Kontrol 5.11 angiver, at personale m.fl interesserede parter efter behov skal returnere alle organisationens aktiver i deres besiddelse ved ændring eller opsigelse af deres ansættelse, kontrakt eller aftale.
Det betyder, at organisationen skal have en skriftlig politik, der definerer klare regler for tilbagelevering af aktiver ved opsigelse. Organisationer skal også have personale, der bekræfter modtagelsen af returnerede aktiver, og sikre, at aktiverne er korrekt opført og redegjorde for.
An informationsaktiv er enhver form for data eller information, der har værdi for en organisation. Informationsaktiver kan omfatte fysiske dokumenter, digitale filer og databaser, softwareprogrammer og endda immaterielle genstande som forretningshemmeligheder og intellektuel ejendom.
Informationsaktiver kan have værdi på mange forskellige måder. De kan indeholde personligt identificerende oplysninger (PII) om kunder, medarbejdere eller andre interessenter, der kunne blive brugt af dårlige aktører til økonomisk vinding eller identitetstyveri. De kunne indeholde følsomme oplysninger om din organisations økonomi, forskning eller drift, som ville give dine konkurrenter en konkurrencefordel, hvis de var i stand til at få fingrene i det.
Det er derfor, det er vigtigt, at personale og entreprenører, hvis forretning er afsluttet med en organisation, er tvunget til at returnere alle sådanne aktiver i deres besiddelse.
Den nye ISO 27002:2022 standard omfatter attributtabeller, der ikke var inkluderet i den tidligere 2013-standard. Kontroller er klassificeret baseret på deres egenskaber. Du kan også bruge disse attributter til at matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer.
Attributter til kontrol 5.11 er:
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | # Asset management | #Beskyttelse |
Vi er omkostningseffektive og hurtige
Kontrol 5.11 er designet til at beskytte organisationens aktiver som en del af processen med at ændre eller opsige ansættelse, kontrakt eller aftale. Hensigten med denne kontrol er at forhindre uautoriserede personer i at beholde aktiver (f.eks. udstyr, information, software osv.), der tilhører organisationen.
Når medarbejdere og entreprenører forlader din organisation, skal du sørge for, at de ikke tager følsomme data med sig. Det gør du ved at identificere eventuelle potentielle trusler og overvåge brugerens aktiviteter før deres afgang.
Denne kontrol skal sikre, at den enkelte ikke har adgang til IT-systemerne og netværkene, når de opsiges. Organisationer bør etablere en formel opsigelsesproces, der sikrer, at enkeltpersoner ikke er i stand til at få adgang til nogen it-systemer efter deres udtræden af organisationen. Dette kan gøres ved at tilbagekalde alle tilladelser, deaktivere konti og fjerne adgang fra bygningens lokaler.
Procedurer bør være på plads for at sikre, at medarbejdere, entreprenører og andre relevante parter returnerer alle organisatoriske aktiver, som ikke længere er nødvendige til forretningsformål eller skal udskiftes. Organisationer kan også ønske at udføre et sidste tjek af den enkeltes arbejdsområde for at sikre, at alle følsomme oplysninger er blevet returneret.
For eksempel:
For at opfylde kravene til kontrol 5.11 bør ændrings- eller opsigelsesprocessen formaliseres til at omfatte tilbagelevering af alle tidligere udstedte fysiske og elektroniske aktiver, der ejes af eller betros til organisationen.
Processen bør også sikre, at alle adgangsrettigheder, konti, digitale certifikater og adgangskoder fjernes. Denne formalisering er især vigtig i tilfælde, hvor en ændring eller opsigelse sker uventet, såsom død eller fratræden, for at forhindre uautoriseret adgang til organisationens aktiver, som kan føre til et databrud.
Processen skal sikre, at alle aktiver er bogført, og at de alle er blevet returneret/bortskaffet på en sikker måde.
Ifølge kontrol 5.11 i ISO 27002:2022 skal organisationen klart identificere og dokumentere alle oplysninger og andre tilknyttede aktiver, der skal returneres, som kan omfatte:
a) brugerens slutpunktsenheder;
b) bærbare lagerenheder;
c) specialudstyr;
d) autentificeringshardware (f.eks. mekaniske nøgler, fysiske tokens og smartcards) til informationssystemer, websteder og fysiske arkiver;
e) fysiske kopier af oplysninger.
Dette kan opnås gennem en formel tjekliste, der indeholder alle nødvendige genstande, der skal returneres/kasseres og udfyldes af brugeren ved opsigelse, sammen med eventuelle nødvendige underskrifter, der bekræfter, at aktiverne er blevet returneret/bortskaffet med succes.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Den nye 2022-revision af ISO 27002 blev offentliggjort den 15. februar 2022 og er en opgradering af ISO 27002:2013.
Kontrol 5.11 i ISO 27002: 2022 er ikke en ny kontrol, men det er en ændring af kontrol 8.1.4 – tilbagevenden af aktiver i ISO 27002:2013.
Begge kontroller er i det væsentlige de samme med næsten lignende sprog og fraseologi indeholdt i implementeringsretningslinjerne. Imidlertid, kontrol 5.11 i ISO 27002:2022 leveres med en attributtabel, der giver brugerne mulighed for at matche kontrollen med det, de implementerer. Kontroller også 5.11 i ISO 27002:2022 opførte aktiver, der kan falde ind under, hvad der skal returneres ved ansættelses ophør eller opsigelse af kontrakt.
Disse omfatter:
a) brugerens slutpunktsenheder;
b) bærbare lagerenheder;
c) specialudstyr;
d) autentificeringshardware (f.eks. mekaniske nøgler, fysiske tokens og smartcards) til informationssystemer, websteder og fysiske arkiver;
e) fysiske kopier af oplysninger.
Denne liste er ikke tilgængelig i 2013-versionen.
Den opdaterede ISO 27002:2022-standard er baseret på 2013-versionen. Det udvalg, der fører tilsyn med standarden, har ikke foretaget væsentlige opdateringer eller ændringer af de tidligere versioner. Som følge heraf er enhver organisation, der i øjeblikket overholder ISO 27002:2013, allerede i overensstemmelse med den nye standard. Hvis din virksomhed planlægger at opretholde overholdelse af ISO 27002, behøver du ikke foretage mange væsentlige ændringer i dine systemer og processer.
Du kan dog lære mere om, hvordan disse ændringer til kontrol 5.11 vil påvirke din organisation i vores guide til ISO 27002:2022.
ISMS.online platformen er et fantastisk værktøj til at hjælpe dig med at implementere og administrere en ISO 27001/27002 Informationssikkerhedsstyringssystem, uanset din erfaring med standarden.
Vores system vil guide dig gennem trinene til konfigureret dit ISMS og styre det fremadrettet. Du får adgang til en bred vifte af ressourcer, herunder:
Kontakt i dag for book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |