Ultimate Guide to ISO 27002

Mikä on ISO 27002?

ISO/IEC 27002:2022 on Kansainvälisen standardointijärjestön (ISO) ja Kansainvälisen sähköteknisen komission (IEC) julkaisema tietoturvastandardi. ISO 27002 liittyy läheisesti ISO 27001:een. Yleisesti ottaen se antaa ohjeita ISO 27001 ISMS:n toteuttamiseen.

ISO/IEC 27002 tarjoaa viitejoukon tietoturvan, kyberturvallisuuden ja yksityisyyden suojan hallintatoimenpiteitä, mukaan lukien kansainvälisesti tunnustettuihin parhaisiin käytäntöihin perustuvat käyttöönotto-ohjeet.

Vaikka ISO 27002 ei itsessään ole sertifioitava standardi, sen tietoturvan, fyysisen turvallisuuden, kyberturvallisuuden ja yksityisyyden hallinnan ohjeiden noudattaminen tuo organisaatiosi askeleen lähemmäksi ISO 27001 -sertifiointivaatimusten täyttämistä.

Miksi ISO 27002 on tärkeä?

Jos organisaatiosi kerää, käyttää tai käsittelee tietoja, tietoturvariskejä ja uhkia on aina varottava.

Näiltä riskeiltä suojautumiseksi sinulla tulee olla tietoturvan hallintajärjestelmä (ISMS), joka varmistaa kaikkien tietojen ja tietoresurssien luottamuksellisuuden, saatavuuden ja eheyden.

Tietoturvan hallinnan uusien yritysten suurin haaste on sen laaja kattavuus. ISMS:n käyttöönotto ja ylläpito kattaa niin laajan kirjon, että useimmat johtajat eivät tiedä mistä aloittaa.

Jos tämä kuulostaa sinulta tai jos haluat vain pysyä tietoturvasi yllä, hyvä lähtökohta on ISO/IEC 27002:ssa ehdotettujen hallintalaitteiden käyttöönotto.

Mitkä ovat edut?

Ottamalla käyttöön ISO 27002:n mukaisia ​​tietoturvatarkastuksia organisaatiot voivat olla varmoja siitä, että niiden tietovarat on suojattu kansainvälisesti tunnustettujen ja hyväksyttyjen parhaiden käytäntöjen mukaisesti.

Kaiken kokoiset ja tietoturvatason organisaatiot voivat hyötyä seuraavista eduista noudattamalla ISO 27002 -käytäntöä:

• Se tarjoaa toimintapuitteet tietoturvaan, kyberturvallisuuteen, fyysiseen turvallisuuteen ja tietojen yksityisyyteen liittyvien ongelmien ratkaisemiselle.
• Asiakkaat ja liikekumppanit ovat luottavaisempia ja suhtautuvat myönteisesti organisaatioon, joka toteuttaa suositeltuja standardeja ja tietoturvakontrolleja.
• Koska toimitetut käytännöt ja menettelyt ovat kansainvälisesti tunnustettujen turvallisuusvaatimusten mukaisia, yhteistyö kansainvälisten kumppaneiden kanssa on yksinkertaisempaa.
• Standardin noudattaminen auttaa kehittämään organisaation parhaita käytäntöjä, jotka lisäävät kokonaistuottavuutta.
• Se tarjoaa tietoturvan hallintajärjestelmien määritellyn toteutuksen, hallinnan, ylläpidon ja arvioinnin.
• ISO-yhteensopiva organisaatio saa etua sopimusneuvotteluissa ja osallistumisessa globaaleihin liiketoimintamahdollisuuksiin.
• Noudattamalla ISO 27002 -standardin tietoturvatarkastuksia voit hyötyä palveluntarjoajien vakuutusmaksuista.

ISO 27001 -standardin noudattamista koskeviin käyttöönotto-ohjeisiin viitataan laajasti ISO 27000 -standardiperheessä, mukaan lukien ISO 27701. ISO 27002 -tietoturvaohjaukset voidaan yhdistää vastaaviin standardeihin, kuten NIST, SOC2, CIS, TISAX® ja monet muut.

ISO 27002:2022 -versio selitetty

ISO/IEC 27002 on tarkistettu päivittämään tietoturvan valvontaa niin, että ne heijastelevat kehitystä ja tämänhetkisiä tietoturvakäytäntöjä eri sektoreilla ja hallinnolla.

Uusi ISO 27002 2022 -versio julkaistiin 15. helmikuuta 2022. Monet standardit ja tietoturvakehykset liittyvät ISO 27002:2013 tietoturvaohjaimiin tai käyttävät niitä, joten uusi versio vaikuttaa myös niihin.

ISO 27002:2013 soveltamisala

ISO 27002:2013 on/oli tietoturvan hallintajärjestelmän (ISMS) käytännesääntö, ja se sukeltaa paljon yksityiskohtaisempaan kuin ISO 27001:n liitteen A hallintalaitteet, sisältäen tietoturvatekniikat, ohjaustavoitteet, turvallisuusvaatimukset ja kulunvalvonnan. , tietoturvariskien käsittelyn valvonta, henkilökohtaisten ja omistusoikeudellisten tietojen hallinta sekä yleiset tietoturvakontrollit.

ISO 27002:2013:n ensisijainen tarkoitus oli tarjota kattavia tietoturvatekniikoita ja omaisuudenhallinnan valvontaa organisaatioille, jotka joko tarvitsivat uutta tietoturvan hallintaohjelmaa tai halusivat parantaa olemassa olevia tietoturvakäytäntöjään ja -käytäntöjään.

Mikä on muuttunut ISO 27002:2022:ssa?

Ensimmäinen merkittävä muutos standardiin on siirtyminen pois "Code of Practice" -käytännöstä ja sen asettaminen itsenäiseksi tietoturvakontrolliksi.

Uudistettu standardi tarjoaa selkeämmän rakenteen, jota voidaan soveltaa koko organisaatiossa. ISO 27002:n uudistettua versiota voidaan nyt käyttää myös laajemman riskiprofiilin hallintaan. Tämä sisältää tietoturvan ja fyysisen turvallisuuden teknisemmät näkökohdat, omaisuudenhallinnan, kyberturvallisuuden ja yksityisyyden suojan mukana tulevat henkilöresurssien turvallisuuselementit.

ISO 27002:2022 Laajennettu soveltamisala

Ensimmäinen välitön muutos on standardin nimi.

Aiemmin ISO 27002:2013:n otsikkona oli ”Tietotekniikka – Turvatekniikat – Tietoturvavalvonnan käytäntö”.

Standardin nimi on nyt "Tietoturvallisuus, kyberturvallisuus ja yksityisyyden suoja – Tietoturvan hallinta" vuoden 2022 versiossa.

Miksi se on muuttunut?

Ottaen huomioon nykyaikaisen vaatimustenmukaisuusympäristön, säädökset, kuten GDPR, POPIA ja APPS, sekä organisaatioiden kohtaamat kehittyvät liiketoiminnan jatkuvuuden ja kyberriskiongelmat – ISO 27002:n tarve laajentaa tietoturvavalvonnan kattavuutta oli myöhässä.

Uusimman version (2022) tavoitteena oli parantaa standardin tarkoitusta tarjoamalla viitejoukko tietoturvallisuuden hallinnan tavoitteille ja laajentaa sen käyttömahdollisuuksia kontekstikohtaisessa tietoturva-, yksityisyys- ja kyberturvallisuusriskien hallinnassa.

Miten ISO 27002:2022 eroaa ISO 27002:2013:sta

Yleisesti ottaen ISO 27002:2022:n uuden version suojaustoimintojen määrä on vähentynyt vuoden 114 painoksen 14:stä 2013 lausekkeessa olevasta valvonnasta vuoden 93 painoksen 2022 hallintaan. Nämä turvatarkastukset on nyt luokiteltu neljään ohjaus "teemaan".

Säätimet selitetty

"Valvonta" määritellään toimenpiteeksi, joka muuttaa tai ylläpitää riskiä. Esimerkiksi tietoturvapolitiikka voi vain ylläpitää riskiä, ​​kun taas tietoturvapolitiikan noudattaminen voi muokata riskiä. Lisäksi jotkin kontrollit kuvaavat samaa yleistä toimenpidettä eri riskitilanteissa.

Yksityiskohtaiset muutokset

Ohjausjoukot on nyt järjestetty neljään (4) suojausluokkaan tai -teemaan neljäntoista (14) ohjausalueen sijaan. (aiemmin A5–A.18)

Neljä luokkaa sisältävät:

• organisatorinen
• Ihmiset
• fyysinen
• Teknologinen
• 93-säätimet 27002:n uudessa versiossa
• 11 säädintä ovat uusia
• Yhteensä 24 ohjausobjektia yhdistettiin kahdesta, kolmesta tai useammasta vuoden 2013 version suojaustoiminnosta; ja 58 ISO 27002:2013 -säädintä on tarkistettu ja tarkistettu vastaamaan nykyistä kyberturvallisuus- ja tietoturvaympäristöä.
• Liite A, joka sisältää ohjeet määritteiden soveltamisesta.
• Liite B, joka vastaa standardia ISO/IEC 27001 2013. Se on pohjimmiltaan kaksitaulukkotaulukko, jossa on ristiviittauksia ohjausnumeroihin/tunnisteisiin viittauksen helpottamiseksi ja kerrotaan, mikä on uutta ja mikä on yhdistetty.

• A.5.7 Uhkatietoisuus
• A.5.23 Tietoturva pilvipalvelujen käytössä
• A.5.30 ICT-valmius liiketoiminnan jatkuvuutta varten
• A.7.4 Fyysisen turvallisuuden valvonta
• A.8.9 Kokoonpanon hallinta
• A.8.10 Tietojen poistaminen
• A.8.11 Tietojen peittäminen
• A.8.12 Tietovuotojen esto
• A.8.16 Seurantatoimet
• A.8.23 Verkkosuodatus
• A.8.28 Suojattu koodaus

Ohjaa ohjeiden tarkistuksia ja päivityksiä

Jokaisen kontrollin Ohje-osio on tarkistettu ja päivitetty (tarvittaessa) vastaamaan nykyistä kehitystä ja käytäntöjä.

Ohjeissa käytetty kieli on vankkaampi kuin edellinen versio; Odotukset pakollisista tarkastuksista ja organisaatioista pystyvät nyt paremmin osoittamaan noudattamistaan. Lisäksi jokainen ohjausobjekti on nyt varustettu 'Purpose'-lauseella, ja joka sisältää joukon "Attribuutteja" (katso 4.2) jokaiselle säätimelle.

Ohjauksia toteuttava yritys voi valita, mitkä niistä koskevat niitä riskin perusteella, sekä lisätä omansa ISO 27001 -yhteensopivaan ISMS:ään (kontekstista riippuvainen käyttö).

ISO 27002 -teemat ja -attribuutit

Attribuutit ovat väline ohjaimien luokitteluun. Niiden avulla voit nopeasti mukauttaa ohjausvalintasi yleisten alan kielten ja standardien kanssa.

Nämä attribuutit tunnistavat avainkohdat:

• Ohjaustyyppi
• InfoSec-ominaisuudet
• Kyberturvallisuuden käsitteet
• Toiminnalliset ominaisuudet
• Suojausalueet

Attribuuttien käyttö tukee työtä, jota monet yritykset jo tekevät riskinarviointinsa ja soveltuvuusselvityksensä (SOA) puitteissa. Esimerkiksi NIST- ja CIS-ohjaimien kaltaiset kyberturvallisuuskonseptit voidaan erottaa ja muihin standardeihin liittyvät toimintaominaisuudet voidaan tunnistaa.

Jokaisessa ohjausobjektissa on nyt taulukko, jossa on joukko ehdotettuja attribuutteja, ja standardin ISO 27002:2022 liitteessä A on joukko suositeltuja assosiaatioita.

Tietoturvaominaisuudet

Tietoturvaan kuuluu tiedon eri näkökohtien suojaaminen, joka voidaan esittää CIA-mallilla. Näitä näkökohtia ovat luottamuksellisuus, eheys ja tiedon saatavuus. Tämän ymmärtäminen mahdollistaa tehokkaiden tietoturvakontrollien muotoilun ja toteuttamisen. Nämä määritetään nyt attribuutteiksi kontrollikohtaisesti.

Kyberturvallisuuden käsitteet

Kyberturvallisuuskonseptien attribuutit otetaan käyttöön standardin vuoden 2022 versiossa. Nämä attribuuttiarvot koostuvat tunnistamisesta, suojauksesta, havaitsemisesta, vastaamisesta ja palauttamisesta. Tämä linjaa ISO 27002:n ISO/IEC TS 27110:n, NIST Cyber ​​Security Frameworkin (CSF) ja muita standardeja.

1. Tunnistaa – Kehitä organisaation ymmärrystä hallita järjestelmiin, omaisuuteen, tietoihin ja ominaisuuksiin kohdistuvia kyberturvallisuusriskejä.
2. Suojella – Kehitetään ja otetaan käyttöön suojatoimia kriittisen infrastruktuurin palvelujen tarjoamiseksi.
3. Havaita – Kehittää ja toteuttaa asianmukaisia ​​toimia kyberturvallisuustapahtuman havaitsemiseksi.
4. Vastata – Luoda ja toteuttaa asianmukaiset toiminnot reagoidaksesi havaittuihin kyberturvallisuustapahtumiin.
5. toipua – Kehittää ja toteuttaa asianmukaiset toimet kestävyyssuunnitelmien ylläpitämiseksi ja kyberturvallisuustapahtuman vuoksi heikenneiden ominaisuuksien tai palveluiden palauttamiseksi.

Toiminnalliset ominaisuudet

Toimintakyky on attribuutti, jonka avulla voit tarkastella ohjaimia tietoturvaominaisuuksien käyttäjän näkökulmasta. 

Näitä ovat muun muassa:
hallintoresurssien hallinta, tiedon suojaus, henkilöresurssien turvallisuus, fyysinen turvallisuus, järjestelmä- ja verkkoturvallisuus, sovellussuojaus, suojattu konfigurointi, identiteetin ja pääsyn hallinta, uhkien ja haavoittuvuuksien hallinta, jatkuvuus, toimittajasuhteet turvallisuus, laki ja vaatimustenmukaisuus, tietoturvatapahtumien hallinta ja tietoturvan varmistaminen.

Suojausalueet

Suojausalueet on attribuutti, jonka avulla voit tarkastella valvontaa neljän tietoturva-alueen näkökulmasta: "Hallinto ja ekosysteemi" sisältää "Tietojärjestelmän turvallisuuden hallinta ja riskienhallinta" ja "ekosysteemin kyberturvallisuuden hallinta" (mukaan lukien sisäiset ja ulkoiset sidosryhmät);

• Ohjaimella voi olla useita sovelluksia (esim. varmuuskopiot auttavat suojaamaan haittaohjelmilta, hakkeroilta, bugeilta, onnettomuuksilta, mekaanisilta häiriöiltä, ​​tulipaloilta jne., ja ne voivat sisältää sijaisia ​​ja monitaitoisia sijaisia ​​kriittisille ihmisille ja vaihtoehtoisia toimittajia/tarvittavien tietopalvelujen lähteitä).
• Jokaisessa sovelluksessa tai tilanteessa tarvitaan tyypillisesti useita ohjaimia (esim. haittaohjelmia voidaan vähentää käyttämällä varmuuskopioita, tietoisuus, virustorjunta, verkkokäytön hallinta sekä IDS/IPS ja paljon muuta samalla kun tartunnan välttäminen on tehokas tapa, jos sitä tuetaan käytännöillä ja menettelyillä).
• Usein käyttämämme hallintalaitteet (esim. varmuuskopiot) eivät ole kaikki tai ei mitään, vaan ne koostuvat useista vähäisemmistä elementeistä (esim. varmuuskopiointi sisältää strategioita, käytäntöjä ja menettelyjä, ohjelmistoja, laitteistotestausta, tapausten palautusta, fyysistä suojausta jne.).

Liite A selitetty

Liitteen A taulukko osoittaa attribuuttien käytön ja tarjoaa esimerkkejä attribuuttien määrittämisestä ohjaimille, jolloin luodaan erilaisia ​​näkymiä (kohta 4.2).

On huomattava, että matriisin suodatus tai lajittelu voidaan saavuttaa käyttämällä työkalua, kuten yksinkertaista laskentataulukkoa tai tietokantaa, joka voi sisältää enemmän tietoa, kuten ohjaustekstiä, ohjeita, organisaatiokohtaisia ​​toteutusohjeita tai attribuutteja. ISMS.online helpottaa automaattisesti näitä assosiaatioita, mikä tekee koko prosessista vaivatonta.

Liite B selitetty

Liitteen B.1 ja B.2 taulukot tarjoavat helposti navigoitavissa olevia referenssipisteitä, jotka ovat taaksepäin yhteensopivia ISO/IEC 27002:2013:n kanssa. Tämä helpottaa vanhaa johtamisstandardia käyttävien organisaatioiden siirtymistä ISO 27002:2020 -standardiin tai viittauksen helpotusta ISO 27002 -standardia käyttävien standardien välillä, esim. ISO 27001, ISO 27701 vastaavia. Jälleen ISMS.online kartoittaa automaattisesti vanhat uudet ohjaustunnisteet alustassamme, mikä tekee siirtymisestä ja toteutuksesta vaivan.

ISO 27001 vs ISO 27002

Organisaatiot, jotka haluavat tutustua tietoturvan hallintajärjestelmiin, ovat saattaneet törmätä sekä ISO 27001- että 27002-standardeihin.

ISO 27001 on 27000-perheen ensisijainen standardi. Yritykset voivat saada ISO 27001 -sertifikaatin, mutta ne eivät voi sertifioida ISO 27002:2022 -standardin mukaan, koska se on tukeva standardi/käytäntö.

Esimerkiksi ISO 27001:n liitteessä A on luettelo turvatoimista, mutta ei kerrota, kuinka ne otetaan käyttöön, vaan viitataan ISO 27002:een.

ISO 27002 päinvastoin antaa ohjeita ISO 27001 -standardissa käytettyjen säätimien käyttöönotosta. ISO 27002:ssa on hienoa, että säätimet eivät ole pakollisia; yritykset voivat päättää, haluavatko he käyttää niitä vai eivät, riippuen siitä, ovatko ne sovellettavissa.

Miten se vaikuttaa sinuun?

Organisaatioiden on otettava käyttöön ISO 27001:n tarkistettu versio sertifiointiauditoinneissaan jonkin aikaa (vähintään yksi vuosi julkaisun jälkeen ja tyypillisesti seuraavan uudelleensertifiointijakson yhteydessä), joten niillä on riittävästi aikaa käsitellä muutoksia.

Viime kädessä muutokset eivät saisi merkittävästi vaikuttaa organisaation tietoturvan hallintajärjestelmään (ISMS) ja kykyyn noudattaa vaatimustenmukaisuutta.

Sillä voi kuitenkin olla vaikutusta organisaation yleiseen valvontakehykseen, erityisiin valvontatoimiin ja siihen, miten organisaatio valvoo jatkuvaa noudattamista.

Uuteen standardiin siirtyessään organisaatioiden on arvioitava uudelleen, miten niiden viitekehykset, hallintakeinot ja käytännöt vastaavat uutta rakennetta ja päivitettyjä ISO 27001/27002 -säätimiä.

ISO 27002 2022 -versio vaikuttaa organisaatioon seuraavasti:

• Jos sinulla on jo ISO 27001 2013 -sertifikaatti
• Oletko keskitason sertifiointi
• Jos olet aikeissa sertifioida uudelleen
• Jos sinulla on jo ISO 27001:2013 -sertifikaatti

Jos organisaatiosi on jo sertifioitu, sinun ei tarvitse tehdä mitään nyt. uudistettua ISO 27002 2022 -standardia sovelletaan uusimisen/uudelleensertifioinnin yhteydessä. Siksi on järkevää, että kaikkien sertifioitujen organisaatioiden on valmistauduttava tarkistettuun standardiin uudelleensertifioinnin yhteydessä tai ottaessaan käyttöön uusia valvonta- tai standardeja, esim. ISO 27701 tai vastaava.

Miten se vaikuttaa (uudelleen)sertifiointiisi?

Oletetaan, että organisaatio on parhaillaan ISO 27001 2013 -sertifiointi- tai uudelleensertifiointiprosessissa. Siinä tapauksessa heidän odotetaan tarkistavan riskinarviointinsa ja tunnistavan uudet tarkastukset soveltuviksi ja tarkistavan "soveltamisselvitystä" vertaamalla tarkistettuja liitteen A valvontamenetelmiä.

Koska on olemassa uusia ohjaimia, yhdistettyjä ohjausobjekteja ja muokattuja tai lisäohjeita muille ohjauksille, organisaatioiden on tarkistettava ISO 27002:2022 -standardi mahdollisten käyttöönottomuutosten varalta.

Vaikka ISO 27001 -versio 2022 on vielä julkaisematta, ISO 27002 -karttojen liite B ohjaa standardin 2013 ja 2022 versioita.

Soveltuvuusilmoituksesi (SOA) tulee silti viitata ISO 27001:n liitteeseen A, kun taas säätimien on viitattava ISO 27002:2022 tarkistettuun standardiin, joka on vaihtoehtoinen ohjaussarja.

Tarvitseeko sinun muuttaa asiakirjojasi?

Näiden muutosten noudattamisen tulee sisältää:

• Päivitys riskienhallintaprosessiisi päivitetyillä säätimillä
• Päivitys soveltamisilmoitukseesi
• Päivitä nykyiset käytäntösi ja menettelyt tarvittaessa ohjeiden avulla

Miten se vaikuttaa ISO 27001:2013 -standardiin?

Kunnes uusi ISO 27001 2022 -standardi julkaistaan, nykyiset ISO-sertifiointijärjestelmät jatkuvat, vaikka uusiin ISO 27002 2022 -ohjaimiin vaaditaan liitteiden B1.1 ja B1.2 kautta. ISO:n kokeneet auditoijat kuitenkin tunnistavat kontrollien rakenteen. , joten sinulla on enemmän työtä. ISO 27002:2022:n käyttöönotto voisi helpottaa auditointia.

Tulevia muutoksia ISO 27001:een

Useimmat tietoturva-asiantuntijat odottavat, että ISO 27001 -standardin muutokset ovat pieniä tekstimuutoksia, ja liitteeseen A tehdään pieni päivitys ISO 27002 2022 -version mukaiseksi.

ISO 27001:n pääosa, joka sisältää lausekkeet 4-10, ei muutu. Nämä lausekkeet sisältävät laajuuden ja kontekstin, tietoturvapolitiikan, resurssien riskienhallinnan, kuten viestintäkoulutuksen ja tietoisuuden ja asiakirjojen hallinnan sisäisen tarkastuksen osaston operatiivisten toimintojen seurantaan ja mittaamiseen sekä korjaaviin toimenpiteisiin.

Vain ISO 27001 liitteessä A ja ISO 27002 luetellut säätimet päivitetään.

Standardin ISO 27001:2022 liitteen A muutokset mukautuvat täysin standardin ISO 27002:2022 muutoksiin

Vaikuttaako muihin 27000-standardeihin?

ISO/IEC 27002:2013 -versioon liittyvät ja siihen perustuvat hallintajärjestelmästandardit ja -kehykset tuntuvat muutoksen.

Muutoksilla on lisävaikutus, kun ne siirtyvät niihin liittyviin standardeihin, kuten ISO 27017 -pilvitietoturvaan, ISO 27701 -tietosuojaan ja useisiin kansallisiin standardeihin, jotka ovat hyväksyneet tai sisällyttäneet nykyiset vaatimukset ja ohjeet.

Tämän pitäisi tapahtua, kun kyseisten standardien tarkistus- ja päivitysjaksot tapahtuvat muutaman seuraavan vuoden aikana, ja paikallisiin standardeihin ja kehyksiin voidaan odottaa lisävaikutuksia.

ISO 27002 -standardin hyvän käytännön esittely

Fyysinen ja ympäristö

Organisaation fyysiset ja ympäristölliset näkökohdat ovat kriittisiä määriteltäessä sen tietoturvaa. Asianmukaiset tarkastukset ja menettelyt varmistavat organisaation tietojen fyysisen turvallisuuden rajoittamalla valtuuttamattomien osapuolten pääsyä ja suojaamalla heitä vahingoilta, kuten tulipaloilta ja muilta katastrofeilta.

Jotkut tietoturvatekniikat sisältävät:

• Fyysistä pääsyä organisaation tiloihin ja tukiinfrastruktuureihin, kuten ilmastointiin ja sähköön, tulee valvoa ja rajoittaa. Tämä estää ja varmistaa luvattoman käytön, ilkivallan, rikollisen vahingon ja muun mahdollisen peukaloinnin havaitsemisen ja korjaamisen.
• Arkaluonteisille alueille on annettava osittainen pääsy, ja fyysisen turvallisuuden osaston tai hallinnon tulee säännöllisesti tarkistaa ja hyväksyä (vähintään kerran vuodessa) luettelo valtuutetuista henkilöistä.
• Videon tallentaminen, valokuvaaminen tai mikä tahansa muu digitaalinen tallentaminen tulisi kieltää rajoitetuilla alueilla paitsi asianomaisen viranomaisen luvalla.
• Valvonta tulisi sijoittaa tilojen ympärille esimerkiksi sisäänkäyntien, uloskäyntien ja rajoitettujen alueiden kohdalle. Koulutetun henkilöstön tulee valvoa näitä tallenteita ympäri vuorokauden ja säilyttää vähintään kuukauden ajan, jos uudelleentarkastelua tarvitaan.
• Rajoitettu pääsy olisi tarjottava sisäänpääsykorttien muodossa, jotta myyjät, harjoittelijat, kolmannet osapuolet, konsultit ja muut henkilöt, joilla on todennettu pääsy alueille, pääsevät rajoitetusti.
• Organisaatioiden vierailijoilla tulee olla koko ajan työntekijän mukana, paitsi jos he käyttävät avoimia tiloja, kuten vastaanottoaulaa ja wc-tiloja.

Human Resources

Näillä toimenpiteillä pyritään varmistamaan, että organisaation tiedot ovat turvassa organisaation työntekijöiden kannalta.

Jotkut henkilöstöresurssien tietoturvastandardit sisältävät:

• Jokainen työntekijä on tarkastettava ennen palkkaamista hänen henkilöllisyytensä, ammattitaidon ja yleisen käyttäytymisensä varmistamiseksi. Niiden tulee olla erityisen tiukkoja, jos he haluavat ottaa luotettavia tietoturvatehtäviä organisaatiossa.
• Kaikkien työntekijöiden tulee hyväksyä sitova salassapito- tai salassapitosopimus. Tämä määrää, kuinka harkintavaltaa he käsittelevät henkilökohtaisia ​​ja omistusoikeudellisia tietoja, joihin he ovat tekemisissä työnsä aikana.
• Henkilöstöosaston tulee ilmoittaa talous-, hallinto- ja muille asianomaisille osastoille, kun työntekijä otetaan palvelukseen, erotetaan, irtisanotaan, siirretään, on pitkäaikaisella vapaalla ja muista olosuhteista, jotka voivat edellyttää lupien muuttamista.
• Kun HR-osasto on ilmoittanut muille osastoille työntekijän aseman muutoksesta, sen jälkeen tulee säätää asiaankuuluvat fyysiset ja loogiset käyttöoikeudet.
• Työntekijöiden esimiesten tulee seurata, että kaikki avaimet, pääsykortit, IT-laitteet, tallennuslaitteet ja kaikki muu yrityksen omaisuus palautetaan ennen työsuhteen päättymistä.

Kulunvalvonta

Kulunvalvonta koskee salasanoja, avainkortteja tai muita turvarajoituksia, jotka on suunniteltu rajoittamaan yrityksen tietojen ja järjestelmien saavutettavuutta.

Jotkut niistä sisältävät:

• Pääsyä yritysverkkoihin, IT-järjestelmiin, tietoihin ja sovelluksiin tulee valvoa käyttäjien roolin perusteella tai asianomaisten tietovarojen omistajien tai organisaatiomenettelyjen mukaisesti.
• Rajoitukset on asetettava hälyttämään järjestelmä ja/tai lukitsemaan käyttäjätilit ennalta määritetyn määrän epäonnistuneita kirjautumisyrityksiä jälkeen. Näitä tulee seurata rikkomisyrityksen riskin poistamiseksi.
• Kaikissa yrityksen työasemissa/tietokoneissa tulee olla salasanalla suojatut näytönsäästäjät, joiden aikakatkaisu on alle 10 minuuttia käyttämättömänä.
• Asianomaisen tietoturvaelimen olisi myös tarkasteltava määräajoin etuoikeutetut käyttöoikeudet, kuten niille, joita vaaditaan IT-järjestelmien hallintaan, määritykseen, hallintaan, turvallisuuteen ja valvontaan.
• Tunnuslauseiden ja salasanojen on oltava monimutkaisia ​​ja pitkiä, ja niissä on oltava numeroiden, kirjainten ja erikoismerkkien yhdistelmä, jotta niitä ei voi arvata. Näitä ei tule tallentaa missään kirjoitetussa tai luettavassa muodossa.
• Organisaation tulee poistaa kaikki kirjoitusoikeudet irrotettaviin tietovälineisiin, kuten CD-/DVD-kirjoittimiin, kaikilla yrityksen tietokoneilla, ellei erityisistä liiketoiminnallisista syistä ole lupaa.

Seuraavat vaiheet

Mitä tulee seuraaviin vaiheisiin, tärkeimpiin suoritettaviin toimiin kuuluvat seuraavat:

• Päivitetyn standardin ostaminen.
• Tarkista uusi ISO 27002 -standardi ja sen ohjausmuutokset.
• Suorita riskiarviointi/analyysi.
• Voit vähentää tunnistettuja riskejä valitsemalla sopivimmat hallintakeinot ja päivittämällä ISMS-käytäntösi, -standardisi jne. vastaavasti.
• Päivitä SoA (SoA).

Tämä auttaa sinua pääsemään pelin edellä uusien ISO 27000 -perhestandardien/-kehysten, kuten ISO 27018, 27017, 27032, uudelleen sertifioinnissa tai käyttöönotossa, joita odotetaan laajalti päivitettävän pian ISO 27001:2022 -version jälkeen.