ISO 27001:2022 Bilag A 5.10 – Acceptabel brug af oplysninger og andre tilknyttede aktiver

Hvad er ISO 27001:2022 Bilag A 5.10, Acceptabel brug af oplysninger og andre tilknyttede aktiver?

Den acceptable brug af Informationsaktiver Politik (AUA) gælder for alle medlemmer af organisationen og alle aktiver, der ejes eller drives af dem. Denne politik gælder for enhver brug, herunder kommercielle formål, af informationsaktiver.

Eksempler på informationsaktiver omfatter:

• Hardware omfatter computere, mobilenheder, telefoner og faxmaskiner.
• Software inkluderer operativsystemer, applikationer (inklusive webbaserede), hjælpeprogrammer, firmware og programmeringssprog.
• Dette afsnit omhandler strukturerede data i relationsdatabaser, flade filer, NoSQL-data samt ustrukturerede data, for eksempel tekstdokumenter, regneark, billeder, video- og lydfiler.
• Netværk omfatter både kablede og trådløse systemer, telekommunikation og VoIP-tjenester (Voice over Internet Protocol).
• Cloud-tjenester, e-mail-konti og andre hostede tjenester.

Brug af information og andre relaterede aktiver kræver, at de anvendes på måder, der ikke bringer tilgængeligheden, pålideligheden eller pålideligheden af ​​data, tjenester eller ressourcer i fare. Det involverer også at bruge dem på måder, der ikke strider mod love eller virksomhedens politikker.

Hvad er formålet med ISO 27001:2022 bilag A kontrol 5.10?

Hovedformålet med denne kontrol er at sikre, at oplysninger og relaterede aktiver beskyttes, bruges og administreres korrekt.

ISO 27001:2022 Bilag A Kontrol 5.10 sikrer, at politikker, procedurer og tekniske kontroller er på plads for at forhindre brugere i at mishandle informationsaktiver.

Denne kontrol søger at etablere en struktur for organisationer for at garantere, at information og andre ressourcer er passende beskyttet, ansat og administreret. Det indebærer at sikre, at passende politikker og procedurer findes på alle niveauer i organisationen, samt at implementere dem regelmæssigt.

Implementering af kontrol 5.10 er en del af dit ISMS og sikrer, at din virksomhed har de nødvendige krav på plads for at beskytte sine it-aktiver, såsom:

• Det er altafgørende at sikre datasikkerheden ved lagring, behandling og transit.
• Sikring og korrekt anvendelse af IT-udstyr er afgørende. Det er afgørende at sikre dens sikkerhed og bruge den korrekt.
• Passende autentificeringstjenester er afgørende for reguleringen af ​​adgang til informationssystemer.
• Behandling af oplysninger inden for en organisation er begrænset til kun dem med den relevante autorisation.
• Tildeling af datarelaterede opgaver til bestemte personer eller roller.
• Det er vigtigt at uddanne og træne brugerne i deres sikkerhedsforpligtelser. At sikre, at de forstår deres roller og ansvar, hjælper med at sikre systemets sikkerhed.

Hvad er involveret, og hvordan man opfylder kravene

For at opfylde ISO 27001:2022's Control 5.10-behov er det bydende nødvendigt, at personale, både internt og eksternt, som bruger eller har adgang til organisationens data og yderligere ressourcer, er opmærksomme på virksomhedens forudsætninger for informationssikkerhed.

De ansvarlige bør holdes ansvarlige for de databehandlingsressourcer, de bruger.

Alt personale, der er forbundet med forvaltningen af ​​information og andre relaterede aktiver, bør være opmærksomme på organisationens politik for passende brug. Det er vigtigt, at alle involverede er informeret om retningslinjerne.

Alt personale, der arbejder med information og relaterede aktiver, bør gøres opmærksomme på virksomhedens politik for acceptabel brug. Som en del af den specifikke brugspolitik bør personalet forstå præcist, hvad der forventes af dem med hensyn til disse ressourcer.

Politik skal gøre det klart, at:

1. Alle medarbejdere skal overholde virksomhedens politikker og procedurer.
2. Ingen medarbejder må påtage sig nogen aktivitet, der er i modstrid med virksomhedens interesser.
3. Enhver medarbejder, der ikke overholder virksomhedens politikker og procedurer, vil blive underlagt disciplinære foranstaltninger.

Særlig politik vedrørende emnet bør angive, at alt personale skal overholde virksomhedens direktiver og protokoller:

• Forventninger og uacceptable handlinger vedrørende informationssikkerhed bør afklares for enkeltpersoner.
• Tilladt og forbudt brug af information og andre aktiver.
• Holder øje med organisationens drift.

Udarbejde acceptable brugsprocedurer gennem hele informationens livscyklus i overensstemmelse med dens kategorisering og identificerede risici. Tænk over følgende:

• Adgangsbegrænsninger for at understøtte beskyttelsen af ​​hvert sikkerhedsniveau skal indføres.
• Vedligeholdelse af et register over autoriserede brugere af oplysninger og andre tilhørende aktiver.
• Sørg for, at sikkerheden af ​​midlertidige eller permanente kopier af oplysninger er i overensstemmelse med kravene i konteksten.
• Det er yderst vigtigt at sikre bevarelsen af ​​de oprindelige data.
• Opbevaring af aktiver relateret til information i henhold til fabrikantens standarder er afgørende.
• Marker alle kopier af elektronisk eller fysisk lagringsmedier klart til modtagerens opmærksomhed.
• Virksomheden giver tilladelse til bortskaffelse af oplysninger og andre aktiver, samt de(n) slettemetode(r), der understøttes.

Forskelle mellem ISO 27001:2013 og ISO 27001:2022

2022-versionen af ​​ISO 27001 blev udgivet i oktober 2022; det er en forbedret version af ISO 27001:2013.

Bilag A 5.10 i ISO 27001:2022 er ikke nyt; det er en blanding af kontroller 8.1.3 og 8.2.3 fra ISO 27001:2013.

Essensen og implementeringsretningslinjerne i bilag A 5.10 ligner dem i kontrol 8.1.3 og 8.2.3, men bilag A 5.10 kombinerer både acceptabel brug af og håndtering af aktiver i én kontrol for brugervenlighed.

Bilag A 5.10 tilføjede yderligere et punkt til 8.2.3, som vedrører godkendelse af bortskaffelse af oplysninger og eventuelle relaterede aktiver samt den eller de anbefalede slettemetoder.

Tabel over alle ISO 27001:2022 bilag A kontroller

I tabellen nedenfor finder du mere information om hver enkelt person ISO 27001:2022 Bilag A Kontrol.

Hvem er ansvarlig for denne proces?

Denne politik opstiller reglerne for korrekt brug af virksomhedens oplysninger og tilhørende aktiver, såsom computere, netværk og systemer, e-mail, filer og lagermedier. Alle medarbejdere og entreprenører skal overholde den.

Denne politik tjener til:

1. Giv til enhver tid retningslinjer for passende adfærd.
2. Skitsér konsekvenserne af ethvert adfærdsbrud.
3. Sikre et sikkert og respektfuldt miljø for alle.

Formålet med denne politik er at opstille direktiver for passende adfærd og detaljere konsekvenserne af at overtræde dem, for at skabe en sikker, respektfuld atmosfære for alle.

Sikring af, at virksomhedens data og andre relaterede aktiver udelukkende anvendes af gyldige forretningsmæssige årsager. Sikre, at medarbejdere overholder alle love og regler vedrørende informationssikkerhed og forsvare virksomhedens informationer og andre relaterede aktiver mod risici, der stammer fra inden for eller uden for virksomheden.

Information Security Officer (ISO) har til opgave at designe, eksekvere og opretholde den acceptable brug af informationsressourcer.

ISO vil være ansvarlig for at føre tilsyn med brugen af ​​informationsressourcer på tværs af organisationen for at sikre, at data anvendes på en måde, der sikrer sikkerhed og datanøjagtighed, bevarer fortroligheden af ​​private eller sarte oplysninger, afværger misbrug og uautoriseret adgang til computerressourcer, og eliminerer enhver unødvendig eksponering eller ansvar for organisationen.

Hvad betyder disse ændringer for dig?

Den nye ISO 27001:2022-standard er en revision, så du behøver ikke foretage mange ændringer for at overholde den.

Se vores vejledning om ISO 27001:2022 for at lære mere om konsekvenserne af bilag A 5.10 for din virksomhed, og hvordan du viser overholdelse.

Hvordan ISMS.online hjælper

ISMS.online gør ISO 27001 implementering ligetil med en omfattende trin-for-trin tjekliste. Denne vejledning fører dig gennem hele processen, fra at definere dit ISMS-omfang til at identificere risici og implementere kontrolelementer.

Denne model skaber en ramme for opsætning, udnyttelse, drift, observation, evaluering, opretholdelse og udvikling af et Information Security Management System (ISMS).

Gennemførelse af ISO 27001-standard kan være en omfattende bestræbelse, men ISMS.online giver en omfattende, one-stop-løsning for at gøre processen meget lettere.

Vores førsteklasses software til styring af informationssikkerhed tilbyder en ukompliceret måde at forstå, hvad der skal opnås, og hvordan man kommer videre.

Vi gør det nemt at administrere dine compliance-behov. Vi fjerner besværet og stresset ved at opfylde dine krav.

Tag fat i dag for at reservere en demonstration.