ISO 27002:2022, kontrol 5.37 – Dokumenterede driftsprocedurer

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002:2022 Reviderede kontroller

ung, kvindelig, iværksætter, freelancer, arbejder, bruger, en, bærbar computer, i, coworking

young,female,entrepreneur,freelancer,working,using,a,laptop,in,coworking

Formål med kontrol 5.37

Kontrol 5.37 omhandler begrebet informationssikkerhed som en operationel aktivitet, hvor dens bestanddele udføres og/eller ledes af en eller flere personer.

Kontrol 5.37 skitserer en række operationelle procedurer, der sikrer en organisationens informationssikkerhed faciliteten forbliver effektiv og sikker og i overensstemmelse med deres dokumenterede krav.

Attributter tabel

Kontrol 5.37 er en forebyggende , korrigerende kontrollere det fastholder risiko gennem oprettelsen af en bank af procedurer forbundet med en organisationens informationssikkerhed aktiviteter.

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende #Korrigerende	#Fortrolighed #Integritet #Tilgængelighed	#Beskytte #Gendanne	# Asset Management #Fysisk sikkerhed #System- og netværkssikkerhed #Applikationssikkerhed #Sikker konfiguration #Identitets- og adgangsstyring #Trussel- og sårbarhedshåndtering #Kontinuitet #Informationssikkerhed Event Management	#Governance og økosystem #Beskyttelse #Forsvar

Ejerskab af kontrol 5.37

Kontrol 5.37 omhandler et forskelligartet sæt af omstændigheder, der har potentiale til at inkludere flere afdelinger og jobroller i henhold til dokumenterede driftsprocedurer. Når det er sagt, kan man roligt antage, at de fleste af procedurerne vil påvirke IKT-personale, udstyr og systemer.

Hvor dette sker, bør ejerskabet ligge hos et seniormedlem af ledelsesteamet, der er ansvarlig for alle ikt-relaterede aktiviteter, såsom en it-chef.

Gå til emne

Formål med kontrol 5.37
Kontrolattributter 5.37
Ejerskab af kontrol 5.37
Generel vejledning om kontrol 5.37
Ændringer og forskelle fra ISO 27002:2013
Hvordan ISMS.online hjælper

Vi er omkostningseffektive og hurtige

Find ud af, hvordan det vil øge dit investeringsafkast

Få dit tilbud

Generel vejledning om kontrol 5.37

Der bør oprettes procedurer for informationssikkerhedsrelaterede aktiviteter i overensstemmelse med 5 centrale operationelle overvejelser:

Enhver forekomst af en aktivitet, der udføres af en eller flere personer på samme måde.

Når en aktivitet ikke udføres ofte.

Når en procedure indebærer risiko for at blive glemt.

Eventuelle nye aktiviteter, der er ukendte for personalet, og som derfor er udsat for en højere grad af risiko.

Når ansvaret for at udføre en aktivitet overføres til en anden medarbejder eller gruppe af medarbejdere.

Hvor disse tilfælde forekommer, skal dokumenterede driftsprocedurer klart skitsere:

Alle ansvarlige personer – både etablerede og nye operatører.

Et sæt retningslinjer, der opretholder sikkerheden under installationen og efterfølgende konfiguration af eventuelle relaterede forretningssystemer.

Hvordan information behandles under hele aktiviteten.

BUDR planer og implikationer, i tilfælde af datatab eller en større hændelse (se kontrol 8.13).

Sammenkædede afhængigheder med andre systemer, inklusive planlægning.

En klar procedure til håndtering af "håndteringsfejl" eller diverse hændelser, der har potentiale til at opstå (se Kontrol 8.18).

En komplet liste over personale, der skal kontaktes i tilfælde af forstyrrelser, inklusive klare eskaleringsprocedurer.

Sådan betjenes ethvert relevant lagermedie, der er forbundet med aktiviteten (se kontrolelementer 7.10 og 7.14).

Sådan genstartes og genoprettes efter en systemfejl.

Revisionssporlogning, inklusive alle tilknyttede hændelses- og systemlogfiler (se kontrol 8.15 og 8.17).

Videoovervågningssystemer, der overvåger aktiviteter på stedet (se Kontrol 7.4).

Et robust sæt overvågningsprocedurer, der tager højde for den operationelle kapacitet, ydeevnepotentiale og sikkerhed af nævnte aktivitet.

Hvordan aktiviteten skal opretholdes, for at holdes på et optimalt præstationsniveau.

Alle ovenstående procedurer bør være genstand for periodiske og/eller ad hoc-gennemgange, efterhånden som og når det er påkrævet, hvor alle ændringer skal ratificeres af ledelsen rettidigt for at sikre informationssikkerhedsaktivitet på tværs af organisationen.

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Opdateret til ISO 27001 2022

81 % af arbejdet udført for dig
Assured Results Metode til certificeringssucces
Spar tid, penge og besvær

Book din demo

Ændringer og forskelle fra ISO 27002:2013

27002:2022-5.37 erstatter 27002:2013-12.1.1 (Dokumenterede driftsprocedurer).

27002:2022-5.37 udvider 27002:2013-12.1.1 ved at tilbyde et meget bredere sæt af omstændigheder, der vil berettige overholdelse af en dokumentprocedure.

27002:2013-12.1.1 lister informationsbehandlingsaktiviteter såsom computeropstarts- og nedlukningsprocedurer, backup, udstyrsvedligeholdelse, mediehåndtering, hvorimod 27002:2022-5.37 udvider kontrolområdet til generaliserede aktiviteter, der ikke er begrænset til specifikke tekniske funktioner.

Bortset fra et par mindre tilføjelser – såsom at kategorisere de personer, der er ansvarlige for en aktivitet – indeholder 27002:2022-5.37 de samme generelle retningslinjer som 27002:2013-12.1.1

Hvordan ISMS.online hjælper

ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.

Brugere kan udføre opgaver og indsende bevis for at påvise overholdelse af standarden.
Det er nemt at uddelegere ansvar og overvåge fremskridt hen imod overholdelse.
Det omfattende risikovurderingsværktøjer sparer tid og kræfter gennem hele processen.
Vi har en dedikeret team af konsulenter klar til at støtte dig gennem hele din rejse til overholdelse.

Kontakt i dag for book en demo.

Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.

Emmie Cooney

Driftsleder, Amigo

Book din demo

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.7	Ny	Trusselsintelligens
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.30	Ny	IKT-parathed til forretningskontinuitet
7.4	Ny	Fysisk sikkerhedsovervågning
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.16	Ny	Overvågning af aktiviteter
8.23	Ny	Webfiltrering
8.28	Ny	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	Ny	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	Ny	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	Ny	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	Ny	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	Ny	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	Ny	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Få et forspring på ISO 27001

Alt sammen opdateret med 2022 kontrolsættet
Foretag 81 % fremskridt fra det øjeblik, du logger ind
Enkel og nem at bruge

Book din demo