En nøkkeldel av å operere med en robust, sikkert sett med informasjonssikkerhetspraksis er behovet for å være i samsvar med alle publiserte retningslinjer og prosedyrer.
Kontroll 5.36 krever at organisasjoner får en top-down syn på informasjonssikkerhet overholdelse, knyttet til de ulike retningslinjene (både enkeltstående og emnespesifikke), regler og standarder.
Kontroll 5.36 er en forebyggende og korrigerende kontrollere det endrer risiko ved å opprettholde overholdelse med eksisterende retningslinjer og prosedyrer innenfor rammen av informasjonssikkerhet.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere #Beskytte | #Juridisk og overholdelse #Informasjonssikkerhetsforsikring | #Governance og økosystem |
Kontroll 5.36 omhandler primært operative forhold. Som sådan bør eierskapet ligge hos COO, eller CISO (hvis tilstede).
Ledere og informasjonseiere (inkludert tjeneste- og produkteiere) bør være i stand til å vurdere samsvar på tvers av en organisasjons hele bank av retningslinjer, regler og standarder for informasjonssikkerhet.
Ledere bør implementere forretningsspesifikke metoder for rapportering (inkluderer eventuelle tekniske verktøy som kreves) om etterlevelse av informasjonssikkerhet, med det overordnede målet om å gjennomføre periodiske gjennomganger – som blir grundig registrert, lagret og rapportert – som fremhever områder for forbedring.
Hvis problemer oppdages og tilfeller av manglende overholdelse blir funnet, bør ledere kunne gjøre følgende:
Korrigerende tiltak bør iverksettes "rettidig", og ideelt sett ved neste gjennomgang. Hvis handlinger ikke er fullført innen neste gjennomgang kommer, bør ledere i det minste kunne bevise fremgang.
27002:2022-5.36 erstatter to kontroller fra 27002:2013, nemlig:
27002:2022-5.36 kondenserer all den komplekse tekniske veiledningen som tilbys i 27002:2013-18.2.3, ved ganske enkelt å si at ledere skal kunne gjennomgå samsvar der det er nødvendig å gjøre det.
27002:2022-5.36 inneholder nøyaktig det samme sett med veiledningspunkter som 27002:2013-18.2.2, knyttet til handlinger som kreves når en gjennomgang flagger for tilfeller av manglende overholdelse.
ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen, fra å definere omfanget av ISMS-en din til risikoidentifikasjon og kontrollimplementering.
Ta kontakt i dag for å bestill en demo.
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |