Juridiske, lovpligtige, regulatoriske og kontraktlige krav

ISO 27002:2022 – Kontrol 5.31 – Juridiske, lovpligtige, regulatoriske og kontraktlige krav

ISO 27002:2022 Kontrol 5.31 understreger, at organisationer skal identificere, dokumentere og overholde alle relevante juridiske, regulatoriske og kontraktmæssige krav relateret til informationssikkerhed for at mindske risici og sikre overholdelse. Den giver vejledning i at integrere disse forpligtelser i sikkerhedspolitikker, risikovurderinger, leverandørkontrakter og overordnede sikkerhedskontroller.

Formål med kontrol 5.31

Love, regler og kontraktmæssige krav udgør en stor del af en organisations informationssikkerhedsansvar.

Organisationer bør til enhver tid have en klar forståelse af deres forpligtelser og være parate til at tilpasse deres informationssikkerhedspraksis i overensstemmelse med deres rolle som ansvarlig databehandler.

Det er vigtigt at bemærke, at Control 5.31 ikke angiver nogen specifikke juridiske, regulatoriske eller kontraktmæssige vilkår, som organisationer enten har brug for at håndhæve eller forblive i overensstemmelse med, og den indeholder heller ikke en procedure for udformning af kontrakter. Kontrol 5.31 fokuserer i stedet på hvad organisationer skal overveje fra en informationssikkerhed perspektiv, relateret til deres unikke krav.

Attributter tabel

Kontrol 5.31 er en forebyggende kontrol at ændrer risikoen ved at tilbyde vejledning i, hvordan man opererer med en robust informationssikkerhedspolitik der opretholder overholdelse inden for alle relevante juridiske og regulatoriske miljøer.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Identificere	#Juridisk og overholdelse	#Governance og økosystem
	#Integritet			#Beskyttelse
	#Tilgængelighed

ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang

Generel vejledning om kontrol 5.31

Der er 5 generelle vejledningspunkter at overveje. Organisationer bør huske deres juridiske, lovbestemte, regulatoriske og kontraktmæssige krav, når:

Udarbejdelse og/eller ændring af deres informationssikkerhedsprocedurer og intern politik Dokumenter.
Design, ændring eller implementering af informationssikkerhedskontroller.
Kategorisering af oplysninger, når de overvejer deres bredere informationssikkerhedskrav, enten til organisatoriske formål eller relateret til deres forhold til en tredjepart (leverandører osv.)
gennemgår risikovurderinger vedrørende informationssikkerhed aktiviteter, herunder interne roller og ansvar relateret til en organisationsstruktur.
Etablering af arten af et leverandørforhold og deres kontraktlige forpligtelser under hele leveringen af produkter og tjenester.

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo

Lovgivnings- og reguleringsvejledning

Organisationer bør "definere og dokumentere" interne processer og ansvar der giver dem mulighed for at:

Identificere, analysere og forstå deres lovgivningsmæssige og regulatoriske forpligtelser i forbindelse med informationssikkerhed, herunder periodiske gennemgange af lovgivning og regler.
Sørg for, at de forbliver kompatible på tværs af alle lovgivningsmæssige og regulatoriske miljøer i de lande, de opererer i. Dette omfatter brugen af produkter og tjenester, der kommer uden for det land, de normalt opererer i.

Kryptografisk vejledning

Inden for IKT er 'kryptografi' en metode til at beskytte information og kommunikation ved hjælp af koder.

Som sådan involverer hele konceptet med kryptering og kryptografi normalt specifikke juridiske krav og en betydelig mængde emnespecifik reguleringsvejledning, der skal overholdes.

Med det i tankerne skal følgende vejledning tages i betragtning:

Love om import og/eller eksport af hardware eller software, som enten udfører en dedikeret kryptografisk funktion eller har evnen til at udføre denne funktion.
Love vedrørende begrænsning af kryptografiske funktioner.
Enhver adgang til krypteret information, som myndigheder i et land eller en region har ret til at anmode og håndhæve.
Gyldigheden og sandheden af tre digitale nøgleelementer af krypteret information:
a) Underskrifter
b) Sæler
c) Certifikater

Kontraktlig vejledning

Organisationer bør overveje deres informationssikkerhedsforpligtelser, når de udarbejder eller underskriver juridisk bindende kontrakter med kunder, leverandører eller leverandører (herunder forsikringspolicer og kontrakter).

Se Kontrol 5.20 for yderligere vejledning vedrørende leverandørkontrakter.

Understøttende kontroller

5.20

ISMS.online understøtter over 100 standarder og regler, hvilket giver dig en enkelt platform til alle dine overholdelsesbehov.

Book din demo

Ændringer og forskelle fra ISO 27002:2013

27002:2022-5.31 erstatter to kontroller fra 27002:2013-18.1.2 (Immaterielle rettigheder).

18.1.1 – Identifikation af gældende lovgivning og kontraktlige krav
18.1.5 – Regulering af kryptografiske kontroller

Mens 27002:2013-18.1.1 tilbyder minimal vejledning udover behovet for "ledere" til at identificere al lovgivning, som deres type virksomhed berettiger, diskuterer 27002:2022-5.31 overholdelse på tværs af lovgivningsmæssige, regulatoriske og kryptografiske miljøer, samt tilbyder nogle generaliserede vejledningspunkter og gå i langt flere detaljer med hensyn til, hvordan man holder sig på den rigtige side af enhver gældende lovgivning eller regler.

Hvad kryptering angår, overholder 27002:2022-5.31 de samme principper som 27002:2013-18.1.5 og indeholder de samme underliggende vejledningspunkter, men går et skridt videre ved at bede organisationer om at overveje hardware og software, der har potentiale til at bære ud af kryptografiske funktioner.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.7	NY	Trusselsintelligens
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.30	NY	IKT-parathed til forretningskontinuitet
7.4	NY	Fysisk sikkerhedsovervågning
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.16	NY	Overvågning af aktiviteter
8.23	NY	Webfiltrering
8.28	NY	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	NY	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	5.30	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	NY	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	NY	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	NY	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	NY	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.

Kontakt i dag for book en demo.

Vi er førende inden for vores felt