3.8 KiB
#iso27002/2022/NL
Standard: ISO 27002:2022 NL
+------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+ | Type | Informatie- | Cybersecurity- | Operationele | Beveiligings- | | | | | | | | beheersmaatregel | beveiligings- | concepten | capaciteiten | domeinen | | | | | | | | | eigenschappen | | | | +========================+====================================================+======================+============================+=====================+ | #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Personeelsbeveili- ging | #Governance_en_ | | | | | | | | #Corrigerend | | #Reageren | | Ecosysteem | +------------------------+----------------------------------------------------+----------------------+----------------------------+---------------------+
Beheersmaatregel
Er behoort een formele en gecommuniceerde disciplinaire procedure te zijn om actie te ondernemen tegen personeel en andere belanghebbenden die zich schuldig hebben gemaakt aan een schending van het informatiebeveiligingsbeleid.
Doel
Bewerkstelligen dat personeel en andere relevante belanghebbenden de gevolgen begrijpen van schending van het informatiebeveiligingsbeleid, personeel en andere relevante belanghebbenden ervan weerhouden zich schuldig te maken aan een schending, en personeel en andere relevante belanghebbenden die zich schuldig hebben gemaakt aan een schending op de juiste manier aanpakken.
Richtlijn
De disciplinaire procedure behoort niet te worden geïnitieerd voordat is geverifieerd dat er zich een schending van het informatiebeveiligingsbeleid heeft voorgedaan (zie 5.1).
De formele disciplinaire procedure behoort te voorzien in een geleidelijke getrapte respons waarbij rekening wordt gehouden met factoren zoals:
a) de aard (wie, wat, wanneer, hoe) en ernst van de inbreuk en de gevolgen ervan;
b) of de overtreding opzettelijk (kwaadwillig) of onopzettelijk (per ongeluk) was;
c) of het al dan niet een eerste overtreding betreft;
d) of de overtreder al dan niet naar behoren was opgeleid.
Bij de reactie behoort rekening te worden gehouden met relevante eisen van wet- en regelgeving, statutaire, contractuele en bedrijfseisen evenals andere factoren voor zover vereiste disciplinaire procedure behoort ook te worden gebruikt als een afschrikmiddel om te voorkomen dat personeel en andere relevante belanghebbenden het informatiebeveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures voor informatiebeveiliging overtredenpzettelijke schendingen van het informatiebeveiligingsbeleid kunnen onmiddellijke maatregelen vereisen.
Overige informatie
Indien mogelijk behoort de identiteit van personen tegen wie disciplinaire actie wordt ondernomen overeenkomstig de toepasselijke eisen te worden beschermd.
Wanneer personen blijk hebben gegeven van uitstekend gedrag met betrekking tot informatiebeveiliging, kunnen ze worden beloond om de informatiebeveiliging te bevorderen en goed gedrag te stimuleren.