ISO 27002:2022 – Kontrol 5.1 – Politikker for informationssikkerhed

Hvad er kontrol 5.1?

En informationssikkerhedspolitik giver medarbejdere, ledelse og eksterne parter (f.eks. kunder og leverandører) rammer for håndtering af elektronisk information, herunder computernetværk.

Formålet med en informationssikkerhedspolitik er at reducere risikoen for tab af data eller tyveri fra interne og eksterne trusler. En informationssikkerhedspolitik sikrer også, at alle medarbejdere er bevidste om deres ansvar for at beskytte de data, som deres organisationer ligger inde med.

En informationssikkerhedspolitik kan også bruges til at demonstrere overholdelse af love og regler, og hjælper med at opfylde standarder som ISO 27001.

Cybersikkerhed og informationssikkerhedstrusler forklaret

Cybersikkerhedstrusler er ethvert muligt ondsindet angreb, der søger at få ulovlig adgang til data, forstyrre digitale operationer eller beskadige information. Cybertrusler kan stamme fra forskellige aktører, herunder virksomhedsspioner og hacktivister, terrorgrupper, fjendtlige nationalstater og kriminelle organisationer.

Nogle af de mere populære cybersikkerheds- og informationssikkerhedstrusler er:

• Malware: vira, spyware og andre ondsindede programmer.
• Phishing-e-mails: meddelelser, der ser ud til at være fra troværdige kilder, men som indeholder links og vedhæftede filer, der installerer malware.
• ransomware: malware, der forhindrer brugere i at få adgang til deres egne data, indtil de betaler en løsesum.
• Social teknik: angribere, der manipulerer folk til at give følsomme oplysninger, normalt ved at fremstå som troværdige.
• Hvalfangst angreb: phishing-e-mails designet til at se ud, som om de kommer fra højt profilerede personer i en organisation.

Hvad er formålet med kontrol 5.1?

Formålet med informationssikkerhedspolitikken er at sikre ledelsesstøtte til beskyttelse af din virksomheds følsomme oplysninger mod tyveri og uautoriseret adgang.

Kontrol 5.1 dækker over kontrol, formål og implementeringsvejledning til etablering af en informationssikkerhedspolitik i en organisation i henhold til rammerne som defineret af ISO 27001.

Kontrol 5.1 siger, at organisationer skal have politikker på højt og lavt niveau for, hvordan de administrerer deres informationssikkerhed. Organisationens øverste ledelse skal godkende politikkerne, som bør revideres regelmæssigt, og også hvis der sker ændringer i informationssikkerhedsmiljøet.

Den bedste tilgang er at mødes regelmæssigt mindst en gang om måneden, med yderligere møder planlagt efter behov. Hvis der foretages ændringer i politikkerne, skal ledelsen godkende dem, før de implementeres. Politikkerne bør også deles med interne og eksterne interessenter.

Kontrolattributter 5.1

Attributter er et middel til at kategorisere kontroller. Disse giver dig mulighed for hurtigt at tilpasse dit kontrolvalg til almindeligt branchesprog og standarder. I kontrol 5.1 er disse.

Hvad er involveret, og hvordan man opfylder kravene

Informationssikkerhedspolitikken skal danne grundlag for og understøttes af detaljerede driftsprocedurer, som beskriver, hvordan informationssikkerheden i praksis vil blive varetaget.

Politikken bør godkendes af topledelsen, som skal sikre, at den formidles til personalet og stilles til rådighed for interesserede parter.

Politikken giver retning for organisationens tilgang til styring af informationssikkerhed og kan bruges som ramme for udvikling af mere detaljerede driftsprocedurer.

Politikken er et væsentligt element i etablering og vedligeholdelse af et informationssikkerhedsstyringssystem (ISMS), som krævet af ISO/IEC 27000-familien af ​​standarder, men selvom organisationen ikke har til hensigt at implementere formel certificering til ISO 27001 eller nogen anden standard , er en veldefineret politik stadig vigtig.

Ændringer og forskelle fra ISO 27002:2013

I ISO 27002:2022 er kontrol 5.1 informationssikkerhedspolitikker ikke en ny kontrol, men er snarere resultatet af sammenlægningen af ​​kontroller 5.1.1 Politikker for informationssikkerhed og 5.1.2 Gennemgang af politikker for informationssikkerhed fra ISO 27002 revision 2013.

I ISO 27002:2022 er kontrol 5.1 blevet opdateret til at omfatte en beskrivelse af dens formål og udvidet implementeringsvejledning. Det kom også med en attributtabel, der giver brugerne mulighed for at forene kontrol med industriterminologier.

I ISO 27002:2022 angiver kontrol 5.1, at informationssikkerhed og emnespecifikke politikker skal defineres, godkendes af ledelsen, offentliggøres, kommunikeres til og anerkendes af relevant personale og relevante interesserede parter.

En organisations informationssikkerhedspolitik bør afspejle organisationens størrelse, type og følsomhed af informationsaktiver. Det bør også være i overensstemmelse med industristandarder og gældende regeringsbestemmelser.

Mens essensen af ​​selve kontrollen ligner 5.1.1 i ISO 27002: 2013, angiver version 2022 specifikt, at disse informationssikkerhedspolitikker bør gennemgås regelmæssigt, og også hvis der sker ændringer i informationssikkerhedsmiljøet. Denne rytter er dækket af paragraf 5.1.2 i ISO 27002:2013.

ISO 27002: 2013 og ISO 27002: 2022 angiver, at det højeste niveau i organisationen bør definere en sikkerhedspolitik, som topledelsen godkender, og som angiver, hvordan de vil føre tilsyn med beskyttelsen af ​​deres oplysninger. Kravene dækket af politikkerne for begge versioner er dog forskellige.

Kontrol 5.1 2013 – 2022 Implementeringsvejledning sammenlignet

I ISO 27002:2013 bør informationssikkerhedspolitikker imødekomme krav skabt af:

• Forretningsstrategi.
• Forskrifter, lovgivning og kontrakter.
• Det nuværende og forventede trusselsmiljø for informationssikkerhed.

Informationssikkerhedspolitikken bør indeholde udtalelser om:

• Definition af informationssikkerhed, mål og principper til at vejlede alle aktiviteter i forbindelse med
  informationssikkerhed.
• Tildeling af generelle og specifikke ansvarsområder for informationssikkerhedsstyring til
  definerede roller.
• Processer til håndtering af afvigelser og undtagelser.

Men kravene til ISO 27002:2022 er en smule mere omfattende.

Informationssikkerhedspolitikken bør tage hensyn til krav afledt af:

• Forretningsstrategi og krav.
• Forskrifter, lovgivning og kontrakter.
• De aktuelle og forventede informationssikkerhedsrisici og -trusler.

Informationssikkerhedspolitikken bør indeholde udtalelser om:

• Definition af informationssikkerhed.
• Informationssikkerhedsmål eller rammerne for fastsættelse af informationssikkerhedsmål.
• Principper for alle aktiviteter vedrørende informationssikkerhed.
• Forpligtelse til at opfylde gældende krav relateret til informationssikkerhed.
• Forpligtelse til løbende forbedring af informationssikkerhedsstyringssystemet.
• Tildeling af ansvar for informationssikkerhedsstyring til definerede roller.
• Procedurer for håndtering af dispensationer og undtagelser.

Samtidig blev emnespecifikke politikker omarbejdet i ISO 27002:2022 for at omfatte; håndtering af hændelser i informationssikkerhed, styring af aktiver, netværkssikkerhed, håndtering af hændelser i informationssikkerhed og sikker udvikling. Nogle af dem i ISO 27002:2013 blev enten fjernet eller fusioneret for at danne en mere holistisk ramme.

Nye ISO 27002 kontroller

Hvordan ISMS.Online hjælper

Hos ISMS.online vil vores brugervenlige, men alligevel kraftfulde, cloud-system give dig et komplet sæt værktøjer og ressourcer til at hjælpe dig med at administrere dit eget ISO 27001/27002 Information Security Management System (ISMS), uanset om du er ny til ISO 27001/27002 eller allerede certificeret.

Vores intuitive trin-for-trin arbejdsgang, værktøjer, rammer, politikker og kontroller, handlingsvenlig dokumentation og vejledning leder dig gennem processen med at implementere ISO 27002, hvilket gør det nemt for dig at definere omfanget af ISMS, identificere risici og implementere kontroller ved hjælp af vores algoritmer – enten fra bunden eller fra best practice-skabeloner.

Kontakt i dag for book en demo.