Når oplysninger overføres til interne eller eksterne parter, skaber det en øget risiko for fortroligheden, integriteten, tilgængeligheden og informationssikkerhed transmitteret.
Kontrol 5.14 medfører de krav, som organisationer skal opfylde for at opretholde datasikkerheden, når den deles internt, eller når den strømmer ud af organisationen til tredjepart.
Kontrol 5.14 er en forebyggende form for kontrol, der kræver, at organisationer indfører passende regler, procedurer og/eller aftaler for at opretholde sikkerheden af data, når de deles inden for en organisation, eller når de overføres til tredjeparter.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | # Asset Management #Informationsbeskyttelse | #Beskyttelse |
Mens udvikling og implementering af regler, procedurer og aftaler kræver støtte og godkendelse fra ledelsen på højt niveau, er samarbejdet og ekspertisen mellem forskellige interessenter i en organisation, herunder det juridiske team, it-personale og den øverste ledelse, af afgørende betydning. .
For eksempel bør det juridiske team sikre, at organisationen indgår overførselsaftaler med tredjeparter, og at disse aftaler er i overensstemmelse med kravene specificeret i Kontrol 5.14. Ligeledes bør IT-teamet deltage aktivt i at definere og implementere kontroller for at opretholde datasikkerheden som beskrevet i 5.14.
Overholdelse af 5.14 indebærer udvikling af regler, procedurer og aftaler, herunder en emnespecifik informationsoverførselspolitik, der giver data i transit et beskyttelsesniveau, der er passende for den klassifikation, der er tildelt disse oplysninger.
Med andre ord bør beskyttelsesniveauet svare til niveauet af kritikalitet og følsomhed af de transmitterede oplysninger.
Endvidere specificerer Kontrol 5.14, at organisationer skal underskrive overførselsaftaler med modtagende tredjeparter for at garantere sikker transmission af data.
Kontrol 5.14 grupperer overførselstyperne i tre kategorier:
Før vi går videre til at beskrive de specifikke krav for hver type overførsel, opregner Kontrol 5.14 de elementer, der skal inkluderes i alle regler, procedurer og aftaler for alle tre typer overførsler generelt:
Efter at have angivet minimumsindholdskravene for regler, procedurer og aftaler, der er fælles for alle tre typer overførsel, opstiller Control 5.14 specifikke indholdskrav for hver type overførsel.
Regler, aftaler og procedurer bør behandle følgende problemer, når oplysninger overføres elektronisk:
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Vi er omkostningseffektive og hurtige
Når oplysninger deles via fysiske midler såsom papirer, bør reglerne, procedurerne og aftalerne dække følgende:
Kontrol 5.14 angiver, at når personale udveksler oplysninger inden for organisationen, eller når de overfører data til eksterne parter, skal de informeres om følgende risici:
27002:2022/5.14 erstatter 27002:2013/(13.2.1, 13.2.2. 13.2.3).
Mens de to kontroller til en vis grad ligner hinanden, gør to vigtige forskelle 2022-versionens krav mere besværlige.
I 2013-versionen, afsnit 13.2.3 behandlet de specifikke krav til overførsel af oplysninger via elektroniske beskeder.
Den behandlede dog ikke særskilt overførsel af oplysninger via verbal eller fysisk måde.
I modsætning hertil identificerer 2022-versionen klart tre typer informationsoverførsel og angiver derefter indholdskravene for hver af dem separat.
Mens afsnit 13.2.3 indeholdt specifikke krav til indholdet af aftaler om elektroniske beskeder, pålægger 2022-versionen strengere forpligtelser for organisationer.
2022-versionen kræver, at organisationer beskriver og implementerer nye kontroller i regler, procedurer og aftaler for elektroniske overførsler.
For eksempel bør organisationer råde deres ansatte til ikke at bruge SMS-tjenester, når de indeholder følsomme oplysninger.
2022-versionen stiller strengere krav til den fysiske lagermedieoverførsel. For eksempel er dets krav mere omfattende med hensyn til autentificering af kurerer og de typer skader, der bør forhindres.
I 2013-versionen var der en eksplicit henvisning til specifikke krav til aftaler om informationsoverførsel. Men "Reglerne" og "Procedurerne" blev ikke behandlet specifikt.
I modsætning hertil angiver 2022-versionen de specifikke krav til hver af disse tre mekanismer.
ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.
Kontakt i dag for book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |