Respons på informasjonssikkerhetshendelser

Formål med kontroll 5.26

Kontroll 5.26 hjelper organisasjoner med å sikre at internt og eksternt personell er fullt engasjert i publisert hendelsesadministrasjon prosesser og prosedyrer (stort sett de som er opprettet i Kontroll 5.24), og maksimerer dermed muligheten for en rask og effektiv løsning.

Attributttabell

5.26 er en korrigerende kontroll Det endrer risiko ved å sikre at informasjonssikkerhetshendelser reageres på gjennom streng overholdelse av selskapets prosedyrer.

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Korrigerende	#Konfidensialitet	#Gjenopprette	#Informasjonssikkerhet hendelsesadministrasjon	#Forsvar
	#Integritet	#Svar
	#Tilgjengelighet

Eierskap til kontroll 5.26

Eierskapet til kontroll 5.26 bør ligge hos et medlem av toppledelsen hvis mandat inkluderer tilsyn med alle hendelseshåndteringsrelaterte aktiviteter, for eksempel en COO or Leder for tjenestelevering.

Eieren bør også direkte eller indirekte kunne styre ytelsen til personell som er involvert i analysen og løsning av informasjonssikkerhetsrelaterte hendelser, for å drive ytelsesstyring og eliminere feil.

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Generell veiledning om kontroll 5.26

Kontroll 5.26 sier det eksplisitt informasjonssikkerhetshendelser bør håndteres med av et dedikert team som innehar den "påkrevde kompetansen" for å påvirke rask og grundig løsning av eventuelle hendelser som kommer deres vei (se kontroll 5.24).

Kontroll 5.26 skisserer 10 hovedveiledningspunkter for å sikre at prosedyrer for hendelseshåndtering følges:

Inneslutning og bekjempelse av trusler som oppstår fra den opprinnelige hendelsen.
Innsamling og bekreftelse av bevis umiddelbart etter at en informasjonssikkerhetshendelse har inntruffet.
Opptrapping, inkludert krisehåndtering, BUDR-aktiviteter og overordnet Forretnings kontinuitet planer (se kontroll 5.29 og 5.30).
Nøyaktig logging av all hendelsesrelatert aktivitet, inkludert den første responsen, for å hjelpe til med post mortem-analyse.
Følge et strengt «need to know»-prinsipp når man kommuniserer eksistensen av, og utviklingen knyttet til, informasjonssikkerhetsrelaterte hendelser.
Forblir oppmerksom på en organisasjonens ansvar til eksterne organisasjoner (klienter, leverandører, offentlige organer, regulatorer osv.) når de kommuniserer den bredere konsekvensen av informasjonssikkerhetshendelser.
Lukke en hendelse til et strengt sett med fullføringskriterier.
Rettsmedisinsk analyse (se kontroll 5.28).
Identifisere den underliggende årsaken til en hendelse, når nevnte hendelse er løst, inkludert tilstrekkelig registrering og kommunikasjon til alle relevante parter (se kontroll 5.27).
Håndtering av underliggende sårbarheter som har ført til informasjonssikkerhetsrelaterte hendelser og hendelser, inkludert identifisering og modifikasjon av interne prosesser, kontroller, retningslinjer og prosedyrer.

Støttekontroller

5.24
5.27
5.28
5.29
5.30

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Endringer og forskjeller fra ISO 27002:2013

27002:2022-5.26 erstatter 27002:2013-16.1.5 (Reaksjon på informasjonssikkerhetshendelser).

ISO 27002:2022-5.26 går noen skritt lenger enn 27002:2013-16.1.5, med tillegg av fire nøkkelområder for vurdering:

Behovet for å begrense og redusere trusler som oppstår fra den opprinnelige hendelsen
Opptrappingsprosedyrer som er basert på krise ledelse og forretningskontinuitet
Finner ut nøyaktig hvorfor hendelsen skjedde, og kommuniserer detaljer til alle relevante parter
Iverksette tiltak for å identifisere og endre interne prosesser, kontroller og retningslinjer som førte til den opprinnelige hendelsen

27002:2013-16.1.5 viser også til å gjenoppta "normalt sikkerhetsnivå" som det primære målet for en hendelsesrespons team i de tidlige stadiene av en eskalering. 27002:2022-5.26 gir ingen slik henvisning, og fokuserer i stedet på det generelle behovet for å inneholde trusler.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Ocuco ISMS.online plattformen er et flott verktøy for å hjelpe deg med å implementere og administrere et ISO 27002 Information Security Management System, uavhengig av din erfaring med standarden.

Systemet vårt vil veilede deg gjennom trinnene for å konfigurerte ISMS-en din og administrere det fremover.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt