A.7 Veilig personeel

ISO 27001:2013 beheersdoelstellingen en beheersmaatregelen binnen de scope van eToegangsdiensten, - activiteiten, -objecten en -informatie

Norm	Titel	Doelstellingen en beheersmaatregelen	Deelnemer	BSNk	BO	Opmerkingen	Toelichting en referenties
A.7	Veilig personeel
A.7.1	Voorafgaand aan het dienstverband	Waarborgen dat medewerkers en contractanten hun verantwoordelijkheden begrijpen en geschikt zijn voor de functies waarvoor zij in aanmerking komen.
A.7.1.1	Screening	Verificatie van de achtergrond van alle kandidaten voor een dienstverband moet worden uitgevoerd in overeenstemming met relevante wet- en regelgeving en ethische overwegingen en moet in verhouding staan tot de bedrijfseisen, de classificatie van de informatie waartoe toegang wordt verleend en de vastgestelde risico’s.	S	S	S	Uit de risicoanalyse (bijv. via "misbruik-scenario's") kan blijken dat per rol en evt. per betrouwbaarheidsniveau onderscheid moet worden gemaakt in het niveau van screening.	De wijze en diepgang van de screening moet zijn gerelateerd aan de bevoegdheden en taakstelling van de betreffende medewerker. Zo mag worden verwacht dat de screening voor een systeembeheerder met speciale bevoegdheden ten aanzien van systeemprogrammatuur strenger zal zijn dan voor een ondersteunende stafmedewerker. Basis niveau van screening: Het basisniveau van screening voor alle personeel, moet bestaan uit: Het controleren van de juistheid van de identiteit (WID-document); Controleren van de juistheid van gegevens in het curriculum vitae en met name van opleidingsgegevens; Controleren van relevante referenties. Screening van vast personeel t.b.v. het Stelsel: Medewerkers die met activiteiten voor EID zijn belast moeten een Verklaring Omtrent Gedrag (VOG) aanvragen c.q. overleggen in relatie tot de omgang van gegevens waarbij integriteit en vertrouwelijkheid van belang zijn. De (originele of digitale kopie) VOG moet worden opgenomen in het personeelsdossier of digitale registratie. In het geval een zwaardere screening aantoonbaar al reeds heeft plaatsgevonden mag de deelnemer of beheerorganisatie besluiten om de VOG achterwege te laten. Zwaarder dan een VOG zijn bijvoorbeeld: veiligheidsonderzoek door de AIVD (A, B of C onderzoek) of de MIVD, antecedentenonderzoek door een erkend onderzoeksbureau. Screening van tijdelijk personeel: Deze screeningprocedure voor intern personeel is ook van toepassing op van externe leveranciers ingehuurd personeel. De eisen die aan ingehuurd personeel worden gesteld worden moeten van het zelfde niveau zijn als de eisen aan het vaste personeel; In het contract met de leverancier moet zijn opgenomen: welke verantwoordelijkheden deze heeft ten aanzien van het screeningproces en; de verplichting daarover om direct de opdrachtgever te informeren als de screening van een in te zetten of ingezette medewerker niet (volledig) heeft plaatsgevonden of tot een negatief resultaat heeft geleid. De organisatie (deelnemer, BSNk, BO) moet een functionaris aanwijzen die verantwoordelijk is voor het laten uitvoeren van het screeningproces. In veel gevallen ligt deze verantwoordelijkheid bij een securityofficer of een risk manager. De werkgever moet de medewerker verzoeken om een VOG aan te vragen. In de aanvraag moet de werkgever aangeven wat de aard van het werk is dat de medewerker gaat uitvoeren. De werkgever heeft expliciet beleid geformuleerd dat er zorg voor moet dragen dat gedurende het dienstverband van de medewerker de integriteit en betrouwbaarheid aantoonbaar geborgd is. Het screeningsproces moet worden doorlopen voor elk personeelslid (vast of ingehuurd): Bij indiensttreding. Ingeval van een bestaand dienstverband als de screening nog niet heeft plaatsgevonden of is verlopen. Bij verandering van functie of werkgebied van een medewerker als de nieuwe werkzaamheden meer omvatten of in hoge mate afwijken van de vroegere werkzaamheden.
A.7.1.2	Arbeidsvoorwaarden	De contractuele overeenkomst met medewerkers en contractanten moet hun verantwoordelijkheden voor informatiebeveiliging en die van de organisatie vermelden.	Sv	Sv	Sv	Bijv. in de vorm van een ondertekend arbeidscontract of vergelijkbaar alternatief.	Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.
A.7.2	Tijdens het dienstverband	Ervoor zorgen dat medewerkers en contractanten zich bewust zijn van hun verantwoordelijkheden op het gebied van informatiebeveiliging en deze nakomen.
A.7.2.1	Directieverantwoordelijkheden	De directie moet van alle medewerkers en contractanten eisen dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie.	Sv	Sv	Sv	Management dient personeel dat een taak/activiteit verricht ten behoeve van een rol in het stelsel, o.m. op de hoogte te stellen van de relevante eisen uit het afsprakenstelsel en bijbehorende procedures
A.7.2.2	Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging	Alle medewerkers van de organisatie en, voor zover relevant, contractanten moeten een passende bewustzijnsopleiding en -training krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.	Sv	Sv	Sv		Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.
A.7.2.3	Disciplinaire procedure	Er moet een formele en gecommuniceerde disciplinaire procedure zijn om actie te ondernemen tegen medewerkers die een inbreuk hebben gepleegd op de informatiebeveiliging.	Sv	Sv	Sv	Voor deelnemers, BSNk en Beheerorganisatie is de maatregel bedoeld voor werknemers die inbreuk op de beveiliging hebben gepleegd. Iedere organisatie binnen het stelsel bepaalt zelf of daartoe een formeel disciplinair proces moet worden vastgesteld.	Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.
A.7.3	Beëindiging en wijziging van dienstverband	Het beschermen van de belangen van de organisatie als onderdeel van de wijzigings- of beëindigingsprocedure van het dienstverband.					Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.
A.7.3.1	Beëindiging of wijziging van verantwoordelijkheden van het dienstverband	Verantwoordelijkheden en taken met betrekking tot informatiebeveiliging die van kracht blijven na beëindiging of wijziging van het dienstverband moeten worden gedefinieerd, gecommuniceerd aan de medewerker of contractant, en ten uitvoer worden gebracht.	v	v	v		Deelnemers, BSNk en BO vullen dit naar eigen inzicht in.