受审核方没有与承包方雇员签订保密协议,是否应该判标准ISO27001:2022的A.6.6 保密或不泄露协议?
非常好的问题,这个场景确实常见于信息安全管理体系(ISO/IEC 27001:2022)审核中。我们可以从标准要求角度、审核判定逻辑以及改进建议三个层面来分析:
✅ 一、标准依据
ISO/IEC 27001:2022 附录A控制项 A.6.6 保密或不泄露协议要求如下:
A.6.6 控制要求:
与保密性或不泄露相关的要求,应反映在与员工和其他相关方签署的合同或协议中,并根据组织的信息安全需求进行审查。
实施指南(来自 ISO/IEC 27002:2022 对应条款)指出:
-
组织应识别哪些信息需要保密;
-
与员工、承包方、顾问、临时雇员及第三方等签订保密协议;
-
协议内容应明确保密信息的范围、义务、期限、违规后果等;
-
在人员变更、离职、合同到期时仍需遵守保密义务。
✅ 二、审核判定逻辑
情境中:
“受审核方没有与承包方雇员签订保密协议。”
这意味着:
-
承包方的员工(非受审核方正式员工)能接触到组织的信息资产(系统、数据、设施、文档等);
-
但组织未对这些人员通过合同或协议方式明确保密义务。
此情形违反了A.6.6的控制要求。
因此,在审核中应判定为:
🔹 不符合项(Nonconformity)——对应A.6.6条款
✅ 三、判定表述建议
可在审核记录中这样表述:
事实依据(Audit Evidence):
承包方人员在执行维护工作期间可接触组织信息系统与敏感数据,但受审核方未与承包方人员签订任何保密或不泄露协议。
标准条款:
ISO/IEC 27001:2022 附录A.6.6《保密或不泄露协议》。
不符合描述(Finding):
组织未确保承包方雇员签署保密协议以保护信息的机密性,不符合A.6.6的控制要求。
建议改进(Recommendation):
建立与所有外部承包方及其雇员的保密管理要求,确保在合同或分包协议中纳入保密条款,并对保密义务进行定期审查和更新。
✅ 五、总结判定结论
| 项目 | 内容 |
|---|---|
| 审核条款 | ISO/IEC 27001:2022 A.6.6 |
| 审核发现 | 未与承包方雇员签订保密协议 |
| 审核结论 | ❌ 不符合项 |
| 严重程度 | 视接触信息敏感程度,一般为“次要不符合”,如涉及敏感/客户数据则可判为“重大不符合” |