ISO 27002:2022, Kontrol 5.36 – Overholdelse af politikker, regler og standarder for informationssikkerhed

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002:2022 Reviderede kontroller

opnår,bedste,resultater.,to,sikker,unge,mænd,kigger på,laptop

achieving,best,results.,two,confident,young,men,looking,at,laptop

Formål med kontrol 5.36

En vigtig del af at arbejde med en robust, sikkert sæt informationssikkerhedspraksis er behovet for at forblive i overensstemmelse med alle offentliggjorte politikker og procedurer.

Kontrol 5.36 kræver, at organisationer får en top-down syn på informationssikkerhed overholdelse, i forbindelse med dens forskellige politikker (både ental og emnespecifikke), regler og standarder.

Attributter tabel

Kontrol 5.36 er en forebyggende , korrigerende kontrollere det ændrer risikoen ved at opretholde overholdelse med allerede eksisterende politikker og procedurer inden for informationssikkerhed.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed #Integritet #Tilgængelighed	#Identificere #Beskytte	#Juridisk og overholdelse #Informationssikkerhedsgaranti	#Governance og økosystem

Ejerskab af kontrol 5.36

Kontrol 5.36 omhandler primært driftsforhold. Som sådan bør ejerskabet ligge hos COO eller CISO (hvis til stede).

Gå til emne

Formål med kontrol 5.36
Kontrolattributter 5.36
Ejerskab af kontrol 5.36
Generel vejledning om kontrol 5.36
Ændringer og forskelle fra ISO 27002:2013
Hvordan ISMS.online hjælper

Opdateret til ISO 27001 2022

81 % af arbejdet udført for dig
Assured Results Metode til certificeringssucces
Spar tid, penge og besvær

Book din demo

Generel vejledning om kontrol 5.36

Ledere og informationsejere (herunder service- og produktejere) bør være i stand til at gennemgå overholdelse på tværs af en organisations hele bank af informationssikkerhedspolitikker, regler og standarder.

Ledere bør implementere forretningsspecifikke metoder til rapportering (inkorporerer eventuelle tekniske værktøjer, der er nødvendige) om overholdelse af informationssikkerhed med det overordnede mål at udføre periodiske gennemgange – som er grundigt registreret, lagret og rapporteret – som fremhæver områder, der kan forbedres.

Hvis der opdages problemer, og der findes tilfælde af manglende overholdelse, bør ledere være i stand til at gøre følgende:

Fastlæg den underliggende årsag til manglende overholdelse.

Beslut om korrigerende handling er påkrævet.

Planlæg og implementer om nødvendigt nævnte korrigerende handling for at sikre løbende overholdelse.

Når de er vedtaget, skal du gennemgå eventuelle korrigerende handlinger, der er truffet, for at udforske effektiviteten og fremhæve områder for yderligere udvikling.

Korrigerende handlinger bør træffes "rettidigt" og ideelt set ved næste gennemgang. Hvis handlinger ikke er fuldført inden næste gennemgang kommer, bør ledere i det mindste kunne bevise fremskridt.

Understøttende kontroller

5.35
8.15
8.16
8.17

Ændringer og forskelle fra ISO 27002:2013

27002:2022-5.36 erstatter to kontroller fra 27002:2013, nemlig:

18.2.2 – Overholdelse af sikkerhedspolitikker og -standarder
18.2.3 – Teknisk overensstemmelsesgennemgang

27002:2022-5.36 sammenfatter al den komplekse tekniske vejledning, der tilbydes i 27002:2013-18.2.3, ved blot at angive, at ledere skal være i stand til at gennemgå overholdelse, hvor som helst det er nødvendigt at gøre det.

27002:2022-5.36 indeholder præcis det samme sæt vejledningspunkter som 27002:2013-18.2.2, vedrørende handlinger, der er nødvendige når en anmeldelse markerer tilfælde af manglende overholdelse.

Hvordan ISMS.online hjælper

ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.

Kontakt i dag for book en demo.

Få et forspring
på ISO 27002

Den eneste overholdelse
løsning du har brug for
Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.7	Ny	Trusselsintelligens
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.30	Ny	IKT-parathed til forretningskontinuitet
7.4	Ny	Fysisk sikkerhedsovervågning
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.16	Ny	Overvågning af aktiviteter
8.23	Ny	Webfiltrering
8.28	Ny	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	Ny	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	Ny	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	Ny	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	Ny	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	Ny	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	Ny	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Få et forspring på ISO 27001

Alt sammen opdateret med 2022 kontrolsættet
Foretag 81 % fremskridt fra det øjeblik, du logger ind
Enkel og nem at bruge