בקרה 6.1 עוסקת ב בדיקות רקע הנדרשים על כל העובדים והספקים הנבחרים, לפני הצטרפותם לארגון.
בקרה 6.1 תומכת בא גישה פרופורציונלית לבדיקות אימות המקושרות לדרישות הייחודיות של הארגון, ומקיפות את כל החוקים, התקנות והסטנדרטים האתיים הרלוונטיים שארגון מחזיק בהם, בכל מקום בו הוא פועל.
בעת ביצוע בדיקות, ארגונים צריכים להיות מודעים לסוג של מידע שכל עובד/ספק יבוא איתו במגע לאורך תפקידם, וכל הסיכונים הנלווים.
שליטה 6.1 היא א מניעה לשלוט בזה שומר על סיכון על ידי הקמת תהליך מיון בוטרינר את כל הצוות והספקים במשרה מלאה, חלקית ומזדמנים/זמניים, כדי להבטיח שרק צוות מתאים וראוי יוכל לגשת למידע.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #אבטחת משאבי אנוש | #ממשל ומערכת אקולוגית |
בדיקות אימות תעסוקה מבוצעות בדרך כלל לפני תחילת עבודתו של אדם. ככזה, הבעלות על 6.1 צריכה להיות בידי מנהל משאבי אנוש של הארגון.
פעילויות המיון צריכות לכלול את הבדיקות הבאות:
אימות רקע כולל לרוב איסוף, עיבוד והעברה של PII ו/או מאפיינים מוגנים (חוק בריטניה). ככזה, ארגונים צריכים להבטיח הקפדה על כל חקיקת העבודה הרווחת, בכל מקום שבו הם פועלים.
זה כרוך בדרך כלל ליידע את המועמד על תהליך המיון (הן מבחינת ה נתונים בעיבוד ולמה הוא משמש), לפני ביצוע האימות.
סריקה הנהלים צריכים לתאר בבירור את הצוות האחראי על ביצוע המיון מטעם הארגון, והסיבה הבסיסית מדוע מתבצעת המיון מלכתחילה.
אם יש לבצע סינון על ספקים, חשוב לכלול דרישה זו בכל הסכמים חוזיים לפני מתן השירותים.
לאחר שעובד/ספק נבדק והתקבל לעבודה, ה על הארגון לנקוט בצעדים כדי להבטיח שלמועמד יש את היכולת לבצע את תפקידו כפי שפורסם, והוכיחו את עצמם כאדם מהימן, במיוחד אם תפקידו כולל פעילות כלשהי הקשורה לאבטחת מידע.
בקרה 6.1 נותנת לארגונים חופש פעולה ניכר בנסיבות הנדרשות לפני תחילת בקרות בדיקה משופרות.
יש להחליט על נהלים כאלה על בסיס תפקיד אחר, ואין להבחין בין צוות חדש, או צוות קיים שקודם לתפקיד הכולל כמות גדולה יותר של אחריות.
ניתן להגדיר תפקידים הדורשים סינון משופר ככל העוסק בעיבוד מידע כפעילות יומיומית (למשל משאבי אנוש), או כל תפקיד הכולל טיפול או עיבוד של PII, מידע פיננסי או כל סוג אחר של נתונים רגישים.
ארגונים צריכים גם לשקול דרכים לאמת את ההתאמה השוטפת של כל כוח אדם המועסק בתפקיד קריטי.
בנסיבות מסוימות (גיוס עובדים דחופים, עיכובים של צד שלישי, טעויות ביישום וכו'), לא תמיד ניתן להשלים את המיון בזמן.
כאשר זה מתרחש, ארגונים צריכים לשקול דרכי פעולה חלופיות הממזערות את הסיכונים הכרוכים בחבר צוות שלא עבר סינון, כולל:
27002:2022-6.1 מחליף את 27002:2013-7.1.1 (הקרנה).
27002:2022-6.1 מכיל את אותן נקודות הדרכה בסיסיות כמו 27002:2013-7.1.1, בייעוץ לארגונים באיזה מידע נדרש לאמת לפני תחילת עבודתו של עובד/ספק (הפניות, קורות חיים, זהות וכו').
בהתבסס על ההנחיות הבסיסיות המוצעות, 27002:2022-6.1 מכיל גם מידע נוסף על האופן שבו ארגונים צריכים להגיב לאימות לא שלמים, כולל סיום אפשרי.
פלטפורמת ISMS.online מספקת מגוון של כלים רבי עוצמה המפשטים את הדרך שבה אתה יכול לתעד, ליישם, לתחזק ולשפר את מערכת ניהול אבטחת מידע (ISMS) ולהשיג עמידה בתקן ISO 27002.
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |