Zweck der Kontrolle 6.1
Control 6.1 befasst sich mit dem Hintergrundkontrollen die von allen Mitarbeitern und ausgewählten Lieferanten vor ihrem Beitritt zur Organisation verlangt werden.
Control 6.1 befürwortete a proportionaler Ansatz auf Verifizierungsprüfungen, die mit den individuellen Anforderungen der Organisation verknüpft sind und alle relevanten Gesetze, Vorschriften und ethischen Standards umfassen, an die sich eine Organisation unabhängig davon hält, wo sie tätig ist.
Bei der Durchführung von Kontrollen sollten Organisationen auf die Art der Kontrollen achten Informationen, mit denen jeder Mitarbeiter/Lieferant in Kontakt kommt während ihrer gesamten beruflichen Tätigkeit und alle damit verbundenen Risiken.
Attributtabelle der Steuerung 6.1
Kontrolle 6.1 ist ein vorbeugend Kontrolliere das hält das Risiko aufrecht Durch die Einrichtung eines Überprüfungsprozesses, der alle Vollzeit-, Teilzeit- und Gelegenheits-/Zeitarbeitskräfte sowie Lieferanten überprüft, um sicherzustellen, dass nur qualifiziertes und geeignetes Personal Zugriff auf Informationen hat.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Sicherheit der Humanressourcen | #Governance und Ökosystem |
| #Integrität | ||||
| #Verfügbarkeit |
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Eigentum an der Kontrolle 6.1
In der Regel werden Arbeitsnachweisprüfungen durchgeführt, bevor eine Person ihre Stelle antritt. Daher sollte die Verantwortung für 6.1 beim Personalmanager einer Organisation liegen.
Allgemeine Leitlinien zur Kontrolle 6.1
Die Screening-Aktivitäten sollten die folgenden Kontrollen umfassen:
- Referenzen, einschließlich geschäftlicher und persönlicher Bescheinigungen.
- Überprüfung des Lebenslaufs, um sicherzustellen, dass der Kandidat keine relevanten Informationen ausgelassen und nur korrekte und wahrheitsgemäße Informationen angegeben hat.
- Bestätigung akademischer, beruflicher und beruflicher Qualifikationen und Zertifizierungen.
- Identitätsüberprüfung, bestätigt durch eine dritte staatliche oder öffentliche Organisation (Pass- und/oder Führerscheinkontrolle).
- Bonitäts- und Strafregisterprüfungen für alle Positionen, die für eine erweiterte Überprüfung geeignet sind.
Die Hintergrundüberprüfung umfasst häufig die Erhebung, Verarbeitung und Übertragung personenbezogener Daten und/oder geschützter Merkmale (britisches Recht). Daher sollten Organisationen die strikte Einhaltung aller geltenden Arbeitsgesetze sicherstellen, wo auch immer sie tätig sind.
Dies beinhaltet in der Regel die Information des Kandidaten über den Auswahlprozess (sowohl im Hinblick auf die verarbeitete Daten und wofür es verwendet wird), bevor die Überprüfung durchgeführt wird.
Schirmungsmaß In den Verfahren sollte das verantwortliche Personal klar dargelegt werden für die Durchführung des Screenings im Namen der Organisation und den zugrunde liegenden Grund, warum das Screening überhaupt durchgeführt wird.
Wenn eine Überprüfung von Lieferanten durchgeführt werden soll, ist es wichtig, diese Anforderung vor der Leistungserbringung in alle vertraglichen Vereinbarungen aufzunehmen.
Sobald ein Mitarbeiter/Lieferant überprüft und eingestellt wurde, wird der Die Organisation sollte Maßnahmen ergreifen, um sicherzustellen, dass der Kandidat in der Lage ist, seine Rolle wahrzunehmen wie beworben und hat sich als vertrauenswürdige Person erwiesen, insbesondere wenn ihre Rolle Tätigkeiten im Zusammenhang mit der Informationssicherheit umfasst.
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Anleitung – Erweiterte Überprüfung
Kontrolle 6.1 gibt Organisationen erheblichen Spielraum hinsichtlich der Umstände, die vor der Einführung erweiterter Überprüfungskontrollen erforderlich sind.
Über solche Verfahren sollte für jede einzelne Stelle entschieden werden, und es sollte kein Unterschied gemacht werden zwischen neuem Personal oder bestehendem Personal, das in eine Position befördert wurde, die ein größeres Maß an Verantwortung mit sich bringt.
Rollen, die eine verstärkte Überprüfung erfordern, können als Rollen definiert werden, die sich mit der Informationsverarbeitung als tägliche Aktivität befassen (z. B. HR), oder als Rollen, die die Handhabung oder Verarbeitung von PII, Finanzinformationen oder anderen Arten sensibler Daten umfassen.
Organisationen sollten auch Möglichkeiten in Betracht ziehen, die fortlaufende Eignung aller Mitarbeiter zu überprüfen, die in einer kritischen Rolle beschäftigt sind.
Leitfaden – Unvollständige Überprüfungen
Unter bestimmten Umständen (dringende Einstellungen, Verzögerungen durch Dritte, Bewerbungsfehler usw.) kann die Überprüfung nicht immer rechtzeitig abgeschlossen werden.
In diesem Fall sollten Organisationen alternative Vorgehensweisen in Betracht ziehen, die die mit einem nicht überprüften Mitarbeiter verbundenen Risiken minimieren, einschließlich:
- Verzögertes Onboarding.
- Eingeschränkter Zugriff auf Systeme.
- Einbehalten von Unternehmensvermögenswerten und -ausrüstung.
- Beendigung des Arbeitsverhältnisses.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Änderungen und Unterschiede zu ISO 27002:2013
27002:2022-6.1 ersetzt 27002:2013-7.1.1 (Screening).
27002:2022-6.1 enthält die gleichen grundlegenden Leitlinien wie 27002:2013-7.1.1 und berät Organisationen darüber, welche Informationen überprüft werden müssen, bevor ein Mitarbeiter/Lieferant seine Stelle antritt (Referenzen, Lebenslauf, Identität usw.).
Aufbauend auf den angebotenen grundlegenden Leitlinien enthält 27002:2022-6.1 auch zusätzliche Informationen darüber, wie Organisationen auf unvollständige Überprüfungen, einschließlich einer möglichen Kündigung, reagieren sollten.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.online hilft
Die ISMS.online-Plattform bietet eine Reihe leistungsstarker Tools, die Ihnen die Dokumentation, Implementierung, Wartung und Verbesserung Ihres Projekts erleichtern Informationssicherheits-Managementsystem (ISMS) und erreichen die Konformität mit ISO 27002.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Beratung buchen Angebotsanfrage
