Kontroll 5.9 i den reviderte ISO 27002:2022 beskriver hvordan en oversikt over informasjon og andre tilhørende eiendeler, inkludert eiere, bør utvikles og vedlikeholdes.
For å kunne utføre sine aktiviteter må organisasjonen vite hvilke informasjonsmidler den har til rådighet.
An inventar av informasjonsmidler (IA) er en liste over alt en organisasjon lagrer, behandler eller overfører. Den inkluderer også plassering og sikkerhetskontroller for hvert element. Målet er å identifisere hver enkelt databit. Du kan tenke på det som det økonomiske regnskapsekvivalenten for databeskyttelse.
En IA kan brukes til å identifisere hull i din sikkerhetsprogram og informere cyberrisikovurderinger hvor du kan ha sårbarheter som kan føre til et brudd. Det kan også brukes som bevis under samsvarsrevisjoner at du har gjort due diligence med å identifisere dine sensitive data, noe som hjelper deg med å unngå bøter og straffer.
De inventar av informasjonsmidler bør også inkludere detaljer om hvem som eier hver eiendel og hvem som forvalter den. Den bør også inneholde informasjon om verdien av hver vare i beholdningen og hvor kritisk den er for suksessen til organisasjonens forretningsdrift.
Det er viktig at varelager holdes oppdatert slik at de reflekterer endringer i organisasjonen.
Informasjonsforvaltning har en lang historie innen forretningskontinuitetsplanlegging (BCP), katastrofegjenoppretting (DR) og hendelsesresponsplanlegging.
Det første trinnet i en av disse prosessene innebærer å identifisere kritiske systemer, nettverk, databaser, applikasjoner, datastrømmer og andre komponenter som trenger beskyttelse. Hvis du ikke vet hva som må beskyttes eller hvor det befinner seg, kan du ikke planlegge for hvordan du skal beskytte det!
Kontroller klassifiseres ved hjelp av attributter. Ved å bruke disse kan du raskt matche kontrollutvalget ditt med ofte brukte bransjetermer og spesifikasjoner.
Denne tabellen utfyller arbeid som mange kunder for tiden utfører som en del av deres risikovurdering og SOA ved å identifisere konfidensialiteten, integritet og tilgjengelighet – og andre faktorer. I kontroll 5.9 er attributtene:
| Kontrolltype | Informasjonssikkerhetsegenskaper | Konsepter for cybersikkerhet | Operasjonelle evner | Sikkerhetsdomener |
|---|---|---|---|---|
| #Forebyggende | #Konfidensialitet #Integritet #Tilgjengelighet | #Identifisere | # Asset management | #Governance and Ecosystem #Beskyttelse |
Formålet med denne kontrollen er å identifisere organisasjonens informasjon og andre tilhørende eiendeler for å bevare deres informasjonssikkerhet og tildele passende eierskap.
Kontroll 5.9 dekker kontroll, formål og implementeringsveiledning for å lage en oversikt over informasjon og andre tilknyttede eiendeler i tråd med ISMS-rammeverket som definert av ISO 27001.
Kontrollen krever å ta en oversikt over all informasjon og andre tilknyttede eiendeler, klassifisere dem i forskjellige kategorier, identifisere deres eiere og dokumentere kontrollene som er eller bør være på plass.
Dette er et avgjørende skritt mot å sikre at alle informasjonsressurser er tilstrekkelig beskyttet.
Vi gir deg et forsprang på 81 %
fra det øyeblikket du logger inn
Bestill demoen din
Vi er så glade for at vi fant denne løsningen, den gjorde at alt passet sammen lettere.
Til oppfylle kravene til den nye ISO 27002:2022, må du identifisere informasjonen og andre tilknyttede eiendeler i organisasjonen din. Deretter bør du bestemme viktigheten av disse elementene når det gjelder informasjonssikkerhet. Hvis det er hensiktsmessig, bør dokumentasjon opprettholdes i dedikerte eller eksisterende varelager.
Tilnærmingen til å utvikle en inventar vil variere avhengig av en organisasjons størrelse og kompleksitet, dens eksisterende kontroller og retningslinjer, og typen informasjon og andre tilhørende eiendeler den bruker.
I henhold til kontroll 5.9 skal beholdningen av informasjon og andre tilknyttede eiendeler være nøyaktig, oppdatert, konsistent og på linje med andre beholdninger. Alternativer for å sikre nøyaktigheten av en beholdning av informasjon og andre tilknyttede eiendeler inkluderer:
a) gjennomføre regelmessige gjennomganger av identifisert informasjon og andre tilknyttede eiendeler mot eiendelbeholdningen;
b) automatisk håndheve en inventaroppdatering i prosessen med å installere, endre eller fjerne en ressurs.
Plasseringen av en eiendel bør inkluderes i beholdningen etter behov.
Noen organisasjoner kan ha behov for å vedlikeholde flere varelager for forskjellige formål. For eksempel har noen organisasjoner dedikerte varelager for programvarelisenser eller for fysisk utstyr som bærbare datamaskiner og nettbrett.
Andre kan ha en enkelt beholdning som inkluderer alt fysisk utstyr, inkludert nettverksenheter som rutere og svitsjer. Det er viktig at slike varebeholdninger jevnlig gjennomgås for å sikre at de holdes oppdatert slik at de kan brukes til å hjelpe med risikostyring aktiviteter.
Mer informasjon om oppfyllelse av kravene til kontroll 5.9 finnes i det nye ISO 27002:2022-dokumentet.
I ISO 27002: 2022 ble 57 kontroller fra ISO 27002: 2013 slått sammen til 24 kontroller. Så du vil ikke finne kontroll 5.9 som Inventory of Information and Other Assets Assets i 2013-versjonen. Snarere i 2022-versjonen er det en kombinasjon av kontroll 8.1.1 Beholdning av eiendeler og kontroll 8.1.2 Eierskap til eiendeler.
Hensikten med kontroll 8.1.1 Inventar av eiendeler er å sikre at alle informasjonsressurser er identifisert, dokumentert og regelmessig gjennomgått, og passende prosesser og prosedyrer er på plass for å sikre at denne beholdningen er trygg.
Kontroll 8.1.2 Eierskap til eiendeler er ansvarlig for å sikre at alle informasjonsmidler under deres kontroll er korrekt identifisert og eies. Å vite hvem som eier hva kan hjelpe deg med å finne ut hvilke eiendeler du trenger å beskytte, og hvem du må holde ansvarlig overfor.
Mens begge kontrollene i ISO 27002:2013 ligner kontroll 5.9 i ISO 27002:2022, har sistnevnte blitt utvidet for å gi en mer brukervennlig tolkning. For eksempel sier implementeringsveiledningen for eierskap av eiendeler i kontroll 8.1.2 at eiendelseieren skal:
a) sikre at eiendeler er inventar;
b) sikre at eiendeler er riktig klassifisert og beskyttet;
c) definere og periodisk gjennomgå tilgangsbegrensninger og klassifiseringer til viktige eiendeler, med hensyn til gjeldende retningslinjer for tilgangskontroll;
d) sikre forsvarlig håndtering når eiendelen slettes eller destrueres.
Disse 4 punktene er utvidet til 9 punkter i eierskapsdelen av kontroll 5.9.
De Eiendelseier bør være ansvarlig for forsvarlig forvaltning av en eiendel over hele eiendelens livssyklus, og sikrer at:
a) informasjon og andre tilknyttede eiendeler er inventarisert;
b) informasjon og andre tilknyttede eiendeler er hensiktsmessig klassifisert og beskyttet;
c) klassifiseringen vurderes med jevne mellomrom;
d) komponenter som støtter teknologiske eiendeler er listet opp og koblet sammen, for eksempel database, lagring, programvarekomponenter og underkomponenter;
e) krav til akseptabel bruk av informasjon og andre tilhørende eiendeler (se 5.10) er etablert;
f) tilgangsbegrensninger samsvarer med klassifiseringen og at de er effektive og vurderes med jevne mellomrom;
g) informasjon og andre tilknyttede eiendeler, når de slettes eller avhendes, håndteres på en sikker måte og fjernes fra inventaret;
h) de er involvert i identifisering og styring av risikoer knyttet til deres eiendel(e);
i) de støtter personell som har roller og ansvar for å administrere informasjonen deres.
Å slå sammen disse to kontrollene til én gir bedre forståelse for brukeren.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
Siden migreringen har vi vært i stand til å redusere tiden brukt på administrasjon.
De siste ISO 27002-modifikasjonene har ingen innvirkning på din nåværende sertifisering mot ISO 27001-standarder. ISO 27001-oppgraderinger er de eneste som har innflytelse på eksisterende sertifiseringer, og akkrediteringsorganer vil samarbeide med sertifiseringsorganene for å utvikle en overgangssyklus som vil gi organisasjoner som har ISO 27001-sertifikater tilstrekkelig tid til å overføre fra en versjon til en annen.
Når det er sagt, må følgende trinn følges for å møte den reviderte versjonen:
Ny beste praksis og kvaliteter for kontrollutvelgelse vil være tilgjengelig i overgangstiden til den nye standarden, som vil gi en mer effektiv og effektiv utvelgelsesprosess.
På grunn av dette bør du fortsette å bruke en risikobasert tilnærming for å sikre at kun de mest relevante og effektive kontrollene er valgt for din virksomhet.
Du kan bruk ISMS.online for å administrere din ISO 27002-implementering, ettersom den er designet spesielt for å hjelpe et selskap med å implementere deres styringssystem for informasjonssikkerhet (ISMS) for å oppfylle kravene i ISO 27002.
Plattformen bruker en risikobasert tilnærming kombinert med bransjeledende beste praksis og maler for å hjelpe deg med å identifisere risikoene organisasjonen står overfor og kontrollene som er nødvendige for å håndtere disse risikoene. Dette lar deg systematisk redusere både risikoeksponeringen og etterlevelseskostnadene.
Ved hjelp av ISMS.online du kan:
De ISMS.online plattform er basert på Plan-Do-Check-Act (PDCA), en iterativ fire-trinns prosess for kontinuerlig forbedring, og den oppfyller alle kravene i ISO 27002:2022. Det er en enkel sak å opprette en gratis prøvekonto og følge trinnene vi tilbyr.
Ta kontakt i dag for å bestill en demo.
Bestill en skreddersydd hands-on økt
basert på dine behov og mål
Bestill demoen din
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 5.7 | Ny | Trusselintelligens |
| 5.23 | Ny | Informasjonssikkerhet for bruk av skytjenester |
| 5.30 | Ny | IKT-beredskap for forretningskontinuitet |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 8.9 | Ny | Konfigurasjonsstyring |
| 8.10 | Ny | Sletting av informasjon |
| 8.11 | Ny | Datamaskering |
| 8.12 | Ny | Forebygging av datalekkasje |
| 8.16 | Ny | Overvåking av aktiviteter |
| 8.23 | Ny | Web-filtrering |
| 8.28 | Ny | Sikker koding |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Vilkår og betingelser for ansettelsen |
| 6.3 | 07.2.2 | Informasjonssikkerhetsbevissthet, utdanning og opplæring |
| 6.4 | 07.2.3 | Disiplinær prosess |
| 6.5 | 07.3.1 | Ansvar etter oppsigelse eller endring av arbeidsforhold |
| 6.6 | 13.2.4 | Avtaler om konfidensialitet eller taushetsplikt |
| 6.7 | 06.2.2 | Fjernarbeid |
| 6.8 | 16.1.2, 16.1.3 | Informasjonssikkerhet hendelsesrapportering |
| ISO/IEC 27002:2022 kontrollidentifikator | ISO/IEC 27002:2013 Kontrollidentifikator | Kontrollnavn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiske sikkerhetsomkretser |
| 7.2 | 11.1.2, 11.1.6 | Fysisk inngang |
| 7.3 | 11.1.3 | Sikring av kontorer, rom og fasiliteter |
| 7.4 | Ny | Fysisk sikkerhetsovervåking |
| 7.5 | 11.1.4 | Beskyttelse mot fysiske og miljømessige trusler |
| 7.6 | 11.1.5 | Arbeid i sikre områder |
| 7.7 | 11.2.9 | Oversiktlig skrivebord og oversiktlig skjerm |
| 7.8 | 11.2.1 | Utstyrsplassering og beskyttelse |
| 7.9 | 11.2.6 | Sikkerhet av eiendeler utenfor lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedier |
| 7.11 | 11.2.2 | Støtteverktøy |
| 7.12 | 11.2.3 | Kablingssikkerhet |
| 7.13 | 11.2.4 | Vedlikehold av utstyr |
| 7.14 | 11.2.7 | Sikker avhending eller gjenbruk av utstyr |
