Kontrol 5.1 i ISO 27002:2022 dækker organisationers behov for at have et informationssikkerhedspolitikdokument på plads for at beskytte mod informationssikkerhedsproblemer.
En informationssikkerhedspolitik giver medarbejdere, ledelse og eksterne parter (f.eks. kunder og leverandører) rammer for håndtering af elektronisk information, herunder computernetværk.
Formålet med en informationssikkerhedspolitik er at reducere risikoen for tab af data eller tyveri fra interne og eksterne trusler. En informationssikkerhedspolitik sikrer også, at alle medarbejdere er bevidste om deres ansvar for at beskytte de data, som deres organisationer ligger inde med.
En informationssikkerhedspolitik kan også bruges til at demonstrere overholdelse af love og regler, og hjælper med at opfylde standarder som ISO 27001.
Cybersikkerhedstrusler er ethvert muligt ondsindet angreb, der søger at få ulovlig adgang til data, forstyrre digitale operationer eller beskadige information. Cybertrusler kan stamme fra forskellige aktører, herunder virksomhedsspioner og hacktivister, terrorgrupper, fjendtlige nationalstater og kriminelle organisationer.
Nogle af de mere populære cybersikkerheds- og informationssikkerhedstrusler er:
Formålet med informationssikkerhedspolitikken er at sikre ledelsesstøtte til beskyttelse af din virksomheds følsomme oplysninger mod tyveri og uautoriseret adgang.
Kontrol 5.1 dækker over kontrol, formål og implementeringsvejledning til etablering af en informationssikkerhedspolitik i en organisation i henhold til rammerne som defineret af ISO 27001.
Kontrol 5.1 siger, at organisationer skal have politikker på højt og lavt niveau for, hvordan de administrerer deres informationssikkerhed. Organisationens øverste ledelse skal godkende politikkerne, som bør revideres regelmæssigt, og også hvis der sker ændringer i informationssikkerhedsmiljøet.
Den bedste tilgang er at mødes regelmæssigt mindst en gang om måneden, med yderligere møder planlagt efter behov. Hvis der foretages ændringer i politikkerne, skal ledelsen godkende dem, før de implementeres. Politikkerne bør også deles med interne og eksterne interessenter.
Attributter er et middel til at kategorisere kontroller. Disse giver dig mulighed for hurtigt at tilpasse dit kontrolvalg til almindeligt branchesprog og standarder. I kontrol 5.1 er disse.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere | #Governance | #Governance og økosystem #Modstandsdygtighed |
Informationssikkerhedspolitikken skal danne grundlag for og understøttes af detaljerede driftsprocedurer, som beskriver, hvordan informationssikkerheden i praksis vil blive varetaget.
Politikken bør godkendes af topledelsen, som skal sikre, at den formidles til personalet og stilles til rådighed for interesserede parter.
Politikken giver retning for organisationens tilgang til styring af informationssikkerhed og kan bruges som ramme for udvikling af mere detaljerede driftsprocedurer.
Politikken er et væsentligt element i etablering og vedligeholdelse af et informationssikkerhedsstyringssystem (ISMS), som krævet af ISO/IEC 27000-familien af standarder, men selvom organisationen ikke har til hensigt at implementere formel certificering til ISO 27001 eller nogen anden standard , er en veldefineret politik stadig vigtig.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
I ISO 27002:2022 er kontrol 5.1 informationssikkerhedspolitikker ikke en ny kontrol, men er snarere resultatet af sammenlægningen af kontroller 5.1.1 Politikker for informationssikkerhed , 5.1.2 Gennemgang af politikker for informationssikkerhed fra ISO 27002 revision 2013.
I ISO 27002:2022 er kontrol 5.1 blevet opdateret til at omfatte en beskrivelse af dens formål og udvidet implementeringsvejledning. Det kom også med en attributtabel, der giver brugerne mulighed for at forene kontrol med industriterminologier.
I ISO 27002:2022 angiver kontrol 5.1, at informationssikkerhed og emnespecifikke politikker skal defineres, godkendes af ledelsen, offentliggøres, kommunikeres til og anerkendes af relevant personale og relevante interesserede parter.
En organisations informationssikkerhedspolitik bør afspejle organisationens størrelse, type og følsomhed af informationsaktiver. Det bør også være i overensstemmelse med industristandarder og gældende regeringsbestemmelser.
Mens essensen af selve kontrollen ligner 5.1.1 i ISO 27002: 2013, angiver version 2022 specifikt, at disse informationssikkerhedspolitikker bør gennemgås regelmæssigt, og også hvis der sker ændringer i informationssikkerhedsmiljøet. Denne rytter er dækket af paragraf 5.1.2 i ISO 27002:2013.
ISO 27002: 2013 og ISO 27002: 2022 angiver, at det højeste niveau i organisationen bør definere en sikkerhedspolitik, som topledelsen godkender, og som angiver, hvordan de vil føre tilsyn med beskyttelsen af deres oplysninger. Kravene dækket af politikkerne for begge versioner er dog forskellige.
I ISO 27002:2013 bør informationssikkerhedspolitikker imødekomme krav skabt af:
Informationssikkerhedspolitikken bør indeholde udtalelser om:
Men kravene til ISO 27002:2022 er en smule mere omfattende.
Informationssikkerhedspolitikken bør tage hensyn til krav afledt af:
Informationssikkerhedspolitikken bør indeholde udtalelser om:
Samtidig blev emnespecifikke politikker omarbejdet i ISO 27002:2022 for at omfatte; håndtering af hændelser i informationssikkerhed, styring af aktiver, netværkssikkerhed, håndtering af hændelser i informationssikkerhed og sikker udvikling. Nogle af dem i ISO 27002:2013 blev enten fjernet eller fusioneret for at danne en mere holistisk ramme.
Hos ISMS.online vil vores brugervenlige, men alligevel kraftfulde, cloud-system give dig et komplet sæt værktøjer og ressourcer til at hjælpe dig med at administrere dit eget ISO 27001/27002 Information Security Management System (ISMS), uanset om du er ny til ISO 27001/27002 eller allerede certificeret.
Vores intuitive trin-for-trin arbejdsgang, værktøjer, rammer, politikker og kontroller, handlingsvenlig dokumentation og vejledning leder dig gennem processen med at implementere ISO 27002, hvilket gør det nemt for dig at definere omfanget af ISMS, identificere risici og implementere kontroller ved hjælp af vores algoritmer – enten fra bunden eller fra best practice-skabeloner.
Kontakt i dag for book en demo.
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
