Kontroll 5.37 omhandler begrepet informasjonssikkerhet som en operasjonell aktivitet, der dens bestanddeler utføres og/eller administreres av en eller flere enkeltpersoner.
Kontroll 5.37 skisserer en rekke operasjonelle prosedyrer som sikrer en organisasjonens informasjonssikkerhet anlegget forblir effektivt og sikkert, og i tråd med deres dokumenterte krav.
Kontroll 5.37 er en forebyggende og korrigerende kontrollere det opprettholder risiko gjennom opprettelsen av en bank av prosedyrer knyttet til en organisasjonens informasjonssikkerhet aktiviteter.
Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
---|---|---|---|---|
#Forebyggende #Korrigerende | #Konfidensialitet #Integritet #Tilgjengelighet | #Beskytte #Gjenopprette | # Asset Management #Fysisk sikkerhet #System- og nettverkssikkerhet #Applikasjonssikkerhet #Sikker konfigurasjon #Identitets- og tilgangsadministrasjon #Trussel- og sårbarhetshåndtering #Kontinuitet #Informasjonssikkerhet hendelsesadministrasjon | #Governance og økosystem #Beskyttelse #Forsvar |
Kontroll 5.37 omhandler et mangfoldig sett av omstendigheter som har potensial til å inkludere flere avdelinger og jobbroller under oppgaven til dokumenterte driftsprosedyrer. Når det er sagt, kan man trygt anta at de fleste prosedyrene vil påvirke IKT-personell, utstyr og systemer.
Der dette skjer, bør eierskapet ligge hos et seniormedlem i ledergruppen som er ansvarlig for alle IKT-relaterte aktiviteter, for eksempel en IT-sjef.
Det bør opprettes prosedyrer for informasjonssikkerhetsrelaterte aktiviteter i samsvar med 5 viktige operasjonelle hensyn:
Der disse tilfellene oppstår, bør dokumenterte driftsprosedyrer tydelig skissere:
Alle de ovennevnte prosedyrene bør være gjenstand for periodiske og/eller ad-hoc gjennomganger, etter behov, med alle endringer ratifisert av ledelsen i tide for å ivareta informasjonssikkerhetsaktivitet på tvers av organisasjonen.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
27002:2022-5.37 erstatter 27002:2013-12.1.1 (Dokumenterte driftsprosedyrer).
27002:2022-5.37 utvider 27002:2013-12.1.1 ved å tilby et mye bredere sett av omstendigheter som vil rettferdiggjøre overholdelse av en dokumentprosedyre.
27002:2013-12.1.1 lister informasjonsbehandlingsaktiviteter som prosedyrer for oppstart og avslutning av datamaskiner, sikkerhetskopiering, vedlikehold av utstyr, mediehåndtering, mens 27002:2022-5.37 utvider kontrollens ansvarsområde til generaliserte aktiviteter som ikke er begrenset til spesifikke tekniske funksjoner.
Bortsett fra noen få mindre tillegg – som å kategorisere personene som er ansvarlige for en aktivitet – inneholder 27002:2022-5.37 de samme generelle retningslinjene som 27002:2013-12.1.1
ISO 27002 implementeringen er enklere med vår trinnvise sjekkliste som guider deg gjennom hele prosessen, fra å definere omfanget av ISMS-en din til risikoidentifikasjon og kontrollimplementering.
Ta kontakt i dag for å bestill en demo.
Det hjelper å drive oppførselen vår på en positiv måte som fungerer for oss
og vår kultur.
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
5.7 | Ny | Trusselintelligens |
5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
5.30 | Ny | IKT-beredskap for forretningskontinuitet |
7.4 | Ny | Fysisk sikkerhetsovervåking |
8.9 | Ny | Konfigurasjonsstyring |
8.10 | Ny | Sletting av informasjon |
8.11 | Ny | Datamaskering |
8.12 | Ny | Forebygging av datalekkasje |
8.16 | Ny | Overvåking av aktiviteter |
8.23 | Ny | Web-filtrering |
8.28 | Ny | Sikker koding |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
6.4 | 07.2.3 | Disiplinær prosess |
6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
6.7 | 06.2.2 | Fjernarbeid |
6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
---|---|---|
7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
7.4 | Ny | Fysisk sikkerhetsovervåking |
7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
7.6 | 11.1.5 | Arbeid i sikre områder |
7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
7.11 | 11.2.2 | Støtteverktøy |
7.12 | 11.2.3 | Kablingssikkerhet |
7.13 | 11.2.4 | Vedlikehold av utstyr |
7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |