ISO 27701 סעיף 6.4: חיזוק אבטחת משאבי אנוש
חלק בלתי נפרד מטיפוח גישה פרואקטיבית להגנה על פרטיות כרוך ביישום בקרות אבטחה חזקות של משאבי אנוש המסדירות את ההתאמה והכשירות של כל הצוות צפוי לקיים אינטראקציה עם PII מטעם הארגון.
ISO מסווג אמצעים כאלה לשתי קטגוריות:
- מיון לפני העסקה (אסמכתאות, בדיקות תעודות זהות וכו').
- ההתחייבויות החוזיות שצוות העובדים צפוי לעמוד בהן ברגע שיהפכו לחלק מהארגון.
מה מכוסה בסעיף 27701 של ISO 6.4
סעיף 6.4 מכיל שני סעיפי משנה עיקריים המכילים הנחיות ספציפיות מקושר למידע תואם בתוך ISO 27002, אם כי במסווה של הגנה על פרטיות, ולא אבטחת מידע כללית:
- ISO 27701 6.4.1.1 - הקרנה (References ISO 27002 Control 6.1)
- ISO 27701 6.4.1.2 - תנאי העסקה (הפניות ISO 27002 בקרה 6.2)
בניגוד לחלקים אחרים של ISO 27701, אף אחד מהסעיפים אינו רלוונטי לאף תחום ספציפי של GDPR, ואף אינו מכיל הנחיות נוספות לפעילויות הקשורות ל-PIMS.
בשל מספר גורמים חקיקתיים וחוזיים, ISO 27701 6.4.1.2 (העוסק בעיקר בחוזי עבודה) מכיל מידע הדורש הצלבה עם סעיפים שונים אחרים הכלולים במסגרת ISO 27002. לכן, ארגונים צריכים לבחון מקרוב את התנאים וההתניות החוזיים שלהם, ו להתאים את פעולת משאבי האנוש שלהם בהתאם.
ניהול כל דרישות התאימות, הכל במקום אחד
ISMS.online תומך ביותר מ-100 תקנים ותקנות, ומעניק לך פלטפורמה אחת לכל צרכי התאימות שלך.
ISO 27701 סעיף 6.4.1.1 – הקרנה
הפניות ISO 27002 בקרה 6.1
ארגונים צריכים ליצור תהליך מיון לחיזוק אבטחת משאבי אנוש, הכולל את כל העובדים במשרה מלאה וחלקית, ויש להרחיב אותו גם לקבלני צד שלישי באמצעות הסכמי הספקים הרלוונטיים.
ארגונים צריכים להבטיח שהם מודעים לאחריותם כמעבד PII בעת איסוף מידע על מועמדים וספקים, כולל הישארות בצד הנכון של חקיקה לאומית ומסורתית המסדירה את האופן שבו המועמדים מקבלים מידע על פעילויות המיון לפני ביצוען.
בדיקות רקע צריכות לכלול לכל הפחות:
- הפניות (באופן אידיאלי התייחסות עסקית ואישית).
- אימות מלא של קורות החיים של המועמד.
- אימות כישורים והסמכות אקדמיים, מקצועיים ומקצועיים.
- IDV (אימות זהות) שלוקח בחשבון חומר מזהה שהונפק ממשלתי, או רמת אימות מתאימה כאשר לא ניתן להפיק מסמכים כאלה (למשל דפי חשבון בנק או תכתובת של רשויות מקומיות).
אם המועמד אמור להיות מועסק בתפקיד שהוא רגיש מסחרית, או מעניק למועמד כמות גדולה של אמון אם יצליח בבקשתו, על ארגונים לשקול גם לבצע תהליכי בדיקה משופרים - כגון בדיקות אשראי ו/ או בדיקות רישום פלילי - לפי העניין.
ארגונים צריכים גם לשקול דרכים לאימות התאמה מתמשכת של כל כוח אדם המועסק בתפקיד קריטי. יש להחליט על הליכים כאלה על א עבודה אחר עבודה, ואין להבחין בין צוות חדש, או צוות קיים שקודם לתפקיד הכולל כמות גדולה יותר של אחריות.
מיון תעסוקה לא תמיד ניתן להשלים בזמן. כאשר זה מתרחש, ארגונים צריכים לשקול דרכי פעולה חלופיות הממזערות את הסיכונים הכרוכים בחבר צוות שלא עבר סינון, כולל:
- איחור בכניסה למטוס.
- גישה מוגבלת למערכות.
- ניכוי נכסים וציוד של החברה.
- סיום העסקה.
שחררו את עצמכם מהר של גיליונות אלקטרוניים
הטמע, הרחב והרחיב את תאימותך, ללא כל בלגן. IO מעניק לך את החוסן והביטחון לצמוח בצורה מאובטחת.
ISO 27701 סעיף 6.4.1.2 - תנאי העסקה
הפניות ISO 27002 בקרה 6.2
יש לנסח חוזי עבודה ולחתום עליהם מתוך מחשבה על אבטחת מידע ארגונית, כולל כל מדיניות ספציפית לנושא שפותחה כדי לסייע בחיזוק הגנת הפרטיות על בסיס מחלקתי.
חוזים צריכים לכלול מידה של אמצעי הגנה על הפרטיות שהם פרופורציונליים לתפקיד שהם קשורים אליו, ויש לבחון אותם מול החקיקה הרווחת, או התחייבויות רגולטוריות/חוזיות.
תפקידים ואחריות להגנת הפרטיות צריכים להיות מופצים באופן נרחב למועמדים לאורך תהליך הגיוס. חוזי עבודה צריכים לכלול:
- סעיפי NDA המורחבים לכל הצוות העוסק במידע סודי ו/או בנכסים ארגוניים מאובטחים (ראה ISO 27002 6.6).
- כל החובות המשפטיות של הארגון והעובד, במיוחד כל מה שעוסק ב-IP או הגנת הפרטיות ראה (ראה ISO 27002 5.32 ו-5.34).
- כל האחריות הרלוונטית הנוגעת לסיווג וניהול מידע, מתקני עיבוד ושירותי ICT (ראה ISO 27002 5.9 ו-5.13).
- מה ההשלכות על כל צוות שמתהדר במדיניות הגנת הפרטיות של הארגון.
- במקרה הרלוונטי, סדרה של אחריות שנמשכת לתקופת זמן מתאימה לאחר שאנשי הצוות עזבו את הארגון (למשל, NDAs, תנאי IP).
יחד עם אחריות תעסוקתית שוטפת, ייתכן שעובדים יתבקשו לדבוק ב'קוד התנהגות' כלל ארגוני, המגדיר את העקרונות הבסיסיים של פעולת הגנת הפרטיות של הארגון, ופעילויות הקשורות ל-PII.
בקרות ISO 27002 רלוונטיות
- ISO 27002 5.9
- ISO 27002 5.13
- ISO 27002 5.32
- ISO 27002 5.34
- ISO 27002 6.4
- ISO 27002 6.5
- ISO 27002 6.6
בקרות תומכות מ-ISO 27002 ו-GDPR
| מזהה סעיף ISO 27701 | שם סעיף ISO 27701 | דרישת ISO 27002 | מאמרי GDPR משויכים |
|---|---|---|---|
| 6.4.1.1 | סריקה |
6.1 - הקרנה עבור ISO 27002 |
ללא חתימה |
| 6.4.1.2 | תנאי העסקה |
6.2 – תנאי העסקה עבור ISO 27002 |
ללא חתימה |
כיצד ISMS.online עוזר
הפלטפורמה מבוססת הענן שלנו מאפשרת לך לגשת לכל משאבי ה-PIMS שלך במקום אחד. אתה יכול להשתמש בפלטפורמה הקלה לשימוש שלנו כדי לתעד את כל מה שאתה צריך כדי להראות שאתה עומד בדרישות של ISO 27701.
שיטת התוצאות המובטחות שלנו (ARM) מבטלת את הדרישות של תקן ISO 27701 ומעניקה לך ביטחון בזמן שאתה מתקדם לקראת השגת ההסמכה. יש לנו צוות פנימי של מומחי אבטחת מידע שיכולים לספק הדרכה ולענות על שאלות כדי לעזור לך בדרך להסמכת ISO 27701.
למידע נוסף על ידי הזמנת הדגמה.
