Kontrolle 6.2, Arbeits- und Beschäftigungsbedingungen im neuen ISO 27002:2022 spricht über die Notwendigkeit einer vertraglichen Vereinbarung, um jeden neuen Mitarbeiter über seine Verantwortung sowie die der Organisation in Bezug auf Informationssicherheit zu informieren.
Das bedeutet, dass die Mitarbeiter über das Unternehmen Bescheid wissen sollten Informationssicherheitspolitiksowie die Rollen und Verantwortlichkeiten der Personen, die im Unternehmen mit Informationssicherheit arbeiten. Dies kann dadurch geschehen, dass die Mitarbeiter einen Arbeitsvertrag oder ähnliches unterzeichnen.
In einer solchen vertraglichen Vereinbarung werden in der Regel die allgemeinen Anforderungen dargelegt Schutz von Informationsressourcen, einschließlich physischer Sicherheit, Umgebungskontrollen, Zugangskontrollen und Notfallplanung sowie einer Vertraulichkeitsvereinbarung, wenn sie mit PII zusammenarbeiten.
Unter Informationssicherheit versteht man die Praxis des Schutzes von Informationen vor unbefugtem Zugriff, unbefugter Nutzung, Offenlegung, Störung, Änderung, Einsicht, Inspektion, Aufzeichnung oder Zerstörung. Dazu gehört die Gewährleistung der Vertraulichkeit, Integrität und Verfügbarkeit von Daten.
Der Zweck der Informationssicherheit dient dem Schutz der Vermögenswerte und des geistigen Eigentums der Organisation vor Angriffen durch Hacker und anderen Sicherheitsbedrohungen.
Bedrohungen der Informationssicherheit sind potenzielle Gefahren, die von böswilligen Akteuren für die Daten und Infrastruktur von Organisationen ausgehen können. Der Risiken gehen häufig mit einer unzureichenden Informationssicherheit einher Praktiken und/oder unzureichende Schutzmaßnahmen.
Zu den häufigsten Bedrohungen der Informationssicherheit gehören:
Bedrohungen der Informationssicherheit entwickeln sich ständig weiter und werden immer komplexer. Die Bedrohungen kommen sowohl von außerhalb als auch innerhalb der Organisation und können jederzeit zuschlagen.
Attribute sind eine Möglichkeit, Steuerelemente zu gruppieren. Wenn Sie sich die Attribute des Steuerelements ansehen, ist es einfacher, die Auswahl Ihres Steuerelements an branchenübliche Spezifikationen und Terminologie anzupassen. In Control 6.2 können die folgenden Attribute verwendet werden.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Sicherheit der Humanressourcen | #Governance und Ökosystem |
Der Zweck der Kontrolle 6.2 besteht darin, sicherzustellen, dass alle Mitarbeiter ihre Rolle beim Schutz der Vermögenswerte und vertraulichen Informationen des Unternehmens verstehen, insbesondere im Zusammenhang mit der Rolle, für die sie angestellt sind.
Die Regelung 6.2 der Beschäftigungsbedingungen ist ein wichtiger Bestandteil Ihrer Das Informationssicherheitsmanagementsystem der Organisation (ISMS). Es hilft dir Ihren Pflichten aus der DSGVO nachzukommen und andere gesetzliche Anforderungen in Bezug auf die Verarbeitung personenbezogener Daten und die Informationssicherheit.
Der Zweck dieser Kontrolle besteht darin, sicherzustellen, dass das Personal seine Kenntnisse versteht Verantwortlichkeiten für die Informationssicherheit in der Organisation.
Um dies zu erreichen, ist es wichtig Es ist wichtig, dass die Mitarbeiter auf ihre Geheimhaltungspflichten hingewiesen werden und andere relevante Geschäftsbedingungen, bevor sie eine Anstellung bei einer Organisation beginnen. Dies kann auch etwaige Einschränkungen bei der Nutzung von Technologie oder Social-Media-Plattformen umfassen.
Diese Kontrolle sollte jährlich überprüft werden, um sicherzustellen, dass sich alle Änderungen in der Organisationsstruktur oder in den Verfahren in der Dokumentation widerspiegeln, die den Mitarbeitern zur Verfügung gestellt wird.
Der naheliegendste Weg, die Anforderungen von Control 6.2, Beschäftigungsbedingungen, zu erfüllen, besteht darin, allen Mitarbeitern einen schriftlichen Arbeitsvertrag oder ein Angebotsschreiben zur Verfügung zu stellen, in dem alle Beschäftigungsbedingungen, insbesondere im Bereich der Informationssicherheit, dargelegt sind .
Auch die vertraglichen Verpflichtungen für das Personal sollten die der Organisation berücksichtigen Informationssicherheitspolitik und relevanten themenspezifischen Richtlinien, und die folgenden Punkte sollten in der arbeitsvertraglichen Vereinbarung gut abgedeckt sein:
Schließlich sollte die Organisation sicherstellen, dass das Personal den Bedingungen zur Informationssicherheit zustimmt.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Kontrolle 6.2 in ISO 27002:2022 ist nicht gerade eine neue Steuerung in dieser ISO-Serie. Diese im Februar 2022 veröffentlichte Version von ISO 27002 ist ein Upgrade der Version 2013. Daher ist Kontrolle 6.2 eine modifizierte Version von Kontrolle 7.1.2 in ISO 27002:2013.
Die Version 2022 enthält eine Attributtabelle und eine Zweckerklärung, die in der Steuerung 7.1.2 nicht verfügbar sind.
Abgesehen von der Änderung der Kontrollnummer gibt es jedoch keinen weiteren offensichtlichen Unterschied zwischen den beiden Kontrollen. Auch wenn die Ausdrucksweise der beiden Steuerelemente möglicherweise nicht ähnlich ist, sind Inhalt und Kontext praktisch gleich.
Die Antwort ist einfach: Es kommt auf die Größe des Unternehmens und die Organisation seiner Mitarbeiter an.
In kleineren Unternehmen kann eine Person für alle HR-Funktionen (z. B. Personalbeschaffung, Verträge, Schulung) verantwortlich sein. Eventuell besteht auch die Möglichkeit, diese Aufgaben an eine andere Person innerhalb des Unternehmens zu delegieren. Diese Person würde sicherstellen, dass Kontrolle 6.2 von allen Mitarbeitern korrekt befolgt wird, wäre jedoch nicht für deren Entwicklung oder Interpretation verantwortlich.
Diese Funktion kann auch eine gemeinsame Verantwortung aller Manager und Vorgesetzten im gesamten Unternehmen sein – vom CEO bis hinunter zur mittleren Managementebene.
Für die ordnungsgemäße Umsetzung dieser Kontrolle ist es jedoch am besten, wenn der Personalmanager unter der Aufsicht des Personalmanagers verantwortlich ist ISMS-Manager.
Bei der neuen Norm ISO 27002:2022 handelt es sich nicht um eine wesentliche Aktualisierung. Daher müssen Sie keine wesentlichen Änderungen vornehmen, um die neueste Version von ISO 27002 einzuhalten.
Wenn Sie jedoch planen, ein ISMS (oder sogar eine ISMS-Zertifizierung) einzuführen, ist es wichtig, dass Sie die aktuelle Ausgabe von ISO 27002 bewerten und bestätigen, dass Ihre Sicherheitsverfahren angemessen sind.
Zusätzliche Informationen darüber, wie das neue ISO 27002 wirkt sich auf Ihre Informationssicherheitsabläufe und ISO 27001 aus Die Zertifizierung finden Sie in unserem ISO 27002:2022-Handbuch, das auf unserer Website kostenlos heruntergeladen werden kann.
ISMS.online ist ein cloudbasierte Lösung, die Unternehmen dabei hilft, die Einhaltung von ISO 27002 nachzuweisen. Mit der ISMS.online-Lösung können Sie die Anforderungen der ISO 27002 verwalten und sicherstellen, dass Ihre Organisation weiterhin dem neuen Standard entspricht.
Der ISO 27002-Standard wurde aktualisiert, um den wachsenden Cyberbedrohungen Rechnung zu tragen, denen wir als Gesellschaft ausgesetzt sind. Der aktuelle Standard wurde erstmals 2005 veröffentlicht und 2013 überarbeitet, um Änderungen in Technologie, Vorschriften und Industriestandards Rechnung zu tragen. Die neue Version von ISO 27002 fasst diese Aktualisierungen in einem Dokument zusammen und fügt außerdem neue Anforderungen für Organisationen hinzu, die ihnen helfen sollen, ihre Datenbestände besser vor Cyberangriffen zu schützen.
Die ISMS.online-Lösung unterstützt Organisationen bei der Umsetzung von ISO 27002:2022, indem sie ein benutzerfreundliches Framework für die Dokumentation von Informationssicherheitsrichtlinien und -verfahren bereitstellt. Es bietet außerdem einen zentralen Ort, an dem Sie Ihre gesamte Compliance-Dokumentation speichern können, sodass verschiedene Stakeholder im Unternehmen (z. B. Personalabteilung, IT) problemlos darauf zugreifen können.
Unsere Plattform ist benutzerfreundlich und unkompliziert. Es ist nicht nur für hochtechnische Personen geeignet; Es gilt für jeden in Ihrem Unternehmen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
