Was ist Control 6.5?
Kontrolle 6.5 in ISO 27002:2022 deckt die Notwendigkeit für Organisationen ab, die Informationssicherheitspflichten und -verantwortlichkeiten zu definieren, die auch dann gültig bleiben, wenn das Personal seine Arbeit aufgibt oder in eine neue Abteilung wechselt.
Diese Pflichten und Verantwortlichkeiten sollten dem Mitarbeiter sowie allen anderen relevanten Parteien mitgeteilt werden.
Informationspflichten und Verantwortlichkeiten erklärt
Unter Informationspflichten und -verantwortlichkeiten versteht man die Pflichten eines Arbeitnehmers gegenüber seinem Arbeitgeber im Umgang mit vertraulichen Informationen. Die Pflicht zur Geheimhaltung von Informationen ist in den meisten Staaten gesetzlich vorgeschrieben. Daher ist es für Mitarbeiter wichtig zu verstehen, was sie tun müssen, wenn es um den Schutz der Informationen ihres Arbeitgebers geht.
In den meisten Fällen haben Arbeitgeber das Recht, von ihren Mitarbeitern zu erwarten, dass sie nicht nur vertrauliche Informationen schützen Informationen, verwenden Sie diese Informationen aber auch nicht für persönliche Zwecke Gewinn, beispielsweise durch Insiderhandel oder andere illegale Aktivitäten.
Beispiele für Aufgaben und Verantwortlichkeiten im Bereich der Informationssicherheit sind:
- Schutz der Vertraulichkeit personenbezogener Daten.
- Führen von Aufzeichnungen darüber, wie personenbezogene Daten behandelt, verwendet und offengelegt werden.
- Um sicherzustellen, dass die Informationen korrekt und zuverlässig sind. Dazu gehört die Sicherstellung, dass die Daten von einer zuverlässigen Quelle stammen, sicher gespeichert und sicher gelöscht werden, wenn sie nicht mehr benötigt werden.
- Um sicherzustellen, dass nur autorisierte Personen auf Informationen zugreifen können.
- Zur Nutzung und Offenlegung personenbezogene Daten fair und rechtmäßig verarbeiten, in Übereinstimmung mit den einschlägigen Gesetzen.
Als Organisation ist es wichtig, Ihre zu verstehen Verantwortlichkeiten im Umgang mit personenbezogenen Daten Denn so vermeiden Sie Verstöße gegen Datenschutzgesetze, die sowohl für Ihr Unternehmen als auch für Ihre Mitarbeiter schwerwiegende Folgen haben können.
Attributtabelle der Steuerung 6.5
Steuerelemente werden anhand von Attributen klassifiziert. Mithilfe dieser können Sie Ihre Steuerungsauswahl schnell mit häufig verwendeten Branchenbegriffen und -spezifikationen abgleichen.
Attribute für Control 6.5 sind:
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit | #Schützen | #Sicherheit der Humanressourcen | #Governance und Ökosystem |
| #Integrität | #Vermögensverwaltung | |||
| #Verfügbarkeit |
ISO 27001 leicht gemacht
Ein Vorsprung von 81 % vom ersten Tag an
Wir haben die harte Arbeit für Sie erledigt und Ihnen vom Moment Ihrer Anmeldung an einen Vorsprung von 81 % verschafft. Sie müssen nur noch die Lücken ausfüllen.
Was ist der Zweck der Kontrolle 6.5?
Kontrolle 6.5 ist eine Kontrolle, die implementiert werden sollte, wenn ein Mitarbeiter oder Auftragnehmer die Organisation verlässt oder der Vertrag vor Ablauf gekündigt wird.
Der Zweck dieser Kontrolle besteht darin, die Informationssicherheitsinteressen der Organisation im Rahmen des Prozesses der Änderung oder Beendigung von Arbeitsverhältnissen oder Verträgen zu schützen.
Diese Kontrolle kann auch zum Schutz davor dienen Risiko für Mitarbeiter, die Zugang zu sensiblen Informationen und Prozessen haben, indem sie ihre Position zum persönlichen Vorteil oder aus böswilligen Absichten missbrauchen, insbesondere nachdem sie das Unternehmen oder ihre Stelle verlassen haben.
Steuerung 6.5 erklärt
Control 6.5 zielt darauf ab die Informationssicherheitsinteressen der Organisation schützen im Rahmen des Prozesses der Änderung oder Beendigung von Arbeitsverhältnissen oder Verträgen. Dazu gehören Mitarbeiter, Auftragnehmer und Dritte, die Zugriff auf Ihre sensiblen Daten haben.
Die Umsetzung der Kontrolle bedeutet zu beurteilen, ob Personen (einschließlich der bei Dritten beschäftigten Personen), die Zugriff auf Ihre sensiblen personenbezogenen Daten haben, Ihr Unternehmen verlassen und ob Maßnahmen ergriffen werden müssen, um sicherzustellen, dass diese Ihre sensiblen Daten nicht behalten und weiterhin darauf zugreifen personenbezogene Daten nach ihrer Abreise.
Wenn Sie feststellen, dass jemand das Unternehmen verlässt und das Risiko besteht, dass vertrauliche personenbezogene Daten offengelegt werden, müssen Sie vor der Abreise oder so schnell wie möglich nach der Abreise angemessene Maßnahmen ergreifen, damit dies nicht geschieht.
Was dazugehört und wie man die Anforderungen erfüllt
Um die Anforderungen für Kontrolle 6.5 zu erfüllen, sollten die Bedingungen des Arbeitsverhältnisses, Vertrags oder der Vereinbarung einer Person festgelegt werden etwaige Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit die auch nach Beendigung der Beziehung in Kraft bleiben.
Informationssicherheitspflichten können auch in anderen Verträgen oder Vereinbarungen enthalten sein, die über das Ende des Arbeitsverhältnisses eines Mitarbeiters hinausgehen.
Jeder, der kündigt oder den Job wechselt, sollte seine Verantwortung und Pflichten im Bereich Informationssicherheit auf eine neue Person übertragen lassen, alle Zugangsdaten löschen und eine neue erstellen.
Weitere Informationen dazu, wie das funktioniert, finden Sie im ISO 27002:2022-Standarddokument.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
Änderungen und Unterschiede zu ISO 27002:2013
Kontrolle 6.5 in der neuen ISO 27002:2022 ist keine neue Kontrolle, sondern eine modifizierte Version der Kontrolle 7.3.1 in ISO 27002:2013.
Obwohl die Grundlagen dieser beiden Steuerelemente ähnlich sind, gibt es geringfügige Abweichungen. Beispielsweise unterscheiden sich die Implementierungsanweisungen in beiden Versionen geringfügig.
Im ersten Teil der Implementierungsanleitung in Control 7.3.1 in ISO 27002:2013 heißt es dazu
„Die Mitteilung der Kündigungspflichten sollte fortlaufende Informationssicherheitsanforderungen und rechtliche Verantwortlichkeiten sowie gegebenenfalls Verantwortlichkeiten umfassen, die in einer Vertraulichkeitsvereinbarung und den Beschäftigungsbedingungen enthalten sind und für einen definierten Zeitraum nach dem Ende des Arbeitsverhältnisses des Mitarbeiters oder Auftragnehmers fortbestehen. ”
Dasselbe Abschnitt in Kontrolle 6.5 von ISO 27002:2022 besagt dies
„Der Prozess zur Verwaltung einer Beendigung oder eines Wechsels des Arbeitsverhältnisses sollte festlegen, welche Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit nach einer Beendigung oder einem Wechsel bestehen bleiben sollen. Dies kann die Vertraulichkeit von Informationen, geistigem Eigentum und anderen erlangten Kenntnissen sowie Verantwortlichkeiten umfassen, die in anderen Vertraulichkeitsvereinbarungen enthalten sind.
Verantwortlichkeiten und Pflichten, die auch nach Beendigung des Beschäftigungs- oder Vertragsverhältnisses bestehen bleiben, sollten in den Beschäftigungs-, Vertrags- oder Vereinbarungsbedingungen des Einzelnen enthalten sein. Auch andere Verträge oder Vereinbarungen, die für einen bestimmten Zeitraum über das Ende des Arbeitsverhältnisses hinaus fortbestehen, können Informationssicherheitspflichten enthalten.“
Unabhängig davon, wie sehr sich ihre Formulierungen unterscheiden, haben beide Steuerelemente in ihrem jeweiligen Kontext eine weitgehend ähnliche Struktur und Funktion. Die in Control 6.5 verwendete Sprache wurde vereinfacht, um sie benutzerfreundlicher zu machen, sodass diejenigen, die den Standard verwenden werden, sich leichter mit dem Inhalt identifizieren können.
Es ist auch wichtig darauf hinzuweisen, dass die Version 2022 von ISO 27002 auch eine Zweckerklärung und eine Attributtabelle für jede Kontrolle enthält, um Benutzern ein besseres Verständnis und eine bessere Umsetzung der Kontrollen zu erleichtern. Diese beiden Abschnitte fehlen in der Ausgabe 2013.
Wer ist für diesen Prozess verantwortlich?
In Übereinstimmung mit den Empfehlungen der Kontrolle 6.5, die Personalabteilung ist in den meisten Organisationen normalerweise für den gesamten Kündigungsprozess verantwortlich und arbeitet mit dem Vorgesetzten der Person zusammen, die den Übergang durchführt, um die Informationssicherheitselemente der entsprechenden Verfahren zu überwachen.
Von einer externen Partei (z. B. einem Lieferanten) bereitgestelltes Personal wird von der externen Partei gemäß den Bedingungen des zwischen der Organisation und der externen Partei geschlossenen Vertrags gekündigt.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
Was bedeuten diese Veränderungen für Sie?
Die Norm ISO 27002:2013 wurde nicht wesentlich geändert. Der Standard wurde gerade aktualisiert, um die Benutzerfreundlichkeit zu erleichtern. Es ist für keine Organisation, die derzeit ISO 27002:2013 einhält, erforderlich, zusätzliche Schritte zu unternehmen, um die Einhaltung von ISO 27002 aufrechtzuerhalten.
Um die Überarbeitungen der ISO 27002:2022 einzuhalten, muss die Organisation nur geringfügige Änderungen an ihren bestehenden Prozessen und Verfahren vornehmen, insbesondere wenn eine erneute Zertifizierung beabsichtigt ist.
Wenn Sie mehr darüber erfahren möchten, wie sich diese Änderungen an Control 6.5 auf Ihre Organisation auswirken werden, lesen Sie bitte unseren Leitfaden zu ISO 27002:2022.
Neue ISO 27002-Kontrollen
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | NEU | Bedrohungsinformationen |
| 5.23 | NEU | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | NEU | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 8.9 | NEU | Konfigurationsmanagement |
| 8.10 | NEU | Löschung von Informationen |
| 8.11 | NEU | Datenmaskierung |
| 8.12 | NEU | Verhinderung von Datenlecks |
| 8.16 | NEU | Überwachungsaktivitäten |
| 8.23 | NEU | Web-Filter |
| 8.28 | NEU | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Rekrutierung |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | NEU | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
Wie ISMS.Online hilft
Unternehmen können ISMS.Online nutzen, um sie bei ihren ISO 27002-Compliance-Bemühungen zu unterstützen, indem ihnen eine Plattform zur Verfügung gestellt wird, die es einfach macht, ihre Sicherheitsrichtlinien und -verfahren zu verwalten, sie bei Bedarf zu aktualisieren, sie zu testen und ihre Wirksamkeit zu überwachen.
Unsere cloudbasierte Plattform ermöglicht Ihnen dies schnell und einfach Verwalten Sie alle Aspekte Ihres ISMS, einschließlich Risikomanagement, Richtlinien, Pläne, Verfahren und mehr, an einem zentralen Ort. Die Plattform ist einfach zu bedienen und verfügt über eine intuitive Benutzeroberfläche, die das Erlernen der Bedienung erleichtert.
ISMS.Online ermöglicht Ihnen:
- Dokumentieren Sie Ihre Prozesse über eine intuitive Weboberfläche, ohne dass Sie Software auf Ihrem Computer oder Netzwerk installieren müssen.
- Automatisieren Sie Ihre Risikobewertung
- Weisen Sie Compliance ganz einfach mit Online-Berichten und Checklisten nach.
- Verfolgen Sie den Fortschritt, während Sie auf die Zertifizierung hinarbeiten.
Wenn Sie ein Unternehmen sind, das diese einhalten muss ISO 27001 und/oder ISO 27002 bietet ISMS.Online eine ganze Reihe von Funktionen, die Ihnen dabei helfen, dieses wichtige Ziel zu erreichen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
