ISO 27002:2022, Kontroll 5.23 – Informasjonssikkerhet for bruk av skytjenester

ISO 27002:2022 Reviderte kontroller

Bestill en demonstrasjon

bunn,visning,av,moderne,skyskrapere,i,virksomhet,distrikt,mot,blått

Formål med kontroll 5.23

5.23 er en ny kontroll som skisserer prosessene som kreves for anskaffelse, bruk, styring av og utgang fra skytjenester, i forhold til organisasjonens unike krav til informasjonssikkerhet.

Kontroll 5.23 lar organisasjoner først spesifisere og deretter administrere og administrere informasjonssikkerhet konsepter knyttet til skytjenester, i egenskap av «skytjenestekunde».

5.23 er en forebyggende kontroll Det opprettholder risiko ved å spesifisere retningslinjer og prosedyrer som styre informasjonssikkerhet, innenfor sfæren av kommersielle skytjenester.

Attributttabell

KontrolltypeInformasjonssikkerhetsegenskaperKonsepter for cybersikkerhetOperasjonelle evnerSikkerhetsdomener
#Forebyggende#Konfidensialitet #Integritet #Tilgjengelighet#Beskytte#Sikkerhet for leverandørforhold#Governance and Ecosystem #Beskyttelse
Gå til emnet

Vi er kostnadseffektive og raske

Finn ut hvordan det vil øke avkastningen din
Få ditt tilbud

Eierskap til kontroll 5.23

Slik er utbredelsen av skytjenester det siste tiåret, Control 5.23 inneholder en rekke prosedyrer som omfatter mange forskjellige elementer av en organisasjons drift.

Gitt at ikke alle skytjenester er IKT-spesifikke – selv om det med rimelighet kan hevdes at de fleste er det – bør eierskapet til Control 5.22 fordeles mellom en organisasjons CTO or COO, avhengig av de gjeldende driftsforholdene.

Veiledning om kontroll 5.23 – Organisatoriske forpliktelser

Overholdelse av kontroll 5.23 innebærer å følge det som er kjent som en 'emnespesifikk' tilnærming til skytjenester og informasjonssikkerhet.

Gitt mangfoldet av skytjenester som tilbys, oppmuntrer emnespesifikke tilnærminger organisasjoner til å lage skytjenester-policyer som er skreddersydd for individuelle forretningsfunksjoner, i stedet for å følge et teppe. politikk som gjelder informasjonssikkerhet og skytjenester over hele linjen.

Det bør bemerkes at ISO anser overholdelse av Control 5.23 som et samarbeid mellom organisasjonen og deres skytjenestepartner. Kontroll 5.23 bør også være tett på linje med kontrollene 5.21 og 5.22, som omhandler informasjon ledelse i forsyningskjeden og forvaltning av leverandørtjenester henholdsvis.

Uansett hvordan en organisasjon velger å operere, bør kontroll 5.23 ikke tas isolert og bør utfylle eksisterende innsats for å administrere leverandørforhold.

Med informasjonssikkerhet i forkant, bør organisasjonen definere:

  1. Eventuelle relevante sikkerhetskrav eller bekymringer involvert i bruken av en skyplattform.
  2. Kriteriene som er involvert i valg av skytjenesteleverandør, og hvordan tjenestene deres skal brukes.
  3. Granulert beskrivelse av roller og relevant ansvar som styrer hvordan skytjenester skal brukes på tvers av organisasjonen.
  4. Nøyaktig hvilke informasjonssikkerhetsområder som kontrolleres av skytjenesteleverandøren, og de som faller inn under organisasjonens ansvarsområde.
  5. De beste måtene å samle først og deretter bruke eventuelle informasjonssikkerhetsrelaterte tjenestekomponenter levert av skytjenesteplattformen.
  6. Hvordan få kategoriske forsikringer om informasjonssikkerhetsrelaterte kontroller vedtatt av skytjenesteleverandøren.
  7. Trinnene som må tas for å administrere endringer, kommunikasjon og kontroller på tvers av flere forskjellige skyplattformer, og ikke alltid fra samme leverandør.
  8. Prosedyrer for hendelseshåndtering som utelukkende er opptatt av levering av skytjenester.
  9. Hvordan organisasjonen forventer å administrere sin pågående bruk og/eller engrosadopsjon av skyplattformer, i tråd med deres bredere informasjonssikkerhet forpliktelser.
  10. En strategi for opphør eller endring av skytjenester, enten på leverandør-for-leverandør-basis, eller gjennom prosessen med sky-til-lokal-migrering.

Få en Headstart
på ISO 27002

Den eneste etterlevelsen
løsning du trenger
Bestill demoen din

Betrodd av selskaper overalt
  • Enkel og lett å bruke
  • Designet for ISO 27001 suksess
  • Sparer deg for tid og penger
Bestill demoen din
img

Veiledning om kontroll 5.23 – Skytjenesteavtaler

Kontroll 5.23 erkjenner at, i motsetning til andre leverandørforhold, er skytjenesteavtaler rigide dokumenter som ikke kan endres i de aller fleste tilfeller.

Med det i tankene bør organisasjoner granske skytjenesteavtaler og sørge for at fire hovedkrav til drift er oppfylt:

  1. Konfidensialitet
  2. Sikkerhet/dataintegritet
  3. Tjenestetilgjengelighet
  4. Informasjonshåndtering

Som med andre leverandørkontrakter, før aksept, bør skytjenesteavtaler gjennomgå en grundig risikovurdering som synliggjør potensielle problemer ved kilden.

Som et minimum bør organisasjonen inngå en skytjenesteavtale først når de er overbevist om at følgende 10 bestemmelser er oppfylt:

  1. Skytjenester leveres og implementeres basert på organisasjonens unike krav knyttet til deres operasjonsområde, inkludert bransjeaksepterte standarder og praksis for skybasert arkitektur og vertsbasert infrastruktur.
  2. Tilgang til alle skyplattformer oppfyller organisasjonens krav til grenseinformasjonssikkerhet.
  3. Det tas tilstrekkelig hensyn til antimalware- og antivirustjenester, inkludert proaktiv overvåking og trusselbeskyttelse.
  4. Skyleverandøren overholder et forhåndsdefinert sett med datalagrings- og behandlingsbestemmelser, knyttet til en eller flere distinkte globale regioner og regulatoriske miljøer.
  5. Proaktiv støtte gis til organisasjonen dersom skyplattformen skulle få en katastrofal feil eller informasjonssikkerhetsrelatert hendelse.
  6. Hvis det oppstår behov for å underkontraktere eller på annen måte sette ut noen del av skyplattformen, forblir leverandørens krav til informasjonssikkerhet et konstant hensyn.
  7. Skulle organisasjonen trenge hjelp til å samle digital informasjon til ethvert relevant formål (lovhåndhevelse, reguleringsjustering, kommersielle formål), vil skytjenesteleverandøren støtte organisasjonen så langt det er mulig.
  8. Ved slutten av forholdet bør skytjenesteleverandøren gi rimelig støtte og passende tilgjengelighet under overgangs- eller avviklingsperioden.
  9. Skytjenesteleverandøren bør operere med en robust BUDR-plan som er fokusert på å gjennomføre tilstrekkelig sikkerhetskopiering av organisasjonens data.
  10. Overføring av alle relevante tilleggsdata fra skytjenesteleverandøren til organisasjonen, inkludert konfigurasjonsinformasjon og kode som organisasjonen har krav på.

Er du klar for
den nye ISO 27002

Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din

Hvis du ikke bruker ISMS.online, gjør du livet ditt vanskeligere enn det trenger å være!
Mark Wightman
Chief Technical Officer Aluma
100 % av brukerne våre består sertifiseringen første gang
Bestill demoen din

Tilleggsinformasjon om kontroll 5.23

I tillegg til veiledningen ovenfor, foreslår Kontroll 5.23 at organisasjoner danner et nært samarbeid med leverandører av skytjenester, i samsvar med den viktige tjenesten de leverer ikke bare når det gjelder informasjonssikkerhet, men på tvers av en organisasjons hele kommersielle drift.

Organisasjoner, der det er mulig, bør søke etter følgende krav fra skytjenesteleverandører for å forbedre operasjonell motstandskraft og nyte økt informasjonssikkerhet:

  1. Alle infrastrukturendringer bør kommuniseres på forhånd for å informere organisasjonens eget sett med informasjonssikkerhetsstandarder.
  2. Organisasjonen trenger holdes informert om eventuelle endringer i datalagringsprosedyrer som involverer migrering av data til en annen jurisdiksjon eller global region.
  3. Enhver intensjon fra skytjenesteleverandørens side om å bruke «peer cloud»-leverandører, eller outsource områder av deres drift til underleverandører som kan ha informasjonssikkerhetsimplikasjoner for organisasjonen.

Støttekontroller

  • 5.21
  • 5.22

Endringer fra ISO 27002:2013

Kontroll 5.23 er en ny kontroll som ikke er med i ISO 27002:2013 på noen måte.

Hvordan ISMS.online hjelper

ISMS.online effektiviserer ISO 27002 implementeringsprosess ved å tilby et sofistikert skybasert rammeverk for å dokumentere prosedyrer for informasjonssikkerhetsstyringssystem og sjekklister for å sikre samsvar med anerkjente standarder.

Når du bruker ISMS.online, vil du kunne:

  • Lag en ISMS som er kompatibel med ISO 27001 standarder.
  • Utføre oppgaver og sende inn bevis for å indikere at de har oppfylt kravene i standarden.
  • Tildel oppgaver og spor fremdriften mot overholdelse av loven.
  • Få tilgang til et spesialisert team med rådgivere som vil hjelpe deg gjennom hele veien mot overholdelse.

Ta kontakt og bestill en demo.

Bestill demoen din

Se hvor enkelt
det er med
ISMS.online

Bestill en skreddersydd praktisk økt basert på dine behov og mål.

Bestill demoen din

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.7NyTrusselintelligens
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.30NyIKT-beredskap for forretningskontinuitet
7.4NyFysisk sikkerhetsovervåking
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.16NyOvervåking av aktiviteter
8.23NyWeb-filtrering
8.28NySikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
5.105.1.1, 05.1.2Retningslinjer for informasjonssikkerhet
5.206.1.1Informasjonssikkerhetsroller og ansvar
5.306.1.2Ansvarsfordeling
5.407.2.1Lederansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med interessegrupper
5.7NyTrusselintelligens
5.806.1.5, 14.1.1Informasjonssikkerhet i prosjektledelse
5.908.1.1, 08.1.2Inventar av informasjon og andre tilhørende eiendeler
5.1008.1.3, 08.2.3Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.1108.1.4Retur av eiendeler
5.12 08.2.1Klassifisering av informasjon
5.1308.2.2Merking av informasjon
5.1413.2.1, 13.2.2, 13.2.3Informasjonsoverføring
5.1509.1.1, 09.1.2Adgangskontroll
5.1609.2.1Identitetsadministrasjon
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformasjon
5.1809.2.2, 09.2.5, 09.2.6Tilgangsrettigheter
5.1915.1.1Informasjonssikkerhet i leverandørforhold
5.2015.1.2Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.2115.1.3Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.2215.2.1, 15.2.2Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23NyInformasjonssikkerhet for bruk av skytjenester
5.2416.1.1Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.2516.1.4Vurdering og beslutning om informasjonssikkerhetshendelser
5.2616.1.5Respons på informasjonssikkerhetshendelser
5.2716.1.6Lær av informasjonssikkerhetshendelser
5.2816.1.7Innsamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informasjonssikkerhet under avbrudd
5.30NyIKT-beredskap for forretningskontinuitet
5.3118.1.1, 18.1.5Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.3218.1.2Immaterielle rettigheter
5.3318.1.3Beskyttelse av poster
5.3418.1.4Personvern og beskyttelse av PII
5.3518.2.1Uavhengig gjennomgang av informasjonssikkerhet
5.3618.2.2, 18.2.3Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.3712.1.1Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
6.107.1.1Screening
6.207.1.2Vilkår og betingelser for ansettelsen
6.307.2.2Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.407.2.3Disiplinær prosess
6.507.3.1Ansvar etter oppsigelse eller endring av arbeidsforhold
6.613.2.4Avtaler om konfidensialitet eller taushetsplikt
6.706.2.2Fjernarbeid
6.816.1.2, 16.1.3Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
7.111.1.1Fysiske sikkerhetsomkretser
7.211.1.2, 11.1.6Fysisk inngang
7.311.1.3Sikring av kontorer, rom og fasiliteter
7.4NyFysisk sikkerhetsovervåking
7.511.1.4Beskyttelse mot fysiske og miljømessige trusler
7.611.1.5Arbeid i sikre områder
7.711.2.9Oversiktlig skrivebord og oversiktlig skjerm
7.811.2.1Utstyrsplassering og beskyttelse
7.911.2.6Sikkerhet av eiendeler utenfor lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedier
7.1111.2.2Støtteverktøy
7.1211.2.3Kablingssikkerhet
7.1311.2.4Vedlikehold av utstyr
7.1411.2.7Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikatorISO/IEC 27002:2013 KontrollidentifikatorKontrollnavn
8.106.2.1, 11.2.8Brukerendepunktsenheter
8.209.2.3Privilegerte tilgangsrettigheter
8.309.4.1Begrensning av informasjonstilgang
8.409.4.5Tilgang til kildekode
8.509.4.2Sikker autentisering
8.612.1.3Kapasitetsstyring
8.712.2.1Beskyttelse mot skadelig programvare
8.812.6.1, 18.2.3Håndtering av tekniske sårbarheter
8.9NyKonfigurasjonsstyring
8.10NySletting av informasjon
8.11NyDatamaskering
8.12NyForebygging av datalekkasje
8.1312.3.1Sikkerhetskopiering av informasjon
8.1417.2.1Redundans av informasjonsbehandlingsanlegg
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NyOvervåking av aktiviteter
8.1712.4.4Kloksynkronisering
8.1809.4.4Bruk av privilegerte hjelpeprogrammer
8.1912.5.1, 12.6.2Installasjon av programvare på operasjonssystemer
8.2013.1.1Nettverkssikkerhet
8.2113.1.2Sikkerhet for nettverkstjenester
8.2213.1.3Segregering av nettverk
8.23NyWeb-filtrering
8.2410.1.1, 10.1.2Bruk av kryptografi
8.2514.2.1Sikker utviklingslivssyklus
8.2614.1.2, 14.1.3Krav til applikasjonssikkerhet
8.2714.2.5Sikker systemarkitektur og tekniske prinsipper
8.28NySikker koding
8.2914.2.8, 14.2.9Sikkerhetstesting i utvikling og aksept
8.3014.2.7Utkontraktert utvikling
8.3112.1.4, 14.2.6Separasjon av utviklings-, test- og produksjonsmiljøer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Endringsledelse
8.3314.3.1Testinformasjon
8.3412.7.1Beskyttelse av informasjonssystemer under revisjonstesting
Oppdatert for ISO 27001 2022
  • 81 % av arbeidet gjort for deg
  • Assured Results Metode for sertifiseringssuksess
  • Spar tid, penger og problemer
Bestill demoen din
img

ISMS.online støtter nå ISO 42001 – verdens første AI Management System. Klikk for å finne ut mer