ISO 27002 Kontrol 5.35: Hvorfor uafhængige sikkerhedsvurderinger er vigtige
Informationssikkerhed er et centralt aspekt af en organisations datastyring praksis.
Så meget, at det er nødvendigt at eliminere selvtilfredshed ved at udføre regelmæssige uafhængige anmeldelser af, hvordan en organisation styrer de mennesker, processer og teknologier, der er involveret i at opretholde en effektiv informationssikkerhed drift.
Formål med kontrol 5.35
Kontrol 5.35 kræver, at organisationer udfører uafhængige gennemgange af deres informationssikkerhedspraksis – både med planlagte intervaller, og når der sker større operationelle ændringer – for at sikre, at politikker til administration af informationssikkerhed er:
- Tilstrækkelig – De har kapaciteten til at opnå overholdelse
- Egnet - De forsøger at opnå de rigtige mål
- Effektive – De virker efter hensigten
Attributter tabel
Kontrol 5.35 er en forebyggende og korrigerende kontrollere det fastholder risiko ved at skabe processer, der letter regelmæssige gennemgange af en organisations informationssikkerhedsstyringspraksis.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Identificere | #Informationssikkerhedsgaranti | #Governance og økosystem |
| #Korrigerende | #Integritet | #Beskytte | ||
| #Tilgængelighed |
Overholdelse behøver ikke at være kompliceret.
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Ejerskab af kontrol 5.35
Kontrol 5.35 omhandler primært driftsforhold. Som sådan bør ejerskabet ligge hos COO eller CISO (hvis til stede).
Generel vejledning om kontrol 5.35
Det overordnede mål er for ledelse til at skabe og implementere processer, der tager højde for uafhængige gennemgange af deres informationssikkerhed praksis.
Anmeldelser bør fokusere på eventuelle ændringer nødvendig for at forbedre en organisations tilgang til informationssikkerhed, Herunder:
- informationssikkerhedspolitik.
- Emnespecifikke politikker.
- Relaterede kontroller.
Enhver gennemgang bør udføres af en person i eller uden for organisationen, som ikke har en særlig interesse i det, de undersøger, såsom:
- Interne revisorer.
- Uafhængige afdelingsledere.
- Tredjepartsorganisationer.
Den, der foretager gennemgangen, bør have det relevante operationel kompetence at foretage en sund bedømmelse af deres resultater, og (i tilfælde af internt personale) bør deres jobrolle ikke forhindre dem i at foretage en gyldig og legitim vurdering.
Resultaterne af gennemgangen bør omhyggeligt registreres, opbevares og rapporteres til lederen (eller grupper af ledere), der har anmodet om det, og i visse tilfælde til C-suite niveau eller ejerskab.
Korrekturlæsere bør søge at fastslå, om informationssikkerhedspraksis er i overensstemmelse med organisationens "dokumenterede mål og krav", der er angivet i informationssikkerhedspolitikken eller eventuelle emnespecifikke politikker.
Sideløbende med periodiske undersøgelser kan det være nødvendigt at iværksætte ad hoc-undersøgelser. Disse anmeldelser kan begrundes på tværs af 5 nøgleområder:
- Eventuelle love, retningslinjer eller regler ændres, som påvirker organisationens informationssikkerhedsdrift.
- Major opstår hændelser, der har indflydelse på informationssikkerheden (tab af data, indtrængen osv.).
- En ny virksomhed oprettes, eller der gennemføres større ændringer i den nuværende virksomhed.
- organisation vedtager et nyt produkt eller en tjeneste, der har informationssikkerhed implikationer eller foretager underliggende ændringer af et aktuelt produkt eller en ydelse.
- Der foretages større ændringer i organisationens bank af informationssikkerhedskontroller, politikker og procedurer.
Supplerende vejledning
ISO / IEC 27007 og ISO/IEC TS 27008 indeholder yderligere vejledning om praksis for uafhængige anmeldelser.
Administrer al din overholdelse ét sted
ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27002:2013
27002:2022-5.35 erstatter 27002:2013-18.1.2 (Uafhængig gennemgang af informationssikkerhed).
27002:2022-5.35 indeholder den samme generelle vejledning som 27002:2013-18.1.2, men går et skridt videre med at fastlægge konkrete eksempler på, hvornår en organisation bør udføre ad hoc-revisioner, sideløbende med dens periodiske evalueringer.
Nye ISO 27002 kontroller
Ny kontrol
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
Organisatoriske kontroller
People Controls
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
Fysiske kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Teknologisk kontrol
Hvordan ISMS.online hjælper
ISMS.online strømliner ISO 27002 implementeringsproces ved at levere en sofistikeret cloud-baseret ramme til dokumentation af informationssikkerhedsstyringssystemprocedurer og tjeklister for at sikre overholdelse af anerkendte standarder.
Når du brug ISMS.online, du vil være i stand til:
oprette en ISMS, der er kompatibel med ISO 27001 standarder.
udføre opgaver og fremlægge bevis for, at de har opfyldt standardens krav.
fordele opgaver og spore fremskridt hen imod overholdelse af loven.
få adgang til et specialiseret team af rådgivere, der vil hjælpe dig hele vejen mod overholdelse.
Kontakt i dag for book en demo.
Gå til emnet
Bliv certificeret op til 5 gange hurtigere
Du skal blot udfylde de tomme felter.
Book en demo Prisberegner
