Điều khoản và điều kiện tuyển dụng là gì?
Mục 6.2, các điều khoản và điều kiện tuyển dụng trong tiêu chuẩn ISO 27002:2022 mới đề cập đến nhu cầu ký kết hợp đồng để thông báo cho bất kỳ nhân viên mới nào về trách nhiệm của họ cũng như của tổ chức đối với bảo mật thông tin.
Điều này có nghĩa là nhân viên phải biết về chính sách bảo mật thông tin của công ty , cũng như vai trò và trách nhiệm của những người làm việc với bảo mật thông tin trong công ty. Điều này có thể được thực hiện bằng cách yêu cầu nhân viên ký hợp đồng lao động hoặc một văn bản tương tự.
Một thỏa thuận hợp đồng như vậy thường sẽ nêu rõ các yêu cầu chung để bảo vệ tài sản thông tin , bao gồm an ninh vật lý, kiểm soát môi trường, kiểm soát truy cập và lập kế hoạch dự phòng cũng như thỏa thuận bảo mật nếu họ sẽ làm việc với PII.
Giải thích về bảo mật thông tin
Bảo mật thông tin là hoạt động bảo vệ thông tin khỏi việc truy cập, sử dụng, tiết lộ, gián đoạn, sửa đổi, xem xét, kiểm tra, ghi lại hoặc phá hủy trái phép. Nó bao gồm việc đảm bảo tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu.
Mục đích của bảo mật thông tin là bảo vệ tài sản và sở hữu trí tuệ của tổ chức khỏi các cuộc tấn công của tin tặc và các mối đe dọa bảo mật khác.
Giải thích về các mối đe dọa an ninh thông tin
Các mối đe dọa về an ninh thông tin là những mối nguy hiểm tiềm tàng có thể gây ra bởi các tác nhân độc hại đối với dữ liệu và cơ sở hạ tầng của tổ chức. Các rủi ro thường liên quan đến các biện pháp bảo mật thông tin kém và/hoặc các biện pháp bảo vệ không đầy đủ.
Các mối đe dọa an ninh thông tin phổ biến nhất bao gồm:
- Vi phạm và mất mát dữ liệu.
- Tấn công lừa đảo.
- Phần mềm độc hại và phần mềm tống tiền.
- Nhiễm virus và giun.
- Tấn công DDoS.
Các mối đe dọa về an ninh thông tin liên tục phát triển và ngày càng phức tạp. Các mối đe dọa đến từ cả bên ngoài và bên trong tổ chức, và chúng có thể tấn công bất cứ lúc nào.
Bảng Thuộc tính
Thuộc tính là một cách để nhóm các điều khiển. Sẽ dễ dàng hơn để khớp lựa chọn điều khiển của bạn với các thông số kỹ thuật và thuật ngữ tiêu chuẩn của ngành nếu bạn xem xét các thuộc tính của điều khiển. Trong điều khiển 6.2, có thể sử dụng các thuộc tính sau.
| Loại điều khiển | Thuộc tính bảo mật thông tin | Các khái niệm về an ninh mạng | Khả năng hoạt động | Miền bảo mật |
|---|---|---|---|---|
| #Phòng ngừa | #Bảo mật #Toàn vẹn #Khả dụng | #Bảo vệ | #An ninh nguồn nhân lực | #Quản trị và Hệ sinh thái |
Mục đích của Kiểm soát 6.2 là gì?
Mục đích của biện pháp kiểm soát 6.2 là đảm bảo rằng tất cả nhân viên đều hiểu rõ vai trò của mình trong việc bảo vệ tài sản và thông tin bí mật của công ty, đặc biệt là khi liên quan đến vai trò mà họ đảm nhiệm.
Nghĩa vụ được kiểm soát 6.2
Điều khoản và điều kiện tuyển dụng của Control 6.2 là một phần quan trọng trong hệ thống quản lý bảo mật thông tin (ISMS) của tổ chức bạn. Nó giúp bạn đáp ứng các nghĩa vụ của mình theo GDPR và các yêu cầu pháp lý khác liên quan đến xử lý dữ liệu cá nhân và bảo mật thông tin.
Mục đích của biện pháp kiểm soát này là đảm bảo nhân viên hiểu rõ trách nhiệm bảo mật thông tin của họ trong tổ chức .
Để giúp đạt được điều này, điều quan trọng là nhân viên phải nhận thức được nghĩa vụ bảo mật của mình và các điều khoản và điều kiện liên quan khác trước khi họ bắt đầu làm việc cho một tổ chức. Điều này cũng có thể bao gồm bất kỳ hạn chế nào về việc sử dụng công nghệ hoặc nền tảng truyền thông xã hội.
Biện pháp kiểm soát này cần được xem xét hàng năm để đảm bảo mọi thay đổi về cơ cấu tổ chức hoặc quy trình đều được phản ánh trong tài liệu cung cấp cho nhân viên.
Bao gồm những gì và làm thế nào để bạn đáp ứng các yêu cầu
Cách rõ ràng nhất để đáp ứng các yêu cầu về Kiểm soát 6.2, các điều khoản và điều kiện tuyển dụng là cung cấp cho tất cả nhân viên một hợp đồng lao động bằng văn bản hoặc thư mời làm việc, trong đó nêu rõ tất cả các điều khoản và điều kiện tuyển dụng của họ, đặc biệt là trong lĩnh vực bảo mật thông tin.
Ngoài ra, các nghĩa vụ theo hợp đồng đối với nhân sự phải xem xét đến chính sách bảo mật thông tin của tổ chức và các chính sách cụ thể theo chủ đề có liên quan, và các điểm sau đây phải được đề cập rõ trong thỏa thuận hợp đồng lao động:
- các thỏa thuận bảo mật hoặc không tiết lộ thông tin mà nhân sự được cấp quyền truy cập vào thông tin bí mật phải ký trước khi được cấp quyền truy cập vào thông tin và các tài sản liên quan khác;
- trách nhiệm và quyền pháp lý [ví dụ liên quan đến luật bản quyền hoặc luật bảo vệ dữ liệu;
- trách nhiệm phân loại thông tin và quản lý thông tin của tổ chức
- thông tin và các tài sản liên quan khác, các cơ sở xử lý thông tin và các dịch vụ thông tin do nhân viên xử lý;
- trách nhiệm xử lý thông tin nhận được từ các bên quan tâm;
- các hành động cần thực hiện nếu nhân sự không tuân thủ các yêu cầu về an ninh của tổ chức.
Cuối cùng, tổ chức phải đảm bảo rằng nhân viên đồng ý với các điều khoản và điều kiện liên quan đến bảo mật thông tin.
Những thay đổi và khác biệt so với ISO 27002:2013
Kiểm soát 6.2 trong ISO 27002:2022 không hẳn là một kiểm soát mới trong loạt ISO này. Được công bố vào tháng 2 năm 2022, phiên bản ISO 27002 này là bản nâng cấp của phiên bản 2013. Do đó, kiểm soát 6.2 là phiên bản đã sửa đổi của kiểm soát 7.1.2 trong ISO 27002:2013.
Phiên bản 2022 có bảng thuộc tính và tuyên bố mục đích không có trong control 7.1.2.
Nói như vậy, không có sự khác biệt rõ ràng nào khác giữa hai điều khiển ngoài sự thay đổi về số điều khiển. Mặc dù cách diễn đạt của hai điều khiển có thể không giống nhau, nhưng nội dung và ngữ cảnh thì hầu như giống nhau.
Ai là người chịu trách nhiệm cho quá trình này?
Câu trả lời rất đơn giản: nó phụ thuộc vào quy mô công ty và cách thức tổ chức nhân viên.
Trong các công ty nhỏ hơn, một người có thể chịu trách nhiệm cho tất cả các chức năng của HR (ví dụ: tuyển dụng, hợp đồng, đào tạo). Cũng có thể ủy quyền những trách nhiệm này cho một người khác trong công ty. Người này sẽ đảm bảo rằng Kiểm soát 6.2 được tất cả nhân viên tuân thủ đúng nhưng sẽ không chịu trách nhiệm về việc phát triển hoặc diễn giải của nó.
Chức năng này cũng có thể là trách nhiệm chung của tất cả các nhà quản lý và giám sát trong toàn tổ chức, từ CEO cho đến các cấp quản lý trung gian.
Tuy nhiên, để thực hiện đúng biện pháp kiểm soát này, tốt nhất là người quản lý nhân sự phải chịu trách nhiệm, dưới sự giám sát của người quản lý ISMS .
Những thay đổi này có ý nghĩa gì đối với bạn?
Tiêu chuẩn ISO 27002:2022 mới không phải là bản cập nhật quan trọng. Do đó, bạn sẽ không cần phải thực hiện bất kỳ sửa đổi quan trọng nào để tuân thủ phiên bản mới nhất của ISO 27002.
Tuy nhiên, nếu bạn đang có kế hoạch triển khai ISMS (hoặc thậm chí là chứng nhận ISMS), điều quan trọng là bạn phải đánh giá phiên bản hiện tại của ISO 27002 và xác nhận rằng các quy trình bảo mật của bạn là đầy đủ.
Bạn có thể tìm thấy thông tin bổ sung về cách tiêu chuẩn ISO 27002 mới sẽ ảnh hưởng đến hoạt động bảo mật thông tin và chứng nhận ISO 27001 của chúng tôi trong sổ tay ISO 27002:2022 của chúng tôi, có thể tải xuống miễn phí trên trang web của chúng tôi.
