Kontrolle 6.5 in ISO 27002:2022 deckt die Notwendigkeit für Organisationen ab, die Informationssicherheitspflichten und -verantwortlichkeiten zu definieren, die auch dann gültig bleiben, wenn das Personal seine Arbeit aufgibt oder in eine neue Abteilung wechselt.
Diese Pflichten und Verantwortlichkeiten sollten dem Mitarbeiter sowie allen anderen relevanten Parteien mitgeteilt werden.
Unter Informationspflichten und -verantwortlichkeiten versteht man die Pflichten eines Arbeitnehmers gegenüber seinem Arbeitgeber im Umgang mit vertraulichen Informationen. Die Pflicht zur Geheimhaltung von Informationen ist in den meisten Staaten gesetzlich vorgeschrieben. Daher ist es für Mitarbeiter wichtig zu verstehen, was sie tun müssen, wenn es um den Schutz der Informationen ihres Arbeitgebers geht.
In den meisten Fällen haben Arbeitgeber das Recht, von ihren Mitarbeitern zu erwarten, dass sie nicht nur vertrauliche Informationen schützen Informationen, verwenden Sie diese Informationen aber auch nicht für persönliche Zwecke Gewinn, beispielsweise durch Insiderhandel oder andere illegale Aktivitäten.
Beispiele für Aufgaben und Verantwortlichkeiten im Bereich der Informationssicherheit sind:
Als Organisation ist es wichtig, Ihre zu verstehen Verantwortlichkeiten im Umgang mit personenbezogenen Daten Denn so vermeiden Sie Verstöße gegen Datenschutzgesetze, die sowohl für Ihr Unternehmen als auch für Ihre Mitarbeiter schwerwiegende Folgen haben können.
Steuerelemente werden anhand von Attributen klassifiziert. Mithilfe dieser können Sie Ihre Steuerungsauswahl schnell mit häufig verwendeten Branchenbegriffen und -spezifikationen abgleichen.
Attribute für Control 6.5 sind:
| Steuerungstyp | Eigenschaften der Informationssicherheit | Cybersicherheitskonzepte | Operative Fähigkeiten | Sicherheitsdomänen |
|---|---|---|---|---|
| #Präventiv | #Vertraulichkeit #Integrität #Verfügbarkeit | #Schützen | #Sicherheit der Humanressourcen #Vermögensverwaltung | #Governance und Ökosystem |
Kontrolle 6.5 ist eine Kontrolle, die implementiert werden sollte, wenn ein Mitarbeiter oder Auftragnehmer die Organisation verlässt oder der Vertrag vor Ablauf gekündigt wird.
Der Zweck dieser Kontrolle besteht darin, die Informationssicherheitsinteressen der Organisation im Rahmen des Prozesses der Änderung oder Beendigung von Arbeitsverhältnissen oder Verträgen zu schützen.
Diese Kontrolle kann auch zum Schutz davor dienen Risiko für Mitarbeiter, die Zugang zu sensiblen Informationen und Prozessen haben, indem sie ihre Position zum persönlichen Vorteil oder aus böswilligen Absichten missbrauchen, insbesondere nachdem sie das Unternehmen oder ihre Stelle verlassen haben.
Control 6.5 zielt darauf ab die Informationssicherheitsinteressen der Organisation schützen im Rahmen des Prozesses der Änderung oder Beendigung von Arbeitsverhältnissen oder Verträgen. Dazu gehören Mitarbeiter, Auftragnehmer und Dritte, die Zugriff auf Ihre sensiblen Daten haben.
Die Umsetzung der Kontrolle bedeutet zu beurteilen, ob Personen (einschließlich der bei Dritten beschäftigten Personen), die Zugriff auf Ihre sensiblen personenbezogenen Daten haben, Ihr Unternehmen verlassen und ob Maßnahmen ergriffen werden müssen, um sicherzustellen, dass diese Ihre sensiblen Daten nicht behalten und weiterhin darauf zugreifen personenbezogene Daten nach ihrer Abreise.
Wenn Sie feststellen, dass jemand das Unternehmen verlässt und das Risiko besteht, dass vertrauliche personenbezogene Daten offengelegt werden, müssen Sie vor der Abreise oder so schnell wie möglich nach der Abreise angemessene Maßnahmen ergreifen, damit dies nicht geschieht.
Um die Anforderungen für Kontrolle 6.5 zu erfüllen, sollten die Bedingungen des Arbeitsverhältnisses, Vertrags oder der Vereinbarung einer Person festgelegt werden etwaige Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit die auch nach Beendigung der Beziehung in Kraft bleiben.
Informationssicherheitspflichten können auch in anderen Verträgen oder Vereinbarungen enthalten sein, die über das Ende des Arbeitsverhältnisses eines Mitarbeiters hinausgehen.
Jeder, der kündigt oder den Job wechselt, sollte seine Verantwortung und Pflichten im Bereich Informationssicherheit auf eine neue Person übertragen lassen, alle Zugangsdaten löschen und eine neue erstellen.
Weitere Informationen dazu, wie das funktioniert, finden Sie im ISO 27002:2022-Standarddokument.
Die einzige Compliance
Lösung, die Sie brauchen
Buchen Sie Ihre Demo
Kontrolle 6.5 in der neuen ISO 27002:2022 ist keine neue Kontrolle, sondern eine modifizierte Version der Kontrolle 7.3.1 in ISO 27002:2013.
Obwohl die Grundlagen dieser beiden Steuerelemente ähnlich sind, gibt es geringfügige Abweichungen. Beispielsweise unterscheiden sich die Implementierungsanweisungen in beiden Versionen geringfügig.
Im ersten Teil der Implementierungsanleitung in Control 7.3.1 in ISO 27002:2013 heißt es dazu
„Die Mitteilung der Kündigungspflichten sollte fortlaufende Informationssicherheitsanforderungen und rechtliche Verantwortlichkeiten sowie gegebenenfalls Verantwortlichkeiten umfassen, die in einer Vertraulichkeitsvereinbarung und den Beschäftigungsbedingungen enthalten sind und für einen definierten Zeitraum nach dem Ende des Arbeitsverhältnisses des Mitarbeiters oder Auftragnehmers fortbestehen. ”
Dasselbe Abschnitt in Kontrolle 6.5 von ISO 27002:2022 besagt dies
„Der Prozess zur Verwaltung einer Beendigung oder eines Wechsels des Arbeitsverhältnisses sollte festlegen, welche Verantwortlichkeiten und Pflichten im Bereich der Informationssicherheit nach einer Beendigung oder einem Wechsel bestehen bleiben sollen. Dies kann die Vertraulichkeit von Informationen, geistigem Eigentum und anderen erlangten Kenntnissen sowie Verantwortlichkeiten umfassen, die in anderen Vertraulichkeitsvereinbarungen enthalten sind.
Verantwortlichkeiten und Pflichten, die auch nach Beendigung des Beschäftigungs- oder Vertragsverhältnisses bestehen bleiben, sollten in den Beschäftigungs-, Vertrags- oder Vereinbarungsbedingungen des Einzelnen enthalten sein. Auch andere Verträge oder Vereinbarungen, die für einen bestimmten Zeitraum über das Ende des Arbeitsverhältnisses hinaus fortbestehen, können Informationssicherheitspflichten enthalten.“
Unabhängig davon, wie sehr sich ihre Formulierungen unterscheiden, haben beide Steuerelemente in ihrem jeweiligen Kontext eine weitgehend ähnliche Struktur und Funktion. Die in Control 6.5 verwendete Sprache wurde vereinfacht, um sie benutzerfreundlicher zu machen, sodass diejenigen, die den Standard verwenden werden, sich leichter mit dem Inhalt identifizieren können.
Es ist auch wichtig darauf hinzuweisen, dass die Version 2022 von ISO 27002 auch eine Zweckerklärung und eine Attributtabelle für jede Kontrolle enthält, um Benutzern ein besseres Verständnis und eine bessere Umsetzung der Kontrollen zu erleichtern. Diese beiden Abschnitte fehlen in der Ausgabe 2013.
In Übereinstimmung mit den Empfehlungen der Kontrolle 6.5, die Personalabteilung ist in den meisten Organisationen normalerweise für den gesamten Kündigungsprozess verantwortlich und arbeitet mit dem Vorgesetzten der Person zusammen, die den Übergang durchführt, um die Informationssicherheitselemente der entsprechenden Verfahren zu überwachen.
Von einer externen Partei (z. B. einem Lieferanten) bereitgestelltes Personal wird von der externen Partei gemäß den Bedingungen des zwischen der Organisation und der externen Partei geschlossenen Vertrags gekündigt.
Wir verschaffen Ihnen einen Vorsprung von 81 %
ab dem Moment, in dem Sie sich anmelden
Buchen Sie Ihre Demo
Wenn Sie ISMS.online nicht nutzen, machen Sie sich das Leben schwerer als nötig!
Die Norm ISO 27002:2013 wurde nicht wesentlich geändert. Der Standard wurde gerade aktualisiert, um die Benutzerfreundlichkeit zu erleichtern. Es ist für keine Organisation, die derzeit ISO 27002:2013 einhält, erforderlich, zusätzliche Schritte zu unternehmen, um die Einhaltung von ISO 27002 aufrechtzuerhalten.
Um die Überarbeitungen der ISO 27002:2022 einzuhalten, muss die Organisation nur geringfügige Änderungen an ihren bestehenden Prozessen und Verfahren vornehmen, insbesondere wenn eine erneute Zertifizierung beabsichtigt ist.
Wenn Sie mehr darüber erfahren möchten, wie sich diese Änderungen an Control 6.5 auf Ihre Organisation auswirken werden, lesen Sie bitte unseren Leitfaden zu ISO 27002:2022.
Unternehmen können ISMS.Online nutzen, um sie bei ihren ISO 27002-Compliance-Bemühungen zu unterstützen, indem ihnen eine Plattform zur Verfügung gestellt wird, die es einfach macht, ihre Sicherheitsrichtlinien und -verfahren zu verwalten, sie bei Bedarf zu aktualisieren, sie zu testen und ihre Wirksamkeit zu überwachen.
Unsere cloudbasierte Plattform ermöglicht Ihnen dies schnell und einfach Verwalten Sie alle Aspekte Ihres ISMS, einschließlich Risikomanagement, Richtlinien, Pläne, Verfahren und mehr, an einem zentralen Ort. Die Plattform ist einfach zu bedienen und verfügt über eine intuitive Benutzeroberfläche, die das Erlernen der Bedienung erleichtert.
ISMS.Online ermöglicht Ihnen:
Wenn Sie ein Unternehmen sind, das diese einhalten muss ISO 27001 und/oder ISO 27002 bietet ISMS.Online eine ganze Reihe von Funktionen, die Ihnen dabei helfen, dieses wichtige Ziel zu erreichen.
Nehmen Sie noch heute Kontakt mit uns auf Demo buchen.
Buchen Sie eine maßgeschneiderte praktische Sitzung
basierend auf Ihren Bedürfnissen und Zielen
Buchen Sie Ihre Demo
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 5.7 | Neu | Bedrohungsinformationen |
| 5.23 | Neu | Informationssicherheit bei der Nutzung von Cloud-Diensten |
| 5.30 | Neu | IKT-Bereitschaft für Geschäftskontinuität |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 8.9 | Neu | Konfigurationsmanagement |
| 8.10 | Neu | Löschung von Informationen |
| 8.11 | Neu | Datenmaskierung |
| 8.12 | Neu | Verhinderung von Datenlecks |
| 8.16 | Neu | Überwachungsaktivitäten |
| 8.23 | Neu | Web-Filter |
| 8.28 | Neu | Sichere Codierung |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 6.1 | 07.1.1 | Untersuchungen |
| 6.2 | 07.1.2 | Beschäftigungsbedingungen |
| 6.3 | 07.2.2 | Bewusstsein für Informationssicherheit, Aus- und Weiterbildung |
| 6.4 | 07.2.3 | Disziplinarverfahren |
| 6.5 | 07.3.1 | Verantwortlichkeiten nach Beendigung oder Wechsel des Arbeitsverhältnisses |
| 6.6 | 13.2.4 | Vertraulichkeits- oder Geheimhaltungsvereinbarungen |
| 6.7 | 06.2.2 | Fernarbeit |
| 6.8 | 16.1.2, 16.1.3 | Berichterstattung über Informationssicherheitsereignisse |
| ISO/IEC 27002:2022 Kontrollkennung | ISO/IEC 27002:2013 Kontrollkennung | Kontrollname |
|---|---|---|
| 7.1 | 11.1.1 | Physische Sicherheitsbereiche |
| 7.2 | 11.1.2, 11.1.6 | Physischer Eintritt |
| 7.3 | 11.1.3 | Absicherung von Büros, Räumen und Anlagen |
| 7.4 | Neu | Physische Sicherheitsüberwachung |
| 7.5 | 11.1.4 | Schutz vor physischen und umweltbedingten Bedrohungen |
| 7.6 | 11.1.5 | Arbeiten in sicheren Bereichen |
| 7.7 | 11.2.9 | Klarer Schreibtisch und klarer Bildschirm |
| 7.8 | 11.2.1 | Standort und Schutz der Ausrüstung |
| 7.9 | 11.2.6 | Sicherheit von Vermögenswerten außerhalb des Betriebsgeländes |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Speichermedium |
| 7.11 | 11.2.2 | Unterstützende Versorgungsunternehmen |
| 7.12 | 11.2.3 | Verkabelungssicherheit |
| 7.13 | 11.2.4 | Wartung der Ausrüstung |
| 7.14 | 11.2.7 | Sichere Entsorgung oder Wiederverwendung von Geräten |
