Inventar over informasjon og andre tilknyttede eiendeler

Hva er Kontroll 5.9 Inventar av informasjon og andre tilknyttede eiendeler?

Kontroll 5.9 i den reviderte ISO 27002:2022 beskriver hvordan en oversikt over informasjon og andre tilhørende eiendeler, inkludert eiere, bør utvikles og vedlikeholdes.

Inventar av informasjonsressurser forklart

For å kunne utføre sine aktiviteter må organisasjonen vite hvilke informasjonsmidler den har til rådighet.

An inventar av informasjonsmidler (IA) er en liste over alt en organisasjon lagrer, behandler eller overfører. Den inkluderer også plassering og sikkerhetskontroller for hvert element. Målet er å identifisere hver enkelt databit. Du kan tenke på det som det økonomiske regnskapsekvivalenten for databeskyttelse.

En IA kan brukes til å identifisere hull i din sikkerhetsprogram og informere cyberrisikovurderinger hvor du kan ha sårbarheter som kan føre til et brudd. Det kan også brukes som bevis under samsvarsrevisjoner at du har gjort due diligence med å identifisere dine sensitive data, noe som hjelper deg med å unngå bøter og straffer.

Ocuco inventar av informasjonsmidler bør også inkludere detaljer om hvem som eier hver eiendel og hvem som forvalter den. Den bør også inneholde informasjon om verdien av hver vare i beholdningen og hvor kritisk den er for suksessen til organisasjonens forretningsdrift.

Det er viktig at varelager holdes oppdatert slik at de reflekterer endringer i organisasjonen.

Hvorfor trenger jeg en oversikt over informasjonsressurser?

Informasjonsforvaltning har en lang historie innen forretningskontinuitetsplanlegging (BCP), katastrofegjenoppretting (DR) og hendelsesresponsplanlegging.

Det første trinnet i en av disse prosessene innebærer å identifisere kritiske systemer, nettverk, databaser, applikasjoner, datastrømmer og andre komponenter som trenger beskyttelse. Hvis du ikke vet hva som må beskyttes eller hvor det befinner seg, kan du ikke planlegge for hvordan du skal beskytte det!

ISMS.online gir deg et forsprang på 81 % fra det øyeblikket du logger deg på

ISO 27001 gjort enkelt

Vi har gjort det harde arbeidet for deg, og gir deg 81 % forsprang fra det øyeblikket du logger på. Alt du trenger å gjøre er å fylle ut de tomme feltene.

KOM I GANG

Attributttabell for kontroll 5.9

Kontroller klassifiseres ved hjelp av attributter. Ved å bruke disse kan du raskt matche kontrollutvalget ditt med ofte brukte bransjetermer og spesifikasjoner.

Denne tabellen utfyller arbeid som mange kunder for tiden utfører som en del av deres risikovurdering og SOA ved å identifisere konfidensialiteten, integritet og tilgjengelighet – og andre faktorer. I kontroll 5.9 er attributtene:

Kontrolltype	Informasjonssikkerhetsegenskaper	Konsepter for cybersikkerhet	Operasjonelle evner	Sikkerhetsdomener
#Forebyggende	#Konfidensialitet	#Identifisere	# Asset management	#Governance og økosystem
	#Integritet			#Beskyttelse
	#Tilgjengelighet

Hva er hensikten med kontroll 5.9?

Formålet med denne kontrollen er å identifisere organisasjonens informasjon og andre tilhørende eiendeler for å bevare deres informasjonssikkerhet og tildele passende eierskap.

Kontroll 5.9 dekker kontroll, formål og implementeringsveiledning for å lage en oversikt over informasjon og andre tilknyttede eiendeler i tråd med ISMS-rammeverket som definert av ISO 27001.

Kontrollen krever å ta en oversikt over all informasjon og andre tilknyttede eiendeler, klassifisere dem i forskjellige kategorier, identifisere deres eiere og dokumentere kontrollene som er eller bør være på plass.

Dette er et avgjørende skritt mot å sikre at alle informasjonsressurser er tilstrekkelig beskyttet.

Hva er involvert og hvordan du oppfyller kravene

Til oppfylle kravene til den nye ISO 27002:2022, må du identifisere informasjonen og andre tilknyttede eiendeler i organisasjonen din. Deretter bør du bestemme viktigheten av disse elementene når det gjelder informasjonssikkerhet. Hvis det er hensiktsmessig, bør dokumentasjon opprettholdes i dedikerte eller eksisterende varelager.

Tilnærmingen til å utvikle en inventar vil variere avhengig av en organisasjons størrelse og kompleksitet, dens eksisterende kontroller og retningslinjer, og typen informasjon og andre tilhørende eiendeler den bruker.

I henhold til kontroll 5.9 skal beholdningen av informasjon og andre tilknyttede eiendeler være nøyaktig, oppdatert, konsistent og på linje med andre beholdninger. Alternativer for å sikre nøyaktigheten av en beholdning av informasjon og andre tilknyttede eiendeler inkluderer:

a) gjennomføre regelmessige gjennomganger av identifisert informasjon og andre tilknyttede eiendeler mot eiendelbeholdningen;

b) automatisk håndheve en inventaroppdatering i prosessen med å installere, endre eller fjerne en ressurs.

Plasseringen av en eiendel bør inkluderes i beholdningen etter behov.

Noen organisasjoner kan ha behov for å vedlikeholde flere varelager for forskjellige formål. For eksempel har noen organisasjoner dedikerte varelager for programvarelisenser eller for fysisk utstyr som bærbare datamaskiner og nettbrett.

Andre kan ha en enkelt beholdning som inkluderer alt fysisk utstyr, inkludert nettverksenheter som rutere og svitsjer. Det er viktig at slike varebeholdninger jevnlig gjennomgås for å sikre at de holdes oppdatert slik at de kan brukes til å hjelpe med risikostyring aktiviteter.

Mer informasjon om oppfyllelse av kravene til kontroll 5.9 finnes i det nye ISO 27002:2022-dokumentet.

ISMS.online støtter over 100 standarder og forskrifter, og gir deg én enkelt plattform for alle dine samsvarsbehov.

Bestill demoen din

Forskjeller mellom ISO 27002:2013 og ISO 27002:2022

I ISO 27002: 2022 ble 57 kontroller fra ISO 27002: 2013 slått sammen til 24 kontroller. Så du vil ikke finne kontroll 5.9 som Inventory of Information and Other Assets Assets i 2013-versjonen. Snarere i 2022-versjonen er det en kombinasjon av kontroll 8.1.1 Beholdning av eiendeler og kontroll 8.1.2 Eierskap til eiendeler.

Hensikten med kontroll 8.1.1 Inventar av eiendeler er å sikre at alle informasjonsressurser er identifisert, dokumentert og regelmessig gjennomgått, og passende prosesser og prosedyrer er på plass for å sikre at denne beholdningen er trygg.

Kontroll 8.1.2 Eierskap til eiendeler er ansvarlig for å sikre at alle informasjonsmidler under deres kontroll er korrekt identifisert og eies. Å vite hvem som eier hva kan hjelpe deg med å finne ut hvilke eiendeler du trenger å beskytte, og hvem du må holde ansvarlig overfor.

Mens begge kontrollene i ISO 27002:2013 ligner kontroll 5.9 i ISO 27002:2022, har sistnevnte blitt utvidet for å gi en mer brukervennlig tolkning. For eksempel sier implementeringsveiledningen for eierskap av eiendeler i kontroll 8.1.2 at eiendelseieren skal:

a) sikre at eiendeler er inventar;

b) sikre at eiendeler er riktig klassifisert og beskyttet;

c) definere og periodisk gjennomgå tilgangsbegrensninger og klassifiseringer til viktige eiendeler, med hensyn til gjeldende retningslinjer for tilgangskontroll;

d) sikre forsvarlig håndtering når eiendelen slettes eller destrueres.

Disse 4 punktene er utvidet til 9 punkter i eierskapsdelen av kontroll 5.9.

Ocuco Eiendelseier bør være ansvarlig for forsvarlig forvaltning av en eiendel over hele eiendelens livssyklus, og sikrer at:

a) informasjon og andre tilknyttede eiendeler er inventarisert;

b) informasjon og andre tilknyttede eiendeler er hensiktsmessig klassifisert og beskyttet;

c) klassifiseringen vurderes med jevne mellomrom;

d) komponenter som støtter teknologiske eiendeler er listet opp og koblet sammen, for eksempel database, lagring, programvarekomponenter og underkomponenter;

e) krav til akseptabel bruk av informasjon og andre tilhørende eiendeler (se 5.10) er etablert;

f) tilgangsbegrensninger samsvarer med klassifiseringen og at de er effektive og vurderes med jevne mellomrom;

g) informasjon og andre tilknyttede eiendeler, når de slettes eller avhendes, håndteres på en sikker måte og fjernes fra inventaret;

h) de er involvert i identifisering og styring av risikoer knyttet til deres eiendel(e);

i) de støtter personell som har roller og ansvar for å administrere informasjonen deres.

Å slå sammen disse to kontrollene til én gir bedre forståelse for brukeren.

Bygg inn, utvid og skaler samsvarsstyringen din uten rot. IO gir deg robustheten og selvtilliten til å vokse sikkert.

Bestill demoen din

Hva betyr disse endringene for deg?

De siste ISO 27002-modifikasjonene har ingen innvirkning på din nåværende sertifisering mot ISO 27001-standarder. ISO 27001-oppgraderinger er de eneste som har innflytelse på eksisterende sertifiseringer, og akkrediteringsorganer vil samarbeide med sertifiseringsorganene for å utvikle en overgangssyklus som vil gi organisasjoner som har ISO 27001-sertifikater tilstrekkelig tid til å overføre fra en versjon til en annen.

Når det er sagt, må følgende trinn følges for å møte den reviderte versjonen:

Sørg for at bedriften din er i samsvar med det nye kravet ved å gå gjennom din risikoregister og din risikohåndtering øver.
SoA bør revideres for å gjenspeile endringer i Vedlegg A.
Dine retningslinjer og prosesser bør oppdateres for å overholde de nye forskriftene.

Ny beste praksis og kvaliteter for kontrollutvelgelse vil være tilgjengelig i overgangstiden til den nye standarden, som vil gi en mer effektiv og effektiv utvelgelsesprosess.

På grunn av dette bør du fortsette å bruke en risikobasert tilnærming for å sikre at kun de mest relevante og effektive kontrollene er valgt for din virksomhet.

Nye ISO 27002 kontroller

Nye kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.7	NEW	Trusselintelligens
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.30	NEW	IKT-beredskap for forretningskontinuitet
7.4	NEW	Fysisk sikkerhetsovervåking
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.16	NEW	Overvåking av aktiviteter
8.23	NEW	Web-filtrering
8.28	NEW	Sikker koding

Organisasjonskontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
5.1	05.1.1, 05.1.2	Retningslinjer for informasjonssikkerhet
5.2	06.1.1	Informasjonssikkerhetsroller og ansvar
5.3	06.1.2	Ansvarsfordeling
5.4	07.2.1	Lederansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med interessegrupper
5.7	NEW	Trusselintelligens
5.8	06.1.5, 14.1.1	Informasjonssikkerhet i prosjektledelse
5.9	08.1.1, 08.1.2	Inventar av informasjon og andre tilhørende eiendeler
5.10	08.1.3, 08.2.3	Akseptabel bruk av informasjon og andre tilhørende eiendeler
5.11	08.1.4	Retur av eiendeler
5.12	08.2.1	Klassifisering av informasjon
5.13	08.2.2	Merking av informasjon
5.14	13.2.1, 13.2.2, 13.2.3	Informasjonsoverføring
5.15	09.1.1, 09.1.2	Adgangskontroll
5.16	09.2.1	Identitetsadministrasjon
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformasjon
5.18	09.2.2, 09.2.5, 09.2.6	Tilgangsrettigheter
5.19	15.1.1	Informasjonssikkerhet i leverandørforhold
5.20	15.1.2	Ta opp informasjonssikkerhet innenfor leverandøravtaler
5.21	15.1.3	Håndtere informasjonssikkerhet i IKT-leverandørkjeden
5.22	15.2.1, 15.2.2	Overvåking, gjennomgang og endringsledelse av leverandørtjenester
5.23	NEW	Informasjonssikkerhet for bruk av skytjenester
5.24	16.1.1	Informasjonssikkerhet hendelseshåndtering planlegging og forberedelse
5.25	16.1.4	Vurdering og beslutning om informasjonssikkerhetshendelser
5.26	16.1.5	Respons på informasjonssikkerhetshendelser
5.27	16.1.6	Lær av informasjonssikkerhetshendelser
5.28	16.1.7	Innsamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informasjonssikkerhet under avbrudd
5.30	5.30	IKT-beredskap for forretningskontinuitet
5.31	18.1.1, 18.1.5	Juridiske, lovpålagte, regulatoriske og kontraktsmessige krav
5.32	18.1.2	Immaterielle rettigheter
5.33	18.1.3	Beskyttelse av poster
5.34	18.1.4	Personvern og beskyttelse av PII
5.35	18.2.1	Uavhengig gjennomgang av informasjonssikkerhet
5.36	18.2.2, 18.2.3	Overholdelse av retningslinjer, regler og standarder for informasjonssikkerhet
5.37	12.1.1	Dokumenterte driftsprosedyrer

Personkontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
6.1	07.1.1	Screening
6.2	07.1.2	Vilkår og betingelser for ansettelsen
6.3	07.2.2	Informasjonssikkerhetsbevissthet, utdanning og opplæring
6.4	07.2.3	Disiplinær prosess
6.5	07.3.1	Ansvar etter oppsigelse eller endring av arbeidsforhold
6.6	13.2.4	Avtaler om konfidensialitet eller taushetsplikt
6.7	06.2.2	Fjernarbeid
6.8	16.1.2, 16.1.3	Informasjonssikkerhet hendelsesrapportering

Fysiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
7.1	11.1.1	Fysiske sikkerhetsomkretser
7.2	11.1.2, 11.1.6	Fysisk inngang
7.3	11.1.3	Sikring av kontorer, rom og fasiliteter
7.4	NEW	Fysisk sikkerhetsovervåking
7.5	11.1.4	Beskyttelse mot fysiske og miljømessige trusler
7.6	11.1.5	Arbeid i sikre områder
7.7	11.2.9	Oversiktlig skrivebord og oversiktlig skjerm
7.8	11.2.1	Utstyrsplassering og beskyttelse
7.9	11.2.6	Sikkerhet av eiendeler utenfor lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedier
7.11	11.2.2	Støtteverktøy
7.12	11.2.3	Kablingssikkerhet
7.13	11.2.4	Vedlikehold av utstyr
7.14	11.2.7	Sikker avhending eller gjenbruk av utstyr

Teknologiske kontroller

ISO/IEC 27002:2022 kontrollidentifikator	ISO/IEC 27002:2013 kontrollidentifikator	Kontrollnavn
8.1	06.2.1, 11.2.8	Brukerendepunktsenheter
8.2	09.2.3	Privilegerte tilgangsrettigheter
8.3	09.4.1	Begrensning av informasjonstilgang
8.4	09.4.5	Tilgang til kildekode
8.5	09.4.2	Sikker autentisering
8.6	12.1.3	Kapasitetsstyring
8.7	12.2.1	Beskyttelse mot skadelig programvare
8.8	12.6.1, 18.2.3	Håndtering av tekniske sårbarheter
8.9	NEW	Konfigurasjonsstyring
8.10	NEW	Sletting av informasjon
8.11	NEW	Datamaskering
8.12	NEW	Forebygging av datalekkasje
8.13	12.3.1	Sikkerhetskopiering av informasjon
8.14	17.2.1	Redundans av informasjonsbehandlingsanlegg
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NEW	Overvåking av aktiviteter
8.17	12.4.4	Kloksynkronisering
8.18	09.4.4	Bruk av privilegerte hjelpeprogrammer
8.19	12.5.1, 12.6.2	Installasjon av programvare på operasjonssystemer
8.20	13.1.1	Nettverkssikkerhet
8.21	13.1.2	Sikkerhet for nettverkstjenester
8.22	13.1.3	Segregering av nettverk
8.23	NEW	Web-filtrering
8.24	10.1.1, 10.1.2	Bruk av kryptografi
8.25	14.2.1	Sikker utviklingslivssyklus
8.26	14.1.2, 14.1.3	Krav til applikasjonssikkerhet
8.27	14.2.5	Sikker systemarkitektur og tekniske prinsipper
8.28	NEW	Sikker koding
8.29	14.2.8, 14.2.9	Sikkerhetstesting i utvikling og aksept
8.30	14.2.7	Utkontraktert utvikling
8.31	12.1.4, 14.2.6	Separasjon av utviklings-, test- og produksjonsmiljøer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Endringsledelse
8.33	14.3.1	Testinformasjon
8.34	12.7.1	Beskyttelse av informasjonssystemer under revisjonstesting

Hvordan ISMS.online hjelper

Du kan bruk ISMS.online for å administrere din ISO 27002-implementering, ettersom den er designet spesielt for å hjelpe et selskap med å implementere deres styringssystem for informasjonssikkerhet (ISMS) for å oppfylle kravene i ISO 27002.

Plattformen bruker en risikobasert tilnærming kombinert med bransjeledende beste praksis og maler for å hjelpe deg med å identifisere risikoene organisasjonen står overfor og kontrollene som er nødvendige for å håndtere disse risikoene. Dette lar deg systematisk redusere både risikoeksponeringen og etterlevelseskostnadene.

Ved hjelp av ISMS.online du kan:

Implementer raskt et styringssystem for informasjonssikkerhet (ISMS).
Administrer enkelt dokumentasjonen til ISMS.
Strømlinjeform overholdelse av alle relevante standarder.
Administrer alle aspekter av informasjonssikkerhet, fra risikostyring til opplæring i sikkerhetsbevissthet.
Kommuniser effektivt gjennom hele organisasjonen ved å bruke vår innebygde kommunikasjonsfunksjonalitet.

Ocuco ISMS.online plattform er basert på Plan-Do-Check-Act (PDCA), en iterativ fire-trinns prosess for kontinuerlig forbedring, og den oppfyller alle kravene i ISO 27002:2022. Det er en enkel sak å opprette en gratis prøvekonto og følge trinnene vi tilbyr.

Ta kontakt i dag for å bestill en demo.

Vi er ledende innen vårt felt