Hvad er kontrol 5.10, acceptabel brug af oplysninger og andre tilknyttede aktiver?
Politikken for acceptabel brug af informationsaktiver (AUA) gælder for alle medlemmer af en organisation og aktiver, der ejes eller drives af organisationen. AUA gælder for al brug af informationsaktiver til ethvert formål, herunder kommercielt.
Følgende er eksempler på informationsaktiver:
- Hardware: computere, mobile enheder, telefoner og faxmaskiner.
- Software: operativsystemer, applikationer (inklusive webbaserede apps), hjælpeprogrammer, firmware og programmeringssprog.
- data: strukturerede data i relationelle databaser, flade filer og NoSQL-data; ustrukturerede data såsom tekstdokumenter, regneark, billeder, video- og lydfiler; poster i ethvert format.
- Netværk: kablede og trådløse netværk; telekommunikationssystemer; voice over IP-tjenester.
- Services: skytjenester, e-mail-konti og andre hostede tjenester.
Acceptabel brug af information og andre tilknyttede aktiver betyder brug af informationsaktiver på måder, der ikke bringer tilgængeligheden, pålideligheden eller integriteten af data, tjenester eller ressourcer i fare. Det betyder også at bruge dem på måder, der ikke overtræder love eller organisationens politikker.
Få et forspring på 81 %
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Kontrolattributter 5.10
Den nye ISO 27002:2022 standard leveres med attributtabeller, som ikke findes i 2013-versionen. Attributter er en måde at klassificere kontroller på.
De giver dig også mulighed for at matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer. Følgende kontroller er tilgængelige i kontrol 5:10.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | # Asset management | #Governance og økosystem |
| #Integritet | #Informationsbeskyttelse | #Beskyttelse | ||
| #Tilgængelighed |
Hvad er formålet med kontrol 5.10?
Det overordnede formål med dette kontrol er at sikre information og andre tilhørende aktiver er passende beskyttet, brugt og håndteret.
Kontrol 5.10 er designet til at sikre, at politikker, procedurer og tekniske kontroller er på plads for at forhindre brugere i upassende at få adgang til, bruge eller videregive informationsaktiver.
Denne kontrol har til formål at skabe en ramme for organisationer, der sikrer dette information og andre aktiver er passende beskyttet, brugt og håndteret. Dette inkluderer at sikre, at politikker og procedurer findes på alle niveauer i organisationen, samt at sikre, at disse politikker og procedurer håndhæves konsekvent.
Implementering af kontrol 5.10 som en del af din ISMS betyder at du har indført de forskellige krav relateret til, hvordan din virksomhed beskytter it-aktiver, herunder:
- Beskyttelse af oplysninger under opbevaring, behandling og transit.
- Beskyttelse og passende brug af IT-udstyr.
- Brugen af passende autentificeringstjenester til at kontrollere adgangen til informationssystemer.
- Behandling af oplysninger inden for en organisation kun af brugere med passende autorisation.
- Tildelingen af informationsrelateret ansvar over for specifikke personer eller roller.
- Uddannelse og træning af brugere i deres sikkerhedsansvar.
Overholdelse behøver ikke at være kompliceret.
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Hvad er involveret, og hvordan man opfylder kravene
For at opfylde kravene til kontrol 5.10 i ISO 27002:2022, er det vigtigt, at medarbejdere og eksterne parter, der bruger eller har adgang til organisationens informationer og andre tilhørende aktiver, er opmærksomme på organisationens krav til informationssikkerhed.
Disse mennesker bør holdes ansvarlige for enhver informationsbehandlingsfaciliteter, som de bruger.
Alle involveret i brugen eller håndteringen af information og andre tilknyttede aktiver bør gøres opmærksomme på organisationens politik for acceptabel brug af information og andre relaterede aktiver.
Alle involveret i brugen eller håndteringen af oplysninger og andre tilhørende aktiver bør gøres opmærksom på organisationens politik om tilladt brug af information og andre tilhørende aktiver. Som en del af en emnespecifik acceptabel brugspolitik bør personalet vide nøjagtigt, hvad de forventes at gøre med information og andre aktiver.
Især bør emnespecifik politik angive, at:
a) forventet og uacceptabel adfærd hos enkeltpersoner ud fra et informationssikkerhedsperspektiv;
b) tilladt og forbudt brug af information og andre tilknyttede aktiver;
c) overvågning af aktiviteter, der udføres af organisationen.
