Informasjonssikkerhet for bruk av skytjenester

Formål med kontroll 5.23

5.23 er en ny kontroll som skisserer prosessene som kreves for anskaffelse, bruk, styring av og utgang fra skytjenester, i forhold til organisasjonens unike krav til informasjonssikkerhet.

Kontroll 5.23 lar organisasjoner først spesifisere og deretter administrere og administrere informasjonssikkerhet konsepter knyttet til skytjenester, i egenskap av «skytjenestekunde».

5.23 er en forebyggende kontroll Det opprettholder risiko ved å spesifisere retningslinjer og prosedyrer som styre informasjonssikkerhet, innenfor sfæren av kommersielle skytjenester.

Kontrollattributter 5.23

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Beskytte	#Sikkerhet for leverandørforhold	#Governance og økosystem
	#Integritet			#Beskyttelse
	#Tilgjengelighet

Eierskap til kontroll 5.23

Slik er utbredelsen av skytjenester det siste tiåret, Control 5.23 inneholder en rekke prosedyrer som omfatter mange forskjellige elementer av en organisasjons drift.

Gitt at ikke alle skytjenester er IKT-spesifikke – selv om det med rimelighet kan hevdes at de fleste er det – bør eierskapet til Control 5.22 fordeles mellom en organisasjons CTO or COO, avhengig av de gjeldende driftsforholdene.

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Veiledning om kontroll 5.23 – Organisatoriske forpliktelser

Overholdelse av kontroll 5.23 innebærer å følge det som er kjent som en 'emnespesifikk' tilnærming til skytjenester og informasjonssikkerhet.

Gitt mangfoldet av skytjenester som tilbys, oppmuntrer emnespesifikke tilnærminger organisasjoner til å lage skytjenester-policyer som er skreddersydd for individuelle forretningsfunksjoner, i stedet for å følge et teppe. politikk som gjelder informasjonssikkerhet og skytjenester over hele linjen.

Det bør bemerkes at ISO anser overholdelse av Control 5.23 som et samarbeid mellom organisasjonen og deres skytjenestepartner. Kontroll 5.23 bør også være tett på linje med kontrollene 5.21 og 5.22, som omhandler informasjon ledelse i forsyningskjeden og forvaltning av leverandørtjenester henholdsvis.

Uansett hvordan en organisasjon velger å operere, bør kontroll 5.23 ikke tas isolert og bør utfylle eksisterende innsats for å administrere leverandørforhold.

Med informasjonssikkerhet i forkant, bør organisasjonen definere:

Eventuelle relevante sikkerhetskrav eller bekymringer involvert i bruken av en skyplattform.
Kriteriene som er involvert i valg av skytjenesteleverandør, og hvordan tjenestene deres skal brukes.
Granulert beskrivelse av roller og relevant ansvar som styrer hvordan skytjenester skal brukes på tvers av organisasjonen.
Nøyaktig hvilke informasjonssikkerhetsområder som kontrolleres av skytjenesteleverandøren, og de som faller inn under organisasjonens ansvarsområde.
De beste måtene å samle først og deretter bruke eventuelle informasjonssikkerhetsrelaterte tjenestekomponenter levert av skytjenesteplattformen.
Hvordan få kategoriske forsikringer om informasjonssikkerhetsrelaterte kontroller vedtatt av skytjenesteleverandøren.
Trinnene som må tas for å administrere endringer, kommunikasjon og kontroller på tvers av flere forskjellige skyplattformer, og ikke alltid fra samme leverandør.
Prosedyrer for hendelseshåndtering som utelukkende er opptatt av levering av skytjenester.
Hvordan organisasjonen forventer å administrere sin pågående bruk og/eller engrosadopsjon av skyplattformer, i tråd med deres bredere informasjonssikkerhet forpliktelser.
En strategi for opphør eller endring av skytjenester, enten på leverandør-for-leverandør-basis, eller gjennom prosessen med sky-til-lokal-migrering.

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din

Veiledning om kontroll 5.23 – Skytjenesteavtaler

Kontroll 5.23 erkjenner at, i motsetning til andre leverandørforhold, er skytjenesteavtaler rigide dokumenter som ikke kan endres i de aller fleste tilfeller.

Med det i tankene bør organisasjoner granske skytjenesteavtaler og sørge for at fire hovedkrav til drift er oppfylt:

Konfidensialitet
Sikkerhet/dataintegritet
Tjenestetilgjengelighet
Informasjonshåndtering

Som med andre leverandørkontrakter, før aksept, bør skytjenesteavtaler gjennomgå en grundig risikovurdering som synliggjør potensielle problemer ved kilden.

Som et minimum bør organisasjonen inngå en skytjenesteavtale først når de er overbevist om at følgende 10 bestemmelser er oppfylt:

Skytjenester leveres og implementeres basert på organisasjonens unike krav knyttet til deres operasjonsområde, inkludert bransjeaksepterte standarder og praksis for skybasert arkitektur og vertsbasert infrastruktur.
Tilgang til alle skyplattformer oppfyller organisasjonens krav til grenseinformasjonssikkerhet.
Det tas tilstrekkelig hensyn til antimalware- og antivirustjenester, inkludert proaktiv overvåking og trusselbeskyttelse.
Skyleverandøren overholder et forhåndsdefinert sett med datalagrings- og behandlingsbestemmelser, knyttet til en eller flere distinkte globale regioner og regulatoriske miljøer.
Proaktiv støtte gis til organisasjonen dersom skyplattformen skulle få en katastrofal feil eller informasjonssikkerhetsrelatert hendelse.
Hvis det oppstår behov for å underkontraktere eller på annen måte sette ut noen del av skyplattformen, forblir leverandørens krav til informasjonssikkerhet et konstant hensyn.
Skulle organisasjonen trenge hjelp til å samle digital informasjon til ethvert relevant formål (lovhåndhevelse, reguleringsjustering, kommersielle formål), vil skytjenesteleverandøren støtte organisasjonen så langt det er mulig.
Ved slutten av forholdet bør skytjenesteleverandøren gi rimelig støtte og passende tilgjengelighet under overgangs- eller avviklingsperioden.
Skytjenesteleverandøren bør operere med en robust BUDR-plan som er fokusert på å gjennomføre tilstrekkelig sikkerhetskopiering av organisasjonens data.
Overføring av alle relevante tilleggsdata fra skytjenesteleverandøren til organisasjonen, inkludert konfigurasjonsinformasjon og kode som organisasjonen har krav på.

Tilleggsinformasjon om kontroll 5.23

I tillegg til veiledningen ovenfor, foreslår Kontroll 5.23 at organisasjoner danner et nært samarbeid med leverandører av skytjenester, i samsvar med den viktige tjenesten de leverer ikke bare når det gjelder informasjonssikkerhet, men på tvers av en organisasjons hele kommersielle drift.

Organisasjoner, der det er mulig, bør søke etter følgende krav fra skytjenesteleverandører for å forbedre operasjonell motstandskraft og nyte økt informasjonssikkerhet:

Alle infrastrukturendringer bør kommuniseres på forhånd for å informere organisasjonens eget sett med informasjonssikkerhetsstandarder.
Organisasjonen trenger holdes informert om eventuelle endringer i datalagringsprosedyrer som involverer migrering av data til en annen jurisdiksjon eller global region.
Enhver intensjon fra skytjenesteleverandørens side om å bruke «peer cloud»-leverandører, eller outsource områder av deres drift til underleverandører som kan ha informasjonssikkerhetsimplikasjoner for organisasjonen.

Støttekontroller

5.21
5.22

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer fra ISO 27002:2013

Kontroll 5.23 er en ny kontroll som ikke er med i ISO 27002:2013 på noen måte.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

ISMS.online effektiviserer ISO 27002 implementeringsprosess ved å tilby et sofistikert skybasert rammeverk for å dokumentere prosedyrer for informasjonssikkerhetsstyringssystem og sjekklister for å sikre samsvar med anerkjente standarder.

Når du bruker ISMS.online, vil du kunne:

Lag en ISMS som er kompatibel med ISO 27001 standarder.
Utføre oppgaver og sende inn bevis for å indikere at de har oppfylt kravene i standarden.
Tildel oppgaver og spor fremdriften mot overholdelse av loven.
Få tilgang til et spesialisert team med rådgivere som vil hjelpe deg gjennom hele veien mot overholdelse.

Ta kontakt og bestill en demo.

Vi er ledende innen vårt felt