ISO 27002, Kontrol 5.5, Kontakt med myndigheder

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Hvad er Kontrol 5.5 Kontakt med myndigheder?

Kontroller klassificeres ved hjælp af attributter. Ved at bruge disse kan du hurtigt matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer. Det er dem, der findes i kontrol 5.5.

Kontrolattributter 5.5

Kontrol type	Informationssikkerhedsegenskaber	Cybersikkerhedskoncepter	Operationelle evner	Sikkerhedsdomæner
#Forebyggende	#Fortrolighed	#Identificere	#Governance	#Forsvar
#Korrigerende	#Integritet	#Beskytte		#Modstandsdygtighed
	#Tilgængelighed	#Svare
		#Gendanne

Hvad er formålet med kontrol 5.5?

Formålet med kontrol 5.5 er at sikre, at der finder passende informationsstrøm sted med hensyn til informationssikkerhed mellem organisationen og relevante lov-, regulerings- og tilsynsmyndigheder. Der skal være et passende forum for dialog og samarbejde mellem virksomheden og relevante lov-, regulerings- og tilsynsmyndigheder.

Kontrol 5.5 dækker krav, formål og implementeringsinstruktioner om, hvordan man identificerer og rapportere informationssikkerhedshændelser rettidigt, samt hvem og hvordan man kontakter i tilfælde af en hændelse.

Formålet med kontrol 5.5 er at identificere, hvilke interessenter (f.eks. retshåndhævelse, reguleringsorganer, tilsynsmyndigheder) der skal kontaktes i tilfælde af en sikkerhedshændelse. Det er vigtigt, at du allerede har identificeret disse interessenter, før en hændelse opstår.

Kontakt med myndigheder betyder, at organisationen skal etablere og implementere uformel kommunikation med myndigheder vedrørende informationssikkerhedsspørgsmål, herunder:

Løbende kommunikation med relevante myndigheder for at sikre, at organisationen er opmærksom aktuelle trusler og sårbarheder.
Informere relevante myndigheder om sårbarheder opdaget i organisationens produkter, tjenester eller systemer.
Modtagelse af information fra relevante myndigheder om trusler og sårbarheder.

Få et forspring på 81 %

Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.

Book en demo

Hvad er involveret, og hvordan man opfylder kravene

Hovedformålet med kontrol 5.5 er at etablere organisationens forhold til retshåndhævende myndigheder, som det vedrører håndtering af informationssikkerhedsrisici.

For at opfylde kravene til kontrol 5.5 forventes det, at hvis en informationssikkerhedshændelse opdages, bør organisationen specificere, hvornår og af hvilke myndigheder (såsom retshåndhævende myndigheder, tilsynsorganer og tilsynsmyndigheder) skal underrettes, samt hvordan identificerede informationssikkerhedshændelser skal rapporteres rettidigt.

Udvekslingen af oplysninger med myndigheder bør også bruges til at få et bedre kendskab til de eksisterende og kommende forventninger fra disse agenturer (f.eks. gældende regler for informationssikkerhed).

Dette krav er designet til at sikre, at organisationen har en sammenhængende strategi for sit forhold til retshåndhævende myndigheder, og at den har identificeret det mest passende kontaktpunkt i disse agenturer.

Kontakter med tilsynsorganer er også nyttige til at forudse og forberede kommende ændringer i relevante love eller regler, der påvirker organisationen.

Forskelle mellem ISO 27002:2013 og ISO 27002:2022

Kontrol 5.5: Kontakt med myndigheder er ikke en ny tilføjelse i ISO 27002:2022. Det er en eksisterende kontrol i den originale ISO 27002:2013 med kontrolnummer 6.1.3. Det betyder, at kontrolnummeret blev ændret i den nye version af ISO 27002.

Ud over at ændre kontrolnummeret, blev fraseologien også ændret. Hvor kontrol 5.5 siger, at "Organisationen bør etablere og opretholde kontakt med relevante myndigheder." Kontrol 6.1.3 siger, at "Der bør opretholdes passende kontakter med relevante myndigheder." Denne ændring i fraseologi er designet til at gøre denne kontrol mere brugervenlig.

I 2022-versionen indgik et kontrolformål. Dette er ikke tilgængeligt i 2013-versionen.

På samme tid, mens essensen af begge kontroller forbliver den samme, er der subtile variationer, der adskiller den ene fra den anden.

Kontrol 5.5 i ISO 27002:2022 tilføjer endvidere, at kontakter med myndigheder også bør bruges til at lette forståelsen af disse myndigheders nuværende og kommende forventninger (f.eks. gældende regler for informationssikkerhed). Dette mangler i 2013-versionen.

Hvem er ansvarlig for denne proces?

person med ansvar for denne rolle er generelt Information Security Manager.

Andre personer kan udføre denne funktion, men de skal rapportere til informationssikkerhedschefen, så de kan opretholde tilsynet med disse aktiviteter. Dette fastholder et konsistent budskab og sikrer et konsistent forhold til myndigheder.

Administrer al din overholdelse ét sted

ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.

Book en demo

Hvad betyder disse ændringer for dig?

Når en ny certificeringsstandard offentliggøres, vil der normalt være en overgangstid. For de fleste certificeringscyklusser er der en overgangstid på to til tre år.

Når det er sagt, er den seneste udgave af ISO 27002 absolut vigtig, hvis du har til hensigt at gøre det implementere et ISMS (og potentielt endda overveje en ISMS-certificering), og du skal sikre dig, at dine sikkerhedsforanstaltninger er opdaterede.

Blandt de aktiviteter, der skal udføres, er, men er ikke begrænset til, følgende:

Køb af den nyeste standard.
Undersøg den nye standard for at se, hvordan den har ændret sig. Standarden vil give en kortlægningstabel, der viser, hvordan den nye standard svarer til ISO 27002:2013-standarden.
Udfør a risikoanalyse samt en kontrolgab-analyse.
Vælg de kontroller, der er relevante, og skift din ISMS-politikker, standarder og anden dokumentation.
Foretag de nødvendige ændringer i din Anvendelseserklæring.
Du bør revidere dit interne revisionsprogram, så det afspejler de forbedrede kontroller, du har valgt.

Se venligst vores guide til ISO 27002:2022, hvor du kan finde ud af mere om, hvordan disse ændringer til kontrol 5.5 vil påvirke din organisation.

Nye ISO 27002 kontroller

Ny kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.7	Ny	Trusselsintelligens
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.30	Ny	IKT-parathed til forretningskontinuitet
7.4	Ny	Fysisk sikkerhedsovervågning
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.16	Ny	Overvågning af aktiviteter
8.23	Ny	Webfiltrering
8.28	Ny	Sikker kodning

Organisatoriske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
5.1	05.1.1, 05.1.2	Politikker for informationssikkerhed
5.2	06.1.1	Informationssikkerhedsroller og -ansvar
5.3	06.1.2	Opdeling af pligter
5.4	07.2.1	Ledelsesansvar
5.5	06.1.3	Kontakt med myndigheder
5.6	06.1.4	Kontakt til særlige interessegrupper
5.7	Ny	Trusselsintelligens
5.8	06.1.5, 14.1.1	Informationssikkerhed i projektledelse
5.9	08.1.1, 08.1.2	Opgørelse af information og andre tilhørende aktiver
5.10	08.1.3, 08.2.3	Acceptabel brug af information og andre tilknyttede aktiver
5.11	08.1.4	Tilbagelevering af aktiver
5.12	08.2.1	Klassificering af oplysninger
5.13	08.2.2	Mærkning af information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsoverførsel
5.15	09.1.1, 09.1.2	Adgangskontrol
5.16	09.2.1	Identitetsstyring
5.17	09.2.4, 09.3.1, 09.4.3	Godkendelsesoplysninger
5.18	09.2.2, 09.2.5, 09.2.6	Adgangsrettigheder
5.19	15.1.1	Informationssikkerhed i leverandørforhold
5.20	15.1.2	Håndtering af informationssikkerhed inden for leverandøraftaler
5.21	15.1.3	Håndtering af informationssikkerhed i IKT-forsyningskæden
5.22	15.2.1, 15.2.2	Overvågning, gennemgang og forandringsledelse af leverandørydelser
5.23	Ny	Informationssikkerhed til brug af cloud-tjenester
5.24	16.1.1	Planlægning og forberedelse af informationssikkerhedshændelser
5.25	16.1.4	Vurdering og beslutning om informationssikkerhedshændelser
5.26	16.1.5	Reaktion på informationssikkerhedshændelser
5.27	16.1.6	Lær af informationssikkerhedshændelser
5.28	16.1.7	Indsamling af beviser
5.29	17.1.1, 17.1.2, 17.1.3	Informationssikkerhed under afbrydelse
5.30	Ny	IKT-parathed til forretningskontinuitet
5.31	18.1.1, 18.1.5	Lovmæssige, lovpligtige, regulatoriske og kontraktmæssige krav
5.32	18.1.2	Intellektuelle ejendomsrettigheder
5.33	18.1.3	Beskyttelse af optegnelser
5.34	18.1.4	Privatliv og beskyttelse af PII
5.35	18.2.1	Uafhængig gennemgang af informationssikkerhed
5.36	18.2.2, 18.2.3	Overholdelse af politikker, regler og standarder for informationssikkerhed
5.37	12.1.1	Dokumenterede driftsprocedurer

People Controls

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansættelse
6.3	07.2.2	Informationssikkerhedsbevidsthed, uddannelse og træning
6.4	07.2.3	Disciplinær proces
6.5	07.3.1	Ansvar efter opsigelse eller ændring af ansættelsesforhold
6.6	13.2.4	Aftaler om fortrolighed eller tavshedspligt
6.7	06.2.2	Fjernbetjening
6.8	16.1.2, 16.1.3	Informationssikkerhedshændelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
7.1	11.1.1	Fysiske sikkerhedsomkredse
7.2	11.1.2, 11.1.6	Fysisk adgang
7.3	11.1.3	Sikring af kontorer, lokaler og faciliteter
7.4	Ny	Fysisk sikkerhedsovervågning
7.5	11.1.4	Beskyttelse mod fysiske og miljømæssige trusler
7.6	11.1.5	Arbejde i sikre områder
7.7	11.2.9	Overskueligt skrivebord og klar skærm
7.8	11.2.1	Udstyrsplacering og beskyttelse
7.9	11.2.6	Sikkerhed af aktiver uden for lokalerne
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagermedier
7.11	11.2.2	Understøttende hjælpeprogrammer
7.12	11.2.3	Kabler sikkerhed
7.13	11.2.4	Vedligeholdelse af udstyr
7.14	11.2.7	Sikker bortskaffelse eller genbrug af udstyr

Teknologisk kontrol

ISO/IEC 27002:2022 kontrolidentifikator	ISO/IEC 27002:2013 Kontrolidentifikator	Kontrolnavn
8.1	06.2.1, 11.2.8	Bruger slutpunktsenheder
8.2	09.2.3	Privilegerede adgangsrettigheder
8.3	09.4.1	Begrænsning af informationsadgang
8.4	09.4.5	Adgang til kildekode
8.5	09.4.2	Sikker autentificering
8.6	12.1.3	Kapacitetsstyring
8.7	12.2.1	Beskyttelse mod malware
8.8	12.6.1, 18.2.3	Håndtering af tekniske sårbarheder
8.9	Ny	Konfigurationsstyring
8.10	Ny	Sletning af oplysninger
8.11	Ny	Datamaskering
8.12	Ny	Forebyggelse af datalækage
8.13	12.3.1	Sikkerhedskopiering af information
8.14	17.2.1	Redundans af informationsbehandlingsfaciliteter
8.15	12.4.1, 12.4.2, 12.4.3	Logning
8.16	Ny	Overvågning af aktiviteter
8.17	12.4.4	Ur synkronisering
8.18	09.4.4	Brug af privilegerede hjælpeprogrammer
8.19	12.5.1, 12.6.2	Installation af software på operativsystemer
8.20	13.1.1	Netværkssikkerhed
8.21	13.1.2	Sikkerhed af netværkstjenester
8.22	13.1.3	Adskillelse af netværk
8.23	Ny	Webfiltrering
8.24	10.1.1, 10.1.2	Brug af kryptografi
8.25	14.2.1	Sikker udviklingslivscyklus
8.26	14.1.2, 14.1.3	Krav til applikationssikkerhed
8.27	14.2.5	Sikker systemarkitektur og tekniske principper
8.28	Ny	Sikker kodning
8.29	14.2.8, 14.2.9	Sikkerhedstest i udvikling og accept
8.30	14.2.7	Udliciteret udvikling
8.31	12.1.4, 14.2.6	Adskillelse af udviklings-, test- og produktionsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Forandringsledelse
8.33	14.3.1	Testinformation
8.34	12.7.1	Beskyttelse af informationssystemer under revisionstest

Hvordan ISMS.online hjælper

At holde styr på dine informationssikkerhedskontroller er et af de sværeste aspekter ved at implementere en ISMS, der er i overensstemmelse med ISO 27001. Men vores cloud-baserede platform gør dette nemt.

Vores cloud-baserede platform giver dig en robust ramme af informationssikkerhed kontroller, så du kan tjekke din ISMS-proces, mens du går, for at sikre, at den opfylder kravene til ISO 27k. Brugt rigtigt, ismer. online kan hjælpe dig med at opnå certificering med et minimum af tid og ressourcer.

Kontakt i dag for book en demo.

ISO 27002:2022 – Kontrol 5.5 – Kontakt med myndigheder