Hva er Control 5.11, Return of Assets?
An informasjonsmiddel er enhver form for data eller informasjon som har verdi for en organisasjon. Informasjonsressurser kan inkludere fysiske dokumenter, digitale filer og databaser, programvare og til og med immaterielle gjenstander som forretningshemmeligheter og åndsverk.
Informasjonsressurser kan ha verdi på en rekke måter. De kan inneholde personlig identifiserende informasjon (PII) om kunder, ansatte eller andre interessenter som kan brukes av dårlige aktører til økonomisk vinning eller identitetstyveri. De kan inneholde sensitiv informasjon om organisasjonens økonomi, forskning eller drift som vil gi konkurrentene dine et konkurransefortrinn hvis de var i stand til å få tak i det.
Dette er grunnen til at det er viktig at ansatte og entreprenører hvis virksomhet avsluttes med en organisasjon, er tvunget til å returnere alle slike eiendeler i deres besittelse.
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Kontrollattributter 5.11
Den nye ISO 27002:2022 standard inkluderer attributttabeller som ikke var inkludert i forrige 2013-standard. Kontroller er klassifisert basert på egenskapene deres. Du kan også bruke disse attributtene for å matche kontrollutvalget ditt med vanlig brukte bransjetermer og spesifikasjoner.
Attributter for kontroll 5.11 er:
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet | #Beskytte | # Asset management | #Beskyttelse |
| #Integritet | ||||
| #Tilgjengelighet |
Hva er hensikten med kontroll 5.11?
Kontroll 5.11 er utformet for å beskytte organisasjonens eiendeler som en del av prosessen med å endre eller avslutte arbeidsforhold, kontrakt eller avtale. Hensikten med denne kontrollen er å hindre uautoriserte personer i å beholde eiendeler (f.eks. utstyr, informasjon, programvare osv.) som tilhører organisasjonen.
Når ansatte og kontraktører forlater organisasjonen din, må du sørge for at de ikke tar med seg sensitive data. Det gjør du ved å identifisere potensielle trusler og overvåke brukerens aktiviteter før avreise.
Denne kontrollen skal sikre at den enkelte ikke har tilgang til IT-systemene og nettverkene når de sies opp. Organisasjoner bør etablere en formell oppsigelsesprosess som sikrer at enkeltpersoner ikke kan få tilgang til noen IT-systemer etter at de har forlatt organisasjonen. Dette kan gjøres ved å tilbakekalle alle tillatelser, deaktivere kontoer og fjerne tilgang fra bygningslokaler.
Det bør være på plass prosedyrer for å sikre at ansatte, entreprenører og andre relevante parter returnerer alle organisatoriske eiendeler som ikke lenger er nødvendige for forretningsformål eller som skal erstattes. Organisasjoner kan også ønske å utføre en siste sjekk av den enkeltes arbeidsområde for å sikre at all sensitiv informasjon er returnert.
For eksempel:
- Ved separasjon samles organisasjonseid utstyr inn (f.eks. flyttbare medier, bærbare datamaskiner).
- Entreprenører returnerer utstyr og informasjon på slutten av kontrakten.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Hva er involvert og hvordan du oppfyller kravene
For å oppfylle kravene til kontroll 5.11, bør endrings- eller oppsigelsesprosessen formaliseres til å omfatte retur av alle tidligere utstedte fysiske og elektroniske eiendeler som eies av eller er betrodd organisasjonen.
Prosessen skal også sikre at alle tilgangsrettigheter, kontoer, digitale sertifikater og passord fjernes. Denne formaliseringen er spesielt viktig i tilfeller der en endring eller oppsigelse skjer uventet, for eksempel død eller oppsigelse, for å forhindre uautorisert tilgang til organisasjonens eiendeler som kan føre til datainnbrudd.
Prosessen skal sikre at alle eiendeler er regnskapsført, og at de alle er returnert/avhendet på en sikker måte.
I henhold til kontroll 5.11 i ISO 27002:2022 skal organisasjonen tydelig identifisere og dokumentere all informasjon og andre tilknyttede eiendeler som skal returneres, som kan omfatte:
a) brukerens endepunktsenheter;
b) bærbare lagringsenheter;
c) spesialutstyr;
d) autentiseringsmaskinvare (f.eks. mekaniske nøkler, fysiske tokens og smartkort) for informasjonssystemer, nettsteder og fysiske arkiver;
e) fysiske kopier av informasjon.
Dette kan oppnås gjennom en formell sjekkliste som inneholder alle nødvendige gjenstander som skal returneres/kasseres og fylles ut av brukeren ved oppsigelse, sammen med eventuelle nødvendige signaturer som bekrefter at eiendelene har blitt returnert/kassert vellykket.
Forskjeller mellom ISO 27002:2013 og ISO 27002:2022
Den nye 2022-revisjonen av ISO 27002 ble publisert 15. februar 2022, og er en oppgradering av ISO 27002:2013.
Kontroll 5.11 i ISO 27002:2022 er ikke en ny kontroll, snarere er det en modifikasjon av kontroll 8.1.4 – retur av eiendeler i ISO 27002:2013.
Begge kontrollene er i hovedsak de samme med nesten lignende språk og fraseologi i implementeringsretningslinjene. Derimot, kontroll 5.11 i ISO 27002:2022 leveres med en attributttabell som lar brukere matche kontrollen med det de implementerer. Kontroller også 5.11 i ISO 27002:2022 listede eiendeler som kan falle inn under det som skal returneres ved slutten av arbeidsforholdet eller oppsigelse av kontrakten.
Disse inkluderer:
a) brukerens endepunktsenheter;
b) bærbare lagringsenheter;
c) spesialutstyr;
d) autentiseringsmaskinvare (f.eks. mekaniske nøkler, fysiske tokens og smartkort) for informasjonssystemer, nettsteder og fysiske arkiver;
e) fysiske kopier av informasjon.
Denne listen er ikke tilgjengelig i 2013-versjonen.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Hva betyr disse endringene for deg?
Den oppdaterte ISO 27002:2022-standarden er basert på 2013-versjonen. Komiteen som fører tilsyn med standarden har ikke gjort noen vesentlige oppdateringer eller modifikasjoner til de tidligere versjonene. Som et resultat er enhver organisasjon som for øyeblikket er i samsvar med ISO 27002:2013 allerede i samsvar med den nye standarden. Hvis bedriften din planlegger å opprettholde samsvar med ISO 27002, trenger du ikke gjøre mange vesentlige endringer i systemene og prosessene dine.
Du kan imidlertid lære mer om hvordan disse endringene for kontroll 5.11 vil påvirke organisasjonen din i veiledningen vår til ISO 27002:2022.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | NEW | Trusselintelligens |
| 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 8.9 | NEW | Konfigurasjonsstyring |
| 8.10 | NEW | Sletting av informasjon |
| 8.11 | NEW | Datamaskering |
| 8.12 | NEW | Forebygging av datalekkasje |
| 8.16 | NEW | Overvåking av aktiviteter |
| 8.23 | NEW | Web-filtrering |
| 8.28 | NEW | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Hvordan ISMS.online hjelper
ISMS.online-plattformen er et flott verktøy for å hjelpe deg med å implementere og administrere en ISO 27001/27002 Styringssystem for informasjonssikkerhet, uavhengig av din erfaring med standarden.
Systemet vårt vil veilede deg gjennom trinnene for å konfigurerte ISMS-en din og administrere det fremover. Du vil ha tilgang til et bredt spekter av ressurser, inkludert:
- En interaktiv ISMS.online manual som gir en trinn-for-trinn veiledning for implementering av ISO 27001/27002 i enhver organisasjon.
- A risikovurderingsverktøy som veileder deg gjennom prosessen med å identifisere og vurdere risikoene dine.
- En online policypakke som er lett å tilpasse basert på dine behov.
- Et dokumentkontrollsystem som hjelper deg med å administrere hvert enkelt dokument og post som er opprettet som en del av ISMS.
- Automatisk rapportering for bedre beslutningstaking.
- En sjekkliste som du kan bruke til å verifisere at prosessene dine er i tråd med ISO 27002-rammeverket. På slutten har vår skybaserte plattform alt du trenger for å dokumentere bevis på samsvar med ISO-rammeverket.
Ta kontakt i dag for å bestill en demo.
