ISO 27002:2022 Kontroll 5.33 – Beste praksis for registreringsbeskyttelse
Opptegnelser er et tåkete konsept som noen organisasjoner sliter med å klassifisere og administrere, for overholdelsesformål.
Registreringer, innenfor rammen av IKT, er en annen betegnelse for data og informasjon en organisasjon beholder og/eller bruker for å utføre sine daglige forretningsaktiviteter, inkludert (men ikke begrenset til):
- Individuelle arrangementer
- Transaksjoner
- Arbeidsprosesser
- Aktiviteter
- Funksjoner
ISO definerer poster innenfor omfanget av deres standarder som "hvilket som helst sett med informasjon, uavhengig av struktur eller form", inkludert "et dokument, en samling av data eller andre typer informasjon som opprettes, fanges opp og administreres i løpet av virksomheten ”, inkludert en posts metadata.
Formål med kontroll 5.33
Enhver organisasjon har en forpliktelse til å sikre at dataene den har – inkludert, men ikke begrenset til, personer, er økonomiske informasjon eller operasjonsområder – oppbevares trygt og sikkert, og interne prosedyrer forblir i samsvar med alle gjeldende krav.
Kontroll 5.33 omhandler beskyttelse av forretningsregistre mot 5 store hendelser:
- Tap
- Ødeleggelse
- Forfalskning
- Uautorisert tilgang
- Uautorisert utgivelse eller publisering
Attributttabell
Kontroll 5.33 er en forebyggende kontroll Det opprettholder risiko ved å lage retningslinjer og prosedyrer – inkludert oppbevaringsplaner – som oppfyller en organisasjons juridiske, lovpålagte, regulatoriske og kontraktsmessige krav knyttet til beskyttelse og tilgjengelighet av alle poster den har.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet | #Identifisere | #Juridisk og overholdelse | #Forsvar |
| #Integritet | #Beskytte | # Asset Management | ||
| #Tilgjengelighet | #Informasjonsbeskyttelse |
ISO 27001 gjort enkelt
Et forsprang på 81 % fra dag én
Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.
Generell veiledning om kontroll 5.33
Kontroll 5.33 erkjenner at en organisasjonens behov er flytende når det gjelder mengden og typen poster som kreves for å gjøre forretninger fra den ene dagen til den andre.
Som sådan kategoriserer Control 5.33 postadministrasjon i 4 hovedattributter:
- Autentisitet
- Pålitelighet
- Integritet
- Brukbarhet
Innenfor omfanget av disse attributtene ber Control 5.33 organisasjoner om å:
- Utkast og publiser retningslinjer som omhandler fire hovedfunksjoner, sammen med emnespesifikke retningslinjer som tar hensyn til den underliggende naturen til de aktuelle postene:
a) Lagring av posten
b) Rekordhåndteringskjede
c) Rekordavhending
d) Forhindrer manipulasjon - Opprettholde en funksjonell tidsplan for oppbevaring av poster som tydelig skisserer hvor lenge poster av forskjellige typer skal oppbevares, relatert til deres individuelle forretningsfunksjon.
- Lag lagrings- og håndteringsprosedyrer som tar hensyn til:
a) alle gjeldende lover som omhandler kommersiell journalføring
b) "fellesskap og samfunn" forventninger til hvordan en organisasjon skal håndtere sine poster - Implementer prosedyrer som ødelegger poster på en sikker og hensiktsmessig måte i det øyeblikket de ikke er nødvendige (etter å ha forlatt oppbevaringsperioden).
- Klassifiser poster for beskyttelse (inkludert passende oppbevaringsperioder og lagringsmedier som brukes) basert på deres sikkerhetsrisiko, og ulike typer, inkludert (men ikke begrenset til):
a) Regnskapsdokumenter
b) Forretningstransaksjoner
c) Personaljournaler
d) Juridiske dokumenter - Sørg for at eventuelle lagringsprosedyrer tar hensyn til en akseptabel tidsramme for henting, dersom organisasjonen blir bedt om å produsere dem av en tredjepart, eller for intern bruk.
- Der elektroniske medier brukes til å lagre poster, vurder og reduserer muligheten for at tilgang til eller gjenfinning av poster blir hindret av teknologiske endringer, inkludert oppbevaring av kryptografisk informasjon (se kontroll 8.24).
- Følg produsentens retningslinjer ved lagring eller håndtering av poster på eller via elektroniske medier, inkludert tilstrekkelig hensyn til den naturlige forringelsen av nevnte medier.
Frigjør deg fra et fjell av regneark
Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.
Endringer og forskjeller fra ISO 27002:2013
27002:2022-5.33 erstatter 27002:2013-18.1.3 (Beskyttelse av journaler), med ulike tillegg i form av individuelle veiledningspunkter og generelle prosesser som må følges.
I 2022-kontrollen anerkjenner ISO viktigheten av å definere hva som utgjør en forretningsrekord. 27002:2022-5.33 inneholder en rekke eksempler på hva ISO anser en rekord for å være (se ovenfor), som er fraværende fra 27002:2013-18.1.3.
Kontroll 5.33 fokuserer også en organisasjons oppmerksomhet på to hovedveiledningspunkter som ikke er inkludert i motparten fra 2013 (retningslinjene 1 og 2 ovenfor), som igjen danner grunnlaget for en organisasjons journalpolicy – spesielt en oppbevaringsplan som dikterer hvordan lange journaler bør holdes for, og eventuelle mediespesifikke krav.
Metadata har også dukket opp i arkivforvaltningen for første gang. 27002:2013-18.1.3 inneholder ingen omtale av det, mens 27002:2022-5.33 anser det for å være en "essensiell komponent".
Nye ISO 27002 kontroller
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | NEW | Trusselintelligens |
| 5.23 | NEW | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | NEW | IKT-beredskap for forretningskontinuitet |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 8.9 | NEW | Konfigurasjonsstyring |
| 8.10 | NEW | Sletting av informasjon |
| 8.11 | NEW | Datamaskering |
| 8.12 | NEW | Forebygging av datalekkasje |
| 8.16 | NEW | Overvåking av aktiviteter |
| 8.23 | NEW | Web-filtrering |
| 8.28 | NEW | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | NEW | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Hvordan ISMS.online hjelper
Bruker ISMS.online du kan:
- Implementer raskt en Informasjonssikkerhetsstyringssystem (ISMS).
- Lett administrere dokumentasjonen til ditt ISMS.
- Strømlinjeform overholdelse av alle relevante standarder.
- Administrer alle aspekter av informasjonssikkerhet, fra risikostyring til opplæring i sikkerhetsbevissthet.
- Kommuniser effektivt gjennom hele organisasjonen ved å bruke vår innebygde kommunikasjonsfunksjonalitet.
Ta kontakt i dag for å bestill en demo.
