ISO 27701 Abschnitt 6.4: Stärkung der Personalsicherheit
Ein wesentlicher Bestandteil der Förderung eines proaktiven Ansatzes zum Schutz der Privatsphäre ist die Implementierung strenger Personalsicherheitskontrollen, die die Eignung und Kompetenz aller Mitarbeiter regeln Es wird erwartet, dass es mit PII interagiert im Namen der Organisation.
ISO klassifiziert solche Maßnahmen in zwei Kategorien:
- Überprüfung vor der Einstellung (Referenzen, Ausweisprüfungen usw.).
- Die vertraglichen Verpflichtungen, die das Personal einhalten soll, sobald es Teil der Organisation wird.
Was in ISO 27701 Abschnitt 6.4 behandelt wird
Abschnitt 6.4 enthält zwei Hauptunterabschnitte, die spezifische Leitlinien enthalten verlinkt auf entsprechende Informationen innerhalb der ISO 27002, allerdings unter dem Deckmantel des Datenschutzes und nicht der allgemeinen Informationssicherheit:
- ISO 27701 6.4.1.1 – Screening (Referenzen ISO 27002 Control 6.1)
- ISO 27701 6.4.1.2 – Beschäftigungsbedingungen (Referenzen ISO 27002 Control 6.2)
Im Gegensatz zu anderen Teilen der ISO 27701 ist keine der Klauseln für einen bestimmten Bereich der DSGVO relevant, noch enthalten sie zusätzliche Leitlinien für PIMS-bezogene Aktivitäten.
Aufgrund einer Reihe gesetzlicher und vertraglicher Faktoren enthält ISO 27701 6.4.1.2 (hauptsächlich Arbeitsverträge) Informationen, die einen Querverweis mit verschiedenen anderen in ISO 27002 enthaltenen Klauseln erfordern. Organisationen sollten sich daher ihre Vertragsbedingungen genau ansehen. Und passen ihre HR-Abläufe entsprechend an.
Verwalten Sie Ihre gesamte Compliance an einem Ort
ISMS.online unterstützt über 100 Standards und Vorschriften und bietet Ihnen eine einzige Plattform für alle Ihre Compliance-Anforderungen.
ISO 27701 Abschnitt 6.4.1.1 – Screening
Referenzen ISO 27002-Steuerung 6.1
Organisationen sollten einen Überprüfungsprozess zur Stärkung der Personalsicherheit einführen, der alle Vollzeit- und Teilzeitkräfte umfasst, und dieser sollte durch die entsprechenden Lieferantenvereinbarungen auch auf Drittunternehmer ausgeweitet werden.
Organisationen sollten sicherstellen, dass sie sich ihrer Verantwortung als PII-Verarbeiter bewusst sind, wenn sie Informationen über Kandidaten und Lieferanten sammeln, einschließlich der Einhaltung nationaler und dezentraler Gesetze, die regeln, wie Kandidaten über Überprüfungsaktivitäten informiert werden, bevor diese durchgeführt werden.
Hintergrundüberprüfungen sollten mindestens Folgendes umfassen:
- Referenzen (idealerweise eine geschäftliche und eine persönliche Referenz).
- Eine vollständige Überprüfung des Lebenslaufs des Kandidaten.
- Überprüfung akademischer, beruflicher und beruflicher Qualifikationen und Zertifizierungen.
- IDV (Identitätsüberprüfung), die von der Regierung ausgestelltes Ausweismaterial berücksichtigt, oder ein angemessenes Verifizierungsniveau, wenn solche Dokumente nicht vorgelegt werden können (z. B. Kontoauszüge oder Korrespondenz mit örtlichen Behörden).
Wenn der Kandidat in einer wirtschaftlich sensiblen Position angestellt werden soll oder dem Kandidaten großes Vertrauen entgegenbringt, wenn er mit seiner Bewerbung Erfolg haben möchte, sollten Organisationen auch die Durchführung erweiterter Überprüfungsverfahren in Betracht ziehen – wie z. B. Bonitätsprüfungen und/oder oder Strafregisterprüfungen – je nach Bedarf.
Organisationen sollten auch Möglichkeiten zur Überprüfung in Betracht ziehen fortlaufende Eignung aller Mitarbeiter, die in einer kritischen Rolle beschäftigt sind. Über solche Verfahren sollte a entschieden werden Job-by-Job-Basis, und es sollte kein Unterschied zwischen neuem Personal oder bestehendem Personal gemacht werden, das in eine Rolle befördert wurde, die ein größeres Maß an Verantwortung mit sich bringt.
Das Beschäftigungsscreening kann nicht immer rechtzeitig abgeschlossen werden. In diesem Fall sollten Organisationen alternative Vorgehensweisen in Betracht ziehen, die die mit einem nicht überprüften Mitarbeiter verbundenen Risiken minimieren, einschließlich:
- Verzögertes Onboarding.
- Eingeschränkter Zugriff auf Systeme.
- Einbehalten von Unternehmensvermögenswerten und -ausrüstung.
- Beendigung des Arbeitsverhältnisses.
Befreien Sie sich von einem Berg an Tabellenkalkulationen
Integrieren, erweitern und skalieren Sie Ihre Compliance, ohne dass es zu Problemen kommt. IO gibt Ihnen die Widerstandsfähigkeit und das Vertrauen, um sicher zu wachsen.
ISO 27701 Abschnitt 6.4.1.2 – Beschäftigungsbedingungen
Referenzen ISO 27002-Steuerung 6.2
Arbeitsverträge sollten unter Berücksichtigung der organisatorischen Informationssicherheit entworfen und unterzeichnet werden, einschließlich aller themenspezifischen Richtlinien, die entwickelt wurden, um den Datenschutz auf Abteilungsebene zu stärken.
Verträge sollten über ein gewisses Maß an Datenschutzmaßnahmen verfügen, die im Verhältnis zu der ihnen zugedachten Rolle stehen, und sollten im Hinblick auf geltende Gesetze oder behördliche/vertragliche Verpflichtungen überprüft werden.
Die Rollen und Verantwortlichkeiten zum Schutz der Privatsphäre sollten den Kandidaten während des gesamten Einstellungsprozesses umfassend mitgeteilt werden. Arbeitsverträge sollten Folgendes enthalten:
- NDA-Klauseln, die auf alle Mitarbeiter ausgedehnt werden, die mit vertraulichen Informationen umgehen und/oder Unternehmensvermögen sichern (siehe ISO 27002 6.6).
- Alle rechtlichen Verpflichtungen der Organisation und des Mitarbeiters, insbesondere alle, die sich auf den Schutz geistigen Eigentums oder den Schutz der Privatsphäre beziehen, finden Sie unter (siehe ISO 27002 5.32 und 5.34).
- Alle relevanten Verantwortlichkeiten bezüglich der Klassifizierung und Verwaltung von Informationen, Verarbeitungsanlagen und IKT-Diensten (siehe ISO 27002 5.9 und 5.13).
- Welche Konsequenzen es für Mitarbeiter hat, die die Datenschutzrichtlinien der Organisation missachten?
- Gegebenenfalls eine Reihe von Verantwortlichkeiten, die für einen angemessenen Zeitraum bestehen bleiben, nachdem das Personal die Organisation verlassen hat (z. B. NDAs, IP-Bestimmungen).
Neben den laufenden Beschäftigungspflichten kann von den Mitarbeitern auch die Einhaltung eines organisationsweiten „Verhaltenskodex“ verlangt werden, der die Grundprinzipien des Datenschutzes und der PII-bezogenen Aktivitäten einer Organisation festlegt.
Relevante ISO 27002-Kontrollen
- ISO 27002 5.9
- ISO 27002 5.13
- ISO 27002 5.32
- ISO 27002 5.34
- ISO 27002 6.4
- ISO 27002 6.5
- ISO 27002 6.6
Unterstützende Kontrollen von ISO 27002 und DSGVO
| ISO 27701-Klauselkennung | Name der ISO 27701-Klausel | ISO 27002-Anforderung | Zugehörige DSGVO-Artikel |
|---|---|---|---|
| 6.4.1.1 | Rekrutierung |
6.1 – Überprüfung auf ISO 27002 |
Non |
| 6.4.1.2 | Allgemeine Geschäftsbedingungen |
6.2 – Beschäftigungsbedingungen für ISO 27002 |
Non |
Wie ISMS.online hilft
Unsere cloudbasierte Plattform ermöglicht Ihnen den Zugriff auf alle Ihre PIMS-Ressourcen an einem Ort. Auf unserer benutzerfreundlichen Plattform können Sie alles dokumentieren, was Sie benötigen, um nachzuweisen, dass Sie die Anforderungen der ISO 27701 erfüllen.
Unsere Assured Results Method (ARM) entmystifiziert die Anforderungen von ISO 27701 und gibt Ihnen Sicherheit auf Ihrem Weg zur Zertifizierung. Wir verfügen über ein internes Team von Informationssicherheitsexperten, die Ihnen mit Rat und Tat zur Seite stehen und Fragen beantworten können, um Sie auf Ihrem Weg zur ISO 27701-Zertifizierung zu unterstützen.
Erfahren Sie mehr von eine Demo buchen.
