Was ist Control 6.4?
ISO 27002:2022, Steuerung 6.4. Disziplinarverfahren spricht von der Notwendigkeit, dass Organisationen eine Art Disziplinarverfahren einführen, das als Abschreckung dient und verhindert, dass Mitarbeiter Verstöße gegen die Informationssicherheit begehen.
Dieser Vorgang sollte formell kommuniziert und eine angemessene Strafe für Mitarbeiter und andere relevante Interessengruppen vorgesehen werden, die eine Straftat begehen Informationssicherheitspolitik Verletzung.
Verstoß gegen die Informationssicherheit erklärt
Ein Verstoß gegen die Richtlinien zur Informationssicherheit ist ein Verstoß gegen die Regeln oder Gesetze, die den ordnungsgemäßen Umgang mit Informationen regeln. Informationssicherheitsrichtlinien werden von Organisationen festgelegt, um vertrauliche, geschützte und persönliche Daten wie Kundendaten und Kreditkartennummern zu schützen. Zu den Informationssicherheitsrichtlinien gehören auch Computersicherheitsrichtlinien, die dazu beitragen, die Sicherheit und Integrität der auf Computern gespeicherten Daten zu gewährleisten.
Wenn Sie beispielsweise von Ihrem Vorgesetzten nicht die Erlaubnis haben, die E-Mail-Adresse Ihres Unternehmens zum Versenden persönlicher E-Mails zu verwenden, kann dies zu einem Verstoß gegen die Unternehmensrichtlinien führen. Wenn Sie außerdem bei der Verwendung von Unternehmensgeräten oder -software einen Fehler machen und diese oder die darauf gespeicherten Daten beschädigen, kann dies ebenfalls als Verstoß gegen die Richtlinien zur Informationssicherheit gewertet werden.
Wenn ein Mitarbeiter gegen die Informationssicherheitsrichtlinie einer Organisation verstößtkann ihm oder ihr ein Disziplinarverfahren oder eine Kündigung des Arbeitsverhältnisses drohen. In manchen Fällen entscheidet sich ein Unternehmen möglicherweise dafür, einen Mitarbeiter, der gegen seine Computernutzungsrichtlinien verstößt, nicht zu kündigen, sondern stattdessen andere geeignete Maßnahmen zu ergreifen, um künftige Verstöße gegen die Unternehmensrichtlinien zu verhindern.
Attributtabelle
Steuerelemente können mithilfe von Attributen gruppiert werden. Wenn Sie sich die Attribute des Steuerelements ansehen, können Sie es einfacher mit den etablierten Branchenanforderungen und der Terminologie in Verbindung bringen. Die folgenden Attribute sind in Steuerung 6.4 enthalten.
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Sicherheit der Humanressourcen | #Governance und Ökosystem |
| #Korrektur | #Integrität | #Antworten | ||
| #Verfügbarkeit |
Verschaffen Sie sich einen Vorsprung von 81 %
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Was ist der Zweck von Kontrolle 6.4?
Der Zweck des Disziplinarverfahrens besteht darin, sicherzustellen, dass das Personal und andere relevante interessierte Parteien die Konsequenzen eines Verstoßes gegen die Informationssicherheitsrichtlinie verstehen.
Kontrolle 6.4 stellt nicht nur sicher, dass Mitarbeiter und andere relevante interessierte Parteien die Folgen von Verstößen gegen die Richtlinien zur Informationssicherheit verstehen, sondern soll auch diejenigen abschrecken und ihnen bei der Bekämpfung helfen, die gegen diese Richtlinien verstoßen.
Ein Schlüsselelement eines wirksamen Informationssicherheitsprogramms ist die Fähigkeit, angemessene Disziplinarmaßnahmen für Mitarbeiter umzusetzen, die gegen Richtlinien und Verfahren zur Informationssicherheit verstoßen. Hier entlang, Die Mitarbeiter sind sich der Konsequenzen bewusst gegen etablierte Richtlinien und Verfahren verstoßen und so das Potenzial für vorsätzliche oder versehentliche Datenschutzverletzungen verringern.
Im Folgenden finden Sie Beispiele für Aktivitäten, die bei der Implementierung dieser Kontrolle einbezogen werden können:
- Führen Sie regelmäßige Schulungen zu Richtlinienänderungen durch.
- Entwerfen Sie Disziplinarmaßnahmen bei Nichteinhaltung von Informationssicherheitsrichtlinien.
