ISO 27002:2022, Kontroll 5.11 – Return of Assets

Hva er hensikten med kontroll 5.11?

Kontroll 5.11 er utformet for å beskytte organisasjonens eiendeler som en del av prosessen med å endre eller avslutte arbeidsforhold, kontrakt eller avtale. Hensikten med denne kontrollen er å hindre uautoriserte personer i å beholde eiendeler (f.eks. utstyr, informasjon, programvare osv.) som tilhører organisasjonen.

Når ansatte og kontraktører forlater organisasjonen din, må du sørge for at de ikke tar med seg sensitive data. Det gjør du ved å identifisere potensielle trusler og overvåke brukerens aktiviteter før avreise.

Denne kontrollen skal sikre at den enkelte ikke har tilgang til IT-systemene og nettverkene når de sies opp. Organisasjoner bør etablere en formell oppsigelsesprosess som sikrer at enkeltpersoner ikke kan få tilgang til noen IT-systemer etter at de har forlatt organisasjonen. Dette kan gjøres ved å tilbakekalle alle tillatelser, deaktivere kontoer og fjerne tilgang fra bygningslokaler.

Det bør være på plass prosedyrer for å sikre at ansatte, entreprenører og andre relevante parter returnerer alle organisatoriske eiendeler som ikke lenger er nødvendige for forretningsformål eller som skal erstattes. Organisasjoner kan også ønske å utføre en siste sjekk av den enkeltes arbeidsområde for å sikre at all sensitiv informasjon er returnert.

For eksempel:

• Ved separasjon samles organisasjonseid utstyr inn (f.eks. flyttbare medier, bærbare datamaskiner).
• Entreprenører returnerer utstyr og informasjon på slutten av kontrakten.

Hva er involvert og hvordan du oppfyller kravene

For å oppfylle kravene til kontroll 5.11, bør endrings- eller oppsigelsesprosessen formaliseres til å omfatte retur av alle tidligere utstedte fysiske og elektroniske eiendeler som eies av eller er betrodd organisasjonen.

Prosessen skal også sikre at alle tilgangsrettigheter, kontoer, digitale sertifikater og passord fjernes. Denne formaliseringen er spesielt viktig i tilfeller der en endring eller oppsigelse skjer uventet, for eksempel død eller oppsigelse, for å forhindre uautorisert tilgang til organisasjonens eiendeler som kan føre til datainnbrudd.

Prosessen skal sikre at alle eiendeler er regnskapsført, og at de alle er returnert/avhendet på en sikker måte.

I henhold til kontroll 5.11 i ISO 27002:2022 skal organisasjonen tydelig identifisere og dokumentere all informasjon og andre tilknyttede eiendeler som skal returneres, som kan omfatte:

a) brukerens endepunktsenheter;

b) bærbare lagringsenheter;

c) spesialutstyr;

d) autentiseringsmaskinvare (f.eks. mekaniske nøkler, fysiske tokens og smartkort) for informasjonssystemer, nettsteder og fysiske arkiver;

e) fysiske kopier av informasjon.

Dette kan oppnås gjennom en formell sjekkliste som inneholder alle nødvendige gjenstander som skal returneres/kasseres og fylles ut av brukeren ved oppsigelse, sammen med eventuelle nødvendige signaturer som bekrefter at eiendelene har blitt returnert/kassert vellykket.

Forskjeller mellom ISO 27002:2013 og ISO 27002:2022

Den nye 2022-revisjonen av ISO 27002 ble publisert 15. februar 2022, og er en oppgradering av ISO 27002:2013.

Kontroll 5.11 i ISO 27002:2022 er ikke en ny kontroll, snarere er det en modifikasjon av kontroll 8.1.4 – retur av eiendeler i ISO 27002:2013.

Begge kontrollene er i hovedsak de samme med nesten lignende språk og fraseologi i implementeringsretningslinjene. Derimot, kontroll 5.11 i ISO 27002:2022 leveres med en attributttabell som lar brukere matche kontrollen med det de implementerer. Kontroller også 5.11 i ISO 27002:2022 listede eiendeler som kan falle inn under det som skal returneres ved slutten av arbeidsforholdet eller oppsigelse av kontrakten.

Disse inkluderer:

a) brukerens endepunktsenheter;

b) bærbare lagringsenheter;

c) spesialutstyr;

d) autentiseringsmaskinvare (f.eks. mekaniske nøkler, fysiske tokens og smartkort) for informasjonssystemer, nettsteder og fysiske arkiver;

e) fysiske kopier av informasjon.

Denne listen er ikke tilgjengelig i 2013-versjonen.

Hva betyr disse endringene for deg?

Den oppdaterte ISO 27002:2022-standarden er basert på 2013-versjonen. Komiteen som fører tilsyn med standarden har ikke gjort noen vesentlige oppdateringer eller modifikasjoner til de tidligere versjonene. Som et resultat er enhver organisasjon som for øyeblikket er i samsvar med ISO 27002:2013 allerede i samsvar med den nye standarden. Hvis bedriften din planlegger å opprettholde samsvar med ISO 27002, trenger du ikke gjøre mange vesentlige endringer i systemene og prosessene dine.

Du kan imidlertid lære mer om hvordan disse endringene for kontroll 5.11 vil påvirke organisasjonen din i veiledningen vår til ISO 27002:2022.

Hvordan ISMS.online hjelper

ISMS.online-plattformen er et flott verktøy for å hjelpe deg med å implementere og administrere en ISO 27001/27002 Styringssystem for informasjonssikkerhet, uavhengig av din erfaring med standarden.

Systemet vårt vil veilede deg gjennom trinnene for å konfigurerte ISMS-en din og administrere det fremover. Du vil ha tilgang til et bredt spekter av ressurser, inkludert:

• En interaktiv ISMS.online manual som gir en trinn-for-trinn veiledning for implementering av ISO 27001/27002 i enhver organisasjon.
• A risikovurderingsverktøy som veileder deg gjennom prosessen med å identifisere og vurdere risikoene dine.
• En online policypakke som er lett å tilpasse basert på dine behov.
• Et dokumentkontrollsystem som hjelper deg med å administrere hvert enkelt dokument og post som er opprettet som en del av ISMS.
• Automatisk rapportering for bedre beslutningstaking.
• En sjekkliste som du kan bruke til å verifisere at prosessene dine er i tråd med ISO 27002-rammeverket. På slutten har vår skybaserte plattform alt du trenger for å dokumentere bevis på samsvar med ISO-rammeverket.

Ta kontakt i dag for å bestill en demo.