Kontrol 5.33 - Beskyttelse af optegnelser

ISO 27002:2022 – Kontrol 5.33 – Beskyttelse af optegnelser

ISO 27002:2022 Control 5.33 giver organisationer mandat til at beskytte optegnelser mod tab, ødelæggelse, forfalskning, uautoriseret adgang eller frigivelse ved at implementere politikker om opbevaring, sikker opbevaring og bortskaffelse, samtidig med at integritet og overholdelse af juridiske og forretningsmæssige krav sikres.

ISO 27002:2022 Kontrol 5.33 – Best Practices for Record Protection

Optegnelser er et tåget begreb, som nogle organisationer kæmper for at klassificere og administrere med henblik på overholdelse.

Optegnelser inden for IKT-området er en anden betegnelse for de data og informationer, som en organisation beholder og/eller bruger til at udføre sine daglige forretningsaktiviteter, herunder (men ikke begrænset til):

Individuelle arrangementer
Transaktioner
Arbejdsprocesser
Aktiviteter
Funktioner

ISO definerer registreringer inden for rammerne af deres standarder som "enhver form for information, uanset dens struktur eller form", herunder "et dokument, en samling af data eller andre typer information, der oprettes, fanges og administreres i løbet af virksomheden ”, inklusive en posts metadata.

Formål med kontrol 5.33

Enhver organisation har en forpligtelse til at sikre, at de data, den opbevarer – herunder men ikke begrænset til nogen personer, er økonomisk information eller driftsområder – opbevares sikkert og sikkert, og interne procedurer forbliver i overensstemmelse med alle gældende krav.

Kontrol 5.33 omhandler beskyttelse af virksomhedsregistre mod 5 større begivenheder:

Loss
Ødelæggelse
Falsifikation
Uautoriseret adgang
Uautoriseret udgivelse eller offentliggørelse

Attributter tabel

Kontrol 5.33 er en forebyggende kontrol at fastholder risiko ved at skabe retningslinjer og procedurer – herunder opbevaringsplaner – der opfylder en organisations lovmæssige, lovbestemte, regulatoriske og kontraktmæssige krav vedrørende beskyttelse og tilgængelighed af eventuelle optegnelser, den har.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Identificere	#Juridisk og overholdelse	#Forsvar
	#Integritet	#Beskytte	# Asset Management
	#Tilgængelighed		#Informationsbeskyttelse

ISMS.online giver dig et forspring på 81% fra det øjeblik, du logger på

ISO 27001 gjort nemt

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på. Alt du skal gøre er at udfylde de tomme felter.

Kom i gang

Generel vejledning om kontrol 5.33

Kontrol 5.33 anerkender, at en organisationens behov er flydende når det kommer til mængden og typen af poster, der kræves for at drive forretning fra den ene dag til den anden.

Som sådan kategoriserer Control 5.33 poststyring i 4 hovedattributter:

Autenticitet
Pålidelighed
Integritet
Brugbarhed

Inden for rammerne af disse attributter beder Control 5.33 organisationer om at:

Udarbejd og publicer retningslinjer, der omhandler fire hovedfunktioner, sammen med emnespecifikke politikker, der tager højde for den underliggende karakter af de pågældende poster:
a) Optagelager
b) Record håndtering chain of custody
c) Record bortskaffelse
d) Forebyggelse af manipulation
Oprethold en funktionel journalopbevaringsplan, der klart angiver, hvor lang tid registre af forskellige typer skal opbevares i forhold til deres individuelle forretningsfunktion.
Opret opbevarings- og håndteringsprocedurer, der tager højde for:
a) enhver gældende lovgivning, der omhandler kommerciel journalføring
b) "fællesskab og samfundsmæssige" forventninger til, hvordan en organisation skal håndtere sine optegnelser
Implementer procedurer, der ødelægger optegnelser på en sikker og passende måde i det øjeblik, de ikke er nødvendige (efter at have forladt opbevaringsperioden).
Klassificer optegnelser til beskyttelse (herunder passende opbevaringsperioder og anvendte lagringsmedier) baseret på deres sikkerhedsrisiko, og forskellige typer, herunder (men ikke begrænset til):
a) Regnskabsoptegnelser
b) Forretningstransaktioner
c) Personalejournaler
d) Juridiske optegnelser
Sørg for, at eventuelle opbevaringsprocedurer tager højde for en acceptabel tidsramme for hentning, hvis organisationen bliver bedt om at producere dem af en tredjepart, eller til intern brug.
Hvor elektroniske medier bruges til at gemme optegnelser, skal du overveje og mindske muligheden for, at adgang til eller hentning af optegnelser hæmmes af teknologiske ændringer, herunder opbevaring af kryptografisk information (se kontrol 8.24).
Overhold producentens retningslinjer, når du opbevarer eller håndterer optegnelser på eller via elektroniske medier, herunder passende hensyn til den naturlige forringelse af nævnte medier.

Integrer, udvid og skaler din compliance uden besvær. IO giver dig robustheden og selvtilliden til at vokse sikkert.

Book din demo

Ændringer og forskelle fra ISO 27002:2013

27002:2022-5.33 erstatter 27002:2013-18.1.3 (Beskyttelse af journaler), med forskellige tilføjelser i form af individuelle vejledningspunkter og generelle processer, der skal overholdes.

I 2022-kontrollen anerkender ISO vigtigheden af at definere, hvad der udgør en forretningsrekord. 27002:2022-5.33 indeholder adskillige eksempler på, hvad ISO anser en rekord for at være (se ovenfor), som er fraværende fra 27002:2013-18.1.3.

Kontrol 5.33 fokuserer også en organisations opmærksomhed på to hovedvejledningspunkter, som ikke er indeholdt i dens modstykke fra 2013 (vejledning 1 og 2 ovenfor), som igen danner grundlaget for en organisations journalpolitik – især en opbevaringsplan, der dikterer, hvordan lange optegnelser bør opbevares for, og eventuelle mediespecifikke krav.

Metadata har også for første gang dukket op i arkivhåndteringen. 27002:2013-18.1.3 indeholder ingen omtale af det, hvorimod 27002:2022-5.33 anser det for at være en "essentiel komponent".

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.7	NY	Trusselsintelligens
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.30	NY	IKT-parathed til forretningskontinuitet
7.4	NY	Fysisk sikkerhedsovervågning
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.16	NY	Overvågning af aktiviteter
8.23	NY	Webfiltrering
8.28	NY	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	NY	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	NY	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	5.30	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	NY	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	NY	Konfigurationsstyring
8.10	NY	Sletning af oplysninger
8.11	NY	Datamaskering
8.12	NY	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	NY	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	NY	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	NY	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

Brug af ISMS.online kan du:

Implementer hurtigt en Information Security Management System (ISMS).
Let administrere dokumentationen af dit ISMS.
Strømline overholdelse af alle relevante standarder.
Administrer alle aspekter af informationssikkerhed, fra risikostyring til træning i sikkerhedsbevidsthed.
Kommuniker effektivt i hele din organisation ved hjælp af vores indbyggede kommunikationsfunktionalitet.

Kontakt i dag for book en demo.

Vi er førende inden for vores felt