Kontrol 5.10 angiver, at reglerne for acceptabel anvendelse og procedurer for håndtering af information og andre tilknyttede aktiver skal identificeres, dokumenteres og implementeres.
Målet med sådanne politikker er at opstille klare retningslinjer for, hvordan brugere bør opføre sig, når de arbejder med informationsaktiver, for at sikre fortrolighed, integritet og tilgængelighed af organisationens informationssikkerhedsaktiver.
Politikken for acceptabel brug af informationsaktiver (AUA) gælder for alle medlemmer af en organisation og aktiver, der ejes eller drives af organisationen. AUA gælder for al brug af informationsaktiver til ethvert formål, herunder kommercielt.
Følgende er eksempler på informationsaktiver:
Acceptabel brug af information og andre tilknyttede aktiver betyder brug af informationsaktiver på måder, der ikke bringer tilgængeligheden, pålideligheden eller integriteten af data, tjenester eller ressourcer i fare. Det betyder også at bruge dem på måder, der ikke overtræder love eller organisationens politikker.
Den nye ISO 27002:2022 standard leveres med attributtabeller, som ikke findes i 2013-versionen. Attributter er en måde at klassificere kontroller på.
De giver dig også mulighed for at matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer. Følgende kontroller er tilgængelige i kontrol 5:10.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Asset management #Informationsbeskyttelse | #Governance og økosystem #Beskyttelse |
Det overordnede formål med dette kontrol er at sikre information og andre tilhørende aktiver er passende beskyttet, brugt og håndteret.
Kontrol 5.10 er designet til at sikre, at politikker, procedurer og tekniske kontroller er på plads for at forhindre brugere i upassende at få adgang til, bruge eller videregive informationsaktiver.
Denne kontrol har til formål at skabe en ramme for organisationer, der sikrer dette information og andre aktiver er passende beskyttet, brugt og håndteret. Dette inkluderer at sikre, at politikker og procedurer findes på alle niveauer i organisationen, samt at sikre, at disse politikker og procedurer håndhæves konsekvent.
Implementering af kontrol 5.10 som en del af din ISMS betyder at du har indført de forskellige krav relateret til, hvordan din virksomhed beskytter it-aktiver, herunder:
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
Vi startede med at bruge regneark, og det var et mareridt. Med ISMS.online-løsningen blev alt det hårde arbejde gjort let.
For at opfylde kravene til kontrol 5.10 i ISO 27002:2022, er det vigtigt, at medarbejdere og eksterne parter, der bruger eller har adgang til organisationens informationer og andre tilhørende aktiver, er opmærksomme på organisationens krav til informationssikkerhed.
Disse mennesker bør holdes ansvarlige for enhver informationsbehandlingsfaciliteter, som de bruger.
Alle involveret i brugen eller håndteringen af information og andre tilknyttede aktiver bør gøres opmærksomme på organisationens politik for acceptabel brug af information og andre relaterede aktiver.
Alle involveret i brugen eller håndteringen af oplysninger og andre tilhørende aktiver bør gøres opmærksom på organisationens politik om tilladt brug af information og andre tilhørende aktiver. Som en del af en emnespecifik acceptabel brugspolitik bør personalet vide nøjagtigt, hvad de forventes at gøre med information og andre aktiver.
Især bør emnespecifik politik angive, at:
a) forventet og uacceptabel adfærd hos enkeltpersoner ud fra et informationssikkerhedsperspektiv;
b) tilladt og forbudt brug af information og andre tilknyttede aktiver;
c) overvågning af aktiviteter, der udføres af organisationen.
Der bør udarbejdes acceptable brugsprocedurer for den fulde informations livscyklus i overensstemmelse med dens klassificering og fastlagte risici. Følgende punkter bør overvejes:
a) adgangsbegrænsninger, der understøtter beskyttelseskravene for hvert klassifikationsniveau;
b) vedligeholdelse af en fortegnelse over de autoriserede brugere af information og andre tilknyttede aktiver;
c) beskyttelse af midlertidige eller permanente kopier af oplysninger til et niveau, der er i overensstemmelse med
beskyttelse af den originale information;
d) opbevaring af aktiver forbundet med information i overensstemmelse med fabrikantens specifikationer;
e) tydelig markering af alle kopier af lagringsmedier (elektroniske eller fysiske) til opmærksomhed
autoriseret modtager;
f) tilladelse til at råde over oplysninger og andre tilknyttede aktiver og understøttede sletningsmetode(r).
Den nye 2022-revision af ISO 27002 blev offentliggjort den 15. februar 2022 og er en opgradering af ISO 27002:2013.
Kontrol 5.10 i ISO 27002:2022 er ikke en ny kontrol, men det er en kombination af kontrol 8.1.3 – acceptabel brug af aktiver og 8.2.3 – håndtering af aktiver i ISO 27002:2013.
Mens essensen og implementeringsretningslinjerne for kontrol 5.10 er relativt de samme med kontrol 8.1.3 og 8.2.3, har kontrol 5.10 slået både den acceptable brug af aktiver og håndteringen af aktiver sammen i én kontrol for at give mulighed for forbedret brugervenlighed.
Kontrol 5.10 tilføjede dog også et ekstra punkt til kontrol 8.2.3. Dette dækker godkendelse af bortskaffelse af oplysninger og andre tilknyttede aktiver og de(n) understøttede sletningsmetode(r).
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Vi er omkostningseffektive og hurtige
Den acceptable brug af oplysninger og andre tilknyttede aktiver er en politik, der fastlægger regler for at sikre korrekt brug af virksomhedens oplysninger og andre tilknyttede aktiver, herunder computere, netværk og systemer, e-mail, filer og lagermedier. Denne politik er bindende for alle medarbejdere og entreprenører.
Formålet med denne politik er at:
Information Security Officer (ISO) er ansvarlig for at udvikle, implementere og vedligeholde den acceptable brug af informationsaktiver.
ISO er ansvarlig for at styre brugen af informationsressourcer i hele organisationen for at sikre, at information bruges på en måde, der beskytter datasikkerheden og integriteten, bevarer fortroligheden af proprietære eller følsomme oplysninger, beskytter mod misbrug og uautoriseret adgang til computere. ressourcer og eliminerer unødvendig eksponering eller ansvar for organisationen.
Den nye ISO 27002:2022-standard er ikke en væsentlig opgradering. Som følge heraf behøver du muligvis ikke foretage væsentlige ændringer med hensyn til overholdelse af den seneste version af ISO 27002.
Se dog vores guide til ISO 27002:2022, hvor du kan finde ud af mere om, hvordan disse ændringer til kontrol 5.10 vil påvirke din virksomhed.
Som du ved, er ISO 27002 en bredt vedtaget og anerkendt standard for informationssikkerhed.
Det giver en model til etablering, implementering, drift, overvågning, revision, vedligeholdelse og forbedring af en Information Security Management System (ISMS).
Fordi ISO 27002-standarden er så omfattende og detaljeret, kan implementeringen af den være en tidskrævende proces. Men med ISMS.online, har du en one-stop-løsning, der gør tingene meget nemmere.
Vores verdensklasse informationssikkerhed management system software platform gør det super nemt at forstå, hvad der skal gøres, og hvordan man gør det.
Vi tager smerten ud af at administrere dine overholdelseskrav.
Med ISMS.online er implementeringen af ISO 27002 enklere med vores trinvise tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.
Kontakt i dag for book en demo.
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
