ISO 27002: 2022 kontrol 5.5 specificerer, at en organisation skal etablere og vedligeholde en proces for kontakt med de relevante myndigheder i overensstemmelse med de lovmæssige, regulatoriske og kontraktmæssige krav, som organisationen opererer i.
Kontroller klassificeres ved hjælp af attributter. Ved at bruge disse kan du hurtigt matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer. Det er dem, der findes i kontrol 5.5.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende #Korrigerende | #Fortrolighed #Integritet #Tilgængelighed | #Identificer #Beskyt #Respons #Recover | #Governance | #Forsvar #Resiliens |
Vi kan ikke komme i tanke om nogen virksomhed, hvis service kan holde et lys til ISMS.online.
Formålet med kontrol 5.5 er at sikre, at der finder passende informationsstrøm sted med hensyn til informationssikkerhed mellem organisationen og relevante lov-, regulerings- og tilsynsmyndigheder. Der skal være et passende forum for dialog og samarbejde mellem virksomheden og relevante lov-, regulerings- og tilsynsmyndigheder.
Kontrol 5.5 dækker krav, formål og implementeringsinstruktioner om, hvordan man identificerer og rapportere informationssikkerhedshændelser rettidigt, samt hvem og hvordan man kontakter i tilfælde af en hændelse.
Formålet med kontrol 5.5 er at identificere, hvilke interessenter (f.eks. retshåndhævelse, reguleringsorganer, tilsynsmyndigheder) der skal kontaktes i tilfælde af en sikkerhedshændelse. Det er vigtigt, at du allerede har identificeret disse interessenter, før en hændelse opstår.
Kontakt med myndigheder betyder, at organisationen skal etablere og implementere uformel kommunikation med myndigheder vedrørende informationssikkerhedsspørgsmål, herunder:
Hovedformålet med kontrol 5.5 er at etablere organisationens forhold til retshåndhævende myndigheder, som det vedrører håndtering af informationssikkerhedsrisici.
For at opfylde kravene til kontrol 5.5 forventes det, at hvis en informationssikkerhedshændelse opdages, bør organisationen specificere, hvornår og af hvilke myndigheder (såsom retshåndhævende myndigheder, tilsynsorganer og tilsynsmyndigheder) skal underrettes, samt hvordan identificerede informationssikkerhedshændelser skal rapporteres rettidigt.
Udvekslingen af oplysninger med myndigheder bør også bruges til at få et bedre kendskab til de eksisterende og kommende forventninger fra disse agenturer (f.eks. gældende regler for informationssikkerhed).
Dette krav er designet til at sikre, at organisationen har en sammenhængende strategi for sit forhold til retshåndhævende myndigheder, og at den har identificeret det mest passende kontaktpunkt i disse agenturer.
Kontakter med tilsynsorganer er også nyttige til at forudse og forberede kommende ændringer i relevante love eller regler, der påvirker organisationen.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Vi er omkostningseffektive og hurtige
Kontrol 5.5: Kontakt med myndigheder er ikke en ny tilføjelse i ISO 27002:2022. Det er en eksisterende kontrol i den originale ISO 27002:2013 med kontrolnummer 6.1.3. Det betyder, at kontrolnummeret blev ændret i den nye version af ISO 27002.
Ud over at ændre kontrolnummeret, blev fraseologien også ændret. Hvor kontrol 5.5 siger, at "Organisationen bør etablere og opretholde kontakt med relevante myndigheder." Kontrol 6.1.3 siger, at "Der bør opretholdes passende kontakter med relevante myndigheder." Denne ændring i fraseologi er designet til at gøre denne kontrol mere brugervenlig.
I 2022-versionen indgik et kontrolformål. Dette er ikke tilgængeligt i 2013-versionen.
På samme tid, mens essensen af begge kontroller forbliver den samme, er der subtile variationer, der adskiller den ene fra den anden.
Kontrol 5.5 i ISO 27002:2022 tilføjer endvidere, at kontakter med myndigheder også bør bruges til at lette forståelsen af disse myndigheders nuværende og kommende forventninger (f.eks. gældende regler for informationssikkerhed). Dette mangler i 2013-versionen.
person med ansvar for denne rolle er generelt Information Security Manager.
Andre personer kan udføre denne funktion, men de skal rapportere til informationssikkerhedschefen, så de kan opretholde tilsynet med disse aktiviteter. Dette fastholder et konsistent budskab og sikrer et konsistent forhold til myndigheder.
Det hjælper med at drive vores adfærd på en positiv måde, der virker for os
& vores kultur.
Når en ny certificeringsstandard offentliggøres, vil der normalt være en overgangstid. For de fleste certificeringscyklusser er der en overgangstid på to til tre år.
Når det er sagt, er den seneste udgave af ISO 27002 absolut vigtig, hvis du har til hensigt at gøre det implementere et ISMS (og potentielt endda overveje en ISMS-certificering), og du skal sikre dig, at dine sikkerhedsforanstaltninger er opdaterede.
Blandt de aktiviteter, der skal udføres, er, men er ikke begrænset til, følgende:
Se venligst vores guide til ISO 27002:2022, hvor du kan finde ud af mere om, hvordan disse ændringer til kontrol 5.5 vil påvirke din organisation.
At holde styr på dine informationssikkerhedskontroller er et af de sværeste aspekter ved at implementere en ISMS, der er i overensstemmelse med ISO 27001. Men vores cloud-baserede platform gør dette nemt.
Vores cloud-baserede platform giver dig en robust ramme af informationssikkerhed kontroller, så du kan tjekke din ISMS-proces, mens du går, for at sikre, at den opfylder kravene til ISO 27k. Brugt rigtigt, ismer. online kan hjælpe dig med at opnå certificering med et minimum af tid og ressourcer.
Kontakt i dag for book en demo.
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
