ISO 27002, Kontrol 5.4, Ledelsesansvar

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Hvad er kontrol 5.4 Ledelsesansvar

Hvad er en informationssikkerhedspolitik?

An informationssikkerhedspolitik er et formelt dokument der giver ledelsens retning, mål og principper for beskyttelse af en organisations information. An effektiv informationssikkerhedspolitik bør være skræddersyet til en organisations specifikke behov og støttet af den øverste ledelse for at sikre passende allokering af ressourcer.

Politikken kommunikerer de overordnede principper for, hvordan ledelsen ønsker, at medarbejderne håndterer følsomme data, og hvordan virksomheden vil beskytte sine informationsaktiver.

Politikken er ofte afledt af love, regler og bedste praksis, som skal overholdes af organisationen. Informationssikkerhedspolitikker oprettes normalt af en organisations øverste ledelse med input fra dens it-sikkerhedspersonale.

Politikker bør også indeholde en ramme for definere roller og ansvar og en tidslinje for periodisk gennemgang.

Attributter tabel

Attributter er en måde at kategorisere forskellige typer kontrolelementer på. Disse attributter giver dig mulighed for at tilpasse dine kontroller til industristandarder. I kontrol 5.4 er de:

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Identificere	#Governance	#Governance og økosystem
	#Integritet
	#Tilgængelighed

Få et forspring på 81 %

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo

Hvad er formålet med kontrol 5.4?

Kontrol 5.4 er designet til sikre, at ledelsen forstår deres ansvar inden for informationssikkerhed, og at de tager skridt til at sikre, at alle medarbejdere er opmærksomme af og opfylde deres informationssikkerhedsforpligtelser.

Kontrol 5.4 Forklaret

Information er et værdifuldt aktiv og skal beskyttes mod tab, beskadigelse eller misbrug. Organisationen skal sikre, at der træffes passende foranstaltninger for at beskytte dette aktiv. For at dette kan ske, skal ledelsen sikre, at alt personale anvender alle organisationens informationssikkerhedspolitik, emnespecifikke politikker og procedurer.

Kontrol 5.4 dækker formålet og implementeringsvejledningen til at definere ledelsesansvar med hensyn til informationssikkerhed i en organisation i overensstemmelse med rammer for ISO 27001.

Denne kontrol handler om at sikre det ledelsen er med på informationssikkerhedsprogrammet samt at alle medarbejdere og entreprenører er opmærksomme på og følger organisationens informationssikkerhedspolitik. Ingen bør nogensinde være fritaget for obligatorisk overholdelse af organisationens sikkerhedspolitikker, emnespecifikke politikker og procedurer.

Hvad er involveret, og hvordan man opfylder kravene

Nøglen til at opfylde kravene til denne kontrol er at sikre, at ledelsen er i stand til at tvinge alt relevant personale til at overholde organisationens informationssikkerhedspolitikker, standarder og procedurer.

Det første skridt er ledelsesopkøb og support. Ledelsen skal vise sit engagement ved at følge alle politikker og procedurer, den indfører. For eksempel, hvis du kræver, at arbejdere tager årlige sikkerhedsbevidsthed kurser, bør ledere gå foran med et godt eksempel og gennemføre disse kurser først.

Dernæst kommer kommunikation om vigtigheden af informationssikkerhed til alle i virksomheden, uanset deres rolle. Dette omfatter bestyrelse, direktion og ledelse samt medarbejdere. Alle skal forstå deres rolle i at opretholde sikkerhed af følsomme data som dækket af virksomhedens ISMS programmer.

Overholdelse behøver ikke at være kompliceret.

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo

Forskelle mellem ISO 27002:2013 og ISO 27002:2022

ISO 27002:2022 kontrol 5.4 Ledelsesansvar var tidligere kendt som kontrol 7.2.1 Ledelsesansvar i ISO 27002:2013. Dette er ikke en ny kontrol, men en mere robust fortolkning af 2013-versionen.

Mens kontrol 5.4 og kontrol 7.2.1 stort set dækker det samme, er der få forskelle, som organisationer og virksomhedsledere bør bemærke. Disse forskelle er dækket af kontrollens implementeringsvejledning.

Kontrol 5.4 ISO 27002:2013-2022 Implementeringsvejledninger sammenlignet

I ISO 27002: 2013 omfatter ledelsesansvar at sikre, at medarbejdere og entreprenører:

a) er ordentligt orienteret om deres informationssikkerhedsroller og -ansvar før de får adgang til fortrolige oplysninger eller informationssystemer;

b) er forsynet med retningslinjer for at angive informationssikkerhedsforventninger til deres rolle inden for
Organisation;

c) er motiveret til at opfylde organisationens informationssikkerhedspolitikker;

d) opnå et niveau af bevidsthed om informationssikkerhed, der er relevant for deres roller og ansvar i organisationen;

e) overholde ansættelsesvilkårene, som omfatter organisationens informationssikkerhedspolitik og passende arbejdsmetoder;

f) fortsætte med at have de relevante færdigheder og kvalifikationer og uddannes på regelmæssig basis;

g) er forsynet med en anonym rapporteringskanal til at rapportere overtrædelser af informationssikkerhedspolitikker eller -procedurer ("whistle blowing").

Ledelsen bør demonstrere støtte til informationssikkerhedspolitikker, procedurer og kontroller og fungere som en rollemodel.

Control 5.4 er en mere brugervenlig version og kræver det ledelsesansvar sikrer, at medarbejdere og entreprenører:

a) Er ordentligt orienteret om deres informationssikkerhedsroller og -ansvar, før de får adgang til organisationens informationer og andre tilknyttede aktiver;

b) Er forsynet med retningslinjer, der angiver forventningerne til informationssikkerheden til deres rolle i organisationen;

c) Har mandat til at opfylde organisationens informationssikkerhedspolitik og emnespecifikke politikker;

d) Opnå et niveau af bevidsthed om informationssikkerhed, der er relevant for deres roller og ansvar i organisationen;

e) Overholdelse af vilkår og betingelser for ansættelse, kontrakt eller aftale, herunder organisationens informationssikkerhedspolitik og passende arbejdsmetoder;

f) Fortsætte med at have de relevante informationssikkerhedsfærdigheder og -kvalifikationer gennem løbende professionel uddannelse;

g) Hvor det er praktisk muligt, er forsynet med en fortrolig kanal til rapportering af overtrædelser af informationssikkerhedspolitik, emnespecifikke politikker eller procedurer for informationssikkerhed ("whistleblowing"). Dette kan give mulighed for anonym indberetning eller have bestemmelser til at sikre, at viden om indberetterens identitet kun er kendt af dem, der har behov for at håndtere sådanne rapporter;

h) Får tilstrækkelige ressourcer og projektplanlægningstid til at implementere organisationens sikkerhedsrelaterede processer og kontroller.

Som du kan se, kræver ISO 27002:2022 specifikt, at for at udføre organisationens sikkerhedsrelaterede procedurer og kontroller, tilføres arbejdere og entreprenører nødvendige ressourcer samt projektplanlægningstid.

Formuleringerne i nogle af implementeringsvejledningerne i ISO 27002:2013 vs. ISO 27002:2020 blev også påvirket. Hvor retningslinje C i 2013-versionen siger, at medarbejdere og entreprenører er "motiverede" til at vedtage virksomhedens ISMS-politikker, bruger 2022 ordet "mandated"

Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo

Hvem er ansvarlig for denne proces?

Svaret på dette spørgsmål er ret simpelt: ledelsen! Det er ledelsens ansvar at sikre, at et ordentligt ISMS (Information Security Management System) er implementeret.

Dette understøttes normalt af udnævnelsen af en passende kvalificeret og erfaren informationssikkerhedschef, som vil være ansvarlig over for den øverste ledelse for at udvikle, implementere, administrere og løbende forbedre ISMS.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.7	Ny	Trusselsintelligens
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.30	Ny	IKT-parathed til forretningskontinuitet
7.4	Ny	Fysisk sikkerhedsovervågning
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.16	Ny	Overvågning af aktiviteter
8.23	Ny	Webfiltrering
8.28	Ny	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	Ny	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	Ny	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	Ny	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	Ny	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	Ny	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	Ny	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

En af de største udfordringer ved at implementere en ISO 27001-justeret ISMS holder styr på dine informationssikkerhedskontroller. Vores system gør dette nemt.

Vi forstår vigtigheden af beskyttelse af din organisations data og omdømme. Derfor er vores cloud-baserede platform designet til at forenkle implementeringen af ISO 27001, give dig en robust ramme for informationssikkerhedskontroller og hjælpe dig med at opnå certificering med minimale ressourcer og tid.

Vi har inkluderet en række brugervenlige funktioner og værktøjssæt ind i vores platform for at spare dig tid og garantere, at du opretter et virkelig robust ISMS. Med ISMS.online, kan du nemt opnå ISO 27001-certificering og bagefter nemt administrere den.

Book en demo i dag.