5.3 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+============================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en_ | | | | | | | | | | | | Ecosysteem | +------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
Beheersmaatregel
De achtergrond van alle kandidaten die in aanmerking komen voor posities binnen de organisatie behoort te worden gecontroleerd voordat ze bij de organisatie in dienst treden en daarna op gezette tijden te worden herhaaldierbij behoort rekening te worden gehouden met de toepasselijke wet- en regelgeving, voorschriften en ethische overwegingen, en deze controle behoort in verhouding te staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico's.
Doel
Bewerkstelligen dat al het personeel in aanmerking komt en geschikt is voor de functies waarvoor zij worden overwogen en dat zij hiervoor gedurende hun dienstverband in aanmerking blijven komen en geschikt blijven.
Richtlijn
Al het personeel, met inbegrip van voltijd-, deeltijd- en tijdelijk personeel, behoort te worden gescreendndien deze personen via dienstverleners worden ingehuurd, behoren screeningeisen te worden opgenomen in de contractuele afspraken tussen de organisatie en de dienstverleners.
Informatie over alle kandidaten die in aanmerking komen voor posities binnen de organisatie, behoort te worden verzameld en verwerkt met inachtneming van de relevante wetgeving in het relevante rechtsgebiedn bepaalde rechtsgebieden kan het wettelijk vereist zijn dat de organisatie de kandidaten vooraf op de hoogte stelt van de screeningsactiviteiten.
Bij deze controle behoort alle relevante wetgeving op het gebied van privacy, bescherming van persoonsgegevens en arbeidswetgeving in acht te worden genomen, en de controle behoort, voor zover toegestaan, het volgende te omvatten:
a) de beschikbaarheid van positieve referenties (bijvakelijke en persoonlijke referenties);
b) een controle (op volledigheid en nauwkeurigheid) van het curriculum vitae van de sollicitant;
c) bevestiging van de geclaimde academische en beroepskwalificaties;
d) onafhankelijke identiteitscontrole (bijven paspoort of ander aanvaardbaar document dat is
afgegeven door een passende instantie);
e) meer gedetailleerde controle, zoals controle op kredietwaardigheid of strafblad indien de kandidaat
een essentiële rol krijgt.
Als een persoon wordt ingehuurd voor een specifieke informatiebeveiligingsrol, behoort de organisatie zich ervan te vergewissen dat:
a) de kandidaat over de nodige competentie beschikt om de beveiligingsrol te vervullen;
b) de kandidaat de rol kan worden toevertrouwd, in het bijzonder als de rol cruciaal is voor de
organisatie.
Als een functie, hetzij bij een eerste aanstelling, hetzij bij promotie, met zich meebrengt dat de persoon toegang heeft tot faciliteiten die informatie verwerken, en, in het bijzonder, indien het hierbij gaat om vertrouwelijke informatie (bijvinanciële, persoonlijke of medische informatie of zeer vertrouwelijke informatie), behoort de organisatie ook verdere, meer gedetailleerde verificaties te overwegen.
In procedures behoren criteria en beperkingen voor controleonderzoeken te worden gedefinieerd (bijvie is competent om personen te screenen, en hoe, wanneer en waarom worden controleonderzoeken uitgevoerd).
In situaties waarin de controle niet tijdig kan worden voltooid, behoren beperkende beheersmaatregelen te worden geïmplementeerd totdat de beoordeling is voltooid, bijvoorbeeld:
a) uitgestelde 'onboarding';
b) uitgestelde inzet van bedrijfsmiddelen van het bedrijf;
c) 'onboarding' met beperkte toegang;
d) beëindiging van het dienstverband.
Deze controles behoren op gezette tijden te worden herhaald om te bevestigen dat personeel nog altijd geschikt is, afhankelijk van hoe essentieel de rol van een persoon is.
Overige informatie Geen overige informatie.