ISO 27002: 2022 kontrol 5.3 — Opdeling af pligter, tidligere kendt som kontrol 6.1.2 i ISO 27002:2013 definerer det system, hvormed modstridende pligter og modstridende ansvarsområder adskilles.
Hver organisation har et sæt politikker og procedurer (P&P'er), der styrer dens interne arbejde. P&P'er formodes at være dokumenteret, men ofte er de det ikke.
Hvis disse P&P'er ikke er klare eller velkommunikerede, er resultatet forvirring blandt medarbejderne om deres ansvarsområder. Dette kan blive endnu værre, når medarbejderne har overlappende ansvarsområder eller modstridende ansvarsområder.
Konflikter kan opstå, når to eller flere medarbejdere har lignende eller forskellige ansvar over for en bestemt opgave. Når dette sker, kan medarbejderne ende med at gøre det samme to gange, eller gøre forskellige ting, der ophæver hinandens indsats. Dette spilder virksomhedens ressourcer og reducerer produktiviteten, hvilket påvirker både virksomhedens bundlinje og moral.
For at sikre, at din organisation ikke lider af dette problem, er det vigtigt at forstå, hvilke ansvarsområder der er modstridende, hvorfor de sker, og hvordan du kan forhindre dem i at opstå i din organisation. For det meste betyder det at adskille opgaver, så forskellige mennesker håndterer forskelligt roller i organisationen.
Kontroller er klassificeret efter deres egenskaber. Attributter hjælper dig med at tilpasse dit kontrolvalg til industristandarder og sprog. I kontrol 5.3 er disse:
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte | #Governance #Identitets- og adgangsstyring | #Governance og økosystem |
Vi er omkostningseffektive og hurtige
Formålet med kontrol 5.3 Opdeling af opgaver i ISO 27002 er at reducere risikoen for svig, fejl og omgåelse af informationssikkerhedskontroller ved at sikre, at modstridende opgaver adskilles.
Kontrol 5.3 dækker implementeringsvejledningen for adskillelsesopgaver og pligter i en organisation i tråd med rammerne for ISO 27001.
Princippet går ud på at nedbryde nøgleopgaver i underopgaver og tildele dem til forskellige personer. Dette skaber et system af checks og balancer, der kan reducere risikoen for fejl eller svindel.
Kontrollen er designet til at forhindre, at en enkelt person kan begå, skjule og retfærdiggøre upassende handlinger og dermed mindske risikoen for svindel eller fejl. Det forhindrer også en enkelt person i at kunne tilsidesætte informationssikkerhedskontroller.
Hvis én medarbejder har alle rettigheder, der kræves til en bestemt opgave, er der en højere risiko for svindel eller fejl, da én person kan gøre alt uden nogen form for checks og balances. Men hvis ingen enkelt person har alle adgangsrettigheder, der kræves til en bestemt opgave, reducerer dette risikoen for, at en medarbejder kan forårsage betydelig skade eller økonomisk tab.
Pligter og ansvarsområder, der ikke er adskilte, kan føre til svindel, misbrug, upassende adgang og andre sikkerhedshændelser.
Derudover er adskillelse af opgaver nødvendig for at mindske de risici, der er forbundet med potentialet for samordning mellem enkeltpersoner. Disse risici øges, når der ikke er tilstrækkelig kontrol til at forhindre eller opdage hemmeligt samarbejde.
For at opfylde kravene til kontrol 5.3 i ISO 27002:2022 bør organisationen bestemme, hvilke opgaver og ansvarsområder der skal adskilles, og handlingsegnede adskillelseskontroller skal indføres.
Hvor sådanne kontroller ikke er mulige, især for små organisationer med minimal personalestyrke, aktivitetsovervågning, revisionsspor og ledelsestilsyn Kan bruges. For større organisationer kan automatiserede værktøjer bruges til at identificere og adskille roller, så modstridende roller ikke tildeles personer.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Kontrolnummeret 5.3 Opdeling af opgaver i ISO 27002:2022 er ikke en ny kontrol. Det er simpelthen en forbedret version af kontrol 6.1.2 Opdeling af opgaver fundet i ISO 27002:2013.
Det grundlæggende i funktionsadskillelse er det samme i både kontrol 5.3 ISO 27002:2022 og kontrol 6.1.2 ISO 27002:2013. Den nye version beskriver dog en række aktiviteter, der kræver adskillelse ved implementering af denne kontrol.
Disse aktiviteter er:
a) igangsætte, godkende og udføre en ændring;
b) anmode om, godkende og implementere adgangsrettigheder;
c) designe, implementere og gennemgå kode;
d) udvikling af software og administration af produktionssystemer;
e) brug og administration af applikationer;
f) brug af applikationer og administration af databaser;
g) designe, revidere og sikre informationssikkerhedskontrol.
Der er flere personer, der er ansvarlige for adskillelse af opgaver i ISO 27002. For det første bør et højtstående medlem af ledelsesteamet involveres for at sikre, at den indledende risikovurdering er afsluttet.
Derefter bør de processer, der dækker forskellige dele af organisationen, allokeres til forskellige grupper af kvalificerede medarbejdere. For at forhindre useriøse medarbejdere i at underminere virksomhedens sikkerhed, gøres dette normalt ved at tildele opgaver til forskellige arbejdsenheder og afdelingalisere de IT-relaterede drift- og vedligeholdelsesaktiviteter.
Endelig kan adskillelse af opgaver ikke etableres korrekt uden et passende IT-revisionsprogram, en effektiv risikostyringsstrategi samt et passende kontrolmiljø.
Den nye ISO 27002:2022 standard kræver ikke, at du skal gøre meget andet end opgrader dit ISMS processer for at afspejle de forbedrede kontroller. Og hvis dit team ikke kan klare dette, ISMS.online kan hjælpe dig.
ISMS.online strømliner ISO 27002 implementeringsprocessen ved at levere en sofistikeret cloud-baseret ramme til dokumentation af procedurer og tjeklister for informationssikkerhedsstyringssystem for at sikre overholdelse af anerkendte standarder.
Når du bruger ISMS.online, vil du være i stand til at:
Takket være vores cloud-baserede platform er det nu muligt centralt at administrere dine tjeklister, interagere med kolleger og bruge et omfattende sæt værktøjer til at hjælpe din organisation med at skabe og drive et ISMS i overensstemmelse med verdensomspændende bedste praksis.
Kontakt i dag for book en demo.
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
