Hva er Kontroll 5.2: Informasjonssikkerhetsroller og -ansvar?
ISO 27002: 2022, kontroll 5.2 — informasjonssikkerhetsroller og -ansvar — er en av de viktigste kontrollene i ISO 27002:2022. Det er en modifikasjon av kontroll 6.1.1 i ISO 27002:2013 og den definerer hvordan organisasjoner skal definere og tildele informasjonssikkerhetsroller og -ansvar.
Informasjonssikkerhetsroller og -ansvar forklart
Organisasjonens leder, informasjonssikkerhetssjefene (CISO), IT-tjenesteledelsen (ITSM), systemeierne og systembrukerne bidrar alle til robustheten til informasjonssikkerhet. Denne delen oppsummerer og diskuterer ansvar for de som innehar disse rollene.
Lederen av organisasjonen bærer hovedtyngden av ansvaret
Informasjonssikkerhet er ditt ansvar som administrerende direktør for byrået ditt. I tillegg fungerer du som organisasjonens akkrediteringsorgan.
Informasjonssikkerhet er CISOs ansvar
God praksis i sikkerhetssektoren og i styring er det CISOer er ansvarlige for. Å ha denne stillingen på plass garanterer det informasjonssikkerhet er riktig administrert på de høyeste nivåene i organisasjonen.
IT service management (ITSM) er ansvarlig for å implementere sikkerhetstiltak samt å tilby kompetanse
En ITSM er en høytstående tjenestemann i selskapet. Systemadministratorer jobber sammen med informasjonssikkerhetssjefen for å utføre administrerende direktørs strategiske direktiver.
Eiere av systemer er ansvarlige for å vedlikeholde og drifte dem
En eier kreves for hvert system. Som et resultat er det pålagt hver systemeier å garantere overholdelse av IT-styringsregler og oppfyllelse av forretningsbehov.
Systembrukere beskytter systemer ved å følge retningslinjer og prosedyrer
Systembrukere er mer sannsynlig å følge sikkerhetsregler og prosedyrer hvis det er en sterk sikkerhetskultur på plass. Ethvert system har iboende farer, og det er opp til brukerne å ta ansvar for å redusere slike farer.
Å adressere denne kontrollen er avgjørende for å sikre at hver ansatt forstår hva de er ansvarlig for når det gjelder å beskytte data, systemer og nettverk. Dette er riktignok en utfordring for mange bedrifter, spesielt små der de ansatte typisk bruker mer enn én lue.
Attributttabell for kontroll 5.2
En attributtseksjon er nå inkludert i siste versjon av ISO 27002. Å definere attributter er en måte å klassifisere kontroller på. Disse lar deg enkelt matche kontrollutvalget ditt med typisk bransjeterminologi. Attributtene for kontroll 5.2 er:
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet | #Identifisere | #Styresett | #Governance og økosystem |
| #Integritet | #Motstandsdyktighet | |||
| #Tilgjengelighet |
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Hva er hensikten med kontroll 5.2?
Formålet med kontroll 5.2 er å etablere en definert, godkjent og forstått struktur for implementering, drift og styring av informasjonssikkerhet i organisasjonen. Dette er en formell organisasjonsstruktur som tildeler ansvar for informasjonssikkerhet i hele organisasjonen.
Kontroll 5.2 Forklart
Kontroll 5.2 tar for seg implementering, drift og styring av roller og ansvar for informasjonssikkerhet i en organisasjon i henhold til rammeverket som definert av ISO 27001.
Kontrollen sier at informasjonssikkerhetsroller og -ansvar skal være godt definert og at alle involverte skal forstå sin rolle. Vanligvis tildeles eiendeler en utpekt eier som tar ansvar for deres daglige omsorg.
Avhengig av størrelsen på organisasjonen og de tilgjengelige ressursene, kan imidlertid informasjonssikkerhet håndteres av et dedikert team eller tilleggsansvar tildelt nåværende ansatte.
Hva er involvert og hvordan du oppfyller kravene
Tildeling av roller og ansvar for informasjonssikkerhet er avgjørende for å sikre at organisasjonens informasjonssikkerhet opprettholdes og styrkes. For å oppfylle kravene til denne kontrollen bør rollefordelingen formaliseres og dokumenteres, for eksempel i tabellform eller i form av et organisasjonskart.
- Organisasjonen bør definere ansvar og ansvar for informasjonssikkerhet i organisasjonen og tildele dem til spesifikke lederjobbfunksjoner eller roller.
- Denne kontrollen skal sikre at det er klarhet med hensyn til ulike roller og ansvar i organisasjonen, for å sikre at det rettes hensiktsmessig ledelsesoppmerksomhet på informasjonssikkerhet.
- Der det er hensiktsmessig, bør det gis videre opplæring for individuelle nettsteder og informasjonsbehandlingsfasiliteter for å bidra til å oppfylle disse pliktene.
Hensikten her er å sikre at klare roller, ansvar og myndigheter er tildelt og forstått i hele organisasjonen. For å sikre effektiv oppgaveseparering, bør rollene og ansvaret dokumenteres, kommuniseres og brukes konsekvent på tvers av organisasjonen.
Administrer all samsvarskontroll, alt på ett sted
ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.
Forskjeller mellom ISO 27002:2013 og 27002:2022
Som allerede påpekt, er ikke kontroll 5.2 i ISO 27002:2022, Informasjonssikkerhetsroller og -ansvar, en ny kontroll. Dette er ganske enkelt en modifisert kontroll funnet i ISO 27002:2013 som kontroll 6.1.1.
Formålet med Control 5.2 er definert, og nye implementeringsinstruksjoner er inkludert i den siste revisjonen av ISO 27002. Selv om essensen av de to kontrollene i utgangspunktet er den samme, er det små forbedringer i 2022-versjonen.
ISO 27002:2022 sier for eksempel at individer som påtar seg en spesifikk informasjonssikkerhetsfunksjon bør være kompetent i kunnskap og ferdigheter kreves av rollen og støttes for å holde seg oppdatert med fremskritt knyttet til rollen og nødvendig for å oppfylle rollens forpliktelser. Dette punktet er ikke en del av 2013-versjonen.
I tillegg er implementeringsretningslinjene for begge versjonene litt forskjellige. La oss sammenligne deler av de to nedenfor:
ISO 27002:2013 angir områder som enkeltpersoner er ansvarlige for skal angis. Disse områdene er:
a) eiendelene og informasjonssikkerhetsprosessene bør identifiseres og defineres;
b) enheten som er ansvarlig for hver eiendel eller informasjonssikkerhetsprosess bør tildeles og detaljene for dette ansvaret bør dokumenteres;
c) autorisasjonsnivåer bør defineres og dokumenteres;
d) for å kunne ivareta ansvar på informasjonssikkerhetsområdet bør de utpekte personene være kompetente på området og gis muligheter til å holde seg oppdatert på utviklingen;
e) koordinering og tilsyn med informasjonssikkerhetsaspekter av leverandørforhold bør identifiseres og dokumenteres.
ISO 27002:2022 er mer kondensert. Den sier ganske enkelt at organisasjonen skal definere og administrere ansvar for:
a) beskyttelse av informasjon og andre tilhørende eiendeler;
b) utføre spesifikke informasjonssikkerhetsprosesser;
c) risikostyring av informasjonssikkerhet aktiviteter og spesielt aksept av gjenværende risiko (f.eks. overfor risikoeiere);
d) alt personell som bruker en organisasjons informasjon og andre tilhørende eiendeler.
Begge kontrollversjonene antyder imidlertid at organisasjoner kan utnevne en informasjonssikkerhetssjef til å ta det overordnede ansvaret for utvikling og implementering av informasjonssikkerhet og støtte identifiseringen av kontroller.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Hvem er ansvarlig for denne prosessen?
En informasjonssikkerhetssjef blir ofte utnevnt av selskaper for å føre tilsyn med opprettelsen og gjennomføringen av sikkerhetstiltak og for å hjelpe til med å oppdage potensielle trusler og kontroller.
Ressursing og å sette kontrollene på plass vil typisk falle på individuelle ledere. En hyppig praksis er å utpeke en person for hver eiendel, som deretter er ansvarlig for eiendelens løpende sikkerhet.
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | NEW | Trusselintelligens |
| 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 8.9 | NEW | Konfigurasjonsstyring |
| 8.10 | NEW | Sletting av informasjon |
| 8.11 | NEW | Datamaskering |
| 8.12 | NEW | Forebygging av datalekkasje |
| 8.16 | NEW | Overvåking av aktiviteter |
| 8.23 | NEW | Web-filtrering |
| 8.28 | NEW | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Hvordan ISMS.online hjelper
Du forventes ikke å gjøre mye for å oppfylle kravene til den nye ISO 27002:2022-standarden bortsett fra oppgradering av ISMS prosesser for å gjenspeile de forbedrede kontrollene. Hvis ditt interne team ikke kan håndtere dette, kan ISMS.online hjelpe.
I tillegg til å tilby et sofistikert skybasert rammeverk for å dokumentere ISMS-prosedyrer og sjekklister for å sikre samsvar med etablerte normer, effektiviserer ISMS.online også ISO 27001-sertifiseringsprosessen og ISO 27002-implementeringsprosessen.
Alle dine ISMS-løsninger kan administreres på en sentral plassering takket være vår skybaserte programvare. Du kan bruke vår brukervennlige applikasjon for å holde styr på alt som er kreves for å verifisere samsvar med ISO 2K7 spesifikasjoner.
Implementering av ISO 27002 er forenklet med vår intuitive trinnvise arbeidsflyt og verktøy som inkluderer rammeverk, retningslinjer og kontroller, dokumentasjon og veiledning som kan brukes. Du kan definere omfanget av ISMS, identifiser risikoer og implementer kontroller ved å bruke plattformen vår – med bare noen få klikk.
Vi har også et internt team av informasjonsteknologispesialister som vil gi deg råd og assistanse slik at du kan demonstrere overholdelse av standarder og dedikasjon til informasjonssikkerhet til kundene dine.
For å lære mer om hvordan ISMS.online kan hjelpe deg med å nå dine ISO 2K7-mål, vennligst ring oss på +44 (0)1273 041140.
Ta kontakt i dag for å bestill en demo.
