Kontrol 5.9 i den reviderede ISO 27002:2022 beskriver, hvordan en opgørelse over information og andre tilknyttede aktiver, herunder ejere, skal udvikles og vedligeholdes.
For at kunne udføre sine aktiviteter skal organisationen vide, hvilke informationsaktiver den har til rådighed.
An opgørelse af informationsaktiver (IA) er en liste over alt, hvad en organisation gemmer, behandler eller transmitterer. Det inkluderer også placering og sikkerhedskontrol for hver vare. Målet er at identificere hver enkelt data. Du kan opfatte det som den økonomiske ækvivalent for databeskyttelse.
En IA kan bruges til at identificere huller i din sikkerhedsprogram og informere cyberrisikovurderinger hvor du kan have sårbarheder, der kan føre til et brud. Det kan også bruges som bevis under compliance audits at du har gjort due diligence med at identificere dine følsomme data, hvilket hjælper dig med at undgå bøder og bøder.
opgørelse af informationsaktiver bør også indeholde oplysninger om, hvem der ejer hvert aktiv, og hvem der administrerer det. Den bør også indeholde oplysninger om værdien af hver vare i opgørelsen, og hvor kritisk den er for succesen af organisationens forretningsdrift.
Det er vigtigt, at opgørelserne holdes ajour, så de afspejler ændringer i organisationen.
Vi er omkostningseffektive og hurtige
Informationsaktiver har en lang historie inden for forretningskontinuitetsplanlægning (BCP), disaster recovery (DR) og hændelsesresponsplanlægning.
Det første trin i enhver af disse processer involverer at identificere kritiske systemer, netværk, databaser, applikationer, datastrømme og andre komponenter, der har brug for beskyttelse. Hvis du ikke ved, hvad der skal beskyttes, eller hvor det befinder sig, så kan du ikke planlægge, hvordan du beskytter det!
Kontroller klassificeres ved hjælp af attributter. Ved at bruge disse kan du hurtigt matche dit kontrolvalg med almindeligt anvendte brancheudtryk og specifikationer.
Denne tabel supplerer det arbejde, som mange kunder i øjeblikket udfører som en del af deres risikovurdering og SOA ved at identificere fortroligheden, integritet og tilgængelighed – og andre faktorer. I kontrol 5.9 er attributterne:
Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
---|---|---|---|---|
#Forebyggende | #Fortrolighed #Integritet #Tilgængelighed | #Identificere | # Asset management | #Governance og økosystem #Beskyttelse |
Formålet med denne kontrol er at identificere organisationens oplysninger og andre tilknyttede aktiver for at bevare deres informationssikkerhed og tildele passende ejerskab.
Kontrol 5.9 dækker kontrol, formål og implementeringsvejledning til oprettelse af en opgørelse over information og andre tilknyttede aktiver i overensstemmelse med ISMS-rammen som defineret af ISO 27001.
Kontrollen kræver opgørelse af alle oplysninger og andre tilknyttede aktiver, klassificering af dem i særskilte kategorier, identifikation af deres ejere og dokumentation af de kontroller, der er eller bør være på plads.
Dette er et afgørende skridt hen imod at sikre, at alle informationsaktiver er tilstrækkeligt beskyttet.
Vi giver dig et forspring på 81 %
fra det øjeblik du logger ind
Book din demo
Vi er så glade for, at vi fandt denne løsning, den gjorde det nemmere at passe sammen.
Til opfylde kravene til den nye ISO 27002:2022, skal du identificere oplysningerne og andre tilknyttede aktiver i din organisation. Så bør du bestemme vigtigheden af disse elementer i forhold til informationssikkerhed. Hvis det er relevant, bør dokumentationen vedligeholdes i dedikerede eller eksisterende fortegnelser.
Fremgangsmåden til at udvikle en opgørelse vil variere afhængigt af en organisations størrelse og kompleksitet, dens eksisterende kontroller og politikker og de typer af information og andre tilknyttede aktiver, den bruger.
Ifølge kontrol 5.9 skal opgørelsen over oplysninger og andre tilknyttede aktiver være nøjagtige, ajourførte, konsistente og afstemte med andre opgørelser. Muligheder for at sikre nøjagtigheden af en opgørelse over oplysninger og andre tilknyttede aktiver omfatter:
a) at udføre regelmæssige gennemgange af identificerede oplysninger og andre tilknyttede aktiver i forhold til aktivopgørelsen;
b) automatisk håndhævelse af en lageropdatering i processen med at installere, ændre eller fjerne et aktiv.
Placeringen af et aktiv bør inkluderes i opgørelsen efter behov.
Nogle organisationer skal muligvis vedligeholde flere fortegnelser til forskellige formål. For eksempel har nogle organisationer dedikerede fortegnelser for softwarelicenser eller for fysisk udstyr såsom bærbare computere og tablets.
Andre kan have en enkelt beholdning, der omfatter alt fysisk udstyr, inklusive netværksenheder såsom routere og switches. Det er vigtigt, at sådanne opgørelser regelmæssigt gennemgås for at sikre, at de holdes ajour, så de kan bruges til at hjælpe med risikostyring aktiviteter.
Mere information om opfyldelse af kravene til kontrol 5.9 kan findes i det nye ISO 27002:2022 dokument.
I ISO 27002: 2022 blev 57 kontroller fra ISO 27002: 2013 slået sammen til 24 kontroller. Så du vil ikke finde kontrol 5.9 som Inventory of Information and Other Associated Assets i 2013-versionen. Snarere i 2022-versionen er det en kombination af kontrol 8.1.1 Opgørelse af aktiver og kontrol 8.1.2 Ejerskab af aktiver.
Hensigten med kontrol 8.1.1 Opgørelse af aktiver er at sikre, at alle informationsaktiver er identificeret, dokumenteret og regelmæssigt gennemgået, og passende processer og procedurer er på plads for at sikre, at denne opgørelse er sikker.
Kontrol 8.1.2 Ejerskab af aktiver er ansvarlig for at sikre, at alle informationsaktiver under deres kontrol er korrekt identificeret og ejet. At vide, hvem der ejer hvad, kan hjælpe dig med at bestemme, hvilke aktiver du skal beskytte, og hvem du skal holde ansvarlig over for.
Mens begge kontroller i ISO 27002:2013 ligner kontrol 5.9 i ISO 27002:2022, er sidstnævnte blevet udvidet for at give mulighed for en mere brugervenlig fortolkning. Eksempelvis angiver implementeringsvejledningen for ejerskab af aktiver i kontrol 8.1.2, at aktivejeren skal:
a) sikre, at aktiver er opført;
b) sikre, at aktiver er korrekt klassificeret og beskyttet;
c) definere og periodisk gennemgå adgangsbegrænsninger og klassifikationer til vigtige aktiver under hensyntagen til gældende adgangskontrolpolitikker;
d) sikre korrekt håndtering, når aktivet slettes eller destrueres.
Disse 4 punkter er blevet udvidet til 9 punkter i ejerskabsafsnittet i kontrol 5.9.
aktivejer bør være ansvarlig for den korrekte forvaltning af et aktiv over hele aktivets livscyklus, hvilket sikrer, at:
a) information og andre tilknyttede aktiver opgøres;
b) oplysninger og andre tilknyttede aktiver er passende klassificeret og beskyttet;
c) klassifikationen revideres med jævne mellemrum;
d) komponenter, der understøtter teknologiaktiver, er listet og forbundet, såsom database, lagring, softwarekomponenter og underkomponenter;
e) krav til acceptabel brug af information og andre tilknyttede aktiver (se 5.10) er fastsat;
f) adgangsbegrænsninger svarer til klassificeringen, og at de er effektive og revideres med jævne mellemrum;
g) oplysninger og andre tilknyttede aktiver, når de slettes eller bortskaffes, håndteres på en sikker måde og fjernes fra inventaret;
h) de er involveret i identifikation og styring af risici forbundet med deres aktiver;
i) de støtter personale, der har roller og ansvar for at administrere deres information.
Sammenlægning af disse to kontroller til én giver mulighed for bedre forståelse for brugeren.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
Siden migreringen har vi været i stand til at reducere tiden brugt på administration.
De seneste ISO 27002 ændringer har ingen effekt på din nuværende certificering i forhold til ISO 27001 standarder. ISO 27001-opgraderinger er de eneste, der har indflydelse på eksisterende certificeringer, og akkrediteringsorganer vil samarbejde med certificeringsorganerne for at udvikle en overgangscyklus, der vil give organisationer med ISO 27001-certifikater tilstrækkelig tid til at overføre fra en version til en anden.
Når det er sagt, skal følgende trin følges for at opfylde den reviderede version:
Ny bedste praksis og kvaliteter til kontroludvælgelse vil være tilgængelige i overgangstiden til den nye standard, hvilket vil give mulighed for en mere effektiv og effektiv udvælgelsesproces.
På grund af dette bør du fortsætte med at anvende en risikobaseret tilgang for at sikre, at kun mest relevante og effektive kontroller er valgt til din virksomhed.
Du kan bruge ISMS.online til at administrere din ISO 27002 implementering, da den er designet specifikt til at hjælpe en virksomhed med at implementere deres informationssikkerhedsstyringssystem (ISMS) for at opfylde kravene i ISO 27002.
Platformen bruger en risikobaseret tilgang kombineret med brancheførende bedste praksis og skabeloner for at hjælpe dig med at identificere de risici, din organisation står over for, og de kontroller, der er nødvendige for at håndtere disse risici. Dette giver dig mulighed for systematisk at reducere både din risikoeksponering og dine complianceomkostninger.
Ved brug af ISMS.online kan du:
ISMS.online platform er baseret på Plan-Do-Check-Act (PDCA), en iterativ fire-trins proces til løbende forbedringer, og den imødekommer alle kravene i ISO 27002:2022. Det er et simpelt spørgsmål om at oprette en gratis prøvekonto og følge de trin, vi tilbyder.
Kontakt i dag for book en demo.
Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
5.7 | Ny | Trusselsintelligens |
5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
5.30 | Ny | IKT-parathed til forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhedsovervågning |
8.9 | Ny | Konfigurationsstyring |
8.10 | Ny | Sletning af oplysninger |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebyggelse af datalækage |
8.16 | Ny | Overvågning af aktiviteter |
8.23 | Ny | Webfiltrering |
8.28 | Ny | Sikker kodning |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
6.4 | 07.2.3 | Disciplinær proces |
6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
6.7 | 06.2.2 | Fjernbetjening |
6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
7.4 | Ny | Fysisk sikkerhedsovervågning |
7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
7.6 | 11.1.5 | Arbejde i sikre områder |
7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
7.12 | 11.2.3 | Kabler sikkerhed |
7.13 | 11.2.4 | Vedligeholdelse af udstyr |
7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |