Formål med kontrol 5.37
Kontrol 5.37 omhandler begrebet informationssikkerhed som en operationel aktivitet, hvor dens bestanddele udføres og/eller ledes af en eller flere personer.
Kontrol 5.37 skitserer en række operationelle procedurer, der sikrer en organisationens informationssikkerhed faciliteten forbliver effektiv og sikker og i overensstemmelse med deres dokumenterede krav.
Attributter tabel
Kontrol 5.37 er en forebyggende og korrigerende kontrollere det fastholder risiko gennem oprettelsen af en bank af procedurer forbundet med en organisationens informationssikkerhed aktiviteter.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | # Asset Management | #Governance og økosystem |
| #Korrigerende | #Integritet | #Gendanne | #Fysisk sikkerhed | #Beskyttelse |
| #Tilgængelighed | #System- og netværkssikkerhed | #Forsvar | ||
| #Applikationssikkerhed | ||||
| #Sikker konfiguration | ||||
| #Identitets- og adgangsstyring | ||||
| #Trussel- og sårbarhedshåndtering | ||||
| #Kontinuitet | ||||
| #Informationssikkerhed Event Management |
Ejerskab af kontrol 5.37
Kontrol 5.37 omhandler et forskelligartet sæt af omstændigheder, der har potentiale til at inkludere flere afdelinger og jobroller i henhold til dokumenterede driftsprocedurer. Når det er sagt, kan man roligt antage, at de fleste af procedurerne vil påvirke IKT-personale, udstyr og systemer.
Hvor dette sker, bør ejerskabet ligge hos et seniormedlem af ledelsesteamet, der er ansvarlig for alle ikt-relaterede aktiviteter, såsom en it-chef.
Overholdelse behøver ikke at være kompliceret.
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om kontrol 5.37
Der bør oprettes procedurer for informationssikkerhedsrelaterede aktiviteter i overensstemmelse med 5 centrale operationelle overvejelser:
- Enhver forekomst af en aktivitet, der udføres af en eller flere personer på samme måde.
- Når en aktivitet ikke udføres ofte.
- Når en procedure indebærer risiko for at blive glemt.
- Eventuelle nye aktiviteter, der er ukendte for personalet, og som derfor er udsat for en højere grad af risiko.
- Når ansvaret for at udføre en aktivitet overføres til en anden medarbejder eller gruppe af medarbejdere.
Hvor disse tilfælde forekommer, skal dokumenterede driftsprocedurer klart skitsere:
- Alle ansvarlige personer – både etablerede og nye operatører.
- Et sæt retningslinjer, der opretholder sikkerheden under installationen og efterfølgende konfiguration af eventuelle relaterede forretningssystemer.
- Hvordan information behandles under hele aktiviteten.
- BUDR planer og implikationer, i tilfælde af datatab eller en større hændelse (se kontrol 8.13).
- Sammenkædede afhængigheder med andre systemer, inklusive planlægning.
- En klar procedure til håndtering af "håndteringsfejl" eller diverse hændelser, der har potentiale til at opstå (se Kontrol 8.18).
- En komplet liste over personale, der skal kontaktes i tilfælde af forstyrrelser, inklusive klare eskaleringsprocedurer.
- Sådan betjenes ethvert relevant lagermedie, der er forbundet med aktiviteten (se kontrolelementer 7.10 og 7.14).
- Sådan genstartes og genoprettes efter en systemfejl.
- Revisionssporlogning, inklusive alle tilknyttede hændelses- og systemlogfiler (se kontrol 8.15 og 8.17).
- Videoovervågningssystemer, der overvåger aktiviteter på stedet (se Kontrol 7.4).
- Et robust sæt overvågningsprocedurer, der tager højde for den operationelle kapacitet, ydeevnepotentiale og sikkerhed af nævnte aktivitet.
- Hvordan aktiviteten skal opretholdes, for at holdes på et optimalt præstationsniveau.
Alle ovenstående procedurer bør være genstand for periodiske og/eller ad hoc-gennemgange, efterhånden som og når det er påkrævet, hvor alle ændringer skal ratificeres af ledelsen rettidigt for at sikre informationssikkerhedsaktivitet på tværs af organisationen.
Administrer al din overholdelse ét sted
ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27002:2013
27002:2022-5.37 erstatter 27002:2013-12.1.1 (Dokumenterede driftsprocedurer).
27002:2022-5.37 udvider 27002:2013-12.1.1 ved at tilbyde et meget bredere sæt af omstændigheder, der vil berettige overholdelse af en dokumentprocedure.
27002:2013-12.1.1 lister informationsbehandlingsaktiviteter såsom computeropstarts- og nedlukningsprocedurer, backup, udstyrsvedligeholdelse, mediehåndtering, hvorimod 27002:2022-5.37 udvider kontrolområdet til generaliserede aktiviteter, der ikke er begrænset til specifikke tekniske funktioner.
Bortset fra et par mindre tilføjelser – såsom at kategorisere de personer, der er ansvarlige for en aktivitet – indeholder 27002:2022-5.37 de samme generelle retningslinjer som 27002:2013-12.1.1
Nye ISO 27002 kontroller
Ny kontrol
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
Organisatoriske kontroller
People Controls
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
Fysiske kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Teknologisk kontrol
Hvordan ISMS.online hjælper
ISO 27002 implementering er enklere med vores trin-for-trin tjekliste, der guider dig gennem hele processen, fra at definere omfanget af dit ISMS til risikoidentifikation og kontrolimplementering.
- Brugere kan udføre opgaver og indsende bevis for at påvise overholdelse af standarden.
- Det er nemt at uddelegere ansvar og overvåge fremskridt hen imod overholdelse.
- Det omfattende risikovurderingsværktøjer sparer tid og kræfter gennem hele processen.
- Vi har en dedikeret team af konsulenter klar til at støtte dig gennem hele din rejse til overholdelse.
Kontakt i dag for book en demo.
Gå til emnet
Bliv certificeret op til 5 gange hurtigere
Du skal blot udfylde de tomme felter.
Book en demo Prisberegner
