ISO 27001:2022 Liite A Valvonta 5.10

Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö

Varaa demo

john schnobrich flpc9 vocj4 unsplash

ISO 27001:2022 Liite A 5.10 hahmottelee hyväksytyn käytön säännöt ja menettelyt tiedon ja muun omaisuuden käsittelyssä.

Ne olisi tunnistettava, dokumentoitava ja pantava täytäntöön.

Näiden periaatteiden tavoitteena on luoda selkeät ohjeet siitä, miten henkilöstön tulee toimia tietoomaisuutta käsitellessään, mikä takaa organisaation tietoturvaomaisuuden luottamuksellisuuden, luotettavuuden ja saavutettavuuden.

Mikä on ISO 27001:2022 liite A 5.10, Tiedon ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö?

Hyväksytty käyttö Tietovarat Käytäntö (AUA) koskee kaikkia organisaation jäseniä ja kaikkia heidän omistamiaan tai käyttämiään varoja. Tätä käytäntöä sovelletaan kaikkiin Tietovarojen käyttöön, mukaan lukien kaupallisiin tarkoituksiin.

Esimerkkejä tietoresursseista ovat:

  • Laitteisto kattaa tietokoneet, mobiililaitteet, puhelimet ja faksit.

  • Ohjelmistoihin kuuluvat käyttöjärjestelmät, sovellukset (mukaan lukien verkkopohjaiset), apuohjelmat, laiteohjelmistot ja ohjelmointikielet.

  • Tämä osio käsittelee strukturoitua dataa relaatiotietokantoissa, litteät tiedostot, NoSQL-tiedot sekä strukturoimattomat tiedot, kuten tekstidokumentit, laskentataulukot, kuvat, video- ja äänitiedostot.

  • Verkot kattavat sekä langalliset että langattomat järjestelmät, televiestinnän ja Voice over Internet Protocol (VoIP) -palvelut.

  • Pilvipalvelut, sähköpostitilit ja muut isännöidyt palvelut.

Tiedon ja muun siihen liittyvän omaisuuden hyödyntäminen edellyttää niiden soveltamista tavoilla, jotka eivät vaaranna datan, palveluiden tai resurssien saatavuutta, luotettavuutta tai vakautta. Se sisältää myös niiden hyödyntämisen tavoilla, jotka eivät ole lain tai yrityksen politiikan vastaisia.

Siirry aiheeseen
Päivitetty ISO 27001 2022 -standardia varten
  • 81 % työstä on tehty puolestasi
  • Varmennettujen tulosten menetelmä sertifioinnin onnistumiseen
  • Säästä aikaa, rahaa ja vaivaa
Varaa esittelysi
img

Mikä on ISO 27001:2022 liitteen A säädön 5.10 tarkoitus?

Tämän valvonnan päätavoitteena on varmistaa, että tiedot ja niihin liittyvät omaisuudet suojataan, käytetään ja hallitaan oikein.

ISO 27001:2022 Liite A Ohjaus 5.10 varmistaa, että käytännöt, menettelyt ja tekniset säädöt ovat käytössä estämään käyttäjiä käsittelemästä tietoresursseja väärin.

Tällä valvonnalla pyritään luomaan organisaatioille rakenne, joka takaa, että tiedot ja muut resurssit suojataan, käytetään ja hallitaan asianmukaisesti. Se edellyttää asianmukaisten politiikkojen ja menettelyjen varmistamista kaikilla organisaation tasoilla sekä niiden säännöllistä täytäntöönpanoa.

Täytäntöönpanon valvonta 5.10 on osa ISMS:ääsi ja varmistaa, että yritykselläsi on tarvittavat vaatimukset IT-omaisuutensa suojaamiseksi, kuten:

  • Tietojen turvallisuuden varmistaminen tallennuksen, käsittelyn ja kuljetuksen aikana on ensiarvoisen tärkeää.

  • IT-laitteiden turvaaminen ja asianmukainen käyttö on välttämätöntä. On erittäin tärkeää varmistaa sen turvallisuus ja käyttää sitä asianmukaisesti.

  • Asianmukaiset todennuspalvelut ovat välttämättömiä tietojärjestelmiin pääsyn säätelyssä.

  • Tietojen käsittely organisaatiossa on rajoitettu vain niihin, joilla on asianmukainen valtuutus.

  • Tietoihin liittyvien tehtävien antaminen tietyille henkilöille tai rooleille.

  • On välttämätöntä kouluttaa ja kouluttaa käyttäjiä heidän turvallisuusvelvollisuuksistaan. Varmistamalla, että he ymmärtävät roolinsa ja vastuunsa, voidaan varmistaa järjestelmän turvallisuus.

Mitä se sisältää ja kuinka vaatimukset täytetään

ISO 27001:2022:n Control 5.10 -standardin vaatimusten täyttämiseksi on välttämätöntä, että sekä sisäinen että ulkoinen henkilöstö, joka käyttää tai jolla on pääsy organisaation dataan ja lisäresursseihin, on tietoinen yrityksen toiminnasta. tietoturvan edellytykset.

Vastuuhenkilöt olisi saatettava vastuuseen kaikista käyttämistään tietojenkäsittelyresursseista.

Kaiken tiedon ja muun asiaan liittyvän omaisuuden hallintaan liittyvän henkilöstön tulee olla tietoinen organisaation asianmukaisen käytön käytännöistä. On tärkeää, että kaikki mukana olevat ovat tietoisia ohjeista.

Kaikille henkilöille, jotka työskentelevät tietojen ja siihen liittyvän omaisuuden parissa, tulee olla tietoisia yrityksen hyväksyttävän käytön käytännöistä. Osana erityistä käyttöpolitiikkaa henkilöstön tulee ymmärtää tarkasti, mitä heiltä odotetaan näiden resurssien suhteen.

Politiikassa tulee tehdä selväksi, että:

  1. Kaikkien työntekijöiden on noudatettava yrityksen toimintaperiaatteita ja menettelytapoja.

  2. Työntekijä ei saa ryhtyä mihinkään yhtiön etujen vastaiseen toimintaan.

  3. Kaikki työntekijät, jotka eivät noudata yhtiön periaatteita ja menettelytapoja, joutuvat kurinpitotoimiin.

Aihetta koskevassa erityispolitiikassa tulee todeta, että koko henkilöstön tulee noudattaa yrityksen ohjeita ja pöytäkirjoja:

  • Tietoturvaan liittyvät odotukset ja toimet, joita ei voida hyväksyä, tulee selventää yksilöille.

  • Tiedon ja muun omaisuuden sallittu ja kielletty käyttö.

  • Seurataan organisaation toimintaa.

Laadi hyväksytyt käyttötavat koko tiedon koko elinkaaren ajan sen mukaisesti luokittelu ja tunnistetut riskit. Mieti seuraavaa:

  • Jokaisen suojaustason suojaamiseksi on asetettava pääsyrajoituksia.

  • Rekisterin ylläpito tietojen ja muun omaisuuden valtuutetuista käyttäjistä.

  • Varmista, että tilapäisten tai pysyvien tietokopioiden turvallisuus on kontekstin vaatimusten mukainen.

  • Alkutietojen säilymisen varmistaminen on äärimmäisen tärkeää.

  • Tietoihin liittyvien varojen säilyttäminen valmistajien standardien mukaisesti on välttämätöntä.

  • Merkitse kaikki elektroniset tai fyysiset kopiot tallennusväline selvästi vastaanottajan huomion.

  • Yhtiö valtuuttaa tietojen ja muun omaisuuden hävittämisen sekä tuetut poistotavat.

Erot ISO 27001:2013 ja ISO 27001:2022 välillä

- ISO 2022:n 27001-versio julkaistiin lokakuussa 2022; se on parannettu versio ISO 27001:2013:sta.

Standardin ISO 5.10:27001 liite A 2022 ei ole uusi; se on sekoitus säätimiä 8.1.3 ja 8.2.3 standardista ISO 27001:2013.

Liitteen A kohdan 5.10 olemus ja toteutusohjeet ovat samankaltaisia ​​kuin ohjausobjektien 8.1.3 ja 8.2.3, mutta liite A 5.10 yhdistää sekä hyväksyttävän käytön että varojen käsittelyn yhdeksi ohjaukseksi käyttäjäystävällisyyden vuoksi.

Liite A 5.10 lisäsi lisäksi kohtaan 8.2.3 lisäkohdan, joka koskee tietojen ja niihin liittyvien omaisuuserien hävittämisen hyväksymistä sekä suositeltuja poistomenetelmiä.

Taulukko kaikista ISO 27001:2022 liitteen A ohjaimista

Alla olevasta taulukosta löydät lisätietoja jokaisesta henkilöstä ISO 27001:2022 liitteen A valvonta.

ISO 27001:2022 Organisaation valvonta

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Organisaation valvontaLiite A 5.1Liite A 5.1.1
Liite A 5.1.2		Tietoturvakäytännöt
Organisaation valvontaLiite A 5.2Liite A 6.1.1Tietoturvan roolit ja vastuut
Organisaation valvontaLiite A 5.3Liite A 6.1.2Tehtävien erottelu
Organisaation valvontaLiite A 5.4Liite A 7.2.1Johtamisvastuut
Organisaation valvontaLiite A 5.5Liite A 6.1.3Ota yhteyttä viranomaisiin
Organisaation valvontaLiite A 5.6Liite A 6.1.4Ota yhteyttä erityisiin eturyhmiin
Organisaation valvontaLiite A 5.7UUSIThreat Intelligence
Organisaation valvontaLiite A 5.8Liite A 6.1.5
Liite A 14.1.1		Tietoturva projektinhallinnassa
Organisaation valvontaLiite A 5.9Liite A 8.1.1
Liite A 8.1.2		Tietojen ja muiden niihin liittyvien omaisuuserien luettelo
Organisaation valvontaLiite A 5.10Liite A 8.1.3
Liite A 8.2.3		Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö
Organisaation valvontaLiite A 5.11Liite A 8.1.4Omaisuuden palautus
Organisaation valvontaLiite A 5.12Liite A 8.2.1Tietojen luokitus
Organisaation valvontaLiite A 5.13Liite A 8.2.2Tietojen merkitseminen
Organisaation valvontaLiite A 5.14Liite A 13.2.1
Liite A 13.2.2
Liite A 13.2.3		Tietojen siirto
Organisaation valvontaLiite A 5.15Liite A 9.1.1
Liite A 9.1.2		Kulunvalvonta
Organisaation valvontaLiite A 5.16Liite A 9.2.1Identity Management
Organisaation valvontaLiite A 5.17Liite A 9.2.4
Liite A 9.3.1
Liite A 9.4.3		Todennustiedot
Organisaation valvontaLiite A 5.18Liite A 9.2.2
Liite A 9.2.5
Liite A 9.2.6		Käyttöoikeudet
Organisaation valvontaLiite A 5.19Liite A 15.1.1Tietoturva toimittajasuhteissa
Organisaation valvontaLiite A 5.20Liite A 15.1.2Tietoturvasta huolehtiminen toimittajasopimusten puitteissa
Organisaation valvontaLiite A 5.21Liite A 15.1.3Tietoturvan hallinta ICT:n toimitusketjussa
Organisaation valvontaLiite A 5.22Liite A 15.2.1
Liite A 15.2.2		Toimittajapalveluiden seuranta, tarkistus ja muutosten hallinta
Organisaation valvontaLiite A 5.23UUSITietoturva pilvipalveluiden käyttöön
Organisaation valvontaLiite A 5.24Liite A 16.1.1Tietoturvahäiriöiden hallinnan suunnittelu ja valmistelu
Organisaation valvontaLiite A 5.25Liite A 16.1.4Tietoturvatapahtumien arviointi ja päätös
Organisaation valvontaLiite A 5.26Liite A 16.1.5Vastaus tietoturvaloukkauksiin
Organisaation valvontaLiite A 5.27Liite A 16.1.6Tietoturvahäiriöistä oppimista
Organisaation valvontaLiite A 5.28Liite A 16.1.7Todisteiden kerääminen
Organisaation valvontaLiite A 5.29Liite A 17.1.1
Liite A 17.1.2
Liite A 17.1.3		Tietoturva häiriön aikana
Organisaation valvontaLiite A 5.30UUSIICT-valmius liiketoiminnan jatkuvuutta varten
Organisaation valvontaLiite A 5.31Liite A 18.1.1
Liite A 18.1.5		Oikeudelliset, lakisääteiset, sääntely- ja sopimusvaatimukset
Organisaation valvontaLiite A 5.32Liite A 18.1.2Immateriaalioikeudet
Organisaation valvontaLiite A 5.33Liite A 18.1.3Tietueiden suojaus
Organisaation valvontaLiite A 5.34 Liite A 18.1.4Yksityisyys ja henkilötietojen suoja
Organisaation valvontaLiite A 5.35Liite A 18.2.1Tietoturvan riippumaton katsaus
Organisaation valvontaLiite A 5.36Liite A 18.2.2
Liite A 18.2.3		Tietoturvakäytäntöjen, -sääntöjen ja -standardien noudattaminen
Organisaation valvontaLiite A 5.37Liite A 12.1.1Dokumentoidut toimintaohjeet

ISO 27001:2022 People Controls

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Ihmisten ohjauksetLiite A 6.1Liite A 7.1.1Seulonta
Ihmisten ohjauksetLiite A 6.2Liite A 7.1.2Palvelussuhteen ehdot
Ihmisten ohjauksetLiite A 6.3Liite A 7.2.2Tietoturvatietoisuus, koulutus ja koulutus
Ihmisten ohjauksetLiite A 6.4Liite A 7.2.3Kurinpitoprosessi
Ihmisten ohjauksetLiite A 6.5Liite A 7.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
Ihmisten ohjauksetLiite A 6.6Liite A 13.2.4Luottamuksellisuus- tai salassapitosopimukset
Ihmisten ohjauksetLiite A 6.7Liite A 6.2.2Etätyö
Ihmisten ohjauksetLiite A 6.8Liite A 16.1.2
Liite A 16.1.3		Tietoturvatapahtumien raportointi

ISO 27001:2022 Fyysiset kontrollit

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Fyysiset säätimetLiite A 7.1Liite A 11.1.1Fyysisen turvallisuuden rajat
Fyysiset säätimetLiite A 7.2Liite A 11.1.2
Liite A 11.1.6		Fyysinen sisäänpääsy
Fyysiset säätimetLiite A 7.3Liite A 11.1.3Toimistojen, huoneiden ja tilojen turvaaminen
Fyysiset säätimetLiite A 7.4UUSIFyysisen turvallisuuden valvonta
Fyysiset säätimetLiite A 7.5Liite A 11.1.4Fyysisiltä ja ympäristöuhkilta suojautuminen
Fyysiset säätimetLiite A 7.6Liite A 11.1.5Työskentely turvallisilla alueilla
Fyysiset säätimetLiite A 7.7Liite A 11.2.9Selkeä työpöytä ja selkeä näyttö
Fyysiset säätimetLiite A 7.8Liite A 11.2.1Laitteiden sijoitus ja suojaus
Fyysiset säätimetLiite A 7.9Liite A 11.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
Fyysiset säätimetLiite A 7.10Liite A 8.3.1
Liite A 8.3.2
Liite A 8.3.3
 Liite A 11.2.5		Tallennusväline
Fyysiset säätimetLiite A 7.11Liite A 11.2.2Apuohjelmat
Fyysiset säätimetLiite A 7.12Liite A 11.2.3Kaapeloinnin turvallisuus
Fyysiset säätimetLiite A 7.13Liite A 11.2.4Laitteiden huolto
Fyysiset säätimetLiite A 7.14Liite A 11.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

ISO 27001:2022 Tekniset hallintalaitteet

Liite A OhjaustyyppiISO/IEC 27001:2022 liitteen A tunnisteISO/IEC 27001:2013 liitteen A tunnisteLiite A Nimi
Tekniset säädötLiite A 8.1Liite A 6.2.1
Liite A 11.2.8		Käyttäjän päätelaitteet
Tekniset säädötLiite A 8.2Liite A 9.2.3Etuoikeutetut käyttöoikeudet
Tekniset säädötLiite A 8.3Liite A 9.4.1Tietoihin pääsyn rajoitus
Tekniset säädötLiite A 8.4Liite A 9.4.5Pääsy lähdekoodiin
Tekniset säädötLiite A 8.5Liite A 9.4.2Suojattu todennus
Tekniset säädötLiite A 8.6Liite A 12.1.3Kapasiteetin hallinta
Tekniset säädötLiite A 8.7Liite A 12.2.1Suojaus haittaohjelmia vastaan
Tekniset säädötLiite A 8.8Liite A 12.6.1
Liite A 18.2.3		Teknisten haavoittuvuuksien hallinta
Tekniset säädötLiite A 8.9UUSIConfiguration Management
Tekniset säädötLiite A 8.10UUSITietojen poistaminen
Tekniset säädötLiite A 8.11UUSITietojen peittäminen
Tekniset säädötLiite A 8.12UUSITietovuotojen esto
Tekniset säädötLiite A 8.13Liite A 12.3.1Tietojen varmuuskopiointi
Tekniset säädötLiite A 8.14Liite A 17.2.1Tietojenkäsittelylaitteiden redundanssi
Tekniset säädötLiite A 8.15Liite A 12.4.1
Liite A 12.4.2
Liite A 12.4.3		Hakkuu
Tekniset säädötLiite A 8.16UUSISeurantatoiminnot
Tekniset säädötLiite A 8.17Liite A 12.4.4Kellon synkronointi
Tekniset säädötLiite A 8.18Liite A 9.4.4Etuoikeutettujen apuohjelmien käyttö
Tekniset säädötLiite A 8.19Liite A 12.5.1
Liite A 12.6.2		Ohjelmistojen asennus käyttöjärjestelmiin
Tekniset säädötLiite A 8.20Liite A 13.1.1Verkkoturvallisuus
Tekniset säädötLiite A 8.21Liite A 13.1.2Verkkopalveluiden turvallisuus
Tekniset säädötLiite A 8.22Liite A 13.1.3Verkkojen erottelu
Tekniset säädötLiite A 8.23UUSIWeb-suodatus
Tekniset säädötLiite A 8.24Liite A 10.1.1
Liite A 10.1.2		Kryptografian käyttö
Tekniset säädötLiite A 8.25Liite A 14.2.1Turvallisen kehityksen elinkaari
Tekniset säädötLiite A 8.26Liite A 14.1.2
Liite A 14.1.3		Sovelluksen suojausvaatimukset
Tekniset säädötLiite A 8.27Liite A 14.2.5Turvallisen järjestelmän arkkitehtuuri ja suunnitteluperiaatteet
Tekniset säädötLiite A 8.28UUSITurvallinen koodaus
Tekniset säädötLiite A 8.29Liite A 14.2.8
Liite A 14.2.9		Tietoturvatestaus kehitys- ja hyväksymisvaiheessa
Tekniset säädötLiite A 8.30Liite A 14.2.7Ulkoistettu kehitys
Tekniset säädötLiite A 8.31Liite A 12.1.4
Liite A 14.2.6		Kehitys-, testaus- ja tuotantoympäristöjen erottaminen toisistaan
Tekniset säädötLiite A 8.32Liite A 12.1.2
Liite A 14.2.2
Liite A 14.2.3
Liite A 14.2.4		Muutoksen hallinta
Tekniset säädötLiite A 8.33Liite A 14.3.1Testitiedot
Tekniset säädötLiite A 8.34Liite A 12.7.1Tietojärjestelmien suojaus tarkastustestauksen aikana

Kuka on vastuussa tästä prosessista?

Tämä käytäntö määrittelee säännöt yrityksen asianmukaiselle käytölle tiedot ja niihin liittyvät varat, kuten tietokoneet, verkot ja järjestelmät, sähköposti, tiedostot ja tallennusvälineet. Kaikkien työntekijöiden ja urakoitsijoiden on noudatettava sitä.

Tämä käytäntö palvelee:

  1. Anna ohjeita asianmukaiseen käyttäytymiseen aina.

  2. Kertokaa minkä tahansa käytöksen rikkomisen seuraukset.

  3. Varmista turvallinen ja kunnioittava ympäristö kaikille.

Tämän politiikan tavoitteena on antaa ohjeita asianmukaiselle käyttäytymiselle ja yksityiskohtaisesti niiden rikkomisen seuraukset, jotta voidaan luoda turvallinen ja kunnioittava ilmapiiri kaikille.

Varmistaa, että yhtiön tietoja ja muuta siihen liittyvää omaisuutta käytetään vain päteviin liiketaloudellisiin syihin. Varmistetaan, että henkilöstö noudattaa kaikkia tietoturvaan liittyviä lakeja ja määräyksiä sekä suojelee yrityksen tietoja ja muuta siihen liittyvää omaisuutta yhtiön sisältä tai ulkopuolelta tulevilta riskeiltä.

- Tietoturvavastaava (ISO) Sen tehtävänä on suunnitella, toteuttaa ja ylläpitää Tietojen hyväksyttävää käyttöä.

ISO on vastuussa tietoresurssien käytön valvonnasta koko organisaatiossa varmistaakseen, että tietoja käytetään tavalla, joka takaa turvallisuuden ja tietojen tarkkuuden, säilyttää yksityisten tai arkaluonteisten tietojen luottamuksellisuuden, estää väärinkäytökset ja luvattoman pääsyn laskentaresursseihin. ja eliminoi tarpeettoman altistumisen tai vastuun organisaatiota kohtaan.

Mitä nämä muutokset merkitsevät sinulle?

Uusi ISO 27001:2022 -standardi on versio, joten sinun ei tarvitse tehdä paljon muutoksia ollaksesi sen mukainen.

Katso ISO 27001:2022 -oppaastamme lisätietoja liitteen A 5.10 vaikutuksista yritykseesi ja vaatimustenmukaisuuden osoittamisesta.

Miten ISMS.online auttaa

ISMS.online tekee ISO 27001 toteutus yksinkertaista ja kattavan vaiheittaisen tarkistuslistan. Tämä opas opastaa sinut koko prosessin läpi ISMS-laajuuden määrittämisestä riskien tunnistamiseen ja ohjaimien käyttöönottoon.

Tämä malli luo puitteet tietoturvan hallintajärjestelmän (ISMS) perustamiselle, hyödyntämiselle, käyttämiselle, tarkkailemiselle, arvioimiselle, ylläpitämiselle ja kehittämiselle.

Toteuttamalla ISO 27001 -standardi voi olla laaja yritys, mutta ISMS.online tarjoaa kattavan, yhden luukun ratkaisun, joka tekee prosessista paljon helpompaa.

Huippuluokan Tietoturvan hallintajärjestelmäohjelmistot tarjoaa mutkattoman tavan ymmärtää, mitä on saatava aikaan ja miten edetä.

Teemme vaatimustenmukaisuustarpeidesi hallinnan helpoksi. Poistamme tarpeidesi täyttämisestä aiheutuvan vaivan ja stressin.

Ota yhteyttä jo tänään varata esittely.

Katso ISMS.online
toiminnassa

Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi

100 % ISO 27001 menestys

Yksinkertainen, käytännöllinen ja aikaa säästävä polkusi ensimmäistä kertaa ISO 27001 -vaatimustenmukaisuuteen tai -sertifiointiin

Varaa esittelysi
Varmennettujen tulosten menetelmä

ISMS.online tukee nyt ISO 42001 -standardia - maailman ensimmäistä tekoälyn hallintajärjestelmää. Napsauta saadaksesi lisätietoja