Hjelp til å velge
Artikkel 7.3 - bevisstgjøring
Vedlegg A 6.3 – bevisstgjøring, opplæring og kompetanseheving innen informasjons-sikkerhet
Standarden krever at hver enkelt person under din kontroll — ansatte, innleide arbeidstakere og tredjeparter—må kjenne til fire ting:
Bevisstgjøring, opplæring og trening innen informasjonssikkerhet (IT-sikkerhetsbevissthet) handler om å informere brukere om betydningen av informasjonssikkerhet. Bevissthet skal motivere dem til å forbedre sine sikkerhetspraksiser på datamaskiner.
Medarbeiderne må gjøres oppmerksomme på potensielle sikkerhetsrisikoer knyttet til sine aktiviteter og lære hvordan de kan beskytte seg mot disse. Bevisstgjøring, opplæring og trening innen informasjonssikkerhet er avgjørende for enhver organisasjons suksess. Alt personell må forstå betydningen av informasjons-sikkerhet og hvilke konsekvenser det har for alle. Jo bedre ansatte forstår hvordan de kan beskytte seg mot cybertrusler, desto sikrere blir organisasjonen.
Bruk usecure til å gjøre bevissthet om til dokumentasjon.
Hver opplæringslogg, bekreftelse på retningslinjer og resultat fra phishing-tester blir loggført, tidsstemplet og kan eksporteres for ISO-revisjoner – slik at du enkelt kan levere «dokumentert informasjon» til revisorer.
Hold brukere kontinuerlig i samsvar med regelverket.
Automatiserte læringsplaner og påminnelser er i tråd med punkt 7.3 (tidligere 7.2.2 i 2013-versjonen). Vedlegg A.6.3 styrkes med jevnlig opplæring og repetisjon, og revisjonsspor viser nøyaktig når og hvordan bevisstheten ble opprettholdt.
Reduser tid brukt på revisjonsforberedelser.
Sentraliser opplæringslogger, bekreftelser på retningslinjer og phishing-resultater for å støtte informasjonssikkerhetsstyringssystemet (ISMS), risikohåndteringsplaner og ledelsesevalueringer.
Artikkel 21 - Opplæring om datasikkerhet
Artikkel 21(2)(g) Får vi grunnleggende cyber-hygiene og ansattopplæring med denne løsningen?
Artikkel 21(2)(i) Styrker løsningen HR-sikkerheten, tilgangskontrollpolitikk og håndtering av digitale enheter?
Artikkel 21(2)(f) Gir løsningen bevis på at tiltakene er effektive?
Artikkel 21(2)(b) Støtter løsningen håndtering av hendelser og rapportering?
Artikkel 21(2)(g) Ja, løsningen inkluderer gjentakende, rollebasert opplæring for ansatte og ledelse med fullføringsregistrering.
Artikkel 21(2)(i) Ja, bekreftelse av retningslinjer håndheves og følges opp, og innleide arbeidstakere inkluderes for å sikre fullstendig dekning.
Artikkel 21(2)(f) Ja, phishing-tester, mikroveiledning og risikotrender brukes til å dokumentere målbare forbedringer.
Artikkel 21(2)(b) Ja, brukerne trenes i å oppdage mistenkelig aktivitet og reagere raskt, noe som støtter meldingsplikt.
Artikkel 29 - Overholdelse
Artikkel 29 Kan løsningen dokumentere overholdelse overfor tilsynsmyndigheter?
Artikkel 29 Revisjonsklare rapporter gir dokumentasjon for myndigheter, styret og revisorer.
Artikkel 39
Artikkel 39 Ansattopplæring GDPR krever regelmessig, dokumentert opplæring for å sikre at teamet ditt forstår prinsippene for personvern, deres ansvar og risikoer som phishing. Dette beskytter ikke bare kundedata, men viser også myndighetene at du tar overholdelse på alvor.
Med usecure kan du:
Artikkel 5(2)
Artikkel 5(2) Ansvarlighet Du må føre oversikt over dine databehandlingsaktiviteter, retningslinjer og opplæring. Tilsynsmyndigheter kan når som helst be om bevis på at du har følgt GDPR-reglene. Å digitalisere dine overholdelsesdokumenter vil redde deg under en uanmeldt revisjon.
Artikkel 13(6) - Sikkerhetsbevissthet
Artikkel 13(6) Pålegger obligatoriske IKT-sikkerhetsbevissthets-programmer og opplæring i digital operasjonell motstandsdyktighet for alle ansatte og ledelsen.
Med usecure får du kontinuerlig opplæring og bevisstgjøring, kombinert med atferdsvalidering, samt håndtering av menneskeskapte sårbarheter.
Artikkel 5(2)(g) med lenke til Artikkel 13(6)
Overvåk bevisstgjøring og opplæring og inkluder i budsjett
Bevisdashbord og eksporteringsfunksjoner støtter styringsorganets plikt til å overvåke og budsjettere for bevisstgjøring og opplæring.
Artikkel 6
Krav på regelmessig revisjon av IKT
Revisjonsklare rapporter gir dokumentasjon for myndigheter, styret og revisorer.
Artikkel 12.6
Artikkel 12.1–12.2
Artikkel 12.6.3.1
Artikkel 12.10
Artikkel 12.6 - kontinuerlig opplæring om datasikkerhet
Artikkel 12.1–12.2 - verifisering på at policyer har blitt lest
Artikkel 12.6.3.1 - beskyttelse mot phishing
Artikkel 12.10 - planlegging for håndtering av hendelser
usecure hjelper med dokumentasjon:
Sikkerhetsregel §164.308(a)(5)
Personvernregel §164.530(b)(1)
Krever løpende opplæring av medarbeidere for å beskytte helseopplysninger (PHI) og sikre at ansatte forstår sine ansvarsområder.
Control 14 - Security Awareness and Skills Training
Control 14 Opprett et fullstendig bevisstgjørings- og kompetanseprogram med dokumentasjon på kontinuerlig faglig dyktighet.
Control 14.2 Valider motstandsdyktighet og reduser hendelser Kjør målrettede phishing-simuleringer med mikroveiledning for å vise målbart forbedring over tid.
usecure sine automatiserte, rollebaserte programmer bygger kontinuerlig kompetanse. Fullførte kurs, repetisjoner og poengsummer tidsstemples og kan eksporteres som dokumentasjon på forespørsel.
usecure phishing-simuleringer (med mikroveiledning) skaper målbart forbedring over tid.
Control 3, 5, 15, 17 - Dokumentasjon
Planlegg og vær forberdt for hendelser og dokumentasjon.
usecrue reduserer komplianseinnsatsen med sentralisert dokumentasjon Én plattform for opplæringsposter, bekreftelser på retningslinjer og phishing-trender. Generer eksportklare rapporter for styret og revisorer for Kontroll 14, med støttedokumentasjon for Controls 3, 5, 15 og 17.
Artikkel CC1.1 og CC2.1
Artikkel CC4.1
Artikkel CC7.2
Artikkel CC7.4
Artikkel CC1.1 og CC2.1 - Øk ansattes bevissthet og dokumenter kontinuerlig overholdelse.
Artikkel CC4.1 - Overvåk aktiviteter
Artikkel CC7.2 - Oppdag unormal atferd
Artikkel CC7.4 - Planlegg for, og håndter, hendelser
usecure sine rollebaserte, automatiserte opplæringsmoduler i samsvar med CC1.1 og CC2.1 hjelper deg med å bygge ansattes bevissthet og dokumentere kontinuerlig overholdelse, noe som reduserer risikoen for menneskelige feil.
usecure sine realistiske phishing-tester og mikroveiledning validerer ansattes motstandsdyktighet mot sosial manipulering, i tråd med CC7.2 (overvåking av avvik) og CC7.4 (beredskap for hendelseshåndtering).
Med usecure sentralisert rapportering får du oversikt over opplæring, bekreftelser på retningslinjer og phishing-resultater for å støtte CC4.1 (overvåkingsaktiviteter) og reduserer forberedelsestiden for revisjon fra dager til minutter.
GLOBAL - alle kan søke sertifisering - ikke lovpålagt men kan være et krav fra kunden.
International Organization for Standardization ISO/IEC 27001:2022 er den globale standarden for informasjonssikkerhetsstyring (ISMS). Standarden støtter bedrifter i å sikre sensitiv informasjon, oppfylle lovkrav som GDPR og NIS 2-direktivet, og bygge tillit hos kunder og samarbeidspartnere.
Formålet med Network and Information Security 2-direktivet er å øke motstandsdyktigheten i nettverks- og informasjonssystemer til både private og offentlige aktører som opererer i relevante sektorer i EU.
EU - gjelder for alle organisasjoner som behandler personopplysninger om EU-borgere, uavhengig av hvor organisasjonen er lokalisert.
General Data Protection Regulation er en EU-forordning som fastsetter regler for beskyttelse av enkeltpersoner i forbindelse med behandling av personopplysninger, samt regler for fri flyt av personopplysninger. Forordningen beskytter grunnleggende rettigheter og friheter for enkeltpersoner, og særlig deres rett til vern av personopplysninger.
EU - gjelder for alle finansielle aktører, uavhengig av størrelse, inkludert banker, forsikringsselskaper, investeringsselskaper, betalingstjenesteleverandører, verdipapirforetak, børser, pensjonsforetak, finansielle infrastrukturer, samt IKT-leverandører som yter kritiske tjenester til finansielle enheter.
Formålet med Digital Operational Resilience Act er å sikre høy grad av digital operasjonell motstandsdyktighet hos foretak i finanssektoren. DORA gir regler for styring av risiko, hendelseshåndtering, testing av digital operasjonell motstandsdyktighet, styring av tredjepartsrisiko og deling av informasjon på IKT-området.edrifter i å sikre sensitiv informasjon, oppfylle lovkrav som GDPR og NIS 2-direktivet, og bygge tillit hos kunder og samarbeidspartnere.
1. IKT-risikostyring
Organisasjoner må etablere et robust rammeverk for å identifisere, vurdere, håndtere og overvåke IKT-risiko. Dette inkluderer:
2. IKT-hendelseshåndtering
Organisasjoner må ha klare prosesser for å håndtere, klassifisere og rapportere IKT-hendelser:
3. Digital operasjonell motstandsdyktighetstesting
Organisasjoner må regelmessig teste sin digitale motstandsdyktighet:
4. IKT-risiko fra tredjeparter
Organisasjoner må overvåke og styre risiko knyttet til leverandører og underleverandører:
5. Informasjonsdeling
Organisasjoner må dele relevant informasjon om IKT-trusler og hendelser med:
GLOBAL - gjelder alle organisasjoner som er involvert i betalingskort-transaksjoner, uavhengig av størrelse eller bransje. Inkluderer forhandlere, prosessorer, oppkjøpere, utstedere og tjenesteleverandører.
Payment Card Industry Data Security Standard gir et grunnleggende sett av tekniske og operative krav utformet for å beskytte betalingskontoinformasjon. Virkeområdet omfatter enheter som lagrer, behandler eller overfører kortinnehaverdata (CHD) og/eller sensitiv autentiseringsdata (SAD), eller som kan påvirke sikkerheten i kortinnehavermiljøet (CDE).
USA - enhver virksomhet som ved avtale har forpliktet seg til å følge den.
Norges versjon av HIPAA er Norm for informasjonssikkerhet og personvern i helse- og omsorgssektoren.
Normen skal bidra til tilfredsstillende informasjonssikkerhet og personvern hos den enkelte virksomhet, i infrastruktur, nettverk- og informasjonssystemer i helsesektoren generelt.
Normen skal bidra til å forebygge, avdekke, motvirke og håndtere uønskede hendelser i nettverk- og informasjonssystemer, tjenester og produkter som brukes for å levere digitale tjenester i helsesektoren.
Normen skal bidra til at påvirkede virksomheter har egnede tekniske, organisatoriske, fysiske og personellmessige tiltak for informasjonssikkerhet og personvern for sin behandling av helse- og personopplysninger.
Last ned EXCEL-ark med krav i normen.
GLOBAL - anbefalt for alle
Center for Internet Security Controls er et prioriterte sett med anbefalte sikkerhetstiltak utviklet for å beskytte mot de mest utbredte cybertruslene mot systemer og nettverk. CIS Controls oppdateres jevnlig basert på trussellandskapet og kan brukes som sikkerhetens sjekkliste.
USA - frivillig men krav for enhver virksomhet som, ved avtale, har forpliktet seg til å følge den.
Service Organization Control 2 er et rammeverk utviklet av AICPA (American Institute of Certified Public Accountants) for rapportering. Den brukes til å vurdere et selskaps interne kontroller for å sikre kundedata og teknisk utvikling. En SOC 2-rapport dokumenterer om organisasjonens sikkerhetstiltak er robuste og effektive. For å oppnå SOC 2-samsvar må selskaper etablere klare retningslinjer og prosedyrer for datasikkerhet, som alle ansatte må følge. Dette omfatter også kontinuerlig arbeid med å styrke selskapets IT-infrastruktur og systemer.
Type I vurderer utformingen og eksistensen av interne kontroller på et bestemt tidspunkt, og sikrer at de er tilstrekkelig strukturert for å oppfylle gjeldende kriterier. Denne typen revisjon gir et øyeblikksbilde av kontrollene som er på plass, og bekrefter deres tilstedeværelse og egnethet for å beskytte data.
I Type II rapporterer den eksterne revisoren om egnetheten til utformingen og eksistensen av kontrollene, samt om driftsmessig effektivitet av disse kontrollene i løpet av en definert periode. Dette innebærer at den eksterne revisoren gjennomfører en detaljert undersøkelse av tjenesteorganisasjonens interne kontroller og også vurderer om alle kontroller fungerer effektivt i samsvar med forhåndsdefinerte prosesser, kontroller og prosedyrer.