bestandteil von Geschäftsabschlüssen, beispielsweise beim Kauf eines Unternehmens, beim Zusammenschluss mit einem anderen Unternehmen oder beim Verkauf eines Unternehmens. Diese Vereinbarungen sollen verhindern, dass beide Parteien vertrauliche Informationen preisgeben, die sie während der Transaktion erhalten haben.
• Partnerschaften beinhalten die Verwendung von Vertraulichkeitsvereinbarungen, wenn eine Partei ihren bestehenden Kunden schützen möchte oder Lieferantenbeziehungen vor der Offenlegung gegenüber einem neuen Partner. Wenn ein Unternehmen beispielsweise Finanzierung von Risikokapitalgebern benötigt, kann es diese Investoren auffordern, NDAs zu unterzeichnen, um vertrauliche Daten über die Produkte oder Dienstleistungen des Unternehmens zu sichern.

Bei Partnerschaften sind in der Partnerschaftsvereinbarung häufig Vertraulichkeitsklauseln enthalten, in denen sich jeder Partner verpflichtet, alle während der Partnerschaft erlangten vertraulichen Informationen absolut vertraulich zu behandeln.

Zweck von Vertraulichkeitsvereinbarungen

Vertraulichkeitsvereinbarungen werden häufig sowohl von Privatpersonen als auch von Unternehmen genutzt. Sie dienen einer Reihe von Zielen, darunter:

• Schutz ihrer Geschäftsgeheimnisse und geschützten Informationen vor Konkurrenten, die diese ausnutzen könnten.
• Verhindern Sie, dass Mitarbeiter sensible Unternehmensdaten an andere Organisationen weitergeben.
• Sicherung Rechte an geistigem Eigentum wie Patente und Urheberrechte.

Was ist der Zweck von ISO 27001:2022 Anhang A 6.6?

ISO 27001:2022 Anhang A 6.6 sollte angewendet werden, um die Sicherheit von Daten zu gewährleisten, wenn Mitarbeiter, Partner und Lieferanten mit einer Organisation zusammenarbeiten.

Diese Kontrolle soll die Daten der Organisation schützen und die Unterzeichner über ihre Verpflichtung informieren, Informationen verantwortungsvoll und rechtmäßig zu verwalten und zu schützen. Es dient auch als Instrument zur Wahrung geistiger Eigentumsrechte, beispielsweise Patente, Marken, Geschäftsgeheimnisse und Urheberrechte.

Arbeitgeber sollten sicherstellen, dass eine Geheimhaltungsvereinbarung besteht, bevor vertrauliche Informationen an einen Mitarbeiter oder Auftragnehmer weitergegeben werden. In der Vereinbarung wird die Verantwortung des Einzelnen für die Geheimhaltung der Informationen sowie die Dauer der Vertraulichkeitsfrist nach Beendigung des Arbeitsverhältnisses klargestellt.

Anhang A 6.6 erklärt

ISO 27001:2022 Anhang A Control 6.6 soll das geistige Eigentum und die Geschäftsinteressen Ihrer Organisation schützen, indem es die Weitergabe vertraulicher Daten an Dritte verhindert. Dabei handelt es sich um den Abschluss einer rechtlichen Vereinbarung oder Vereinbarung zwischen Ihrer Organisation und ihren Mitarbeitern, Partnern, Auftragnehmern, Lieferanten und anderen Außenstehenden, die die Verwendung vertraulicher Informationen regelt.

Vertrauliche Informationen sind alle Daten, die nicht veröffentlicht oder an andere Organisationen im gleichen Sektor weitergegeben wurden. Dazu gehören Geschäftsgeheimnisse, Kundenregister, Formeln und Geschäftsstrategien.

Bewerten Sie die Kontrolle, wenn Sie entscheiden, ob einem Dritten Zugriff auf sensible personenbezogene Daten gewährt wird und ob Maßnahmen ergriffen werden müssen, um sicherzustellen, dass er die sensiblen personenbezogenen Daten der Organisation nicht behält oder weiterhin darauf zugreift, wenn er die Organisation verlässt.

