5.23 er en ny kontrol, der skitserer de processer, der kræves for anskaffelse, brug, styring af og exit fra cloud-tjenester, i forhold til organisationens unikke krav til informationssikkerhed.
Kontrol 5.23 giver organisationer mulighed for først at specificere og derefter administrere og administrere informationssikkerhed begreber som relateret til cloud-tjenester, i deres egenskab af "cloud services-kunde".
5.23 er en forebyggende kontrol at fastholder risiko ved at specificere politikker og procedurer, der styre informationssikkerheden, inden for kommercielle cloud-tjenester.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Sikkerhed for leverandørforhold | #Governance og økosystem #Beskyttelse |
Vi er omkostningseffektive og hurtige
Sådan er udbredelsen af cloud-tjenester i løbet af det seneste årti, Control 5.23 indeholder et væld af procedurer, der omfatter mange forskellige elementer i en organisations drift.
Da ikke alle cloudtjenester er IKT-specifikke – selvom det med rimelighed kunne hævdes, at de fleste er det – bør ejerskabet af Control 5.22 fordeles mellem en organisations CTO or COOafhængigt af de gældende driftsforhold.
Overholdelse af kontrol 5.23 indebærer overholdelse af det, der er kendt som en 'emnespecifik' tilgang til cloud-tjenester og informationssikkerhed.
I betragtning af de mange forskellige cloud-tjenester, der tilbydes, tilskynder emnespecifikke tilgange organisationer til at skabe politikker for cloud-tjenester, der er skræddersyet til individuelle forretningsfunktioner i stedet for at overholde et tæppe politik, der gælder for informationssikkerhed og cloud-tjenester over hele linjen.
Det skal bemærkes, at ISO betragter overholdelse af Control 5.23 som et samarbejde mellem organisationen og deres cloud-servicepartner. Kontrol 5.23 bør også være nøje tilpasset kontrol 5.21 og 5.22, som omhandler information ledelse i forsyningskæden og styring af leverandørydelser henholdsvis.
Uanset hvor en organisation vælger at operere, bør kontrol 5.23 ikke tages isoleret og bør supplere eksisterende bestræbelser på at styre leverandørrelationer.
Med informationssikkerhed i højsædet bør organisationen definere:
Kontrol 5.23 anerkender, at i modsætning til andre leverandørforhold er cloud-serviceaftaler stive dokumenter, som ikke kan ændres i langt de fleste tilfælde.
Med det i tankerne bør organisationer granske cloud-serviceaftaler og sikre, at fire primære driftskrav er opfyldt:
Som med andre leverandørkontrakter skal cloud-serviceaftaler forud for accept gennemgå en grundig risikovurdering der fremhæver potentielle problemer ved kilden.
Organisationen bør som et minimum kun indgå en cloud-serviceaftale, når de er overbevist om, at følgende 10 bestemmelser er opfyldt:
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
Ud over ovenstående vejledning foreslår Kontrol 5.23, at organisationer danner et tæt samarbejde med cloud-tjenesteudbydere i overensstemmelse med den vigtige service, de leverer, ikke kun i informationssikkerhedsmæssig henseende, men på tværs af en organisations hele kommercielle drift.
Organisationer bør, hvor det er muligt, søge følgende krav fra cloud-tjenesteudbydere for at forbedre den operationelle modstandsdygtighed og nyde forbedrede niveauer af informationssikkerhed:
Kontrol 5.23 er en ny kontrol der ikke er med i ISO 27002:2013 på nogen måde.
ISMS.online strømliner ISO 27002 implementeringsproces ved at levere en sofistikeret cloud-baseret ramme til dokumentation af informationssikkerhedsstyringssystemprocedurer og tjeklister for at sikre overholdelse af anerkendte standarder.
Når du bruger ISMS.online, vil du være i stand til at:
Tag kontakt og book en demo.
Book en skræddersyet hands-on session baseret på dine behov og mål.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |