Formål med kontrol 5.32
Kontrol 5.32 skitserer skridt, som organisationer skal tage for at sikre, at de forbliver i overensstemmelse med intellektuel ejendom (IP) rettigheder, herunder brug af proprietær software, der er købt, abonneret på eller på anden måde leaset.
ISO definerer intellektuelle ejendomsrettigheder som tilhørende en eller flere af følgende kategorier:
- Software copyright
- Dokumentets copyright
- Designrettigheder
- Varemærkerettigheder
- Patenter
- Kildekodelicenser
"Juridiske, lovbestemte, regulatoriske eller kontraktmæssige" aftaler sætter ofte begrænsninger for, hvordan proprietær software kan bruges, herunder generelle begrænsninger for kopiering, udtrækning eller reverse-engineering af kildekode, blandt andre foranstaltninger.
For klarhedens skyld omhandler kontrol 5.32 ikke situationer, hvor organisationen er IP-indehaver, og fokuserer i stedet på deres forpligtelse over for tredjemand intellektuelle ejendomsrettigheder, der er angivet i en licensaftale, en datadelingsaftale eller enhver anden sammenlignelig juridisk mekanisme.
Det er vigtigt at bemærke, at krænkelse af ophavsret og/eller IP ofte medfører alvorlige økonomiske og juridiske konsekvenser for enhver organisation, der bevidst eller ubevidst bryder vilkårene i en aftale. Som sådan bør kontrol 5.32 tages tilstrækkeligt i betragtning for at undgå unødvendige forretningsforstyrrelser eller informationssikkerhed begivenheder.
Attributter Kontroltabel 5.32
Kontrol 5.32 er en forebyggende kontrol at fastholder risiko ved at implementere procedurer for at sikre, at organisationen forbliver i overensstemmelse med alle gældende IP- eller copyright-krav, herunder at mindske risikoen for, at organisationens eget personale ikke overholder deres individuelle forpligtelser.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Identificere | #Juridisk og overholdelse | #Governance og økosystem |
| #Integritet | ||||
| #Tilgængelighed |
Få et forspring på 81 %
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om kontrol 5.32
Kontrol 5.32 beder organisationer om at overveje følgende retningslinjer for at beskytte eventuelle data, software eller aktiver der kunne betragtes som IP:
- Implementering af en "emnespecifik" politik om beskyttelse af IP-rettigheder fra sag til sag i overensstemmelse med deres unikke operationelle krav.
- Udgivelse og kommunikation af klare procedurer, der kategorisk definerer, hvordan software og IKT-produkter skal drives, for at forblive i overensstemmelse med IP-standarder.
- Brug af respekterede og velrenommerede kilder til at erhverve software for at undgå utilsigtede brud på ophavsretten ved kilden.
- Brug af et organisatorisk aktivregister til at lokalisere eventuelle IKT-aktiver, der har IP-krav som standard.
- Sikring af, at organisationen til enhver tid er i stand til at fremvise bevis for ejerskab, herunder fysiske og elektroniske licensdokumenter, kommunikation og filer.
- Forbliver i overensstemmelse med aftalte grænser for softwarebrug, herunder samtidige brugere, virtuelle ressourcer osv.
- Planlæg og implementer periodiske gennemgange for at sikre, at organisationens IKT-ejendom ikke indeholder uautoriserede eller ulicenserede softwareprodukter.
- Opret operationelle og økonomiske procedurer, der sikrer, at licenser holdes ajour.
- Opret procedurer, der sørger for sikker, ansvarlig og lovlig overførsel eller bortskaffelse af softwareaktiver.
- Sikre overholdelse af vilkårene og betingelserne og retningslinjerne for rimelig brug af software, der er erhvervet fra det offentlige domæne.
- Hvis organisationen har grund til at bruge kommercielle optagelser, må ingen del af optagelsen udtrækkes, kopieres eller konverteres på nogen måde, der ikke er indeholdt i softwarens vilkår og betingelser (herunder licensering) eller af nogen gældende lovgivning om ophavsret.
- Respektere og overholde copyright-lovene eller licensbetingelserne for tekstdata, herunder standarder, bøger, artikler, rapporter osv.
Overholdelse behøver ikke at være kompliceret.
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Ændringer og forskelle fra ISO 27002:2013
27002:2022-5.32 erstatter 27002:2013-18.1.2 (Immaterielle rettigheder).
27002:2022-5.31 indeholder stort set det samme sæt retningslinjer som dets modstykke fra 2013, med to mindre tilføjelser:
- 27002:2022-5.31 indeholder råd om, hvordan man håndterer IP-relaterede forhold i henhold til vilkårene i en datadelingsaftale.
- 27002:2013-18.1.2 indeholder ingen omtale af de resterende fordele for en organisation, der søger at styre individuelle medarbejderes adfærd over for IP-aftaler og softwarebrug.
Nye ISO 27002 kontroller
Ny kontrol
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
Organisatoriske kontroller
People Controls
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
Fysiske kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Teknologisk kontrol
Hvordan ISMS.online hjælper
ISMS.online strømliner ISO 27002 implementeringsproces ved at levere en sofistikeret cloud-baseret ramme til dokumentation af informationssikkerhedsstyringssystemprocedurer og tjeklister for at sikre overholdelse af anerkendte standarder.
Kontakt i dag for book en demo.
Gå til emnet
Bliv certificeret op til 5 gange hurtigere
Du skal blot udfylde de tomme felter.
Book en demo Prisberegner
