ISO 27001 – נספח A.7: אבטחת משאבי אנוש

מהי המטרה של נספח A.7.1?

נספח A.7.1 הוא בערך לפני ההעסקה. המטרה בנספח זה היא להבטיח שהעובדים והקבלנים יבינו את אחריותם ומתאימים לתפקידים להם הם נחשבים. זה גם מכסה מה קורה כשהאנשים האלה עוזבים או משנים תפקידים.

זהו חלק חשוב ממערכת ניהול אבטחת המידע (ISMS) במיוחד אם ברצונך להשיג אישור ISO 27001.

א.7.1.1 הקרנה

בקרה טובה מכסה אימות רקע ובדיקות כשירות של כל המועמדים לעבודה. אלה חייבים להתבצע בהתאם לחוקים, התקנות והאתיקה הרלוונטיים, וצריכים להיות פרופורציונליים לדרישות העסקיות, לסיווג המידע שאליו יש גישה והסיכונים הנתפסים הכרוכים בכך.

לדוגמה, צוות הניגש לנכסי מידע ברמה גבוהה יותר הנושאים סיכון גבוה יותר עשוי להיות כפוף לבדיקות מחמירות הרבה יותר מאשר צוות שרק אי פעם מקבל גישה למידע ציבורי או מטפל בנכסים עם איום מוגבל. הצבת בקרות משאבי אנוש נאותות ופרופורציות בכל שלבי העסקה עוזרת להפחית את הסבירות לאיומים מקריים או זדוניים.

הסינון צריך להתקיים גם עבור קבלנים (אלא אם ארגון האם שלהם עומד בבקרות האבטחה הרחבות יותר שלך, למשל יש לו ISO 27001 משלהם ועושה בדיקות רקע משלהם).

מבקר יצפה לראות תהליך מיון עם נהלים ברורים המופעלים באופן עקבי בכל פעם כדי גם לעזור להימנע מכל סיכוני העדפה/דעות קדומות. באופן אידיאלי זה יהיה מותאם לתהליך הגיוס הכולל של הארגון.

A.7.1.2 תנאי העסקה

בהסכם החוזי עם עובדים וקבלנים יש לציין את אחריותם ושל הארגון לאבטחת מידע. הסכמים אלו הם מקום טוב להציב אחריות כללית ואינדיבידואלית מרכזית לאבטחת מידע שכן יש להם משקל משפטי - כלומר מגובים בחוק.

זה חשוב מאוד גם לגבי GDPR וחוק הגנת הנתונים החדש 2018. הם צריכים להתייחס ולכסות מגוון שלם של תחומי בקרה כולל ציות כולל ל-ISMS וכן שימוש מקובל יותר באופן ספציפי, בעלות על IPR, החזרת נכסים וכו'.

אנו ממליצים לעבוד עם עורך דין משאבי אנוש אם אינך בטוח שכן ההשלכות על השגת חוזי עבודה שגויים מנקודת מבט של אבטחת מידע (וממדים אחרים) עשויות להיות משמעותיות.

מהי המטרה של נספח A.7.2?

המטרה בנספח זה היא להבטיח שהעובדים והקבלנים מודעים וממלאים את אחריותם לאבטחת המידע במהלך העבודה.

A.7.2.1 אחריות ניהול

בקרה טובה מתארת ​​כיצד עובדים וקבלנים מיישמים אבטחת מידע בהתאם למדיניות ולנהלים של הארגון.

האחריות המוטלת על המנהלים צריכה לכלול דרישות ל; להבטיח כי אלה שהם אחראים עליהם יבינו את איומי אבטחת המידע, הפגיעויות והבקרות הרלוונטיות לתפקידי העבודה שלהם ויקבלו הכשרה שוטפת (לפי A7.2.2); להבטיח רכישה לתמיכה פרואקטיבית והולמת עבור מדיניות ובקרות אבטחת מידע רלוונטיות; ולחזק את דרישות תנאי העסקה.

למנהלים תפקיד קריטי בהבטחת תודעת אבטחה ומצפונית בכל הארגון ובפיתוח "תרבות אבטחה" הולמת.

A.7.2.2 מודעות, חינוך והדרכה לאבטחת מידע

כל העובדים והקבלנים הרלוונטיים חייבים לקבל חינוך והכשרה מתאימים למודעות כדי לבצע את עבודתם בצורה טובה ובטוחה. הם חייבים לקבל עדכונים שוטפים במדיניות ובנהלים הארגוניים כאשר הם משתנים, יחד עם הבנה טובה של החקיקה החלה המשפיעה עליהם בתפקיד.

נהוג שצוות אבטחת המידע משתף פעולה עם משאבי אנוש או צוות למידה ופיתוח כדי לבצע הערכות מיומנויות, ידע, יכולות ומודעות ולתכנן וליישם תוכנית של מודעות, חינוך והכשרה לאורך מחזור החיים התעסוקתי (לא רק ב- הַשׁרָאָה). אתה צריך להיות מסוגל להדגים את ההכשרה ואת הציות למבקרים.

כמו כן, שקול היטב כיצד ההכשרה והמודעות מועברות כדי לתת לצוות ולמשאב הקבלן את הסיכוי הטוב ביותר להבין ולעקוב אחריו - משמעות הדבר היא תשומת לב מדוקדקת לתוכן ולמדיום למסירה.

מהי המטרה של נספח A.7.3?

נספח א'7.3 עוסק בסיום ושינוי העסקה. המטרה בנספח זה היא להגן על האינטרסים של הארגון כחלק מתהליך השינוי והסיום העסקה.

A.7.3.1 סיום או שינוי אחריות העסקה

חובות וחובות אבטחת מידע שנותרו בתוקף לאחר סיום או שינוי עבודה יש ​​להגדיר, למסור לעובד או לקבלן ולאכוף. דוגמאות כוללות שמירה על סודיות המידע ואי יציאה עם מידע ששייך לארגון.

חשוב מאוד להבטיח שהמידע יישאר מוגן לאחר שעובד או קבלן עוזבים את הארגון, מכיוון שאנשים עצמם מסתובבים בחנויות נתונים. התנאים וההתניות החוזיים צריכים לחזק זאת, ותהליך העוזב ו/או תהליך סיום החוזה (כולל החזרת נכסים) צריכים לכלול תזכורת לאנשים שיש להם אחריות מסוימת כלפי הארגון גם לאחר שעזבו.

מבקר ירצה לראות ראיות לכך שעוזבים החזירו את נכסיהם והתהליך נסגר ומתועד כדי להוכיח שהנכסים מעודכנים במלאי הנכסים (A8.1.1) גם במידת הצורך.

לא מדובר רק בסיום ויציאה. אם עובד משנה תפקיד, למשל מעבר מתפעול למכירות, עליך לבצע בדיקה כדי להוכיח שאין לו עוד גישה לנכסי מידע שאינם נדרשים בתפקיד החדש, והם מקבלים גישה לנכסי מידע הדרושים לעתיד.

A.7.2.3 תהליך משמעתי

צריך להיות תהליך משמעתי מתועד במקום ולתקשר (בהתאם ל-A7.2.2 לעיל). למרות שהתמקד כאן בפעולות משמעתיות בעקבות הפרות אבטחה, ניתן להתאים את זה גם לסיבות משמעתיות אחרות. אם לארגון שלך כבר יש תהליך משמעתי מוכר בתחום משאבי אנוש, וודא שהוא מכסה אבטחת מידע באופן הנדרש לתקן ISO 27001:2013.