Formål med kontrol 8.21
Inden for databehandling kan en 'netværkstjeneste' i store træk beskrives som et system, der kører på 'netværksapplikationslaget', som f.eks. e-mail, trykning, Eller en filserver. Netværkstjenester omfatter også administrerede applikationer og sikkerhedsløsninger som f.eks firewalls eller gateway antivirus platforme, systemer til registrering af indtrængen og forbindelsestjenester.
Netværkstjenester repræsenterer ofte de vigtigste funktionelle dele af et netværk og er afgørende for den daglige drift af et moderne kommercielt IKT-netværk. Sikkerhed er derfor altafgørende, og brugen af netværkstjenester skal overvåges nøje og styres direkte for at minimere den tilknyttede risiko for fejl, indbrud og forretningsforstyrrelser.
Attributter Kontroltabel 8.21
Kontrol 8.21 er en forebyggende kontrol at fastholder risiko ved at etablere et sæt regler, der regulerer brugen af både netværkstjenester og, ved tilknytning, selve værtsnetværket.
| Kontrol type | Informationssikkerhedsegenskaber | Cybersikkerhedskoncepter | Operationelle evner | Sikkerhedsdomæner |
|---|---|---|---|---|
| #Forebyggende | #Fortrolighed | #Beskytte | #System- og netværkssikkerhed | #Beskyttelse |
| #Integritet | ||||
| #Tilgængelighed |
Ejerskab af kontrol 8.21
Kontrol 8.21 omhandler tekniske begreber vedrørende vedligeholdelse og styring af flere nøglekomponenter i en organisations IKT-netværk. Som sådan bør ejerskabet ligge hos IT-chefen eller tilsvarende organisatorisk.
Få et forspring på 81 %
Vi har gjort det hårde arbejde for dig, hvilket giver dig en 81% forspring fra det øjeblik, du logger på.
Alt du skal gøre er at udfylde de tomme felter.
Generel vejledning om overholdelse
Kontrol 8.21 identificerer tre hovedsikkerhedstyper, når de adresserer det bredere koncept for netværkstjenestesikkerhed:
- Sikkerhedsfunktioner
- Serviceniveauer
- Servicekrav
Disse tre foranstaltninger bør tages i betragtning af alle interne og eksterne netværkstjenesteudbydere, og organisationen bør tage skridt til at sikre, at udbyderne til enhver tid opfylder deres forpligtelser.
Organisationer bør bedømme en netværkstjenesteudbyder på deres evne til at administrere tjenester som dikteret af et utvetydigt sæt SLA'er og overvåge overholdelse efter bedste evne.
En del af denne operationelle vurdering bør omfatte referencer opnået fra pålidelige kilder, der attesterer en netværkstjenesteudbyders evne til at administrere tjenester på en sikker og effektiv måde.
Netværkssikkerhedsregler bør omfatte:
- Alle netværkstjenester og tilknyttede netværk, der er tilladt at få adgang til.
- Godkendelseskravene for at få adgang til nævnte netværkstjenester, herunder hvem der har tilladelse til at få adgang til dem, hvorfra og hvornår de er i stand til at gøre det.
- Hvordan personale opnår forudgående tilladelse til at få adgang til netværkstjenester, herunder endelig sign-off og business case-analyse.
- Et robust sæt netværksstyringskontroller, der sikrer netværkstjenester mod misbrug og uautoriseret adgang.
- Hvordan personale får adgang til netværkstjenester (dvs. eksternt eller udelukkende på stedet).
- Logningsprocedurer, der detaljerer nøgleoplysninger om adgang til netværkstjenester og det personale, der bruger dem – f.eks. tid, sted og enhedsdata.
- Overvågning af brugen af netværkstjenester.
Vejledning – Netværkstjenestesikkerhed
Control 8.21 indeholder også vejledningsnoter om, hvordan man øger sikkerheden på tværs af alle netværkstjenester, inklusive back-end-funktionalitet og brugerbetjening.
- Organisationer bør overveje sikkerhedsfunktioner som f.eks autentificering, kryptering og forbindelseskontrol.
- Der bør etableres stive parametre, der dikterer forbindelsen til netværkstjenester.
- Brugere bør være i stand til at vælge mængden af data, der cachelagres (midlertidigt lagret) af en netværkstjeneste for både at øge den samlede ydeevne og sikre, at data ikke lagres for meget, så det udgør en håndgribelig sikkerhedsrisiko.
- Begrænsning af adgang til netværkstjenester.
Administrer al din overholdelse ét sted
ISMS.online understøtter over 100 standarder
og regler, hvilket giver dig en enkelt
platform til alle dine overholdelsesbehov.
Ændringer og forskelle fra ISO 27002:2013
ISO 27002:2022-8.21 erstatter ISO 27002:2003-13.1.2 (Netværkstjenesternes sikkerhed).
27002:2022-8.21 indeholder flere vigtige tilføjelser til sin modstykke fra 2013, hvor sidstnævnte udelukkende fokuserer på netværkstjenestesikkerhed (som indeholder det samme sæt vejledningsnoter) og udelader enhver generel vejledning om netværksregler (se punkt 1-7 ovenfor under "Generel vejledning").
Nye ISO 27002 kontroller
Ny kontrol
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 5.7 | Ny | Trusselsintelligens |
| 5.23 | Ny | Informationssikkerhed til brug af cloud-tjenester |
| 5.30 | Ny | IKT-parathed til forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 8.9 | Ny | Konfigurationsstyring |
| 8.10 | Ny | Sletning af oplysninger |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebyggelse af datalækage |
| 8.16 | Ny | Overvågning af aktiviteter |
| 8.23 | Ny | Webfiltrering |
| 8.28 | Ny | Sikker kodning |
Organisatoriske kontroller
People Controls
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansættelse |
| 6.3 | 07.2.2 | Informationssikkerhedsbevidsthed, uddannelse og træning |
| 6.4 | 07.2.3 | Disciplinær proces |
| 6.5 | 07.3.1 | Ansvar efter opsigelse eller ændring af ansættelsesforhold |
| 6.6 | 13.2.4 | Aftaler om fortrolighed eller tavshedspligt |
| 6.7 | 06.2.2 | Fjernbetjening |
| 6.8 | 16.1.2, 16.1.3 | Informationssikkerhedshændelsesrapportering |
Fysiske kontroller
| ISO/IEC 27002:2022 kontrolidentifikator | ISO/IEC 27002:2013 Kontrolidentifikator | Kontrolnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhedsomkredse |
| 7.2 | 11.1.2, 11.1.6 | Fysisk adgang |
| 7.3 | 11.1.3 | Sikring af kontorer, lokaler og faciliteter |
| 7.4 | Ny | Fysisk sikkerhedsovervågning |
| 7.5 | 11.1.4 | Beskyttelse mod fysiske og miljømæssige trusler |
| 7.6 | 11.1.5 | Arbejde i sikre områder |
| 7.7 | 11.2.9 | Overskueligt skrivebord og klar skærm |
| 7.8 | 11.2.1 | Udstyrsplacering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhed af aktiver uden for lokalerne |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagermedier |
| 7.11 | 11.2.2 | Understøttende hjælpeprogrammer |
| 7.12 | 11.2.3 | Kabler sikkerhed |
| 7.13 | 11.2.4 | Vedligeholdelse af udstyr |
| 7.14 | 11.2.7 | Sikker bortskaffelse eller genbrug af udstyr |
Teknologisk kontrol
Hvordan ISMS.online hjælper
ISO 27002-standarden er et sæt retningslinjer, der hjælper organisationer med at beskytte deres informationsaktiver. Det gælder for alle typer organisationer, uanset deres størrelse, struktur eller branche.
ISMS.online er en cloud-baseret platform, der tilbyder assistance til at implementere ISO 27002-standarden effektivt og omkostningseffektivt.
Det giver organisationer let adgang til ajourførte oplysninger om deres overholdelsesstatus til enhver tid gennem dens brugervenlige dashboard-grænseflade, som giver ledere mulighed for at overvåge deres fremskridt i retning af at opnå overholdelse hurtigt og nemt.
Kontakt os i dag for planlæg en demo.
Gå til emnet
Bliv certificeret op til 5 gange hurtigere
Du skal blot udfylde de tomme felter.
Book en demo Prisberegner
