Hva er Control 5.1?
En informasjonssikkerhetspolicy gir ansatte, ledelse og eksterne parter (f.eks. kunder og leverandører) et rammeverk for håndtering av elektronisk informasjon, inkludert datanettverk.
Formålet med en informasjonssikkerhetspolicy er å redusere risikoen for tap av data eller tyveri fra interne og eksterne trusler. En informasjonssikkerhetspolicy sikrer også at alle ansatte er klar over sitt ansvar for å beskytte dataene deres organisasjoner har.
En informasjonssikkerhetspolicy kan også brukes til å demonstrere samsvar med lover og forskrifter, og bidrar til å oppfylle standarder som ISO 27001.
Cybersikkerhet og informasjonssikkerhetstrusler forklart
Cybersikkerhetstrusler er ethvert mulig ondsinnet angrep som søker å ulovlig få tilgang til data, forstyrre digitale operasjoner eller skade informasjon. Cybertrusler kan stamme fra ulike aktører, inkludert bedriftsspioner og hacktivister, terrorgrupper, fiendtlige nasjonalstater og kriminelle organisasjoner.
Noen av de mer populære truslene om cybersikkerhet og informasjonssikkerhet er:
- malware: virus, spionprogrammer og andre skadelige programmer.
- Phishing-e-post: meldinger som ser ut til å være fra pålitelige kilder, men som inneholder lenker og vedlegg som installerer skadelig programvare.
- ransomware: skadelig programvare som hindrer brukere i å få tilgang til sine egne data før de betaler løsepenger.
- Sosial teknikk: angripere som manipulerer folk til å gi sensitiv informasjon, vanligvis ved å fremstå som pålitelige.
- Hvalfangst angrep: phishing-e-poster designet for å se ut som om de kommer fra høyprofilerte personer i en organisasjon.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hva er hensikten med kontroll 5.1?
Formålet med informasjonssikkerhetspolicyen er å sikre ledelsesstøtte for beskyttelse av din bedrifts sensitive informasjon mot tyveri og uautorisert tilgang.
Kontroll 5.1 dekker kontroll, formål og implementeringsveiledning for å etablere en informasjonssikkerhetspolicy i en organisasjon i henhold til rammeverket som definert av ISO 27001.
Kontroll 5.1 sier at organisasjoner må ha retningslinjer på høyt og lavt nivå for hvordan de administrerer informasjonssikkerheten sin. Organisasjonens toppledelse må godkjenne retningslinjene, som bør gjennomgås regelmessig og også hvis endringer i informasjonssikkerhetsmiljøet skjer.
Den beste tilnærmingen er å møte regelmessig minst en gang i måneden, med ytterligere møter etter behov. Hvis det gjøres endringer i retningslinjene, må ledelsen godkjenne dem før de implementeres. Retningslinjene bør også deles med interne og eksterne interessenter.
Kontrollattributter 5.1
Attributter er et middel for å kategorisere kontroller. Disse lar deg raskt justere kontrollutvalget etter vanlige bransjespråk og standarder. I kontroll 5.1 er disse.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet | #Identifisere | #Styresett | #Governance og økosystem |
| #Integritet | #Motstandsdyktighet | |||
| #Tilgjengelighet |
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Hva er involvert og hvordan du oppfyller kravene
Informasjonssikkerhetspolicyen bør legge grunnlag for, og understøttes av, detaljerte driftsprosedyrer som beskriver hvordan informasjonssikkerheten skal håndteres i praksis.
Policyen bør godkjennes av toppledelsen, som skal sørge for at den formidles til ansatte og gjøres tilgjengelig for interesserte.
Policyen gir retning for organisasjonens tilnærming til styring av informasjonssikkerhet, og kan brukes som rammeverk for å utvikle mer detaljerte driftsprosedyrer.
Retningslinjene er et viktig element i å etablere og vedlikeholde et styringssystem for informasjonssikkerhet (ISMS), som kreves av ISO/IEC 27000-familien av standarder, men selv om organisasjonen ikke har til hensikt å implementere formell sertifisering til ISO 27001 eller noen annen standard. , en veldefinert politikk er fortsatt viktig.
Endringer og forskjeller fra ISO 27002:2013
I ISO 27002: 2022 er kontroll 5.1 Informasjonssikkerhetspolitikk ikke en ny kontroll, snarere et resultat av sammenslåing av kontroller 5.1.1 Retningslinjer for informasjonssikkerhet og 5.1.2 Gjennomgang av retningslinjer for informasjonssikkerhet fra ISO 27002 revisjon 2013.
I ISO 27002:2022 er kontroll 5.1 oppdatert for å inkludere en beskrivelse av formålet og utvidet implementeringsveiledning. Den kom også med en attributttabell som lar brukere forene kontroller med bransjeterminologier.
I ISO 27002:2022 sier kontroll 5.1 at informasjonssikkerhet og emnespesifikke retningslinjer skal defineres, godkjennes av ledelsen, publiseres, kommuniseres til og anerkjennes av relevant personell og relevante interesserte parter.
Informasjonssikkerhetspolitikken til en organisasjon bør gjenspeile organisasjonens størrelse, type og sensitivitet for informasjonsmidler. Det bør også være i samsvar med industristandarder og gjeldende myndighetsbestemmelser.
Selv om essensen av selve kontrollen ligner 5.1.1 i ISO 27002: 2013, sier versjon 2022 spesifikt at disse informasjonssikkerhetspolicyene bør gjennomgås regelmessig og også hvis endringer i informasjonssikkerhetsmiljøet oppstår. Denne rytteren er dekket i klausul 5.1.2 i ISO 27002:2013.
ISO 27002: 2013 og ISO 27002: 2022 sier at det høyeste nivået i organisasjonen bør definere en sikkerhetspolicy som toppledelsen godkjenner og som angir hvordan de vil føre tilsyn med beskyttelsen av informasjonen deres. Kravene som dekkes av policyene for begge versjonene er imidlertid forskjellige.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Kontroll 5.1 2013 – 2022 Implementeringsretningslinjer sammenlignet
I ISO 27002:2013 bør retningslinjer for informasjonssikkerhet adressere krav opprettet av:
- Forretningsstrategi.
- Forskrifter, lovverk og kontrakter.
- Det nåværende og anslåtte trusselmiljøet for informasjonssikkerhet.
Informasjonssikkerhetspolicyen bør inneholde uttalelser om:
- Definisjon av informasjonssikkerhet, mål og prinsipper for å lede alle aktiviteter knyttet til
informasjonssikkerhet. - Tildeling av generelt og spesifikt ansvar for informasjonssikkerhetsstyring til
definerte roller. - Prosesser for håndtering av avvik og unntak.
Men kravene til ISO 27002:2022 er litt mer omfattende.
Informasjonssikkerhetspolicyen bør ta hensyn til krav som stammer fra:
- Forretningsstrategi og krav.
- Forskrifter, lovverk og kontrakter.
- De nåværende og anslåtte informasjonssikkerhetsrisikoene og -truslene.
Informasjonssikkerhetspolicyen bør inneholde uttalelser om:
- Definisjon av informasjonssikkerhet.
- Informasjonssikkerhetsmål eller rammeverket for å sette informasjonssikkerhetsmål.
- Prinsipper for å lede alle aktiviteter knyttet til informasjonssikkerhet.
- Forpliktelse til å tilfredsstille gjeldende krav knyttet til informasjonssikkerhet.
- Forpliktelse til kontinuerlig forbedring av styringssystemet for informasjonssikkerhet.
- Tildeling av ansvar for informasjonssikkerhetsstyring til definerte roller.
- Prosedyrer for håndtering av unntak og unntak.
Samtidig ble emnespesifikke retningslinjer omarbeidet i ISO 27002:2022 for å inkludere; hendelseshåndtering av informasjonssikkerhet, aktivastyring, nettverkssikkerhet, hendelseshåndtering av informasjonssikkerhet og sikker utvikling. Noen av de i ISO 27002:2013 ble enten fjernet eller slått sammen for å danne et mer helhetlig rammeverk.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | NEW | Trusselintelligens |
| 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 8.9 | NEW | Konfigurasjonsstyring |
| 8.10 | NEW | Sletting av informasjon |
| 8.11 | NEW | Datamaskering |
| 8.12 | NEW | Forebygging av datalekkasje |
| 8.16 | NEW | Overvåking av aktiviteter |
| 8.23 | NEW | Web-filtrering |
| 8.28 | NEW | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Hvordan ISMS.Online hjelper
Hos ISMS.online vil vårt brukervennlige, men kraftige, skysystem gi deg et komplett sett med verktøy og ressurser for å hjelpe deg med å administrere ditt eget ISO 27001/27002 Information Security Management System (ISMS), enten du er ny til ISO 27001/27002 eller allerede sertifisert.
Vår intuitive trinnvise arbeidsflyt, verktøy, rammeverk, retningslinjer og kontroller, handlingsvennlig dokumentasjon og veiledning leder deg gjennom prosessen med å implementere ISO 27002, noe som gjør det enkelt for deg å definere omfanget av ISMS, identifisere risikoer og implementere kontroller ved å bruke våre algoritmer – enten fra bunnen av eller fra maler for beste praksis.
Ta kontakt i dag for å bestill en demo.
