Hvad er Control 5.11, Return of Assets?
An informationsaktiv er enhver form for data eller information, der har værdi for en organisation. Informationsaktiver kan omfatte fysiske dokumenter, digitale filer og databaser, softwareprogrammer og endda immaterielle genstande som forretningshemmeligheder og intellektuel ejendom.
Informationsaktiver kan have værdi på mange forskellige måder. De kan indeholde personligt identificerende oplysninger (PII) om kunder, medarbejdere eller andre interessenter, der kunne blive brugt af dårlige aktører til økonomisk vinding eller identitetstyveri. De kunne indeholde følsomme oplysninger om din organisations økonomi, forskning eller drift, som ville give dine konkurrenter en konkurrencefordel, hvis de var i stand til at få fingrene i det.
Det er derfor, det er vigtigt, at personale og entreprenører, hvis forretning er afsluttet med en organisation, er tvunget til at returnere alle sådanne aktiver i deres besiddelse.
ISO 27001 gjort nemt
Et forspring på 81% fra dag ét
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.
Kontrolattributter 5.11
Den nye ISO 27002:2022 standard omfatter attributtabeller, der ikke var inkluderet i den tidligere 2013-standard. Kontroller er klassificeret baseret på deres egenskaber. Du kan også bruge disse attributter til at matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer.
Attributter til kontrol 5.11 er:
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | # Asset management | #Beskyttelse |
| #Integritet | ||||
| #Tilgængelighed |
Hvad er formålet med kontrol 5.11?
Kontrol 5.11 er designet til at beskytte organisationens aktiver som en del af processen med at ændre eller opsige ansættelse, kontrakt eller aftale. Hensigten med denne kontrol er at forhindre uautoriserede personer i at beholde aktiver (f.eks. udstyr, information, software osv.), der tilhører organisationen.
Når medarbejdere og entreprenører forlader din organisation, skal du sørge for, at de ikke tager følsomme data med sig. Det gør du ved at identificere eventuelle potentielle trusler og overvåge brugerens aktiviteter før deres afgang.
Denne kontrol skal sikre, at den enkelte ikke har adgang til IT-systemerne og netværkene, når de opsiges. Organisationer bør etablere en formel opsigelsesproces, der sikrer, at enkeltpersoner ikke er i stand til at få adgang til nogen it-systemer efter deres udtræden af organisationen. Dette kan gøres ved at tilbagekalde alle tilladelser, deaktivere konti og fjerne adgang fra bygningens lokaler.
Procedurer bør være på plads for at sikre, at medarbejdere, entreprenører og andre relevante parter returnerer alle organisatoriske aktiver, som ikke længere er nødvendige til forretningsformål eller skal udskiftes. Organisationer kan også ønske at udføre et sidste tjek af den enkeltes arbejdsområde for at sikre, at alle følsomme oplysninger er blevet returneret.
For eksempel:
- Ved adskillelse indsamles organisationsejet udstyr (f.eks. flytbare medier, bærbare computere).
- Entreprenører returnerer udstyr og oplysninger i slutningen af deres kontrakt.
Frigør dig selv fra et bjerg af regneark
Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.
Hvad er involveret, og hvordan man opfylder kravene
For at opfylde kravene til kontrol 5.11 bør ændrings- eller opsigelsesprocessen formaliseres til at omfatte tilbagelevering af alle tidligere udstedte fysiske og elektroniske aktiver, der ejes af eller betros til organisationen.
Processen bør også sikre, at alle adgangsrettigheder, konti, digitale certifikater og adgangskoder fjernes. Denne formalisering er især vigtig i tilfælde, hvor en ændring eller opsigelse sker uventet, såsom død eller fratræden, for at forhindre uautoriseret adgang til organisationens aktiver, som kan føre til et databrud.
Processen skal sikre, at alle aktiver er bogført, og at de alle er blevet returneret/bortskaffet på en sikker måde.
Ifølge kontrol 5.11 i ISO 27002:2022 skal organisationen klart identificere og dokumentere alle oplysninger og andre tilknyttede aktiver, der skal returneres, som kan omfatte:
a) brugerens slutpunktsenheder;
b) bærbare lagerenheder;
c) specialudstyr;
d) autentificeringshardware (f.eks. mekaniske nøgler, fysiske tokens og smartcards) til informationssystemer, websteder og fysiske arkiver;
e) fysiske kopier af oplysninger.
Dette kan opnås gennem en formel tjekliste, der indeholder alle nødvendige genstande, der skal returneres/kasseres og udfyldes af brugeren ved opsigelse, sammen med eventuelle nødvendige underskrifter, der bekræfter, at aktiverne er blevet returneret/bortskaffet med succes.
Forskelle mellem ISO 27002:2013 og ISO 27002:2022
Den nye 2022-revision af ISO 27002 blev offentliggjort den 15. februar 2022 og er en opgradering af ISO 27002:2013.
Kontrol 5.11 i ISO 27002: 2022 er ikke en ny kontrol, men det er en ændring af kontrol 8.1.4 – tilbagevenden af aktiver i ISO 27002:2013.
Begge kontroller er i det væsentlige de samme med næsten lignende sprog og fraseologi indeholdt i implementeringsretningslinjerne. Imidlertid, kontrol 5.11 i ISO 27002:2022 leveres med en attributtabel, der giver brugerne mulighed for at matche kontrollen med det, de implementerer. Kontroller også 5.11 i ISO 27002:2022 opførte aktiver, der kan falde ind under, hvad der skal returneres ved ansættelses ophør eller opsigelse af kontrakt.
Disse omfatter:
a) brugerens slutpunktsenheder;
b) bærbare lagerenheder;
c) specialudstyr;
d) autentificeringshardware (f.eks. mekaniske nøgler, fysiske tokens og smartcards) til informationssystemer, websteder og fysiske arkiver;
e) fysiske kopier af oplysninger.
Denne liste er ikke tilgængelig i 2013-versionen.
Administrer al din compliance, alt på ét sted
ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.
Hvad betyder disse ændringer for dig?
Den opdaterede ISO 27002:2022-standard er baseret på 2013-versionen. Det udvalg, der fører tilsyn med standarden, har ikke foretaget væsentlige opdateringer eller ændringer af de tidligere versioner. Som følge heraf er enhver organisation, der i øjeblikket overholder ISO 27002:2013, allerede i overensstemmelse med den nye standard. Hvis din virksomhed planlægger at opretholde overholdelse af ISO 27002, behøver du ikke foretage mange væsentlige ændringer i dine systemer og processer.
Du kan dog lære mere om, hvordan disse ændringer til kontrol 5.11 vil påvirke din organisation i vores guide til ISO 27002:2022.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | NY | Trusselsintelligens |
| 5.23 | NY | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | NY | IKT-parathed til forretningskontinuitet |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 8.9 | NY | Konfigurationsstyring |
| 8.10 | NY | Sletning af oplysninger |
| 8.11 | NY | Datamaskering |
| 8.12 | NY | Forebyggelse af datalækage |
| 8.16 | NY | Overvågning af aktiviteter |
| 8.23 | NY | Webfiltrering |
| 8.28 | NY | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | NY | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Hvordan ISMS.online hjælper
ISMS.online platformen er et fantastisk værktøj til at hjælpe dig med at implementere og administrere en ISO 27001/27002 Informationssikkerhedsstyringssystem, uanset din erfaring med standarden.
Vores system vil guide dig gennem trinene til konfigureret dit ISMS og styre det fremadrettet. Du får adgang til en bred vifte af ressourcer, herunder:
- En interaktiv ISMS.online manual, der giver en trin-for-trin guide til implementering af ISO 27001/27002 i enhver organisation.
- A risikovurderingsværktøj der guider dig gennem processen med at identificere og vurdere dine risici.
- En online politikpakke som er let at tilpasse ud fra dine behov.
- Et dokumentkontrolsystem, der hjælper dig med at administrere hvert enkelt dokument og post, der er oprettet som en del af dit ISMS.
- Automatisk rapportering for bedre beslutningstagning.
- En tjekliste, som du kan bruge til at verificere, at dine processer er i overensstemmelse med ISO 27002-rammerne. I sidste ende har vores cloud-baserede platform alt hvad du behøver for at dokumentere bevis for overholdelse af ISO-rammerne.
Kontakt i dag for book en demo.
