Informasjonssikkerhet er et kjerneaspekt i en organisasjons datastyring praksis.
Så mye at det er nødvendig å eliminere selvtilfredshet ved å gjennomføre regelmessige uavhengige vurderinger av hvordan en organisasjon administrerer menneskene, prosessene og teknologiene som er involvert i å opprettholde en effektiv informasjonssikkerhet operasjon.
Kontroll 5.35 krever at organisasjoner utfører uavhengige gjennomganger av deres informasjonssikkerhetspraksis – både med planlagte intervaller og når store operasjonelle endringer skjer – for å sikre at retningslinjer for informasjonssikkerhetsstyring er:
Kontroll 5.35 er en forebyggende og korrigerende kontrollere det opprettholder risiko ved å lage prosesser som legger til rette for regelmessige gjennomganger av en organisasjons praksis for informasjonssikkerhetsstyring.
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende #Korrigerende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere #Beskytte | #Informasjonssikkerhetsforsikring | #Governance og økosystem |
Kontroll 5.35 omhandler primært operative forhold. Som sådan bør eierskapet ligge hos COO, eller CISO (hvis tilstede).
Det overordnede målet er for ledelsen for å lage og implementere prosesser som tar hensyn til uavhengige vurderinger av deres informasjonssikkerhet praksis.
Anmeldelser bør fokusere på eventuelle endringer nødvendig for å forbedre en organisasjons tilnærming til informasjonssikkerhet, Inkludert:
Enhver gjennomgang bør utføres av en person i eller utenfor organisasjonen som ikke har en egeninteresse i det de etterforsker, for eksempel:
Den som foretar gjennomgangen bør ha det relevante operativ kompetanse å foreta en forsvarlig vurdering av funnene deres, og (når det gjelder interne ansatte) deres jobbrolle bør ikke hindre dem i å foreta en gyldig og legitim vurdering.
Resultatene av gjennomgangen bør registreres, lagres og rapporteres grundig til lederen (eller grupper av ledere) som ba om det, og i visse tilfeller til C-suite-nivå eller eierskap.
Evaluatorer bør søke å fastslå hvorvidt informasjonssikkerhetspraksis er i samsvar med organisasjonens "dokumenterte mål og krav" angitt i informasjonssikkerhetspolicyen, eller eventuelle emnespesifikke retningslinjer.
Ved siden av periodiske gjennomganger kan det være nødvendig å sette i gang ad hoc-gjennomganger. Disse vurderingene kan begrunnes på tvers av 5 nøkkelområder:
ISO / IEC 27007 og ISO/IEC TS 27008 inneholder ytterligere veiledning om praktisering av uavhengige vurderinger.
27002:2022-5.35 erstatter 27002:2013-18.1.2 (Uavhengig gjennomgang av informasjonssikkerhet).
27002:2022-5.35 inneholder samme generelle veiledning som 27002:2013-18.1.2, men går et skritt videre i å fastsette konkrete eksempler på når en organisasjon bør gjennomføre ad-hoc-gjennomganger, ved siden av sine periodiske vurderinger.
ISMS.online effektiviserer ISO 27002 implementeringsprosess ved å tilby et sofistikert skybasert rammeverk for å dokumentere prosedyrer for informasjonssikkerhetsstyringssystem og sjekklister for å sikre samsvar med anerkjente standarder.
Når du bruk ISMS.online, du vil kunne:
opprette en ISMS som er kompatibel med ISO 27001 standarder.
utføre oppgaver og levere bevis for at de har oppfylt kravene i standarden.
tildele oppgaver og spore fremdriften mot overholdelse av loven.
få tilgang til et spesialisert team med rådgivere som vil hjelpe deg gjennom veien mot overholdelse.
Ta kontakt i dag for å bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
Vi er så glade for at vi fant denne løsningen, den gjorde at alt passet sammen lettere.
