ISO 27002: 2022, kontrol 5.4, Ledelsesansvar dækker ledelsens behov for at sikre, at alt personale overholder alle emnespecifikke politikker og procedurer for informationssikkerhed som defineret i organisationens etablerede informationssikkerhedspolitik.
An informationssikkerhedspolitik er et formelt dokument der giver ledelsens retning, mål og principper for beskyttelse af en organisations information. An effektiv informationssikkerhedspolitik bør være skræddersyet til en organisations specifikke behov og støttet af den øverste ledelse for at sikre passende allokering af ressourcer.
Politikken kommunikerer de overordnede principper for, hvordan ledelsen ønsker, at medarbejderne håndterer følsomme data, og hvordan virksomheden vil beskytte sine informationsaktiver.
Politikken er ofte afledt af love, regler og bedste praksis, som skal overholdes af organisationen. Informationssikkerhedspolitikker oprettes normalt af en organisations øverste ledelse med input fra dens it-sikkerhedspersonale.
Politikker bør også indeholde en ramme for definere roller og ansvar og en tidslinje for periodisk gennemgang.
Attributter er en måde at kategorisere forskellige typer kontrolelementer på. Disse attributter giver dig mulighed for at tilpasse dine kontroller til industristandarder. I kontrol 5.4 er de:
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere | #Governance | #Governance og økosystem |
ISMS.online vil spare dig tid og penge
Få dit tilbudKontrol 5.4 er designet til sikre, at ledelsen forstår deres ansvar inden for informationssikkerhed, og at de tager skridt til at sikre, at alle medarbejdere er opmærksomme af og opfylde deres informationssikkerhedsforpligtelser.
Information er et værdifuldt aktiv og skal beskyttes mod tab, beskadigelse eller misbrug. Organisationen skal sikre, at der træffes passende foranstaltninger for at beskytte dette aktiv. For at dette kan ske, skal ledelsen sikre, at alt personale anvender alle organisationens informationssikkerhedspolitik, emnespecifikke politikker og procedurer.
Kontrol 5.4 dækker formålet og implementeringsvejledningen til at definere ledelsesansvar med hensyn til informationssikkerhed i en organisation i overensstemmelse med rammer for ISO 27001.
Denne kontrol handler om at sikre det ledelsen er med på informationssikkerhedsprogrammet samt at alle medarbejdere og entreprenører er opmærksomme på og følger organisationens informationssikkerhedspolitik. Ingen bør nogensinde være fritaget for obligatorisk overholdelse af organisationens sikkerhedspolitikker, emnespecifikke politikker og procedurer.
Nøglen til at opfylde kravene til denne kontrol er at sikre, at ledelsen er i stand til at tvinge alt relevant personale til at overholde organisationens informationssikkerhedspolitikker, standarder og procedurer.
Det første skridt er ledelsesopkøb og support. Ledelsen skal vise sit engagement ved at følge alle politikker og procedurer, den indfører. For eksempel, hvis du kræver, at arbejdere tager årlige sikkerhedsbevidsthed kurser, bør ledere gå foran med et godt eksempel og gennemføre disse kurser først.
Dernæst kommer kommunikation om vigtigheden af informationssikkerhed til alle i virksomheden, uanset deres rolle. Dette omfatter bestyrelse, direktion og ledelse samt medarbejdere. Alle skal forstå deres rolle i at opretholde sikkerhed af følsomme data som dækket af virksomhedens ISMS programmer.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Siden migreringen har vi været i stand til at reducere tiden brugt på administration.
ISO 27002:2022 kontrol 5.4 Ledelsesansvar var tidligere kendt som kontrol 7.2.1 Ledelsesansvar i ISO 27002:2013. Dette er ikke en ny kontrol, men en mere robust fortolkning af 2013-versionen.
Mens kontrol 5.4 og kontrol 7.2.1 stort set dækker det samme, er der få forskelle, som organisationer og virksomhedsledere bør bemærke. Disse forskelle er dækket af kontrollens implementeringsvejledning.
I ISO 27002: 2013 omfatter ledelsesansvar at sikre, at medarbejdere og entreprenører:
a) er ordentligt orienteret om deres informationssikkerhedsroller og -ansvar før de får adgang til fortrolige oplysninger eller informationssystemer;
b) er forsynet med retningslinjer for at angive informationssikkerhedsforventninger til deres rolle inden for
Organisation;
c) er motiveret til at opfylde organisationens informationssikkerhedspolitikker;
d) opnå et niveau af bevidsthed om informationssikkerhed, der er relevant for deres roller og ansvar i organisationen;
e) overholde ansættelsesvilkårene, som omfatter organisationens informationssikkerhedspolitik og passende arbejdsmetoder;
f) fortsætte med at have de relevante færdigheder og kvalifikationer og uddannes på regelmæssig basis;
g) er forsynet med en anonym rapporteringskanal til at rapportere overtrædelser af informationssikkerhedspolitikker eller -procedurer ("whistle blowing").
Ledelsen bør demonstrere støtte til informationssikkerhedspolitikker, procedurer og kontroller og fungere som en rollemodel.
Control 5.4 er en mere brugervenlig version og kræver det ledelsesansvar sikrer, at medarbejdere og entreprenører:
a) Er ordentligt orienteret om deres informationssikkerhedsroller og -ansvar, før de får adgang til organisationens informationer og andre tilknyttede aktiver;
b) Er forsynet med retningslinjer, der angiver forventningerne til informationssikkerheden til deres rolle i organisationen;
c) Har mandat til at opfylde organisationens informationssikkerhedspolitik og emnespecifikke politikker;
d) Opnå et niveau af bevidsthed om informationssikkerhed, der er relevant for deres roller og ansvar i organisationen;
e) Overholdelse af vilkår og betingelser for ansættelse, kontrakt eller aftale, herunder organisationens informationssikkerhedspolitik og passende arbejdsmetoder;
f) Fortsætte med at have de relevante informationssikkerhedsfærdigheder og -kvalifikationer gennem løbende professionel uddannelse;
g) Hvor det er praktisk muligt, er forsynet med en fortrolig kanal til rapportering af overtrædelser af informationssikkerhedspolitik, emnespecifikke politikker eller procedurer for informationssikkerhed ("whistleblowing"). Dette kan give mulighed for anonym indberetning eller have bestemmelser til at sikre, at viden om indberetterens identitet kun er kendt af dem, der har behov for at håndtere sådanne rapporter;
h) Får tilstrækkelige ressourcer og projektplanlægningstid til at implementere organisationens sikkerhedsrelaterede processer og kontroller.
Som du kan se, kræver ISO 27002:2022 specifikt, at for at udføre organisationens sikkerhedsrelaterede procedurer og kontroller, tilføres arbejdere og entreprenører nødvendige ressourcer samt projektplanlægningstid.
Formuleringerne i nogle af implementeringsvejledningerne i ISO 27002:2013 vs. ISO 27002:2020 blev også påvirket. Hvor retningslinje C i 2013-versionen siger, at medarbejdere og entreprenører er "motiverede" til at vedtage virksomhedens ISMS-politikker, bruger 2022 ordet "mandated"
Svaret på dette spørgsmål er ret simpelt: ledelsen! Det er ledelsens ansvar at sikre, at et ordentligt ISMS (Information Security Management System) er implementeret.
Dette understøttes normalt af udnævnelsen af en passende kvalificeret og erfaren informationssikkerhedschef, som vil være ansvarlig over for den øverste ledelse for at udvikle, implementere, administrere og løbende forbedre ISMS.
En af de største udfordringer ved at implementere en ISO 27001-justeret ISMS holder styr på dine informationssikkerhedskontroller. Vores system gør dette nemt.
Vi forstår vigtigheden af beskyttelse af din organisations data og omdømme. Derfor er vores cloud-baserede platform designet til at forenkle implementeringen af ISO 27001, give dig en robust ramme for informationssikkerhedskontroller og hjælpe dig med at opnå certificering med minimale ressourcer og tid.
Vi har inkluderet en række brugervenlige funktioner og værktøjssæt ind i vores platform for at spare dig tid og garantere, at du opretter et virkelig robust ISMS. Med ISMS.online, kan du nemt opnå ISO 27001-certificering og bagefter nemt administrere den.
Book en demo i dag.
ISMS.online er en
one-stop-løsning, der radikalt fremskyndede vores implementering.
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
