Kontroll 5.10 sier at reglene for akseptabel bruk og prosedyrer for håndtering av informasjon og andre tilhørende eiendeler bør identifiseres, dokumenteres og implementeres.
Målet med slike retningslinjer er å sette klare retningslinjer for hvordan brukere bør oppføre seg når de arbeider med informasjonsressurser, for å sikre konfidensialitet, integritet og tilgjengelighet av organisasjonens informasjonssikkerhetsmidler.
Retningslinjene for akseptabel bruk av informasjonsmidler (AUA) gjelder for alle medlemmer av en organisasjon og eiendeler som eies eller drives av organisasjonen. AUA gjelder for all bruk av informasjonsmidler til ethvert formål, inkludert kommersielle.
Følgende er eksempler på informasjonsressurser:
Akseptabel bruk av informasjon og andre tilknyttede eiendeler betyr å bruke informasjonsressurser på måter som ikke setter tilgjengeligheten, påliteligheten eller integriteten til data, tjenester eller ressurser i fare. Det betyr også å bruke dem på måter som ikke bryter med lover eller organisasjonens retningslinjer.
Den nye ISO 27002:2022 standard leveres med attributttabeller som ikke finnes i 2013-versjonen. Attributter er en måte å klassifisere kontroller på.
De lar deg også matche kontrollutvalget ditt med ofte brukte bransjetermer og spesifikasjoner. Følgende kontroller er tilgjengelige i kontroll 5:10.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Aset management #Informasjonsbeskyttelse | #Governance and Ecosystem #Beskyttelse |
Det overordnede målet med dette kontroll er å sikre informasjon og andre tilhørende eiendeler er hensiktsmessig beskyttet, brukt og håndtert.
Kontroll 5.10 ble utformet for å sikre at retningslinjer, prosedyrer og tekniske kontroller er på plass for å forhindre at brukere får upassende tilgang til, bruker eller avslører informasjonsressurser.
Denne kontrollen har som mål å gi et rammeverk for organisasjoner for å sikre dette informasjon og andre eiendeler er hensiktsmessig beskyttet, brukt og håndtert. Dette inkluderer å sikre at retningslinjene og prosedyrene eksisterer på alle nivåer i organisasjonen, samt å sikre at disse retningslinjene og prosedyrene håndheves konsekvent.
Implementering av kontroll 5.10 som en del av din ISMS betyr at du har satt på plass de ulike kravene knyttet til hvordan bedriften din beskytter IT-ressurser, inkludert:
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
Vi begynte å bruke regneark, og det var et mareritt. Med ISMS.online-løsningen ble alt det harde arbeidet gjort enkelt.
For å oppfylle kravene til kontroll 5.10 i ISO 27002:2022, er det viktig at ansatte og eksterne som bruker eller har tilgang til organisasjonens informasjon og andre tilhørende eiendeler er kjent med organisasjonens krav til informasjonssikkerhet.
Disse menneskene bør holdes ansvarlige for alle informasjonsbehandlingsfasiliteter de bruker.
Alle som er involvert i bruk eller håndtering av informasjon og andre tilhørende eiendeler bør gjøres kjent med organisasjonens retningslinjer for akseptabel bruk av informasjon og andre relaterte eiendeler.
Alle som er involvert i bruk eller håndtering av informasjon og andre tilhørende eiendeler bør gjøres kjent med organisasjonens policy om tillatt bruk av informasjon og andre tilhørende eiendeler. Som en del av en emnespesifikk akseptabel brukspolicy, bør personell vite nøyaktig hva de forventes å gjøre med informasjon og andre eiendeler.
Spesielt bør emnespesifikk politikk angi at:
a) forventet og uakseptabel atferd fra enkeltpersoner fra et informasjonssikkerhetsperspektiv;
b) tillatt og forbudt bruk av informasjon og andre tilhørende eiendeler;
c) overvåke aktiviteter som utføres av organisasjonen.
Akseptable bruksprosedyrer bør utarbeides for hele informasjonens livssyklus i samsvar med klassifiseringen og bestemte risikoer. Følgende elementer bør vurderes:
a) tilgangsbegrensninger som støtter beskyttelseskravene for hvert klassifiseringsnivå;
b) vedlikehold av en oversikt over autoriserte brukere av informasjon og andre tilhørende eiendeler;
c) beskyttelse av midlertidige eller permanente kopier av informasjon til et nivå som samsvarer med
beskyttelse av den opprinnelige informasjonen;
d) lagring av eiendeler knyttet til informasjon i samsvar med produsentens spesifikasjoner;
e) tydelig merking av alle kopier av lagringsmedier (elektroniske eller fysiske) for oppmerksomheten til
autorisert mottaker;
f) autorisasjon for avhending av informasjon og andre tilhørende eiendeler og støttede slettemetode(r).
Den nye 2022-revisjonen av ISO 27002 ble publisert 15. februar 2022, og er en oppgradering av ISO 27002:2013.
Kontroll 5.10 i ISO 27002:2022 er ikke en ny kontroll, snarere er det en kombinasjon av kontroller 8.1.3 – akseptabel bruk av eiendeler og 8.2.3 – håndtering av eiendeler i ISO 27002:2013.
Mens essensen og implementeringsretningslinjene for kontroll 5.10 er relativt de samme med kontrollene 8.1.3 og 8.2.3, slo kontroll 5.10 sammen både akseptabel bruk av eiendeler og håndtering av eiendeler til én kontroll for å gi økt brukervennlighet.
Kontroll 5.10 la imidlertid også til et ekstra punkt til kontroll 8.2.3. Dette dekker autorisasjon for avhending av informasjon og andre tilknyttede eiendeler og den(e) støttede slettemetoden(e).
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Akseptabel bruk av informasjon og andre tilknyttede eiendeler er en policy som fastsetter regler for å sikre riktig bruk av selskapets informasjon og andre tilknyttede eiendeler, inkludert datamaskiner, nettverk og systemer, e-post, filer og lagringsmedier. Denne policyen er bindende for alle ansatte og kontraktører.
Formålet med denne policyen er å:
Informasjonssikkerhetsansvarlig (ISO) er ansvarlig for å utvikle, implementere og vedlikeholde akseptabel bruk av informasjonsressurser.
ISO skal være ansvarlig for å administrere bruken av informasjonsressurser i hele organisasjonen for å sikre at informasjon brukes på en måte som beskytter sikkerheten og integriteten til data, bevarer konfidensialiteten til proprietær eller sensitiv informasjon, beskytter mot misbruk og uautorisert tilgang til databehandling. ressurser, og eliminerer unødvendig eksponering eller ansvar for organisasjonen.
Den nye ISO 27002:2022-standarden er ikke en vesentlig oppgradering. Som et resultat av dette trenger du kanskje ikke gjøre noen vesentlige endringer med hensyn til samsvar med den nyeste versjonen av ISO 27002.
Se imidlertid veiledningen vår til ISO 27002:2022, der du kan finne ut mer om hvordan disse endringene for kontroll 5.10 vil påvirke virksomheten din.
Som du vet er ISO 27002 en allment vedtatt og godt anerkjent standard for informasjonssikkerhet.
Den gir en modell for å etablere, implementere, drifte, overvåke, gjennomgå, vedlikeholde og forbedre en Informasjonssikkerhetsstyringssystem (ISMS).
Fordi ISO 27002-standarden er så omfattende og detaljert, kan implementeringen av den være en tidkrevende prosess. Men med ISMS.online, har du en one-stop-løsning som gjør ting mye enklere.
Vår verdensklasse informasjonssikkerhet programvareplattform for styringssystem gjør det superenkelt å forstå hva som må gjøres og hvordan du gjør det.
Vi tar smerten ut av å administrere samsvarskravene dine.
Med ISMS.online er implementeringen av ISO 27002 enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen, fra å definere omfanget av ditt ISMS til risikoidentifikasjon og kontrollimplementering.
Ta kontakt i dag for å bestill en demo.
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
