Mục đích của Kiểm soát 6.1
Kiểm soát 6.1 liên quan đến việc kiểm tra lý lịch bắt buộc đối với tất cả nhân viên và nhà cung cấp được lựa chọn trước khi họ gia nhập tổ chức.
Tiêu chuẩn kiểm soát 6.1 ủng hộ phương pháp tiếp cận theo tỷ lệ đối với các lần kiểm tra xác minh có liên quan đến các yêu cầu riêng của tổ chức và bao gồm tất cả các luật, quy định và tiêu chuẩn đạo đức có liên quan mà tổ chức phải tuân thủ, bất kể hoạt động ở đâu.
Khi tiến hành kiểm tra, các tổ chức cần lưu ý đến loại thông tin mà mỗi nhân viên/nhà cung cấp sẽ tiếp xúc trong suốt quá trình làm việc của họ và mọi rủi ro liên quan.
Bảng Thuộc tính
Kiểm soát 6.1 là biện pháp kiểm soát phòng ngừa giúp duy trì rủi ro bằng cách thiết lập quy trình sàng lọc để kiểm tra toàn bộ nhân viên toàn thời gian, bán thời gian và nhân viên tạm thời/thời vụ cũng như nhà cung cấp, nhằm đảm bảo chỉ những nhân viên phù hợp và có năng lực mới có thể truy cập thông tin.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ | #An ninh nguồn nhân lực | #Quản trị và Hệ sinh thái |
Quyền sở hữu kiểm soát 6.1
Kiểm tra xác minh việc làm thường được thực hiện trước khi một người bắt đầu công việc của họ. Do đó, quyền sở hữu 6.1 phải thuộc về Quản lý nhân sự của tổ chức.
Hướng dẫn chung về Kiểm soát 6.1
Các hoạt động sàng lọc nên bao gồm các kiểm tra sau:
- Tài liệu tham khảo, bao gồm cả chứng thực kinh doanh và cá nhân.
- Xác minh CV để đảm bảo ứng viên không bỏ sót bất kỳ thông tin có liên quan nào và chỉ đưa vào thông tin chính xác và trung thực.
- Xác nhận trình độ học vấn, nghề nghiệp và chứng chỉ chuyên môn.
- Xác minh danh tính, được xác nhận bởi tổ chức chính phủ hoặc tổ chức công bên thứ ba (kiểm tra hộ chiếu và/hoặc giấy phép lái xe).
- Kiểm tra tín dụng và lý lịch tư pháp đối với bất kỳ vai trò nào được coi là phù hợp để thẩm tra kỹ lưỡng hơn.
Xác minh lý lịch thường bao gồm việc thu thập, xử lý và chuyển PII và/hoặc các đặc điểm được bảo vệ (luật của Vương quốc Anh). Do đó, các tổ chức phải đảm bảo tuân thủ nghiêm ngặt mọi luật lao động hiện hành, bất kể họ hoạt động ở đâu.
Điều này thường bao gồm việc thông báo cho ứng viên về quy trình sàng lọc (cả về dữ liệu đang được xử lý và mục đích sử dụng dữ liệu) trước khi tiến hành xác minh.
Các thủ tục sàng lọc phải nêu rõ nhân sự chịu trách nhiệm thực hiện sàng lọc thay mặt cho tổ chức và lý do cơ bản tại sao phải tiến hành sàng lọc ngay từ đầu.
Nếu cần sàng lọc nhà cung cấp, điều quan trọng là phải đưa yêu cầu này vào bất kỳ thỏa thuận hợp đồng nào trước khi cung cấp dịch vụ.
Sau khi nhân viên/nhà cung cấp đã được thẩm định và tuyển dụng, tổ chức phải thực hiện các bước để đảm bảo rằng ứng viên có khả năng thực hiện vai trò như đã quảng cáo và đã chứng minh được mình là một cá nhân đáng tin cậy, đặc biệt nếu vai trò của họ bao gồm bất kỳ hoạt động nào liên quan đến bảo mật thông tin.
Hướng dẫn – Kiểm tra nâng cao
Kiểm soát 6.1 cung cấp cho các tổ chức nhiều sự lựa chọn về các tình huống cần thiết trước khi bắt đầu các biện pháp kiểm tra nâng cao.
Những quy trình như vậy nên được quyết định dựa trên từng công việc và không nên phân biệt giữa nhân viên mới hoặc nhân viên hiện tại được thăng chức lên vai trò có nhiều trách nhiệm hơn.
Các vai trò yêu cầu sàng lọc nâng cao có thể được định nghĩa là bất kỳ vai trò nào liên quan đến việc xử lý thông tin như một hoạt động hàng ngày (ví dụ: HR) hoặc bất kỳ vai trò nào bao gồm việc xử lý hoặc chế biến PII, thông tin tài chính hoặc bất kỳ loại dữ liệu nhạy cảm nào khác.
Các tổ chức cũng nên cân nhắc những cách thức để xác minh tính phù hợp liên tục của bất kỳ nhân sự nào được tuyển dụng vào một vai trò quan trọng.
Hướng dẫn – Xác minh không đầy đủ
Trong một số trường hợp nhất định (tuyển dụng khẩn cấp, sự chậm trễ của bên thứ ba, lỗi trong đơn xin việc, v.v.), việc sàng lọc không phải lúc nào cũng có thể hoàn thành kịp thời.
Khi điều này xảy ra, các tổ chức nên cân nhắc các phương án hành động thay thế nhằm giảm thiểu rủi ro liên quan đến nhân viên chưa được sàng lọc, bao gồm:
- Quá trình gia nhập bị trì hoãn.
- Hạn chế quyền truy cập vào hệ thống.
- Giữ lại tài sản và thiết bị của công ty.
- Chấm dứt việc làm.
Những thay đổi và khác biệt so với ISO 27002:2013
27002:2022-6.1 thay thế 27002:2013-7.1.1 (Sàng lọc).
27002:2022-6.1 bao gồm các điểm hướng dẫn cơ bản giống như 27002:2013-7.1.1, trong việc tư vấn cho các tổ chức về thông tin nào cần phải xác minh trước khi một nhân viên/nhà cung cấp bắt đầu công việc (tài liệu tham khảo, CV, danh tính, v.v.).
Dựa trên hướng dẫn cơ bản được cung cấp, 27002:2022-6.1 cũng chứa thông tin bổ sung về cách các tổ chức nên phản ứng với các xác minh không đầy đủ, bao gồm cả khả năng chấm dứt.
