Control 6.1 befasst sich mit dem Hintergrundkontrollen die von allen Mitarbeitern und ausgewählten Lieferanten vor ihrem Beitritt zur Organisation verlangt werden.
Control 6.1 befürwortete a proportionaler Ansatz auf Verifizierungsprüfungen, die mit den individuellen Anforderungen der Organisation verknüpft sind und alle relevanten Gesetze, Vorschriften und ethischen Standards umfassen, an die sich eine Organisation unabhängig davon hält, wo sie tätig ist.
Bei der Durchführung von Kontrollen sollten Organisationen auf die Art der Kontrollen achten Informationen, mit denen jeder Mitarbeiter/Lieferant in Kontakt kommt während ihrer gesamten beruflichen Tätigkeit und alle damit verbundenen Risiken.
Kontrolle 6.1 ist ein vorbeugend Kontrolliere das hält das Risiko aufrecht Durch die Einrichtung eines Überprüfungsprozesses, der alle Vollzeit-, Teilzeit- und Gelegenheits-/Zeitarbeitskräfte sowie Lieferanten überprüft, um sicherzustellen, dass nur qualifiziertes und geeignetes Personal Zugriff auf Informationen hat.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Sicherheit der Humanressourcen | #Governance und Ökosystem |
In der Regel werden Arbeitsnachweisprüfungen durchgeführt, bevor eine Person ihre Stelle antritt. Daher sollte die Verantwortung für 6.1 beim Personalmanager einer Organisation liegen.
Die Screening-Aktivitäten sollten die folgenden Kontrollen umfassen:
Die Hintergrundüberprüfung umfasst häufig die Erhebung, Verarbeitung und Übertragung personenbezogener Daten und/oder geschützter Merkmale (britisches Recht). Daher sollten Organisationen die strikte Einhaltung aller geltenden Arbeitsgesetze sicherstellen, wo auch immer sie tätig sind.
Dies beinhaltet in der Regel die Information des Kandidaten über den Auswahlprozess (sowohl im Hinblick auf die verarbeitete Daten und wofür es verwendet wird), bevor die Überprüfung durchgeführt wird.
Untersuchungen In den Verfahren sollte das verantwortliche Personal klar dargelegt werden für die Durchführung des Screenings im Namen der Organisation und den zugrunde liegenden Grund, warum das Screening überhaupt durchgeführt wird.
Wenn eine Überprüfung von Lieferanten durchgeführt werden soll, ist es wichtig, diese Anforderung vor der Leistungserbringung in alle vertraglichen Vereinbarungen aufzunehmen.
Sobald ein Mitarbeiter/Lieferant überprüft und eingestellt wurde, wird der Die Organisation sollte Maßnahmen ergreifen, um sicherzustellen, dass der Kandidat in der Lage ist, seine Rolle wahrzunehmen wie beworben und hat sich als vertrauenswürdige Person erwiesen, insbesondere wenn ihre Rolle Tätigkeiten im Zusammenhang mit der Informationssicherheit umfasst.
Kontrolle 6.1 gibt Organisationen erheblichen Spielraum hinsichtlich der Umstände, die vor der Einführung erweiterter Überprüfungskontrollen erforderlich sind.
Über solche Verfahren sollte für jede einzelne Stelle entschieden werden, und es sollte kein Unterschied gemacht werden zwischen neuem Personal oder bestehendem Personal, das in eine Position befördert wurde, die ein größeres Maß an Verantwortung mit sich bringt.
Rollen, die eine verstärkte Überprüfung erfordern, können als Rollen definiert werden, die sich mit der Informationsverarbeitung als tägliche Aktivität befassen (z. B. HR), oder als Rollen, die die Handhabung oder Verarbeitung von PII, Finanzinformationen oder anderen Arten sensibler Daten umfassen.
Organisationen sollten auch Möglichkeiten in Betracht ziehen, die fortlaufende Eignung aller Mitarbeiter zu überprüfen, die in einer kritischen Rolle beschäftigt sind.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Unter bestimmten Umständen (dringende Einstellungen, Verzögerungen durch Dritte, Bewerbungsfehler usw.) kann die Überprüfung nicht immer rechtzeitig abgeschlossen werden.
In diesem Fall sollten Organisationen alternative Vorgehensweisen in Betracht ziehen, die die mit einem nicht überprüften Mitarbeiter verbundenen Risiken minimieren, einschließlich:
27002:2022-6.1 ersetzt 27002:2013-7.1.1 (Screening).
27002:2022-6.1 enthält die gleichen grundlegenden Leitlinien wie 27002:2013-7.1.1 und berät Organisationen darüber, welche Informationen überprüft werden müssen, bevor ein Mitarbeiter/Lieferant seine Stelle antritt (Referenzen, Lebenslauf, Identität usw.).
Aufbauend auf den angebotenen grundlegenden Leitlinien enthält 27002:2022-6.1 auch zusätzliche Informationen darüber, wie Organisationen auf unvollständige Überprüfungen, einschließlich einer möglichen Kündigung, reagieren sollten.
Die ISMS.online-Plattform bietet eine Reihe leistungsstarker Tools, die Ihnen die Dokumentation, Implementierung, Wartung und Verbesserung Ihres Projekts erleichtern Informationssicherheits-Managementsystem (ISMS) und erreichen die Konformität mit ISO 27002.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wir sind kostengünstig und schnell
