ISO 27001 - אַנעקס אַ.7: מענטשנרעכט ריסאָרס זיכערהייט

וואָס איז די אָביעקטיוו פון אַנעקס אַ.7.1?

אַנעקס אַ.7.1 איז וועגן פריערדיק צו באַשעפטיקונג. די אָביעקטיוו אין דעם אַנעקס איז צו ענשור אַז עמפּלוייז און קאָנטראַקטאָרס פֿאַרשטיין זייער ריספּאַנסאַבילאַטיז און זענען פּאַסיק פֿאַר די ראָלעס פֿאַר וואָס זיי זענען באַטראַכט. עס אויך קאָווערס וואָס כאַפּאַנז ווען די מענטשן פאַרלאָזן אָדער טוישן ראָלעס.

דאָס איז אַ וויכטיק טייל פון די אינפֿאָרמאַציע זיכערהייט פאַרוואַלטונג סיסטעם (ISMS) ספּעציעל אויב איר ווילט צו דערגרייכן ISO 27001 סערטאַפאַקיישאַן.

א.7.1.1 זיפּונג

א גוט קאָנטראָל קאָווערס הינטערגרונט וועראַפאַקיישאַן און קאַמפּאַטינס טשעקס אויף אַלע קאַנדאַדייץ פֿאַר באַשעפטיקונג. די מוזן זיין דורכגעקאָכט אין לויט מיט די באַטייַטיק געזעצן, רעגיאַליישאַנז און עטיקס, און זאָל זיין פּראַפּאָרשאַנאַל צו די געשעפט רעקווירעמענץ, די קלאַסאַפאַקיישאַן פון די אינפֿאָרמאַציע וואָס וועט זיין אַקסעסט און די באמערקט ריסקס פֿאַרבונדן.

פֿאַר בייַשפּיל, שטעקן וואָס אַקסעס העכער אינפֿאָרמאַציע אַסעץ וואָס פירן מער ריזיקירן קען זיין אונטערטעניק צו פיל מער שטרענג טשעקס ווי שטעקן וואָס נאָר באַקומען אַקסעס צו ציבור אינפֿאָרמאַציע אָדער שעפּן אַסעץ מיט לימיטעד סאַקאָנע. שטעלן טויגן און פּראַפּאָרשאַנאַל HR קאָנטראָלס אין אַלע סטאַגעס פון באַשעפטיקונג העלפּס צו רעדוצירן די ליקעליהאָאָד פון אַקסאַדענטאַל אָדער בייזע טרעץ.

די זיפּונג זאָל אויך פּאַסירן פֿאַר קאָנטראַקטאָרס (סייַדן זייער פאָטער אָרגאַניזאַציע מיץ דיין ברייטערער זיכערהייט קאָנטראָלס, למשל האט זייער אייגענע ISO 27001 און טוט זייער אייגענע הינטערגרונט טשעקס).

אַן אָדיטאָר וועט דערוואַרטן צו זען אַ זיפּונג פּראָצעס מיט קלאָר פּראָוסידזשערז אַפּערייטאַד קאַנסיסטאַנטלי יעדער מאָל צו אויך העלפֿן ויסמיידן קיין ייבערהאַנט / פאָרורטל ריסקס. ידעאַללי דאָס וועט זיין אַליינד מיט די קוילעלדיק הירינג פּראָצעס פון די אָרגאַניזאַציע.

א.7.1.2 תּנאָים & קאָנדיטיאָנס פון באַשעפטיקונג

די קאָנטראַקטואַל העסקעם מיט עמפּלוייז און קאָנטראַקטאָרס מוזן דערקלערן זייער און די אָרגאַניזאַציע ס ריספּאַנסאַבילאַטיז פֿאַר אינפֿאָרמאַציע זיכערהייט. די אַגרימאַנץ זענען אַ גוט אָרט צו שטעלן שליסל אינפֿאָרמאַציע זיכערהייט אַלגעמיינע און יחיד ריספּאַנסאַבילאַטיז ווייַל זיי פירן לעגאַל וואָג - טייַטש זיי זענען באַקט דורך די געזעץ.

דאָס איז אויך זייער וויכטיק וועגן GDPR און די נייַע דאַטאַ פּראַטעקשאַן אקט 2018. זיי זאָל דערמאָנען און דעקן אַ גאַנץ קייט פון קאָנטראָל געביטן אַרייַנגערעכנט קוילעלדיק העסקעם מיט די יסמס און מער ספּאַסיפיקלי פּאַסיק נוצן, IPR אָונערשיפּ, צוריקקער פון אַסעץ עטק.

מיר רעקאָמענדירן צו אַרבעטן מיט אַן HR אַדוואָקאַט אויב איר זענט נישט זיכער, ווייַל די קאַנסאַקווענסאַז פֿאַר פאַלש באַשעפטיקונג קאַנטראַקץ פֿון אַן אינפֿאָרמאַציע זיכערהייט פּערספּעקטיוו (און אנדערע דימענשאַנז) קענען זיין באַטייטיק.

וואָס איז די אָביעקטיוו פון אַנעקס אַ.7.2?

די אָביעקטיוו אין דעם אַנעקס איז צו ענשור אַז עמפּלוייז און קאָנטראַקטאָרס זענען אַווער פון און מקיים זייער אינפֿאָרמאַציע זיכערהייט ריספּאַנסאַבילאַטיז בעשאַס באַשעפטיקונג.

א.7.2.1 פאַרוואַלטונג ריספּאַנסאַבילאַטיז

א גוט קאָנטראָל באשרייבט ווי עמפּלוייז און קאָנטראַקטאָרס צולייגן אינפֿאָרמאַציע זיכערהייט אין לויט מיט די פּאַלאַסיז און פּראָוסידזשערז פון דער אָרגאַניזאַציע.

די ריספּאַנסאַבילאַטיז געשטעלט אויף מאַנאַדזשערז זאָל אַרייַננעמען באדערפענישן צו; פאַרזיכערן אַז די וואָס זיי זענען פאַראַנטוואָרטלעך פֿאַר פֿאַרשטיין די טרעץ פון אינפֿאָרמאַציע זיכערהייט, וואַלנעראַביליטיז און קאָנטראָלס וואָס זענען באַטייַטיק פֿאַר זייער אַרבעט ראָלעס און באַקומען רעגולער טריינינג (ווי פּער A7.2.2); פאַרזיכערן ביי-אין צו פּראָואַקטיוו און טויגן שטיצן פֿאַר באַטייַטיק אינפֿאָרמאַציע זיכערהייט פּאַלאַסיז און קאָנטראָלס; און פאַרשטאַרקן די באדערפענישן פון די טערמינען און באדינגונגען פון באַשעפטיקונג.

מאַנאַדזשערז שפּילן אַ קריטיש ראָלע אין ינשורינג זיכערהייט באוווסטזיין און קאַנשיענשאַסנאַס איבער דער אָרגאַניזאַציע און אין דעוועלאָפּינג אַ צונעמען "זיכערהייט קולטור".

א.7.2.2 אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג

אַלע עמפּלוייז און באַטייַטיק קאָנטראַקטאָרס מוזן באַקומען צונעמען וויסיקייַט בילדונג און טריינינג צו טאָן זייער אַרבעט געזונט און סיקיורלי. זיי מוזן באַקומען רעגולער דערהייַנטיקונגען אין אָרגאַנאַזיישאַנאַל פּאַלאַסיז און פּראָוסידזשערז ווען זיי זענען אויך געביטן, צוזאַמען מיט אַ גוט פארשטאנד פון די אָנווענדלעך געסעצ - געבונג וואָס אַפעקץ זיי אין דער ראָלע.

עס איז פּראָסט פֿאַר די אינפֿאָרמאַציע זיכערהייט מאַנשאַפֿט צו שוטעף מיט HR אָדער אַ לערנען & אנטוויקלונג מאַנשאַפֿט צו דורכפירן סקילז, וויסן, קאַמפּאַטינס און וויסיקייַט אַסעסמאַנץ און צו פּלאַנירן און ינסטרומענט אַ פּראָגראַם פון וויסיקייַט, בילדונג און טריינינג איבער די באַשעפטיקונג לעבן ציקל (ניט נאָר ביי ינדאַקשאַן). איר דאַרפֿן צו באַווייַזן אַז טריינינג און העסקעם צו אַדאַטערז.

באַטראַכטן אויך קערפאַלי ווי די טריינינג און וויסיקייַט איז איבערגעגעבן צו געבן די שטעקן און קאָנטראַקטאָר מיטל די בעסטער געלעגנהייט צו פֿאַרשטיין און נאָכפאָלגן עס - דאָס מיטל אַ אָפּגעהיט ופמערקזאַמקייט צו אינהאַלט און מיטל פֿאַר עקספּרעס.

וואָס איז די אָביעקטיוו פון אַנעקס אַ.7.3?

אַנעקס אַ.7.3 איז וועגן טערמאַניישאַן און טוישן פון באַשעפטיקונג. די אָביעקטיוו אין דעם אַנעקס איז צו באַשיצן די אינטערעסן פון דער אָרגאַניזאַציע ווי אַ טייל פון דעם פּראָצעס פון טשאַנגינג און ענדיקן באַשעפטיקונג.

א.7.3.1 טערמאַניישאַן אָדער טוישן פון באַשעפטיקונג ריספּאַנסאַבילאַטיז

אינפֿאָרמאַציע זיכערהייט ריספּאַנסאַבילאַטיז און פליכט וואָס בלייבן גילטיק נאָך טערמאַניישאַן אָדער טוישן פון באַשעפטיקונג מוזן זיין דיפיינד, קאַמיונאַקייטיד צו דער אָנגעשטעלטער אָדער קאָנטראַקטאָר און ענפאָרסט. ביישפילן אַרייַננעמען בעכעסקעם אינפֿאָרמאַציע קאַנפאַדענשאַל און נישט לאָזן אינפֿאָרמאַציע וואָס געהערט צו דער אָרגאַניזאַציע.

עס איז טאַקע וויכטיק צו ענשור אַז אינפֿאָרמאַציע בלייבט פּראָטעקטעד נאָך אַן אָנגעשטעלטער אָדער קאָנטראַקטאָר פאַרלאָזן די אָרגאַניזאַציע, ווייַל מענטשן זיך גיין דורך דאַטן סטאָרז. די קאָנטראַקטואַל טערמינען & באדינגונגען זאָל פאַרשטאַרקן דעם, און דער פאַרלאָזנער פּראָצעס און / אָדער אָפּמאַך טערמאַניישאַן פּראָצעס (אַרייַנגערעכנט צוריקקער פון אַסעץ) זאָל אַרייַננעמען אַ דערמאָנונג צו יחידים אַז זיי האָבן עטלעכע ריספּאַנסאַבילאַטיז צו דער אָרגאַניזאַציע אפילו נאָך זיי האָבן לינקס.

אַן אָדיטאָר וועט וועלן צו זען זאָגן אַז די פאַרלאָזלעך האָבן אומגעקערט זייער אַסעץ און דער פּראָצעס איז פארמאכט און דאַקיומענטאַד צו באַווייַזן אַז אַסעץ זענען דערהייַנטיקט אין די אַסעט ינוואַנטאָרי (A8.1.1) ווו אויך צונעמען.

דאָס איז ניט נאָר וועגן טערמאַניישאַן און אַרויסגאַנג. אויב אַן אָנגעשטעלטער ענדערט ראָלע, למשל, ווען איר מאַך פון אָפּעראַטיאָנס צו פארקויפונג, איר זאָל טאָן אַ רעצענזיע צו באַווייַזן אַז זיי האָבן ניט מער אַקסעס צו אינפֿאָרמאַציע אַסעץ וואָס זענען נישט פארלאנגט אין די נייַע ראָלע, און זיי האָבן אַקסעס צו אינפֿאָרמאַציע אַסעץ פֿאַר דער צוקונפֿט.

א.7.2.3 דיססיפּלינאַרי פּראָצעס

עס דאַרף זיין אַ דאַקיומענטאַד דיסאַפּלאַנערי פּראָצעס אין פּלאַץ און קאַמיונאַקייטיד (אין שורה מיט A7.2.2 אויבן). כאָטש עס איז פאָוקיסט דאָ פֿאַר דיסאַפּלאַנערי קאַמף נאָך זיכערהייט בריטשיז, עס קען אויך זיין דאַוועטיילד מיט אנדערע דיסאַפּלאַנערי סיבות. אויב דיין אָרגאַניזאַציע האט שוין אַ דערקענט HR דיסאַפּלאַנערי פּראָצעס, ענשור אַז עס קאָווערס אינפֿאָרמאַציע זיכערהייט אין די שטייגער פארלאנגט פֿאַר די ISO 27001:2013 נאָרמאַל.