Der bør udarbejdes acceptable brugsprocedurer for den fulde informations livscyklus i overensstemmelse med dens klassificering og fastlagte risici. Følgende punkter bør overvejes:
a) adgangsbegrænsninger, der understøtter beskyttelseskravene for hvert klassifikationsniveau;
b) vedligeholdelse af en fortegnelse over de autoriserede brugere af information og andre tilknyttede aktiver;
c) beskyttelse af midlertidige eller permanente kopier af oplysninger til et niveau, der er i overensstemmelse med
beskyttelse af den originale information;
d) opbevaring af aktiver forbundet med information i overensstemmelse med fabrikantens specifikationer;
e) tydelig markering af alle kopier af lagringsmedier (elektroniske eller fysiske) til opmærksomhed
autoriseret modtager;
f) tilladelse til at råde over oplysninger og andre tilknyttede aktiver og understøttede sletningsmetode(r).
Forskelle mellem ISO 27002:2013 og ISO 27002:2022
Den nye 2022-revision af ISO 27002 blev offentliggjort den 15. februar 2022 og er en opgradering af ISO 27002:2013.
Kontrol 5.10 i ISO 27002:2022 er ikke en ny kontrol, men det er en kombination af kontrol 8.1.3 – acceptabel brug af aktiver og 8.2.3 – håndtering af aktiver i ISO 27002:2013.
Mens essensen og implementeringsretningslinjerne for kontrol 5.10 er relativt de samme med kontrol 8.1.3 og 8.2.3, har kontrol 5.10 slået både den acceptable brug af aktiver og håndteringen af aktiver sammen i én kontrol for at give mulighed for forbedret brugervenlighed.
Kontrol 5.10 tilføjede dog også et ekstra punkt til kontrol 8.2.3. Dette dækker godkendelse af bortskaffelse af oplysninger og andre tilknyttede aktiver og de(n) understøttede sletningsmetode(r).
Administrer al din overholdelse ét sted
ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.
Hvem er ansvarlig for denne proces?
Den acceptable brug af oplysninger og andre tilknyttede aktiver er en politik, der fastlægger regler for at sikre korrekt brug af virksomhedens oplysninger og andre tilknyttede aktiver, herunder computere, netværk og systemer, e-mail, filer og lagermedier. Denne politik er bindende for alle medarbejdere og entreprenører.
Formålet med denne politik er at:
- Sørg for, at virksomhedens oplysninger og andre tilknyttede aktiver kun bruges til legitime forretningsformål.
- Sikre, at medarbejderne overholder alle love og regler vedrørende informationssikkerhed.
- Beskyt virksomhedens oplysninger og andre tilknyttede aktiver mod trusler, der stammer fra inde i eller uden for virksomheden.
Information Security Officer (ISO) er ansvarlig for at udvikle, implementere og vedligeholde den acceptable brug af informationsaktiver.
ISO er ansvarlig for at styre brugen af informationsressourcer i hele organisationen for at sikre, at information bruges på en måde, der beskytter datasikkerheden og integriteten, bevarer fortroligheden af proprietære eller følsomme oplysninger, beskytter mod misbrug og uautoriseret adgang til computere. ressourcer og eliminerer unødvendig eksponering eller ansvar for organisationen.
Hvad betyder disse ændringer for dig?
Den nye ISO 27002:2022-standard er ikke en væsentlig opgradering. Som følge heraf behøver du muligvis ikke foretage væsentlige ændringer med hensyn til overholdelse af den seneste version af ISO 27002.
Se dog vores guide til ISO 27002:2022, hvor du kan finde ud af mere om, hvordan disse ændringer til kontrol 5.10 vil påvirke din virksomhed.
Nye ISO 27002 kontroller
Ny kontrol
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
Organisatoriske kontroller
People Controls
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
Fysiske kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Teknologisk kontrol
Hvordan ISMS.online hjælper
Som du ved, er ISO 27002 en bredt vedtaget og anerkendt standard for informationssikkerhed.
Det giver en model til etablering, implementering, drift, overvågning, revision, vedligeholdelse og forbedring af en Information Security Management System (ISMS).
Fordi ISO 27002-standarden er så omfattende og detaljeret, kan implementeringen af den være en tidskrævende proces. Men med ISMS.online, har du en one-stop-løsning, der gør tingene meget nemmere.
Vores verdensklasse informationssikkerhed management system software platform gør det super nemt at forstå, hvad der skal gøres, og hvordan man gør det.
Vi tager smerten ud af at administrere dine overholdelseskrav.
Med ISMS.online er implementeringen af ISO 27002 enklere med vores trinvise tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.
Kontakt i dag for book en demo.
Gå til emnet
Bliv certificeret op til 5 gange hurtigere
Du skal blot udfylde de tomme felter.
Book en demo Prisberegner
