Kontroll 5.11 sier at personell og annet interesserte parter etter behov skal returnere alle organisasjonens eiendeler i deres besittelse ved endring eller oppsigelse av deres arbeidsforhold, kontrakt eller avtale.
Dette betyr at organisasjonen skal ha en skriftlig policy som definerer klare regler for tilbakelevering av eiendeler ved oppsigelse. Organisasjoner må også ha personell som vil bekrefte mottak av returnerte eiendeler, og sikre at eiendeler er riktig inventarisert og redegjort for.
An informasjonsmiddel er enhver form for data eller informasjon som har verdi for en organisasjon. Informasjonsressurser kan inkludere fysiske dokumenter, digitale filer og databaser, programvare og til og med immaterielle gjenstander som forretningshemmeligheter og åndsverk.
Informasjonsressurser kan ha verdi på en rekke måter. De kan inneholde personlig identifiserende informasjon (PII) om kunder, ansatte eller andre interessenter som kan brukes av dårlige aktører til økonomisk vinning eller identitetstyveri. De kan inneholde sensitiv informasjon om organisasjonens økonomi, forskning eller drift som vil gi konkurrentene dine et konkurransefortrinn hvis de var i stand til å få tak i det.
Dette er grunnen til at det er viktig at ansatte og entreprenører hvis virksomhet avsluttes med en organisasjon, er tvunget til å returnere alle slike eiendeler i deres besittelse.
Den nye ISO 27002:2022 standard inkluderer attributttabeller som ikke var inkludert i forrige 2013-standard. Kontroller er klassifisert basert på egenskapene deres. Du kan også bruke disse attributtene for å matche kontrollutvalget ditt med vanlig brukte bransjetermer og spesifikasjoner.
Attributter for kontroll 5.11 er:
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | # Asset management | #Beskyttelse |
Kontroll 5.11 er utformet for å beskytte organisasjonens eiendeler som en del av prosessen med å endre eller avslutte arbeidsforhold, kontrakt eller avtale. Hensikten med denne kontrollen er å hindre uautoriserte personer i å beholde eiendeler (f.eks. utstyr, informasjon, programvare osv.) som tilhører organisasjonen.
Når ansatte og kontraktører forlater organisasjonen din, må du sørge for at de ikke tar med seg sensitive data. Det gjør du ved å identifisere potensielle trusler og overvåke brukerens aktiviteter før avreise.
Denne kontrollen skal sikre at den enkelte ikke har tilgang til IT-systemene og nettverkene når de sies opp. Organisasjoner bør etablere en formell oppsigelsesprosess som sikrer at enkeltpersoner ikke kan få tilgang til noen IT-systemer etter at de har forlatt organisasjonen. Dette kan gjøres ved å tilbakekalle alle tillatelser, deaktivere kontoer og fjerne tilgang fra bygningslokaler.
Det bør være på plass prosedyrer for å sikre at ansatte, entreprenører og andre relevante parter returnerer alle organisatoriske eiendeler som ikke lenger er nødvendige for forretningsformål eller som skal erstattes. Organisasjoner kan også ønske å utføre en siste sjekk av den enkeltes arbeidsområde for å sikre at all sensitiv informasjon er returnert.
For eksempel:
For å oppfylle kravene til kontroll 5.11, bør endrings- eller oppsigelsesprosessen formaliseres til å omfatte retur av alle tidligere utstedte fysiske og elektroniske eiendeler som eies av eller er betrodd organisasjonen.
Prosessen skal også sikre at alle tilgangsrettigheter, kontoer, digitale sertifikater og passord fjernes. Denne formaliseringen er spesielt viktig i tilfeller der en endring eller oppsigelse skjer uventet, for eksempel død eller oppsigelse, for å forhindre uautorisert tilgang til organisasjonens eiendeler som kan føre til datainnbrudd.
Prosessen skal sikre at alle eiendeler er regnskapsført, og at de alle er returnert/avhendet på en sikker måte.
I henhold til kontroll 5.11 i ISO 27002:2022 skal organisasjonen tydelig identifisere og dokumentere all informasjon og andre tilknyttede eiendeler som skal returneres, som kan omfatte:
a) brukerens endepunktsenheter;
b) bærbare lagringsenheter;
c) spesialutstyr;
d) autentiseringsmaskinvare (f.eks. mekaniske nøkler, fysiske tokens og smartkort) for informasjonssystemer, nettsteder og fysiske arkiver;
e) fysiske kopier av informasjon.
Dette kan oppnås gjennom en formell sjekkliste som inneholder alle nødvendige gjenstander som skal returneres/kasseres og fylles ut av brukeren ved oppsigelse, sammen med eventuelle nødvendige signaturer som bekrefter at eiendelene har blitt returnert/kassert vellykket.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Den nye 2022-revisjonen av ISO 27002 ble publisert 15. februar 2022, og er en oppgradering av ISO 27002:2013.
Kontroll 5.11 i ISO 27002:2022 er ikke en ny kontroll, snarere er det en modifikasjon av kontroll 8.1.4 – retur av eiendeler i ISO 27002:2013.
Begge kontrollene er i hovedsak de samme med nesten lignende språk og fraseologi i implementeringsretningslinjene. Derimot, kontroll 5.11 i ISO 27002:2022 leveres med en attributttabell som lar brukere matche kontrollen med det de implementerer. Kontroller også 5.11 i ISO 27002:2022 listede eiendeler som kan falle inn under det som skal returneres ved slutten av arbeidsforholdet eller oppsigelse av kontrakten.
Disse inkluderer:
a) brukerens endepunktsenheter;
b) bærbare lagringsenheter;
c) spesialutstyr;
d) autentiseringsmaskinvare (f.eks. mekaniske nøkler, fysiske tokens og smartkort) for informasjonssystemer, nettsteder og fysiske arkiver;
e) fysiske kopier av informasjon.
Denne listen er ikke tilgjengelig i 2013-versjonen.
Den oppdaterte ISO 27002:2022-standarden er basert på 2013-versjonen. Komiteen som fører tilsyn med standarden har ikke gjort noen vesentlige oppdateringer eller modifikasjoner til de tidligere versjonene. Som et resultat er enhver organisasjon som for øyeblikket er i samsvar med ISO 27002:2013 allerede i samsvar med den nye standarden. Hvis bedriften din planlegger å opprettholde samsvar med ISO 27002, trenger du ikke gjøre mange vesentlige endringer i systemene og prosessene dine.
Du kan imidlertid lære mer om hvordan disse endringene for kontroll 5.11 vil påvirke organisasjonen din i veiledningen vår til ISO 27002:2022.
ISMS.online-plattformen er et flott verktøy for å hjelpe deg med å implementere og administrere en ISO 27001/27002 Styringssystem for informasjonssikkerhet, uavhengig av din erfaring med standarden.
Systemet vårt vil veilede deg gjennom trinnene for å konfigurerte ISMS-en din og administrere det fremover. Du vil ha tilgang til et bredt spekter av ressurser, inkludert:
Ta kontakt i dag for å bestill en demo.
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |