ISO 27002: 2022, kontroll 5.2 — informasjonssikkerhetsroller og -ansvar — er en av de viktigste kontrollene i ISO 27002:2022. Det er en modifikasjon av kontroll 6.1.1 i ISO 27002:2013 og den definerer hvordan organisasjoner skal definere og tildele informasjonssikkerhetsroller og -ansvar.
Organisasjonens leder, informasjonssikkerhetssjefene (CISO), IT-tjenesteledelsen (ITSM), systemeierne og systembrukerne bidrar alle til robustheten til informasjonssikkerhet. Denne delen oppsummerer og diskuterer ansvar for de som innehar disse rollene.
Informasjonssikkerhet er ditt ansvar som administrerende direktør for byrået ditt. I tillegg fungerer du som organisasjonens akkrediteringsorgan.
God praksis i sikkerhetssektoren og i styring er det CISOer er ansvarlige for. Å ha denne stillingen på plass garanterer det informasjonssikkerhet er riktig administrert på de høyeste nivåene i organisasjonen.
En ITSM er en høytstående tjenestemann i selskapet. Systemadministratorer jobber sammen med informasjonssikkerhetssjefen for å utføre administrerende direktørs strategiske direktiver.
En eier kreves for hvert system. Som et resultat er det pålagt hver systemeier å garantere overholdelse av IT-styringsregler og oppfyllelse av forretningsbehov.
Systembrukere er mer sannsynlig å følge sikkerhetsregler og prosedyrer hvis det er en sterk sikkerhetskultur på plass. Ethvert system har iboende farer, og det er opp til brukerne å ta ansvar for å redusere slike farer.
Å adressere denne kontrollen er avgjørende for å sikre at hver ansatt forstår hva de er ansvarlig for når det gjelder å beskytte data, systemer og nettverk. Dette er riktignok en utfordring for mange bedrifter, spesielt små der de ansatte typisk bruker mer enn én lue.
En attributtseksjon er nå inkludert i siste versjon av ISO 27002. Å definere attributter er en måte å klassifisere kontroller på. Disse lar deg enkelt matche kontrollutvalget ditt med typisk bransjeterminologi. Attributtene for kontroll 5.2 er:
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere | #Styresett | #Governance og økosystem #Motstandsdyktighet |
Formålet med kontroll 5.2 er å etablere en definert, godkjent og forstått struktur for implementering, drift og styring av informasjonssikkerhet i organisasjonen. Dette er en formell organisasjonsstruktur som tildeler ansvar for informasjonssikkerhet i hele organisasjonen.
Kontroll 5.2 tar for seg implementering, drift og styring av roller og ansvar for informasjonssikkerhet i en organisasjon i henhold til rammeverket som definert av ISO 27001.
Kontrollen sier at informasjonssikkerhetsroller og -ansvar skal være godt definert og at alle involverte skal forstå sin rolle. Vanligvis tildeles eiendeler en utpekt eier som tar ansvar for deres daglige omsorg.
Avhengig av størrelsen på organisasjonen og de tilgjengelige ressursene, kan imidlertid informasjonssikkerhet håndteres av et dedikert team eller tilleggsansvar tildelt nåværende ansatte.
Tildeling av roller og ansvar for informasjonssikkerhet er avgjørende for å sikre at organisasjonens informasjonssikkerhet opprettholdes og styrkes. For å oppfylle kravene til denne kontrollen bør rollefordelingen formaliseres og dokumenteres, for eksempel i tabellform eller i form av et organisasjonskart.
Hensikten her er å sikre at klare roller, ansvar og myndigheter er tildelt og forstått i hele organisasjonen. For å sikre effektiv oppgaveseparering, bør rollene og ansvaret dokumenteres, kommuniseres og brukes konsekvent på tvers av organisasjonen.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Som allerede påpekt, er ikke kontroll 5.2 i ISO 27002:2022, Informasjonssikkerhetsroller og -ansvar, en ny kontroll. Dette er ganske enkelt en modifisert kontroll funnet i ISO 27002:2013 som kontroll 6.1.1.
Formålet med Control 5.2 er definert, og nye implementeringsinstruksjoner er inkludert i den siste revisjonen av ISO 27002. Selv om essensen av de to kontrollene i utgangspunktet er den samme, er det små forbedringer i 2022-versjonen.
ISO 27002:2022 sier for eksempel at individer som påtar seg en spesifikk informasjonssikkerhetsfunksjon bør være kompetent i kunnskap og ferdigheter kreves av rollen og støttes for å holde seg oppdatert med fremskritt knyttet til rollen og nødvendig for å oppfylle rollens forpliktelser. Dette punktet er ikke en del av 2013-versjonen.
I tillegg er implementeringsretningslinjene for begge versjonene litt forskjellige. La oss sammenligne deler av de to nedenfor:
ISO 27002:2013 angir områder som enkeltpersoner er ansvarlige for skal angis. Disse områdene er:
a) eiendelene og informasjonssikkerhetsprosessene bør identifiseres og defineres;
b) enheten som er ansvarlig for hver eiendel eller informasjonssikkerhetsprosess bør tildeles og detaljene for dette ansvaret bør dokumenteres;
c) autorisasjonsnivåer bør defineres og dokumenteres;
d) for å kunne ivareta ansvar på informasjonssikkerhetsområdet bør de utpekte personene være kompetente på området og gis muligheter til å holde seg oppdatert på utviklingen;
e) koordinering og tilsyn med informasjonssikkerhetsaspekter av leverandørforhold bør identifiseres og dokumenteres.
ISO 27002:2022 er mer kondensert. Den sier ganske enkelt at organisasjonen skal definere og administrere ansvar for:
a) beskyttelse av informasjon og andre tilhørende eiendeler;
b) utføre spesifikke informasjonssikkerhetsprosesser;
c) risikostyring av informasjonssikkerhet aktiviteter og spesielt aksept av gjenværende risiko (f.eks. overfor risikoeiere);
d) alt personell som bruker en organisasjons informasjon og andre tilhørende eiendeler.
Begge kontrollversjonene antyder imidlertid at organisasjoner kan utnevne en informasjonssikkerhetssjef til å ta det overordnede ansvaret for utvikling og implementering av informasjonssikkerhet og støtte identifiseringen av kontroller.
En informasjonssikkerhetssjef blir ofte utnevnt av selskaper for å føre tilsyn med opprettelsen og gjennomføringen av sikkerhetstiltak og for å hjelpe til med å oppdage potensielle trusler og kontroller.
Ressursing og å sette kontrollene på plass vil typisk falle på individuelle ledere. En hyppig praksis er å utpeke en person for hver eiendel, som deretter er ansvarlig for eiendelens løpende sikkerhet.
Du forventes ikke å gjøre mye for å oppfylle kravene til den nye ISO 27002:2022-standarden bortsett fra oppgradering av ISMS prosesser for å gjenspeile de forbedrede kontrollene. Hvis ditt interne team ikke kan håndtere dette, kan ISMS.online hjelpe.
I tillegg til å tilby et sofistikert skybasert rammeverk for å dokumentere ISMS-prosedyrer og sjekklister for å sikre samsvar med etablerte normer, effektiviserer ISMS.online også ISO 27001-sertifiseringsprosessen og ISO 27002-implementeringsprosessen.
Alle dine ISMS-løsninger kan administreres på en sentral plassering takket være vår skybaserte programvare. Du kan bruke vår brukervennlige applikasjon for å holde styr på alt som er kreves for å verifisere samsvar med ISO 2K7 spesifikasjoner.
Implementering av ISO 27002 er forenklet med vår intuitive trinnvise arbeidsflyt og verktøy som inkluderer rammeverk, retningslinjer og kontroller, dokumentasjon og veiledning som kan brukes. Du kan definere omfanget av ISMS, identifiser risikoer og implementer kontroller ved å bruke plattformen vår – med bare noen få klikk.
Vi har også et internt team av informasjonsteknologispesialister som vil gi deg råd og assistanse slik at du kan demonstrere overholdelse av standarder og dedikasjon til informasjonssikkerhet til kundene dine.
For å lære mer om hvordan ISMS.online kan hjelpe deg med å nå dine ISO 2K7-mål, vennligst ring oss på +44 (0)1273 041140.
Ta kontakt i dag for å bestill en demo.
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