Wenn ein Dritter eine Organisation verlässt und die Möglichkeit besteht, dass sensible Daten offengelegt werden, muss die Organisation die notwendigen Schritte unternehmen, um die Offenlegung vor oder kurz nach ihrem Ausscheiden zu verhindern.

Was dazugehört und wie man die Anforderungen erfüllt

ISO 27001:2022 Anhang A 6.6 verlangt, dass die Vertragsparteien die Offenlegung vertraulicher Informationen, die in ihren Geltungsbereich fallen, unterlassen. In allen Fällen, in denen eine Offenlegung erforderlich ist, ist die Zustimmung der Organisation erforderlich, es sei denn, es liegt eine gerichtliche Anordnung vor. Diese Bestimmung ist für den Schutz von Daten über Geschäftsaktivitäten, geistiges Eigentum sowie Forschung und Entwicklung von wesentlicher Bedeutung.

Um Anhang A 6.6 einzuhalten, muss eine Vertraulichkeits- und Geheimhaltungsvereinbarung/ein Vertrag präzise erstellt werden, um alle Geschäftsgeheimnisse und sensiblen Daten/Informationen im Zusammenhang mit den Aktivitäten und Transaktionen des Unternehmens zu schützen. Es ist wichtig, dass beide Parteien ihre vertraglichen Pflichten und Verantwortlichkeiten während und nach Abschluss der Geschäftspartnerschaft verstehen.

In Verträgen, die über das Arbeitsverhältnis des Arbeitnehmers oder die Beauftragung Dritter hinausgehen, kann eine Vertraulichkeitsklausel enthalten sein. Dies sollte erfolgen, um sicherzustellen, dass die Informationen sicher bleiben.

Es ist wichtig, dass die Sicherheitspflichten und -verantwortlichkeiten eines ausscheidenden Mitarbeiters oder eines wechselnden Arbeitsplatzes auf eine neue Person übertragen werden, wobei alle Zugangsdaten entfernt und neue angelegt werden.

Bei der Beurteilung von Vertraulichkeits- und Geheimhaltungsvereinbarungen sollten mehrere Elemente berücksichtigt werden:

• Die vertraulichen Daten, die geschützt werden müssen.
• Die Dauer der Vereinbarung, einschließlich der Fälle, in denen die Vertraulichkeit dauerhaft oder bis zur Veröffentlichung der Daten gewahrt bleiben muss, wird festgelegt.
• Im Falle einer Vertragsbeendigung sind die notwendigen Schritte zu unternehmen.
• Die Unterzeichner müssen alle erforderlichen Maßnahmen ergreifen, um die unbefugte Offenlegung von Informationen zu verhindern.
• Eigentum an Daten, vertraulichem Geschäftswissen und geistigem Eigentum, das Auswirkungen auf die Vertraulichkeit hat.
• Der Unterzeichner hat das Recht, vertrauliche Informationen entsprechend der Ermächtigung zu verwenden.
• Das Recht, Tätigkeiten mit äußerst vertraulichen Daten zu überwachen oder auszuwerten.
• Das Verfahren zur Information und Information über nicht genehmigte Enthüllungen oder das Verschütten privater Informationen muss befolgt werden.
• Nach Beendigung dieser Vereinbarung müssen alle zwischen den Parteien ausgetauschten Daten oder Informationen zurückgegeben oder vernichtet werden.
• Welche Maßnahmen werden ergriffen, wenn die Vereinbarung nicht eingehalten wird?

Die Organisation sollte sicherstellen, dass Vertraulichkeits- und Geheimhaltungsvereinbarungen den Gesetzen der jeweiligen Gerichtsbarkeit entsprechen.

In regelmäßigen Abständen und wenn sich Änderungen auf die Anforderungen auswirken, ist eine Überprüfung der Vertraulichkeits- und Geheimhaltungsvereinbarungen erforderlich.

Weitere Details zu diesem Prozess finden Sie in der Norm ISO 27001:2022.

Änderungen und Unterschiede zu ISO 27001:2013

ISO 27001:2022 Anhang A 6.6 ist eine Modifikation von ISO 27001:2013 Anhang A 13.2.4, statt einer neuen Regelung.

Die beiden Anhang-A-Kontrollen weisen verschiedene Parallelen auf, sind jedoch nicht identisch. Beispielsweise sind die Implementierungsanweisungen beider gleich, wenn auch nicht gleich.

Im ersten Teil der ISO 27001:2013-Implementierungsleitlinien, Anhang A 13.2.4, wird Folgendes betont:

„Vertraulichkeits- oder Geheimhaltungsvereinbarungen sollten die Anforderung zum Schutz vertraulicher Informationen durch rechtlich durchsetzbare Bedingungen berücksichtigen. Vertraulichkeits- oder Geheimhaltungsvereinbarungen gelten für externe Parteien oder Mitarbeiter der Organisation.

Elemente sollten unter Berücksichtigung der Art der anderen Partei und ihres zulässigen Zugriffs oder Umgangs mit vertraulichen Informationen ausgewählt oder hinzugefügt werden.“

Anhang A 6.6 von ISO 27001:2022 erklärt, dass jede Organisation geeignete Maßnahmen ergreifen muss, um:

„Vertraulichkeits- oder Geheimhaltungsvereinbarungen sollten die Anforderung zum Schutz vertraulicher Informationen durch rechtlich durchsetzbare Bedingungen berücksichtigen. Vertraulichkeits- oder Geheimhaltungsvereinbarungen gelten für interessierte Parteien und Mitarbeiter der Organisation.

Basierend auf den Informationssicherheitsanforderungen einer Organisation sollten die Bedingungen in den Vereinbarungen unter Berücksichtigung der Art der zu verarbeitenden Informationen, ihres Klassifizierungsgrads, ihrer Verwendung und des zulässigen Zugriffs durch die andere Partei festgelegt werden.“

Beide Steuerelemente haben in ihren jeweiligen Kontexten eine analoge Struktur und Funktion, unterscheiden sich jedoch in ihrer semantischen Bedeutung. Anhang A 6.6 verwendet eine einfachere und benutzerfreundlichere Sprache, um das Verständnis von Inhalt und Kontext zu erleichtern. Dadurch können sich Anwender leichter mit dem Standard identifizieren.

Das 2022-Ausgabe von ISO 27001 Enthält Absichtserklärungen und Attributtabellen gemäß Anhang A-Kontrolle, um das Verständnis und die erfolgreiche Umsetzung zu erleichtern. Dies ist in der Ausgabe 2013 nicht vorgesehen.

Tabelle aller ISO 27001:2022 Anhang A-Kontrollen

In der folgenden Tabelle finden Sie weitere Informationen zu jeder einzelnen ISO 27001:2022 Anhang A-Kontrolle.

Wer ist für diesen Prozess verantwortlich?

Gemäß Anhang A 6.6 von ISO 27001:2022 überwacht die Personalabteilung in den meisten Organisationen in der Regel die Ausarbeitung und Durchsetzung der Vertraulichkeits-/Geheimhaltungsvereinbarung und arbeitet dabei mit dem aufsichtsführenden Manager/der Abteilung des jeweiligen Dritten zusammen.

Der Informationssicherheitsbeauftragte, der Vertriebs- oder Produktionsleiter können alle als leitender Manager fungieren.

Die Abteilungen und Leiter müssen gewährleisten, dass alle von der Organisation eingesetzten Drittanbieter über angemessene Sicherheitsvorkehrungen verfügen, um vertrauliche Daten vor unbefugter Freigabe oder Nutzung zu schützen.

Alle Mitarbeiter müssen zu Beginn ihrer Beschäftigung im Unternehmen eine Vertraulichkeitsvereinbarung unterzeichnen.

In vielen Organisationen, unabhängig von der Größe, müssen alle Mitarbeiter, die mit vertraulichen Informationen umgehen, eine Vertraulichkeits- oder Geheimhaltungsvereinbarung unterzeichnen.

Mitarbeiter in Vertrieb, Marketing, Kundendienst und anderen Abteilungen, die mit vertraulichen Informationen über Kunden, Kunden und Lieferanten interagieren, müssen geschult werden.

Organisationen sollten über Richtlinien verfügen, die ihre Mitarbeiter verpflichten, eine Vertraulichkeitsvereinbarung zu unterzeichnen, bevor sie Zugang zu sensiblen Informationen über Kunden oder Lieferanten erhalten, auch wenn keine schriftliche Vereinbarung vorliegt.

Das Fehlen einer Vertraulichkeitsvereinbarung kann zu ernsthaften Risiken führen. Zu diesen Risiken gehören:

• Mitarbeiter können unbeabsichtigt vertrauliche Informationen an Personen außerhalb des Unternehmens weitergeben, die keinen Zugriff darauf haben sollten, und so der Organisation schaden.
• Ein Mitarbeiter kann vertrauliche Informationen an einen Konkurrenten weitergeben.
• Ein verärgerter Mitarbeiter kann das geistige Eigentum des Unternehmens stehlen und es zu seinem eigenen Vorteil nutzen.
• Mitarbeiter hinterlassen möglicherweise versehentlich vertrauliche Daten auf ihren Desktops im Büro oder auf ihren Laptops zu Hause und riskieren so den Diebstahl durch einen Cyberkriminellen.

Was bedeuten diese Veränderungen für Sie?

Der ISO 27001-Standard bleibt weitgehend unverändert. Um die Benutzerfreundlichkeit zu verbessern, wurde es einfach aktualisiert. Organisationen, die sich an diesen Standard halten, müssen daher keine zusätzlichen Schritte unternehmen, um konform zu bleiben.

Um den Änderungen in ISO 27001:2022 gerecht zu werden, muss die Organisation möglicherweise geringfügige Änderungen an ihren aktuellen Prozessen und Verfahren vornehmen, insbesondere wenn eine erneute Zertifizierung erforderlich ist.

Um weitere Einblicke in die Auswirkungen der Änderung von ISO 27001:2022 auf Ihr Unternehmen zu erhalten, konsultieren Sie bitte unseren ISO 27001-Leitfaden.

Wie ISMS.Online hilft

ISMS.Online erleichtert Organisationen und Unternehmen die Einhaltung der Standards von ISO 27001:2022 durch die Bereitstellung von a Plattform, die die Verwaltung vereinfacht von Vertraulichkeits- oder Geheimhaltungsprotokollen, sodass diese bei Bedarf aktualisiert, getestet und auf Wirksamkeit überprüft werden können.

Wir bieten eine cloudbasierte Lösung Plattform zur Verwaltung von Vertraulichkeit und Informationssicherheit Managementsysteme, einschließlich Geheimhaltungsklauseln, Risikomanagement, Richtlinien, Pläne und Verfahren, alles an einem zentralen Ort. Die Plattform ist benutzerfreundlich und verfügt über eine intuitive Benutzeroberfläche, die das Erlernen erleichtert.

ISMS.Online ermöglicht:

• Erfassen Sie Ihre Prozesse komfortabel mit dieser benutzerfreundlichen Oberfläche. Sie müssen keine Software auf Ihrem Computer oder Netzwerk installieren!
• Optimieren Sie Ihren Risikobewertungsprozess, indem Sie ihn automatisieren.
• Stellen Sie die Einhaltung von Vorschriften mit Online-Berichten und Checklisten sicher.
• Führen Sie ein Fortschrittsregister, während Sie eine Zertifizierung anstreben.

ISMS.Online bietet eine umfassende Auswahl an Tools, die Unternehmen und Organisationen dabei helfen, die Anforderungen der ISO 27001 bzw. zu erfüllen ISO 27001 ISMS. Wir machen es Ihnen leicht, den Industriestandard einzuhalten und geben Ihnen Sicherheit.

Nehmen Sie jetzt Kontakt mit uns auf Vereinbaren Sie eine Vorführung.