En vigtig del af at arbejde med en robust, sikkert sæt informationssikkerhedspraksis er behovet for at forblive i overensstemmelse med alle offentliggjorte politikker og procedurer.
Kontrol 5.36 kræver, at organisationer får en top-down syn på informationssikkerhed overholdelse, i forbindelse med dens forskellige politikker (både ental og emnespecifikke), regler og standarder.
Kontrol 5.36 er en forebyggende , korrigerende kontrollere det ændrer risikoen ved at opretholde overholdelse med allerede eksisterende politikker og procedurer inden for informationssikkerhed.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere #Beskytte | #Juridisk og overholdelse #Informationssikkerhedsgaranti | #Governance og økosystem |
Kontrol 5.36 omhandler primært driftsforhold. Som sådan bør ejerskabet ligge hos COO eller CISO (hvis til stede).
Ledere og informationsejere (herunder service- og produktejere) bør være i stand til at gennemgå overholdelse på tværs af en organisations hele bank af informationssikkerhedspolitikker, regler og standarder.
Ledere bør implementere forretningsspecifikke metoder til rapportering (inkorporerer eventuelle tekniske værktøjer, der er nødvendige) om overholdelse af informationssikkerhed med det overordnede mål at udføre periodiske gennemgange – som er grundigt registreret, lagret og rapporteret – som fremhæver områder, der kan forbedres.
Hvis der opdages problemer, og der findes tilfælde af manglende overholdelse, bør ledere være i stand til at gøre følgende:
Korrigerende handlinger bør træffes "rettidigt" og ideelt set ved næste gennemgang. Hvis handlinger ikke er fuldført inden næste gennemgang kommer, bør ledere i det mindste kunne bevise fremskridt.
27002:2022-5.36 erstatter to kontroller fra 27002:2013, nemlig:
27002:2022-5.36 sammenfatter al den komplekse tekniske vejledning, der tilbydes i 27002:2013-18.2.3, ved blot at angive, at ledere skal være i stand til at gennemgå overholdelse, hvor som helst det er nødvendigt at gøre det.
27002:2022-5.36 indeholder præcis det samme sæt vejledningspunkter som 27002:2013-18.2.2, vedrørende handlinger, der er nødvendige når en anmeldelse markerer tilfælde af manglende overholdelse.
ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.
Kontakt i dag for book en demo.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |