Kontrol 5.6 i den nyligt reviderede ISO 27002:2022 eller kontrol 6.1.4 i ISO 27002:2013 anbefaler, at organisationer etablerer og opretholder kontakt med særlige interessegrupper eller andre specialiserede sikkerhedsfora og faglige sammenslutninger.
Generelt kan en særinteressegruppe defineres som en sammenslutning af personer eller organisationer med interesse i eller arbejder inden for et bestemt fagområde, hvor medlemmerne samarbejder/arbejder for at løse problemer, skabe løsningerog tilegne sig viden. I vores situation ville dette ekspertiseområde være informationssikkerhed.
Producenter, specialistfora og faggrupper er eksempler på sådanne enheder. Regeringen er også et eksempel på en særlig interesseorganisation.
Kontroller klassificeres ved hjælp af attributter. Ved at bruge disse kan du hurtigt matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer. Attributterne for kontrol 5.6 er:
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende #Korrigerende | #Fortrolighed #Integritet #Tilgængelighed | #Beskyt #Respons #Recover | #Governance | #Forsvar |
De fleste organisationer i dag har en form for relation til særlige interessegrupper. De kan være en kundegruppe, leverandørgruppe eller en gruppe, der har en vis indflydelse i organisationen. Formålet med kontrol 5.6 er at sikre, at der finder passende informationsstrøm sted med hensyn til informationssikkerhed blandt disse særlige interessegrupper.
Kontrol 5.6 dækker krav, formål og implementeringsvejledninger til, hvordan man tager kontakt til særlige interessegrupper for at sikre, at din organisation aktivt indgår i regelmæssig kontakt og konsultation med relevante interessenter og interesserede parter, herunder forbrugere og deres repræsentanter, leverandører, partnere og regeringen for at forbedre deres informationssikkerhedskapacitet.
Det er muligt, at disse organisationer vil være i stand til at identificere sikkerhedsfarer, som du måske har ignoreret. Som et partnerskab kan begge sider drage fordel af hinandens viden i form af nye ideer og bedste praksis, hvilket er et win-win-scenarie.
Derudover kan disse grupper muligvis give nyttige forslag eller anbefalinger vedrørende sikkerhedspraksis, procedurer eller teknologier, der kan gøre dit system mere sikkert, mens det stadig er at nå dine forretningsmål.
Når det kommer til at opfylde kravene til Kontrol 5.6 i ISO 27002:2022, er det vigtigt, at organisationer følger implementeringsretningslinjerne som defineret af standarden.
Ifølge kontrol 5.6 bør medlemskab af særlige interessegrupper eller fora være et middel til at:
ISO/IEC 27000 sæt standarder kræver, at der etableres og vedligeholdes et informationssikkerhedsstyringssystem (ISMS). Kontrol 5.6 er en afgørende del af denne proces. Kontakt med særlige interessegrupper er vigtig, da det kan give dig mulighed for at modtage feedback fra peers vedrørende effektiviteten af dine informationssikkerhedsprocesser.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Brug 30 minutter på at se, hvordan ISMS.online sparer dig timer (og timer!)
Book et mødeIfølge det allerede oplyste, kontrol 5.6 tommer ISO 27002: 2022, "Kontakt med særlige interessegrupper," er ikke en ny kontrol. Dette er i det væsentlige en modificeret version af kontrol 6.1.4, som kan findes i ISO 27002:2013.
Mens de grundlæggende principper for de to kontroller stort set er de samme, er der nogle mindre ændringer i 2022-versionen af kontrolelementet. For ISO 27002:2022 er kontrollens formål angivet i standarden. I 2013-udgaven mangler dette kontrolformål.
Selvom implementeringsretningslinjerne for begge versioner er de samme, er formuleringen, der bruges i hver version, forskellig.
Alle disse forbedringer har til formål at garantere, at standarden forbliver aktuel og relevant i lyset af stigende sikkerhedsproblemer og teknologiske udviklinger. Organisationer vil også drage fordel af dette, da det vil gøre overholdelse af standarden lettere.
I en typisk organisation er chefen for informationssikkerhed (også kendt som Chief Information Security Officer – CISO) ansvarlig for alle aspekter af databeskyttelse og datasikkerhed, herunder compliance.
Denne rolle kan også varetages af Information Security Manager (ISMS Manager). Men uanset hvem der varetager denne rolle, kan den ikke fortsætte uden buy-in fra den øverste ledelse.
ISMS.online er en
one-stop-løsning, der radikalt fremskyndede vores implementering.
Hvis du ikke bruger ISMS.online, gør du dit liv sværere, end det behøver at være!
Hvis din organisationen har allerede implementeret ISO 27002:2013, skal du opdatere dine procedurer for at sikre overholdelse af den opdaterede standard, som blev lanceret i februar 2022.
Selvom der vil være nogle ændringer i 2022-versionen, burde de fleste organisationer være i stand til at foretage de nødvendige ændringer med få problemer. Derudover vil certificerede organisationer have en to-årig overgangsfase, hvor de kan forny deres certificering for at sikre, at den overholder den nye version af standarden.
Når det er sagt, kan vores ISO 27002:2022 guide hjælpe dig med bedre at forstå, hvordan den nye ISO 27002 vil påvirke dine datasikkerhedsoperationer og ISO 27001 certificering.
På ISMS.online, har vi bygget et omfattende og brugervenligt system, der kan hjælpe dig med at implementere ISO 27002 kontroller og administrere hele dit ISMS.
ISMS.online gør implementeringen af ISO 27002 lettere ved at levere en sæt værktøjer til at hjælpe dig med at administrere informationssikkerhed i din organisation. Det vil hjælpe dig identificere risici og udvikle kontroller for at mindske disse risici, og derefter vise dig, hvordan du implementerer dem i organisationen.
ISMS.online vil også hjælpe dig med at demonstrere overholdelse af standarden ved leverer et ledelsesdashboard, rapporter og revisionslogfiler.
Vores cloud-baserede platform tilbyder:
ISMS.online har alle disse funktioner og mere.
Kontakt i dag for book en demo.
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
