ISO 27002:2022, Steuerung 6.4. Disziplinarverfahren spricht von der Notwendigkeit, dass Organisationen eine Art Disziplinarverfahren einführen, das als Abschreckung dient und verhindert, dass Mitarbeiter Verstöße gegen die Informationssicherheit begehen.
Dieser Vorgang sollte formell kommuniziert und eine angemessene Strafe für Mitarbeiter und andere relevante Interessengruppen vorgesehen werden, die eine Straftat begehen Informationssicherheitspolitik Verletzung.
Ein Verstoß gegen die Richtlinien zur Informationssicherheit ist ein Verstoß gegen die Regeln oder Gesetze, die den ordnungsgemäßen Umgang mit Informationen regeln. Informationssicherheitsrichtlinien werden von Organisationen festgelegt, um vertrauliche, geschützte und persönliche Daten wie Kundendaten und Kreditkartennummern zu schützen. Zu den Informationssicherheitsrichtlinien gehören auch Computersicherheitsrichtlinien, die dazu beitragen, die Sicherheit und Integrität der auf Computern gespeicherten Daten zu gewährleisten.
Wenn Sie beispielsweise von Ihrem Vorgesetzten nicht die Erlaubnis haben, die E-Mail-Adresse Ihres Unternehmens zum Versenden persönlicher E-Mails zu verwenden, kann dies zu einem Verstoß gegen die Unternehmensrichtlinien führen. Wenn Sie außerdem bei der Verwendung von Unternehmensgeräten oder -software einen Fehler machen und diese oder die darauf gespeicherten Daten beschädigen, kann dies ebenfalls als Verstoß gegen die Richtlinien zur Informationssicherheit gewertet werden.
Wenn ein Mitarbeiter gegen die Informationssicherheitsrichtlinie einer Organisation verstößtkann ihm oder ihr ein Disziplinarverfahren oder eine Kündigung des Arbeitsverhältnisses drohen. In manchen Fällen entscheidet sich ein Unternehmen möglicherweise dafür, einen Mitarbeiter, der gegen seine Computernutzungsrichtlinien verstößt, nicht zu kündigen, sondern stattdessen andere geeignete Maßnahmen zu ergreifen, um künftige Verstöße gegen die Unternehmensrichtlinien zu verhindern.
Steuerelemente können mithilfe von Attributen gruppiert werden. Wenn Sie sich die Attribute des Steuerelements ansehen, können Sie es einfacher mit den etablierten Branchenanforderungen und der Terminologie in Verbindung bringen. Die folgenden Attribute sind in Steuerung 6.4 enthalten.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv #Korrektur | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen #Antworten | #Sicherheit der Humanressourcen | #Governance und Ökosystem |
Der Zweck des Disziplinarverfahrens besteht darin, sicherzustellen, dass das Personal und andere relevante interessierte Parteien die Konsequenzen eines Verstoßes gegen die Informationssicherheitsrichtlinie verstehen.
Kontrolle 6.4 stellt nicht nur sicher, dass Mitarbeiter und andere relevante interessierte Parteien die Folgen von Verstößen gegen die Richtlinien zur Informationssicherheit verstehen, sondern soll auch diejenigen abschrecken und ihnen bei der Bekämpfung helfen, die gegen diese Richtlinien verstoßen.
Ein Schlüsselelement eines wirksamen Informationssicherheitsprogramms ist die Fähigkeit, angemessene Disziplinarmaßnahmen für Mitarbeiter umzusetzen, die gegen Richtlinien und Verfahren zur Informationssicherheit verstoßen. Hier entlang, Die Mitarbeiter sind sich der Konsequenzen bewusst gegen etablierte Richtlinien und Verfahren verstoßen und so das Potenzial für vorsätzliche oder versehentliche Datenschutzverletzungen verringern.
Im Folgenden finden Sie Beispiele für Aktivitäten, die bei der Implementierung dieser Kontrolle einbezogen werden können:
Die im Rahmenwerk/Dokument dargelegten Disziplinarmaßnahmen sollten umgehend nach einem Vorfall ergriffen werden, um andere davon abzuhalten, möglicherweise gegen die Richtlinien der Organisation verstoßen zu wollen.
Um die Anforderungen der Kontrolle 6.4 zu erfüllen, müssen Disziplinarmaßnahmen ergriffen werden, wenn Hinweise auf eine Nichteinhaltung der Richtlinien, Verfahren oder Vorschriften der Organisation vorliegen. Dazu gehört auch die Nichteinhaltung von Gesetzen und Vorschriften, die für die Organisation gelten.
Gemäß Kontrolle 6.4 sollte das formelle Disziplinarverfahren eine abgestufte Reaktion vorsehen, die die folgenden Faktoren berücksichtigt:
Bei der Maßnahme sollten alle relevanten rechtlichen, gesetzgeberischen, behördlichen, vertraglichen und unternehmerischen Verpflichtungen sowie alle anderen relevanten Umstände berücksichtigt werden.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Wenn Sie mit ISO 27002:2013 vertraut sind, wissen Sie, dass es sich bei der Kontrolle 6.4 in ISO 27002:2022 nicht gerade um eine neue Kontrolle handelt, auch wenn die Kontrollidentität/-nummer geändert wurde. Es handelt sich vielmehr um eine modifizierte Version von Control 7.2.3 in ISO 27002:2013.
Allerdings gibt es keine signifikanten Unterschiede zwischen den beiden Kontrollen in beiden Versionen von ISO 27002. Der kleine Unterschied, den Sie bemerken werden, besteht darin, dass die Kontrollnummer von 7.23 auf 6.4 geändert wurde. Außerdem wurden in der Version 2022 des Standards die Attributtabelle und die Zweckerklärung aufgenommen. Diese beiden Funktionen sind in der Version 2013 nicht enthalten.
Abgesehen von der unterschiedlichen Formulierung sind diese Steuerelemente inhaltlich und inhaltlich grundsätzlich identisch. Benutzerfreundlich Die Terminologie wurde in ISO 27002:2022 verwendet um sicherzustellen, dass die Benutzer des Standards seinen Inhalt besser verstehen können.
In den meisten Fällen wird das Disziplinarverfahren von der zuständigen Behörde durchgeführt Abteilungsleiter oder Personalabteilung Vertreter. Es ist nicht ungewöhnlich, dass der Personalvertreter die Aufgaben delegiert Verantwortung für Disziplinarmaßnahmen gegenüber einer anderen Person in der Organisation, beispielsweise ein Spezialist für Informationssicherheit.
Der Hauptzweck von Disziplinarmaßnahmen besteht darin, die Organisation vor weiteren Verstößen des Mitarbeiters zu schützen. Ziel ist es auch, Ähnliches zu verhindern dass sich Vorfälle nicht wiederholen indem sichergestellt wird, dass alle Mitarbeiter die Bedeutung von Verstößen gegen die Informationssicherheit verstehen.
Um sicherzustellen, dass Disziplinarmaßnahmen gegen einen Mitarbeiter ergriffen werden, der gegen die Richtlinien oder Verfahren einer Organisation verstoßen hat, ist es wichtig, dass es klare Richtlinien für den Umgang mit solchen Situationen gibt. Diese Richtlinien sollten spezifische Anweisungen zur Durchführung von Untersuchungen und zu den Maßnahmen enthalten, die nach Abschluss der Untersuchungen ergriffen werden sollten.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
Wenn Sie sich fragen, was diese Änderungen für Sie bedeuten, finden Sie hier eine kurze Zusammenfassung der wichtigsten Punkte:
Der Aufbau des Standards bleibt unverändert. Einige Steuerelemente wurden jedoch geändert, um ihre Bedeutung klarzustellen oder die Konsistenz mit anderen Teilen des Standards zu verbessern.
Wenn Sie jedoch vorhaben, dies zu tun Erlangung der ISMS-ZertifizierungMöglicherweise müssen Sie Ihre Sicherheitsverfahren überprüfen, um sicherzustellen, dass sie dem überarbeiteten Standard entsprechen.
Erfahren Sie mehr darüber, wie sich die neue ISO 27002 auf Ihre Informationssicherheitsabläufe auswirken kann ISO 27001 Um eine Zertifizierung zu erhalten, schauen Sie sich bitte unseren kostenlosen ISO 27002:2022-Leitfaden an.
ISMS.Online ist die führende ISO 27002 Managementsystemsoftware, die Compliance unterstützt mit ISO 27002 und hilft Unternehmen, ihre Sicherheitsrichtlinien und -verfahren an der Norm auszurichten.
Die cloudbasierte Plattform bietet einen vollständigen Satz an Tools, die Unternehmen bei der Einrichtung unterstützen Informationssicherheits-Managementsystem (ISMS) nach ISO 27002.
Diese Tools umfassen:
ISMS.Online ermöglicht Benutzern außerdem:
ISMS.Online bietet außerdem Anleitungen zur optimalen Implementierung Ihres ISMS, indem es Tipps zur Erstellung von Richtlinien und Verfahren im Zusammenhang mit Aspekten wie Risikomanagement, Schulung des Personalsicherheitsbewusstseins und Planung der Reaktion auf Vorfälle gibt.
Unsere Plattform wurde von Grund auf mit Hilfe von Informationssicherheitsexperten aus der ganzen Welt entwickelt und wir haben es so entwickelt, dass es auch Menschen ohne technische Kenntnisse über Informationssicherheits-Managementsysteme (ISMS) leicht zu nutzen ist.
Möchten Sie es in Aktion sehen?
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
