4.8 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+============================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en_ | | | | | | | | | | | | ecosysteem | +------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
Beheersmaatregel
In arbeidsovereenkomsten behoort te worden vermeld wat de verantwoordelijkheden van het personeel en van de organisatie zijn wat betreft informatiebeveiliging.
Doel
Bewerkstelligen dat personeel begrijpt wat hun verantwoordelijkheden zijn op het gebied van informatiebeveiliging voor de rollen waarvoor zij mogelijk in aanmerking komen.
Richtlijn
In de contractuele verplichtingen voor personeel behoren het informatiebeveiligingsbeleid en relevante onderwerpspecifieke beleidsregels van de organisatie in aanmerking te worden genomenovendien kunnen de volgende punten worden opgehelderd en vermeld:
a) vertrouwelijkheids- of geheimhoudingsovereenkomsten die door personeel dat toegang krijgt tot vertrouwelijke informatie, behoren te worden ondertekend alvorens aan personeel toegang wordt verleend tot informatie en andere gerelateerde bedrijfsmiddelen (zie 6.6)
b) wettelijke verantwoordelijkheden en rechten [bijv. betreffende auteursrechtwetgeving of wetgeving inzake gegevensbescherming (zie 5.31 en 5.34)];
c) verantwoordelijkheden met betrekking tot de classificatie van informatie en het beheer van de informatie en andere gerelateerde bedrijfsmiddelen van de organisatie, informatieverwerkende faciliteiten en informatiediensten waarmee het personeel omgaat (zie 5.9 t/m 5.13);
d) verantwoordelijkheden voor het omgaan met van belanghebbenden ontvangen informatie;
e) te treffen maatregelen indien personeel de beveiligingseisen van de organisatie veronachtzaamt (zie 6.4)
De informatiebeveiligingsrollen en de verantwoordelijkheden behoren tijdens het voortraject van het aanstellingsproces aan kandidaten te worden gecommuniceerd.
De organisatie behoort ervoor te zorgen dat personeel en contractanten instemmen met voorwaarden betreffende informatiebeveiligingeze voorwaarden behoren te passen bij de aard en de mate van toegang die ze zullen krijgen tot de bedrijfsmiddelen van de organisatie die samenhangen met informatiesystemen en -dienstene voorwaarden inzake informatiebeveiliging behoren te worden beoordeeld wanneer wetten, regelgeving, het informatiebeveiligingsbeleid of onderwerpspecifieke beleidsregels veranderen.
Waar van toepassing behoren de verantwoordelijkheden die in de arbeidsovereenkomst staan, voor een vastgestelde periode na het einde van het dienstverband van kracht te blijven (zie 6.5)
Overige informatie
Er kan een gedragscode worden gebruikt die de verantwoordelijkheden van het personeel in het kader van informatiebeveiliging aangeeft ten aanzien van vertrouwelijkheid, bescherming van persoonsgegevens, ethiek, passend gebruik van de informatie en andere gerelateerde
bedrijfsmiddelen van de organisatie, alsmede ten aanzien van door de organisatie verwacht moreel verantwoord handelen.
Een externe partij waarmee personeel van leveranciers is verbonden, kan ertoe zijn verplicht namens de gecontracteerde persoon contractuele afspraken te maken.
Indien de organisatie geen rechtspersoon is en geen werknemers heeft, kan het equivalent van een contractuele overeenkomst en van contractuele voorwaarden in aanmerking worden genomen, overeenkomstig de richtlijnen van deze beheersmaatregel.