- Stellen Sie jedem Mitarbeiter eine Kopie der Disziplinarverfahren der Organisation zur Verfügung.
- Stellen Sie sicher, dass Disziplinarverfahren in ähnlichen Situationen konsequent befolgt werden.
Die im Rahmenwerk/Dokument dargelegten Disziplinarmaßnahmen sollten umgehend nach einem Vorfall ergriffen werden, um andere davon abzuhalten, möglicherweise gegen die Richtlinien der Organisation verstoßen zu wollen.
Was dazugehört und wie man die Anforderungen erfüllt
Um die Anforderungen der Kontrolle 6.4 zu erfüllen, müssen Disziplinarmaßnahmen ergriffen werden, wenn Hinweise auf eine Nichteinhaltung der Richtlinien, Verfahren oder Vorschriften der Organisation vorliegen. Dazu gehört auch die Nichteinhaltung von Gesetzen und Vorschriften, die für die Organisation gelten.
Gemäß Kontrolle 6.4 sollte das formelle Disziplinarverfahren eine abgestufte Reaktion vorsehen, die die folgenden Faktoren berücksichtigt:
- Die Art (wer, was, wann, wie), die Schwere und die Folgen des Verstoßes;
- Ob die Straftat böswillig (vorsätzlich) oder unbeabsichtigt (versehentlich) war;
- Ob es sich dabei um das erste oder zweite Vergehen handelt;
- Ob der Täter eine angemessene Schulung erhalten hat oder nicht.
Bei der Maßnahme sollten alle relevanten rechtlichen, gesetzgeberischen, behördlichen, vertraglichen und unternehmerischen Verpflichtungen sowie alle anderen relevanten Umstände berücksichtigt werden.
Compliance muss nicht kompliziert sein.
Wir haben die harte Arbeit für Sie erledigt und Ihnen ab dem Moment Ihrer Anmeldung einen Vorsprung von 81 % verschafft.
Sie müssen lediglich die Lücken ausfüllen.
Änderungen und Unterschiede zu ISO 27002:2013
Wenn Sie mit ISO 27002:2013 vertraut sind, wissen Sie, dass es sich bei der Kontrolle 6.4 in ISO 27002:2022 nicht gerade um eine neue Kontrolle handelt, auch wenn die Kontrollidentität/-nummer geändert wurde. Es handelt sich vielmehr um eine modifizierte Version von Control 7.2.3 in ISO 27002:2013.
Allerdings gibt es keine signifikanten Unterschiede zwischen den beiden Kontrollen in beiden Versionen von ISO 27002. Der kleine Unterschied, den Sie bemerken werden, besteht darin, dass die Kontrollnummer von 7.23 auf 6.4 geändert wurde. Außerdem wurden in der Version 2022 des Standards die Attributtabelle und die Zweckerklärung aufgenommen. Diese beiden Funktionen sind in der Version 2013 nicht enthalten.
Abgesehen von der unterschiedlichen Formulierung sind diese Steuerelemente inhaltlich und inhaltlich grundsätzlich identisch. Benutzerfreundlich Die Terminologie wurde in ISO 27002:2022 verwendet um sicherzustellen, dass die Benutzer des Standards seinen Inhalt besser verstehen können.
Wer ist für diesen Prozess verantwortlich?
In den meisten Fällen wird das Disziplinarverfahren von der zuständigen Behörde durchgeführt Abteilungsleiter oder Personalabteilung Vertreter. Es ist nicht ungewöhnlich, dass der Personalvertreter die Aufgaben delegiert Verantwortung für Disziplinarmaßnahmen gegenüber einer anderen Person in der Organisation, beispielsweise ein Spezialist für Informationssicherheit.
Der Hauptzweck von Disziplinarmaßnahmen besteht darin, die Organisation vor weiteren Verstößen des Mitarbeiters zu schützen. Ziel ist es auch, Ähnliches zu verhindern dass sich Vorfälle nicht wiederholen indem sichergestellt wird, dass alle Mitarbeiter die Bedeutung von Verstößen gegen die Informationssicherheit verstehen.
Um sicherzustellen, dass Disziplinarmaßnahmen gegen einen Mitarbeiter ergriffen werden, der gegen die Richtlinien oder Verfahren einer Organisation verstoßen hat, ist es wichtig, dass es klare Richtlinien für den Umgang mit solchen Situationen gibt. Diese Richtlinien sollten spezifische Anweisungen zur Durchführung von Untersuchungen und zu den Maßnahmen enthalten, die nach Abschluss der Untersuchungen ergriffen werden sollten.
Was bedeuten diese Veränderungen für Sie?
Wenn Sie sich fragen, was diese Änderungen für Sie bedeuten, finden Sie hier eine kurze Zusammenfassung der wichtigsten Punkte:
- Da es sich nicht um eine wesentliche Änderung handelt, ist keine erneute Zertifizierung erforderlich.
- Sie können Ihre bestehende Zertifizierung bis zum Ablauf behalten (sofern sie noch gültig ist).
- Es gibt keine wesentlichen inhaltlichen Änderungen der ISO 27002.
- Der Schwerpunkt liegt eher auf der Aktualisierung des Standards, um ihn an aktuelle Best Practices und Standards anzupassen.
Der Aufbau des Standards bleibt unverändert. Einige Steuerelemente wurden jedoch geändert, um ihre Bedeutung klarzustellen oder die Konsistenz mit anderen Teilen des Standards zu verbessern.
Wenn Sie jedoch vorhaben, dies zu tun Erlangung der ISMS-ZertifizierungMöglicherweise müssen Sie Ihre Sicherheitsverfahren überprüfen, um sicherzustellen, dass sie dem überarbeiteten Standard entsprechen.
Erfahren Sie mehr darüber, wie sich die neue ISO 27002 auf Ihre Informationssicherheitsabläufe auswirken kann ISO 27001 Um eine Zertifizierung zu erhalten, schauen Sie sich bitte unseren kostenlosen ISO 27002:2022-Leitfaden an.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards
und Vorschriften, die Ihnen eine einzige geben
Plattform für alle Ihre Compliance-Anforderungen.
Neue ISO 27002-Kontrollen
Neue Steuerelemente
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
Organisatorische Kontrollen
Menschenkontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Schirmungsmaß |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
Physikalische Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Technologische Kontrollen
Wie ISMS.Online hilft
ISMS.Online ist die führende ISO 27002 Managementsystemsoftware, die Compliance unterstützt mit ISO 27002 und hilft Unternehmen, ihre Sicherheitsrichtlinien und -verfahren an der Norm auszurichten.
Die cloudbasierte Plattform bietet einen vollständigen Satz an Tools, die Unternehmen bei der Einrichtung unterstützen Informationssicherheits-Managementsystem (ISMS) nach ISO 27002.
Diese Tools umfassen:
- Eine Bibliothek mit Vorlagen für allgemeine Unternehmensdokumente;
- Eine Reihe vordefinierter Richtlinien und Verfahren;
- An Audit-Tool zur Unterstützung interner Audits;
- Eine Schnittstelle zum Anpassen ISMS Richtlinien und Verfahren;
- Ein Genehmigungsworkflow für alle an Richtlinien und Verfahren vorgenommenen Änderungen;
- Eine Checkliste, um sicherzustellen, dass Ihre Richtlinien und Informationssicherheitsprozesse den anerkannten internationalen Standards entsprechen.
ISMS.Online ermöglicht Benutzern außerdem:
- Verwalten Sie alle Aspekte des ISMS Lebenszyklus mit Leichtigkeit.
- Erhalten Sie Echtzeit-Einblicke in ihre Sicherheitslage und Compliance-Lücken.
- Integrieren Sie sich in andere Systeme wie HR, Finanzen und Projektmanagement.
- Zeigen Übereinstimmung ihres ISMS mit den ISO 27001-Standards.
ISMS.Online bietet außerdem Anleitungen zur optimalen Implementierung Ihres ISMS, indem es Tipps zur Erstellung von Richtlinien und Verfahren im Zusammenhang mit Aspekten wie Risikomanagement, Schulung des Personalsicherheitsbewusstseins und Planung der Reaktion auf Vorfälle gibt.
Unsere Plattform wurde von Grund auf mit Hilfe von Informationssicherheitsexperten aus der ganzen Welt entwickelt und wir haben es so entwickelt, dass es auch Menschen ohne technische Kenntnisse über Informationssicherheits-Managementsysteme (ISMS) leicht zu nutzen ist.
Möchtest Du es in Aktion sehen?
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Zum Thema springen
Lassen Sie sich bis zu 5 x schneller zertifizieren
Füllen Sie einfach die Lücken aus.
Beratung buchen Angebotsanfrage
