Kontroll 5.1 i ISO 27002:2022 dekker organisasjoners behov for å ha et informasjonssikkerhetsdokument på plass for å beskytte mot informasjonssikkerhetsproblemer.
En informasjonssikkerhetspolicy gir ansatte, ledelse og eksterne parter (f.eks. kunder og leverandører) et rammeverk for håndtering av elektronisk informasjon, inkludert datanettverk.
Formålet med en informasjonssikkerhetspolicy er å redusere risikoen for tap av data eller tyveri fra interne og eksterne trusler. En informasjonssikkerhetspolicy sikrer også at alle ansatte er klar over sitt ansvar for å beskytte dataene deres organisasjoner har.
En informasjonssikkerhetspolicy kan også brukes til å demonstrere samsvar med lover og forskrifter, og bidrar til å oppfylle standarder som ISO 27001.
Cybersikkerhetstrusler er ethvert mulig ondsinnet angrep som søker å ulovlig få tilgang til data, forstyrre digitale operasjoner eller skade informasjon. Cybertrusler kan stamme fra ulike aktører, inkludert bedriftsspioner og hacktivister, terrorgrupper, fiendtlige nasjonalstater og kriminelle organisasjoner.
Noen av de mer populære truslene om cybersikkerhet og informasjonssikkerhet er:
Formålet med informasjonssikkerhetspolicyen er å sikre ledelsesstøtte for beskyttelse av din bedrifts sensitive informasjon mot tyveri og uautorisert tilgang.
Kontroll 5.1 dekker kontroll, formål og implementeringsveiledning for å etablere en informasjonssikkerhetspolicy i en organisasjon i henhold til rammeverket som definert av ISO 27001.
Kontroll 5.1 sier at organisasjoner må ha retningslinjer på høyt og lavt nivå for hvordan de administrerer informasjonssikkerheten sin. Organisasjonens toppledelse må godkjenne retningslinjene, som bør gjennomgås regelmessig og også hvis endringer i informasjonssikkerhetsmiljøet skjer.
Den beste tilnærmingen er å møte regelmessig minst en gang i måneden, med ytterligere møter etter behov. Hvis det gjøres endringer i retningslinjene, må ledelsen godkjenne dem før de implementeres. Retningslinjene bør også deles med interne og eksterne interessenter.
Attributter er et middel for å kategorisere kontroller. Disse lar deg raskt justere kontrollutvalget etter vanlige bransjespråk og standarder. I kontroll 5.1 er disse.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere | #Styresett | #Governance og økosystem #Motstandsdyktighet |
Informasjonssikkerhetspolicyen bør legge grunnlag for, og understøttes av, detaljerte driftsprosedyrer som beskriver hvordan informasjonssikkerheten skal håndteres i praksis.
Policyen bør godkjennes av toppledelsen, som skal sørge for at den formidles til ansatte og gjøres tilgjengelig for interesserte.
Policyen gir retning for organisasjonens tilnærming til styring av informasjonssikkerhet, og kan brukes som rammeverk for å utvikle mer detaljerte driftsprosedyrer.
Retningslinjene er et viktig element i å etablere og vedlikeholde et styringssystem for informasjonssikkerhet (ISMS), som kreves av ISO/IEC 27000-familien av standarder, men selv om organisasjonen ikke har til hensikt å implementere formell sertifisering til ISO 27001 eller noen annen standard. , en veldefinert politikk er fortsatt viktig.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
I ISO 27002: 2022 er kontroll 5.1 Informasjonssikkerhetspolitikk ikke en ny kontroll, snarere et resultat av sammenslåing av kontroller 5.1.1 Retningslinjer for informasjonssikkerhet og 5.1.2 Gjennomgang av retningslinjer for informasjonssikkerhet fra ISO 27002 revisjon 2013.
I ISO 27002:2022 er kontroll 5.1 oppdatert for å inkludere en beskrivelse av formålet og utvidet implementeringsveiledning. Den kom også med en attributttabell som lar brukere forene kontroller med bransjeterminologier.
I ISO 27002:2022 sier kontroll 5.1 at informasjonssikkerhet og emnespesifikke retningslinjer skal defineres, godkjennes av ledelsen, publiseres, kommuniseres til og anerkjennes av relevant personell og relevante interesserte parter.
Informasjonssikkerhetspolitikken til en organisasjon bør gjenspeile organisasjonens størrelse, type og sensitivitet for informasjonsmidler. Det bør også være i samsvar med industristandarder og gjeldende myndighetsbestemmelser.
Selv om essensen av selve kontrollen ligner 5.1.1 i ISO 27002: 2013, sier versjon 2022 spesifikt at disse informasjonssikkerhetspolicyene bør gjennomgås regelmessig og også hvis endringer i informasjonssikkerhetsmiljøet oppstår. Denne rytteren er dekket i klausul 5.1.2 i ISO 27002:2013.
ISO 27002: 2013 og ISO 27002: 2022 sier at det høyeste nivået i organisasjonen bør definere en sikkerhetspolicy som toppledelsen godkjenner og som angir hvordan de vil føre tilsyn med beskyttelsen av informasjonen deres. Kravene som dekkes av policyene for begge versjonene er imidlertid forskjellige.
I ISO 27002:2013 bør retningslinjer for informasjonssikkerhet adressere krav opprettet av:
Informasjonssikkerhetspolicyen bør inneholde uttalelser om:
Men kravene til ISO 27002:2022 er litt mer omfattende.
Informasjonssikkerhetspolicyen bør ta hensyn til krav som stammer fra:
Informasjonssikkerhetspolicyen bør inneholde uttalelser om:
Samtidig ble emnespesifikke retningslinjer omarbeidet i ISO 27002:2022 for å inkludere; hendelseshåndtering av informasjonssikkerhet, aktivastyring, nettverkssikkerhet, hendelseshåndtering av informasjonssikkerhet og sikker utvikling. Noen av de i ISO 27002:2013 ble enten fjernet eller slått sammen for å danne et mer helhetlig rammeverk.
Hos ISMS.online vil vårt brukervennlige, men kraftige, skysystem gi deg et komplett sett med verktøy og ressurser for å hjelpe deg med å administrere ditt eget ISO 27001/27002 Information Security Management System (ISMS), enten du er ny til ISO 27001/27002 eller allerede sertifisert.
Vår intuitive trinnvise arbeidsflyt, verktøy, rammeverk, retningslinjer og kontroller, handlingsvennlig dokumentasjon og veiledning leder deg gjennom prosessen med å implementere ISO 27002, noe som gjør det enkelt for deg å definere omfanget av ISMS, identifisere risikoer og implementere kontroller ved å bruke våre algoritmer – enten fra bunnen av eller fra maler for beste praksis.
Ta kontakt i dag for å bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
