Informationssikkerhed er et centralt aspekt af en organisations datastyring praksis.
Så meget, at det er nødvendigt at eliminere selvtilfredshed ved at udføre regelmæssige uafhængige anmeldelser af, hvordan en organisation styrer de mennesker, processer og teknologier, der er involveret i at opretholde en effektiv informationssikkerhed drift.
Kontrol 5.35 kræver, at organisationer udfører uafhængige gennemgange af deres informationssikkerhedspraksis – både med planlagte intervaller, og når der sker større operationelle ændringer – for at sikre, at politikker til administration af informationssikkerhed er:
Kontrol 5.35 er en forebyggende , korrigerende kontrollere det fastholder risiko ved at skabe processer, der letter regelmæssige gennemgange af en organisations informationssikkerhedsstyringspraksis.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende #Korrigerende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere #Beskytte | #Informationssikkerhedsgaranti | #Governance og økosystem |
Kontrol 5.35 omhandler primært driftsforhold. Som sådan bør ejerskabet ligge hos COO eller CISO (hvis til stede).
Det overordnede mål er for ledelse til at skabe og implementere processer, der tager højde for uafhængige gennemgange af deres informationssikkerhed praksis.
Anmeldelser bør fokusere på eventuelle ændringer nødvendig for at forbedre en organisations tilgang til informationssikkerhed, Herunder:
Enhver gennemgang bør udføres af en person i eller uden for organisationen, som ikke har en særlig interesse i det, de undersøger, såsom:
Den, der foretager gennemgangen, bør have det relevante operationel kompetence at foretage en sund bedømmelse af deres resultater, og (i tilfælde af internt personale) bør deres jobrolle ikke forhindre dem i at foretage en gyldig og legitim vurdering.
Resultaterne af gennemgangen bør omhyggeligt registreres, opbevares og rapporteres til lederen (eller grupper af ledere), der har anmodet om det, og i visse tilfælde til C-suite niveau eller ejerskab.
Korrekturlæsere bør søge at fastslå, om informationssikkerhedspraksis er i overensstemmelse med organisationens "dokumenterede mål og krav", der er angivet i informationssikkerhedspolitikken eller eventuelle emnespecifikke politikker.
Sideløbende med periodiske undersøgelser kan det være nødvendigt at iværksætte ad hoc-undersøgelser. Disse anmeldelser kan begrundes på tværs af 5 nøgleområder:
ISO / IEC 27007 og ISO/IEC TS 27008 indeholder yderligere vejledning om praksis for uafhængige anmeldelser.
27002:2022-5.35 erstatter 27002:2013-18.1.2 (Uafhængig gennemgang af informationssikkerhed).
27002:2022-5.35 indeholder den samme generelle vejledning som 27002:2013-18.1.2, men går et skridt videre med at fastlægge konkrete eksempler på, hvornår en organisation bør udføre ad hoc-revisioner, sideløbende med dens periodiske evalueringer.
ISMS.online strømliner ISO 27002 implementeringsproces ved at levere en sofistikeret cloud-baseret ramme til dokumentation af informationssikkerhedsstyringssystemprocedurer og tjeklister for at sikre overholdelse af anerkendte standarder.
Når du brug ISMS.online, du vil være i stand til:
oprette en ISMS, der er kompatibel med ISO 27001 standarder.
udføre opgaver og fremlægge bevis for, at de har opfyldt standardens krav.
fordele opgaver og spore fremskridt hen imod overholdelse af loven.
få adgang til et specialiseret team af rådgivere, der vil hjælpe dig hele vejen mod overholdelse.
Kontakt i dag for book en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Vi er så glade for, at vi fandt denne løsning, den gjorde det nemmere at passe sammen.