5.23 er en ny kontroll som skisserer prosessene som kreves for anskaffelse, bruk, styring av og utgang fra skytjenester, i forhold til organisasjonens unike krav til informasjonssikkerhet.
Kontroll 5.23 lar organisasjoner først spesifisere og deretter administrere og administrere informasjonssikkerhet konsepter knyttet til skytjenester, i egenskap av «skytjenestekunde».
5.23 er en forebyggende kontroll Det opprettholder risiko ved å spesifisere retningslinjer og prosedyrer som styre informasjonssikkerhet, innenfor sfæren av kommersielle skytjenester.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte | #Sikkerhet for leverandørforhold | #Governance and Ecosystem #Beskyttelse |
Slik er utbredelsen av skytjenester det siste tiåret, Control 5.23 inneholder en rekke prosedyrer som omfatter mange forskjellige elementer av en organisasjons drift.
Gitt at ikke alle skytjenester er IKT-spesifikke – selv om det med rimelighet kan hevdes at de fleste er det – bør eierskapet til Control 5.22 fordeles mellom en organisasjons CTO or COO, avhengig av de gjeldende driftsforholdene.
Overholdelse av kontroll 5.23 innebærer å følge det som er kjent som en 'emnespesifikk' tilnærming til skytjenester og informasjonssikkerhet.
Gitt mangfoldet av skytjenester som tilbys, oppmuntrer emnespesifikke tilnærminger organisasjoner til å lage skytjenester-policyer som er skreddersydd for individuelle forretningsfunksjoner, i stedet for å følge et teppe. politikk som gjelder informasjonssikkerhet og skytjenester over hele linjen.
Det bør bemerkes at ISO anser overholdelse av Control 5.23 som et samarbeid mellom organisasjonen og deres skytjenestepartner. Kontroll 5.23 bør også være tett på linje med kontrollene 5.21 og 5.22, som omhandler informasjon ledelse i forsyningskjeden og forvaltning av leverandørtjenester henholdsvis.
Uansett hvordan en organisasjon velger å operere, bør kontroll 5.23 ikke tas isolert og bør utfylle eksisterende innsats for å administrere leverandørforhold.
Med informasjonssikkerhet i forkant, bør organisasjonen definere:
Kontroll 5.23 erkjenner at, i motsetning til andre leverandørforhold, er skytjenesteavtaler rigide dokumenter som ikke kan endres i de aller fleste tilfeller.
Med det i tankene bør organisasjoner granske skytjenesteavtaler og sørge for at fire hovedkrav til drift er oppfylt:
Som med andre leverandørkontrakter, før aksept, bør skytjenesteavtaler gjennomgå en grundig risikovurdering som synliggjør potensielle problemer ved kilden.
Som et minimum bør organisasjonen inngå en skytjenesteavtale først når de er overbevist om at følgende 10 bestemmelser er oppfylt:
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
I tillegg til veiledningen ovenfor, foreslår Kontroll 5.23 at organisasjoner danner et nært samarbeid med leverandører av skytjenester, i samsvar med den viktige tjenesten de leverer ikke bare når det gjelder informasjonssikkerhet, men på tvers av en organisasjons hele kommersielle drift.
Organisasjoner, der det er mulig, bør søke etter følgende krav fra skytjenesteleverandører for å forbedre operasjonell motstandskraft og nyte økt informasjonssikkerhet:
Kontroll 5.23 er en ny kontroll som ikke er med i ISO 27002:2013 på noen måte.
ISMS.online effektiviserer ISO 27002 implementeringsprosess ved å tilby et sofistikert skybasert rammeverk for å dokumentere prosedyrer for informasjonssikkerhetsstyringssystem og sjekklister for å sikre samsvar med anerkjente standarder.
Når du bruker ISMS.online, vil du kunne:
Ta kontakt og bestill en demo.
Bestill en skreddersydd praktisk økt basert på dine behov og mål.
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |