ISO 27002: 2022, kontroll 5.4, Ledelsesansvar dekker ledelsens behov for å sikre at alt personell holder seg til alle temaspesifikke retningslinjer og prosedyrer for informasjonssikkerhet som definert i organisasjonens etablerte informasjonssikkerhetspolicy.
An informasjonssikkerhetspolicy er et formelt dokument som gir ledelsesretning, mål og prinsipper for å beskytte en organisasjons informasjon. An effektiv informasjonssikkerhetspolicy bør skreddersys til de spesifikke behovene til en organisasjon og støttes av toppledelsen for å sikre hensiktsmessig allokering av ressurser.
Policyen kommuniserer de overordnede prinsippene for hvordan ledelsen ønsker at ansatte skal håndtere sensitive data og hvordan selskapet vil beskytte informasjonsmidlene sine.
Politikken er ofte utledet fra lover, forskrifter og beste praksis som organisasjonen må følge. Informasjonssikkerhetspolicyer lages vanligvis av en organisasjons toppledelse, med innspill fra IT-sikkerhetspersonalet.
Retningslinjer bør også inneholde et rammeverk for definere roller og ansvar og en tidslinje for periodisk gjennomgang.
Attributter er en måte å kategorisere ulike typer kontroller. Disse attributtene lar deg justere kontrollene dine etter industristandarder. I kontroll 5.4 er de:
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere | #Styresett | #Governance og økosystem |
ISMS.online vil spare deg for tid og penger
Få ditt tilbudKontroll 5.4 ble designet for å sikre at ledelsen forstår sitt ansvar innen informasjonssikkerhet og at de tar skritt for å sikre at alle ansatte er bevisst av og oppfylle sine informasjonssikkerhetsforpliktelser.
Informasjon er en verdifull ressurs og må beskyttes mot tap, skade eller misbruk. Organisasjonen skal sikre at det iverksettes passende tiltak for å beskytte denne eiendelen. For at dette skal skje, må ledelsen sørge for at alt personell følger all informasjonssikkerhetspolicy, temaspesifikke retningslinjer og prosedyrer i organisasjonen.
Kontroll 5.4 dekker formål og implementeringsveiledning for å definere ledelsesansvar med hensyn til informasjonssikkerhet i en organisasjon i tråd med rammeverket til ISO 27001.
Denne kontrollen handler om å sørge for det ledelsen er med på informasjonssikkerhetsprogrammet og at alle ansatte og entreprenører kjenner til og følger organisasjonens informasjonssikkerhetspolicy. Ingen skal noen gang være unntatt fra obligatorisk overholdelse av organisasjonens sikkerhetspolicyer, emnespesifikke retningslinjer og prosedyrer.
Nøkkelen til å oppfylle kravene til denne kontrollen er å sikre at ledelsen er i stand til å tvinge alt relevant personell til å følge organisasjonens retningslinjer, standarder og prosedyrer for informasjonssikkerhet.
Det første trinnet er ledelsens innkjøp og støtte. Ledelsen må vise sitt engasjement ved å følge gjennom alle retningslinjer og prosedyrer den setter på plass. For eksempel hvis du krever at arbeidere skal ta årlig sikkerhetsbevissthet opplæringskurs, bør ledere gå foran som et godt eksempel og fullføre disse kursene først.
Deretter kommer det å kommunisere viktigheten av informasjonssikkerhet til alle i selskapet, uavhengig av deres rolle. Dette inkluderer styre, ledere og ledelse, samt ansatte. Alle må forstå sin rolle i å opprettholde sikkerhet for sensitive data som dekket i selskapets ISMS programmer.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Siden migreringen har vi vært i stand til å redusere tiden brukt på administrasjon.
ISO 27002:2022 kontroll 5.4 Lederansvar ble tidligere kjent som kontroll 7.2.1 Lederansvar i ISO 27002:2013. Dette er ikke en ny kontroll, men en mer robust tolkning av 2013-versjonen.
Mens kontroll 5.4 og kontroll 7.2.1 stort sett dekker det samme, er det få forskjeller som organisasjoner og bedriftsledere bør legge merke til. Disse forskjellene er dekket i implementeringsveiledningen for kontrollen.
I ISO 27002: 2013 dekker ledelsesansvar å sikre at ansatte og kontraktører:
a) er ordentlig orientert om deres informasjonssikkerhetsroller og -ansvar før du får tilgang til konfidensiell informasjon eller informasjonssystemer;
b) er utstyrt med retningslinjer for å angi informasjonssikkerhetsforventninger til deres rolle innenfor
Organisasjon;
c) er motivert til å oppfylle organisasjonens retningslinjer for informasjonssikkerhet;
d) oppnå et bevissthetsnivå om informasjonssikkerhet som er relevant for deres roller og ansvar i organisasjonen;
e) samsvare med ansettelsesvilkårene, som inkluderer organisasjonens informasjonssikkerhetspolicy og passende arbeidsmetoder;
f) fortsette å ha passende ferdigheter og kvalifikasjoner og utdannes regelmessig;
g) er utstyrt med en anonym rapporteringskanal for å rapportere brudd på retningslinjer eller prosedyrer for informasjonssikkerhet ("whistle blowing").
Ledelsen bør demonstrere støtte til retningslinjer, prosedyrer og kontroller for informasjonssikkerhet, og fungere som en rollemodell.
Control 5.4 er en mer brukervennlig versjon og krever at ledelsesansvar sikrer at ansatte og kontraktører:
a) Blir riktig informert om deres informasjonssikkerhetsroller og -ansvar før de får tilgang til organisasjonens informasjon og andre tilhørende eiendeler;
b) Er utstyrt med retningslinjer som angir forventningene om informasjonssikkerhet til deres rolle i organisasjonen;
c) Har mandat til å oppfylle informasjonssikkerhetspolitikken og emnespesifikke retningslinjer for organisasjonen;
d) Oppnå et bevissthetsnivå om informasjonssikkerhet som er relevant for deres roller og ansvar i organisasjonen;
e) Overholdelse av vilkårene for ansettelse, kontrakt eller avtale, inkludert organisasjonens informasjonssikkerhetspolicy og hensiktsmessige arbeidsmetoder;
f) Fortsette å ha passende informasjonssikkerhetsferdigheter og kvalifikasjoner gjennom pågående faglig utdanning;
g) Der det er praktisk mulig, er de utstyrt med en konfidensiell kanal for rapportering av brudd på retningslinjer for informasjonssikkerhet, emnespesifikke retningslinjer eller prosedyrer for informasjonssikkerhet ("varsling"). Dette kan tillate anonym rapportering, eller ha bestemmelser for å sikre at kunnskap om identiteten til rapportereren er kjent kun for de som trenger å håndtere slike rapporter;
h) Får tilstrekkelige ressurser og prosjektplanleggingstid for implementering av organisasjonens sikkerhetsrelaterte prosesser og kontroller.
Som du kan se, krever ISO 27002:2022 spesifikt at for å utføre organisasjonens sikkerhetsrelaterte prosedyrer og kontroller, får arbeidere og entreprenører nødvendige ressurser samt prosjektplanleggingstid.
Ordlydene i noen av implementeringsretningslinjene til ISO 27002:2013 vs ISO 27002:2020 ble også påvirket. Der retningslinje C i 2013-versjonen sier at ansatte og kontraktører er "motivert" til å ta i bruk selskapets ISMS-policyer, bruker 2022 ordet "mandat"
Svaret på dette spørsmålet er ganske enkelt: ledelsen! Det er ledelsens ansvar å sørge for at et forsvarlig ISMS (Information Security Management System) implementeres.
Dette støttes normalt av utnevnelsen av en passende kvalifisert og erfaren informasjonssikkerhetssjef, som vil være ansvarlig overfor toppledelsen for å utvikle, implementere, administrere og kontinuerlig forbedre ISMS.
En av de største utfordringene med å implementere en ISO 27001-justert ISMS holder oversikt over informasjonssikkerhetskontrollene dine. Systemet vårt gjør dette enkelt.
Vi forstår viktigheten av beskytte organisasjonens data og omdømme. Det er derfor vår skybaserte plattform er designet for å forenkle implementeringen av ISO 27001, gi deg et robust rammeverk av informasjonssikkerhetskontroller og hjelpe deg med å oppnå sertifisering med minimale ressurser og tid.
Vi har inkludert en rekke brukervennlige funksjoner og verktøysett inn i plattformen vår for å spare deg tid og garantere at du lager et virkelig robust ISMS. Med ISMS.online, kan du enkelt oppnå ISO 27001-sertifisering og etterpå enkelt administrere den.
Bestill en demonstrasjon i dag.
ISMS.online er en
one-stop-løsning som radikalt fremskyndet implementeringen vår.
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
