ISO 27002:2022, kontroll 5.36 – Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002:2022 Reviderte kontroller

oppnår,beste,resultater.,to,sikker,unge,menn,ser,på,bærbar

achieving,best,results.,two,confident,young,men,looking,at,laptop

Formål med kontroll 5.36

En nøkkeldel av å operere med en robust, sikkert sett med informasjonssikkerhetspraksis er behovet for å være i samsvar med alle publiserte retningslinjer og prosedyrer.

Kontroll 5.36 krever at organisasjoner får en top-down syn på informasjonssikkerhet overholdelse, knyttet til de ulike retningslinjene (både enkeltstående og emnespesifikke), regler og standarder.

Attributttabell

Kontroll 5.36 er en forebyggende og korrigerende kontrollere det endrer risiko ved å opprettholde overholdelse med eksisterende retningslinjer og prosedyrer innenfor rammen av informasjonssikkerhet.

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet #Integritet #Tilgjengelighet	#Identifisere #Beskytte	#Juridisk og overholdelse #Informasjonssikkerhetsforsikring	#Governance og økosystem

Eierskap til kontroll 5.36

Kontroll 5.36 omhandler primært operative forhold. Som sådan bør eierskapet ligge hos COO, eller CISO (hvis tilstede).

Gå til emnet

Formål med kontroll 5.36
Kontrollattributter 5.36
Eierskap til kontroll 5.36
Generell veiledning om kontroll 5.36
Endringer og forskjeller fra ISO 27002:2013
Hvordan ISMS.online hjelper

Oppdatert for ISO 27001 2022

81 % av arbeidet gjort for deg
Assured Results Metode for sertifiseringssuksess
Spar tid, penger og problemer

Bestill demoen din

Generell veiledning om kontroll 5.36

Ledere og informasjonseiere (inkludert tjeneste- og produkteiere) bør være i stand til å vurdere samsvar på tvers av en organisasjons hele bank av retningslinjer, regler og standarder for informasjonssikkerhet.

Ledere bør implementere forretningsspesifikke metoder for rapportering (inkluderer eventuelle tekniske verktøy som kreves) om etterlevelse av informasjonssikkerhet, med det overordnede målet om å gjennomføre periodiske gjennomganger – som blir grundig registrert, lagret og rapportert – som fremhever områder for forbedring.

Hvis problemer oppdages og tilfeller av manglende overholdelse blir funnet, bør ledere kunne gjøre følgende:

Fastslå den underliggende årsaken til manglende overholdelse.

Bestem om korrigerende tiltak er nødvendig.

Om nødvendig, planlegg og implementer nevnte korrigerende handling for å sikre kontinuerlig overholdelse.

Når de er vedtatt, gjennomgå eventuelle korrigerende tiltak for å utforske effektiviteten og fremheve eventuelle områder for videre utvikling.

Korrigerende tiltak bør iverksettes "rettidig", og ideelt sett ved neste gjennomgang. Hvis handlinger ikke er fullført innen neste gjennomgang kommer, bør ledere i det minste kunne bevise fremgang.

Støttekontroller

5.35
8.15
8.16
8.17

Endringer og forskjeller fra ISO 27002:2013

27002:2022-5.36 erstatter to kontroller fra 27002:2013, nemlig:

18.2.2 – Overholdelse av sikkerhetspolicyer og standarder
18.2.3 – Teknisk samsvarsgjennomgang

27002:2022-5.36 kondenserer all den komplekse tekniske veiledningen som tilbys i 27002:2013-18.2.3, ved ganske enkelt å si at ledere skal kunne gjennomgå samsvar der det er nødvendig å gjøre det.

27002:2022-5.36 inneholder nøyaktig det samme sett med veiledningspunkter som 27002:2013-18.2.2, knyttet til handlinger som kreves når en gjennomgang flagger for tilfeller av manglende overholdelse.

Hvordan ISMS.online hjelper

ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen, fra å definere omfanget av ISMS-en din til risikoidentifikasjon og kontrollimplementering.

Ta kontakt i dag for å bestill en demo.

Få en Headstart
på ISO 27002

Den eneste etterlevelsen
løsning du trenger
Bestill demoen din

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 Kontrollidentifikator	Kontrollnavn
5.7	Ny	Trusselintelligens
5.23	Ny	Informasjonssikkerhet for bruk av skytjenester
5.30	Ny	IKT-beredskap for forretningskontinuitet
7.4	Ny	Fysisk sikkerhetsovervåking
8.9	Ny	Konfigurasjonsstyring
8.10	Ny	Sletting av informasjon
8.11	Ny	Datamaskering
8.12	Ny	Forebygging av datalekkasje
8.16	Ny	Overvåking av aktiviteter
8.23	Ny	Web-filtrering
8.28	Ny	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 Kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	Ny	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	Ny	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	Ny	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 Kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 Kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	Ny	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 Kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	Ny	Konfigurasjonsstyring
8.10	Ny	Sletting av informasjon
8.11	Ny	Datamaskering
8.12	Ny	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Ny	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	Ny	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	Ny	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Få et forsprang på ISO 27001

Alt oppdatert med 2022-kontrollsettet
Få 81 % fremgang fra det øyeblikket du logger på
Enkel og lett å bruke