Love, regler og kontraktmæssige krav udgør en stor del af en organisations informationssikkerhedsansvar.
Organisationer bør til enhver tid have en klar forståelse af deres forpligtelser og være parate til at tilpasse deres informationssikkerhedspraksis i overensstemmelse med deres rolle som ansvarlig databehandler.
Det er vigtigt at bemærke, at Control 5.31 ikke angiver nogen specifikke juridiske, regulatoriske eller kontraktmæssige vilkår, som organisationer enten har brug for at håndhæve eller forblive i overensstemmelse med, og den indeholder heller ikke en procedure for udformning af kontrakter. Kontrol 5.31 fokuserer i stedet på hvad organisationer skal overveje fra en informationssikkerhed perspektiv, relateret til deres unikke krav.
Kontrol 5.31 er en forebyggende kontrol at ændrer risikoen ved at tilbyde vejledning i, hvordan man opererer med en robust informationssikkerhedspolitik der opretholder overholdelse inden for alle relevante juridiske og regulatoriske miljøer.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere | #Juridisk og overholdelse | #Governance og økosystem #Beskyttelse |
Der er 5 generelle vejledningspunkter at overveje. Organisationer bør huske deres juridiske, lovbestemte, regulatoriske og kontraktmæssige krav, når:
Organisationer bør "definere og dokumentere" interne processer og ansvar der giver dem mulighed for at:
Inden for IKT er 'kryptografi' en metode til at beskytte information og kommunikation ved hjælp af koder.
Som sådan involverer hele konceptet med kryptering og kryptografi normalt specifikke juridiske krav og en betydelig mængde emnespecifik reguleringsvejledning, der skal overholdes.
Med det i tankerne skal følgende vejledning tages i betragtning:
Vi er omkostningseffektive og hurtige
Organisationer bør overveje deres informationssikkerhedsforpligtelser, når de udarbejder eller underskriver juridisk bindende kontrakter med kunder, leverandører eller leverandører (herunder forsikringspolicer og kontrakter).
Se Kontrol 5.20 for yderligere vejledning vedrørende leverandørkontrakter.
27002:2022-5.31 erstatter to kontroller fra 27002:2013-18.1.2 (Immaterielle rettigheder).
Mens 27002:2013-18.1.1 tilbyder minimal vejledning udover behovet for "ledere" til at identificere al lovgivning, som deres type virksomhed berettiger, diskuterer 27002:2022-5.31 overholdelse på tværs af lovgivningsmæssige, regulatoriske og kryptografiske miljøer, samt tilbyder nogle generaliserede vejledningspunkter og gå i langt flere detaljer med hensyn til, hvordan man holder sig på den rigtige side af enhver gældende lovgivning eller regler.
Hvad kryptering angår, overholder 27002:2022-5.31 de samme principper som 27002:2013-18.1.5 og indeholder de samme underliggende vejledningspunkter, men går et skridt videre ved at bede organisationer om at overveje hardware og software, der har potentiale til at bære ud af kryptografiske funktioner.
ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.
Kontakt i dag for book en demo.
ISMS.online er en
one-stop-løsning, der radikalt fremskyndede vores implementering.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Vi kan ikke komme i tanke om nogen virksomhed, hvis service kan holde et lys til ISMS.online.