Cláusula 27701 de la norma ISO 6.4: Fortalecimiento de la seguridad de los recursos humanos
Parte integral del fomento de un enfoque proactivo para la protección de la privacidad implica implementar controles sólidos de seguridad de los recursos humanos que gobiernen la idoneidad y competencia de todo el personal que está Se espera que interactúe con PII. en nombre de la organización.
ISO clasifica tales medidas en dos categorías:
- Evaluación previa al empleo (referencias, comprobaciones de identificación, etc.).
- Las obligaciones contractuales que se espera que cumpla el personal una vez que pasa a formar parte de la organización.
Qué se cubre en la cláusula 27701 de la norma ISO 6.4
La cláusula 6.4 contiene dos subcláusulas principales que contienen orientación específica. vinculado a la información correspondiente dentro de ISO 27002, aunque bajo la apariencia de protección de la privacidad, en lugar de seguridad general de la información:
- ISO 27701 6.4.1.1 – Cribado (Referencias ISO 27002 Control 6.1)
- ISO 27701 6.4.1.2 – Términos y condiciones de empleo (Referencias ISO 27002 Control 6.2)
A diferencia de otras partes de ISO 27701, ninguna cláusula es relevante para ningún área específica del RGPD ni contiene orientación adicional para actividades relacionadas con PIMS.
Debido a una serie de factores legislativos y contractuales, ISO 27701 6.4.1.2 (que trata principalmente de contratos de trabajo) contiene información que requiere referencias cruzadas con otras cláusulas contenidas en ISO 27002. Por lo tanto, las organizaciones deben examinar de cerca sus términos y condiciones contractuales. y adaptar su operación de recursos humanos en consecuencia.
Gestione todo su cumplimiento en un solo lugar
ISMS.online admite más de 100 estándares
y regulaciones, brindándole una única
plataforma para todas sus necesidades de cumplimiento.
ISO 27701 Cláusula 6.4.1.1 – Detección
Referencias ISO 27002 Control 6.1
Las organizaciones deberían crear un proceso de selección para reforzar la seguridad de los recursos humanos, incluido todo el personal a tiempo completo y parcial, y también debería extenderse a contratistas externos a través de los acuerdos con proveedores pertinentes.
Las organizaciones deben asegurarse de ser conscientes de su responsabilidad como procesadores de PII al recopilar información sobre candidatos y proveedores, incluido mantenerse en el lado correcto de la legislación nacional y descentralizada que rige cómo se informa a los candidatos sobre las actividades de selección antes de que se lleven a cabo.
Las verificaciones de antecedentes deben incluir como mínimo:
- Referencias (idealmente una referencia comercial y una personal).
- Una verificación completa del currículum del candidato.
- Verificación de títulos y certificaciones académicas, profesionales y vocacionales.
- IDV (Verificación de identidad) que tiene en cuenta el material de identificación emitido por el gobierno, o un nivel apropiado de verificación cuando dichos documentos no se puedan producir (por ejemplo, extractos bancarios o correspondencia de autoridades locales).
Si el candidato va a ser empleado en un puesto que es comercialmente sensible, o que le otorga una gran confianza en caso de que tenga éxito en su solicitud, las organizaciones también deberían considerar la posibilidad de llevar a cabo procedimientos de investigación mejorados, como verificaciones de crédito y/o o verificaciones de antecedentes penales, según corresponda.
Las organizaciones también deberían considerar formas de verificar la idoneidad continua de cualquier personal que esté empleado en una función crítica. Dichos procedimientos deben decidirse sobre una base trabajo por trabajo, y no se debe hacer distinción entre el personal nuevo o el personal existente que ha sido ascendido a un puesto que presenta una mayor responsabilidad.
La evaluación del empleo no siempre se puede completar de manera oportuna. Cuando esto ocurra, las organizaciones deben considerar cursos de acción alternativos que minimicen los riesgos asociados con un miembro del personal no evaluado, que incluyen:
- Incorporación retrasada.
- Acceso restringido a los sistemas.
- Retención de bienes y equipos de la sociedad.
- Terminación del empleo.
El cumplimiento no tiene por qué ser complicado.
Hemos hecho el trabajo duro por usted, brindándole una ventaja inicial del 81 % desde el momento en que inicia sesión.
Todo lo que tienes que hacer es completar los espacios en blanco.
ISO 27701 Cláusula 6.4.1.2 – Términos y condiciones de empleo
Referencias ISO 27002 Control 6.2
Los contratos de trabajo deben redactarse y firmarse teniendo en cuenta la seguridad de la información organizacional, incluidas las políticas temáticas específicas que se hayan desarrollado para ayudar a reforzar la protección de la privacidad a nivel departamental.
Los contratos deben tener un grado de medidas de protección de la privacidad que sean proporcionales a la función a la que están asignados, y deben revisarse frente a la legislación vigente o las obligaciones regulatorias/contractuales.
Las funciones y responsabilidades de protección de la privacidad deben difundirse ampliamente entre los candidatos durante todo el proceso de contratación. Los contratos de trabajo deben incluir:
- Cláusulas de NDA que se extienden a todo el personal que trata con información confidencial y/o protege los activos de la organización (ver ISO 27002 6.6).
- Todas las obligaciones legales de la organización y de los empleados, especialmente las que tienen que ver con la propiedad intelectual o la protección de la privacidad, consulte (ver ISO 27002 5.32 y 5.34).
- Todas las responsabilidades relevantes relativas a la clasificación y gestión de la información, instalaciones de procesamiento y servicios TIC (ver ISO 27002 5.9 y 5.13).
- Cuáles son las consecuencias para cualquier personal que haga alarde de las políticas de protección de privacidad de la organización.
- Cuando sea pertinente, una serie de responsabilidades que se trasladan durante un período de tiempo adecuado después de que el personal haya abandonado la organización (por ejemplo, acuerdos de confidencialidad, estipulaciones de propiedad intelectual).
Además de las responsabilidades laborales continuas, también se le puede pedir al personal que se adhiera a un "código de conducta" para toda la organización, que establece los principios básicos de la operación de protección de la privacidad de una organización y las actividades relacionadas con la PII.
Controles ISO 27002 relevantes
- ISO 27002 5.9
- ISO 27002 5.13
- ISO 27002 5.32
- ISO 27002 5.34
- ISO 27002 6.4
- ISO 27002 6.5
- ISO 27002 6.6
Controles de soporte de ISO 27002 y GDPR
| Identificador de cláusula ISO 27701 | Nombre de la cláusula ISO 27701 | Requisito ISO 27002 | Artículos relacionados con el RGPD |
|---|---|---|---|
| 6.4.1.1 | examen en línea. |
6.1 – Cribado para ISO 27002 | Nona |
| 6.4.1.2 | Términos y condiciones de empleo |
6.2 – Términos y condiciones de empleo para ISO 27002 | Nona |
Cómo ayuda ISMS.online
Nuestra plataforma basada en la nube le permite acceder a todos sus recursos PIMS en un solo lugar. Puede utilizar nuestra plataforma fácil de usar para documentar todo lo que necesita para demostrar que cumple con los requisitos de ISO 27701.
Nuestro Método de Resultados Asegurados (ARM) desmitifica los requisitos de la norma ISO 27701 y le brinda confianza a medida que avanza hacia la obtención de la certificación. Contamos con un equipo interno de expertos en seguridad de la información que pueden brindarle orientación y responder preguntas para ayudarlo en su camino hacia la certificación ISO 27701.
Descubre más por reservar una demostración.
Saltar al tema
Obtenga la certificación hasta 5 veces más rápido
Simplemente rellene los espacios en blanco.
Solicite una demo Cotizar!
