Kontrol 5.37 omhandler begrebet informationssikkerhed som en operationel aktivitet, hvor dens bestanddele udføres og/eller ledes af en eller flere personer.
Kontrol 5.37 skitserer en række operationelle procedurer, der sikrer en organisationens informationssikkerhed faciliteten forbliver effektiv og sikker og i overensstemmelse med deres dokumenterede krav.
Kontrol 5.37 er en forebyggende , korrigerende kontrollere det fastholder risiko gennem oprettelsen af en bank af procedurer forbundet med en organisationens informationssikkerhed aktiviteter.
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende #Korrigerende | #Fortrolighed #Integritet #Tilgængelighed | #Beskytte #Gendanne | # Asset Management #Fysisk sikkerhed #System- og netværkssikkerhed #Applikationssikkerhed #Sikker konfiguration #Identitets- og adgangsstyring #Trussel- og sårbarhedshåndtering #Kontinuitet #Informationssikkerhed Event Management | #Governance og økosystem #Beskyttelse #Forsvar |
Kontrol 5.37 omhandler et forskelligartet sæt af omstændigheder, der har potentiale til at inkludere flere afdelinger og jobroller i henhold til dokumenterede driftsprocedurer. Når det er sagt, kan man roligt antage, at de fleste af procedurerne vil påvirke IKT-personale, udstyr og systemer.
Hvor dette sker, bør ejerskabet ligge hos et seniormedlem af ledelsesteamet, der er ansvarlig for alle ikt-relaterede aktiviteter, såsom en it-chef.
Vi er omkostningseffektive og hurtige
Der bør oprettes procedurer for informationssikkerhedsrelaterede aktiviteter i overensstemmelse med 5 centrale operationelle overvejelser:
Hvor disse tilfælde forekommer, skal dokumenterede driftsprocedurer klart skitsere:
Alle ovenstående procedurer bør være genstand for periodiske og/eller ad hoc-gennemgange, efterhånden som og når det er påkrævet, hvor alle ændringer skal ratificeres af ledelsen rettidigt for at sikre informationssikkerhedsaktivitet på tværs af organisationen.
27002:2022-5.37 erstatter 27002:2013-12.1.1 (Dokumenterede driftsprocedurer).
27002:2022-5.37 udvider 27002:2013-12.1.1 ved at tilbyde et meget bredere sæt af omstændigheder, der vil berettige overholdelse af en dokumentprocedure.
27002:2013-12.1.1 lister informationsbehandlingsaktiviteter såsom computeropstarts- og nedlukningsprocedurer, backup, udstyrsvedligeholdelse, mediehåndtering, hvorimod 27002:2022-5.37 udvider kontrolområdet til generaliserede aktiviteter, der ikke er begrænset til specifikke tekniske funktioner.
Bortset fra et par mindre tilføjelser – såsom at kategorisere de personer, der er ansvarlige for en aktivitet – indeholder 27002:2022-5.37 de samme generelle retningslinjer som 27002:2013-12.1.1
ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.
Kontakt i dag for book en demo.
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |