Mikä on Control 5.1?
Tietoturvapolitiikka tarjoaa työntekijöille, johdolle ja ulkopuolisille osapuolille (esim. asiakkaille ja tavarantoimittajille) puitteet sähköisen tiedon, mukaan lukien tietokoneverkkojen, hallintaan.
Tietoturvapolitiikan tarkoituksena on vähentää sisäisten ja ulkoisten uhkien aiheuttamien tietojen katoamisen tai varkauksien riskiä. Tietoturvapolitiikka varmistaa myös, että kaikki työntekijät ovat tietoisia vastuustaan organisaationsa hallussa olevien tietojen suojaamisessa.
Tietoturvapolitiikkaa voidaan käyttää myös lakien ja määräysten noudattamisen osoittamiseen, ja se auttaa täyttämään standardit, kuten ISO 27001.
Kyberturvallisuus ja tietoturvauhat selitetty
Kyberturvallisuusuhat ovat kaikki mahdolliset haitalliset hyökkäykset, joiden tarkoituksena on päästä laittomasti käsiksi tietoihin, häiritä digitaalista toimintaa tai vahingoittaa tietoja. Kyberuhat voivat olla peräisin useilta eri toimijoilta, mukaan lukien yritysten vakoojista ja hacktivisteistä, terroristiryhmistä, vihamielisistä kansallisvaltioista ja rikollisjärjestöistä.
Jotkut suosituimmista kyberturvallisuus- ja tietoturvauhkista ovat:
- Malware: virukset, vakoiluohjelmat ja muut haittaohjelmat.
- Tietojenkalastelusähköpostit: viestit, jotka näyttävät olevan peräisin luotettavista lähteistä, mutta sisältävät linkkejä ja liitteitä, jotka asentavat haittaohjelmia.
- ransomware: haittaohjelma, joka estää käyttäjiä pääsemästä omiin tietoihinsa ennen kuin he maksavat lunnaita.
- Sosiaalinen suunnittelu: hyökkääjät manipuloivat ihmisiä antamaan arkaluontoisia tietoja, yleensä näyttämällä luotettavilta.
- Valaanpyyntihyökkäykset: tietojenkalasteluviestit, jotka on suunniteltu näyttämään siltä kuin ne olisivat peräisin organisaation korkean profiilin henkilöiltä.
ISO 27001 helposti
81 %:n etumatka ensimmäisestä päivästä lähtien
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.
Mikä on hallinnan tarkoitus 5.1?
Tietoturvapolitiikan tarkoituksena on varmistaa johdon tuki yrityksesi arkaluonteisten tietojen suojaamiseksi varkauksilta ja luvattomalta käytöltä.
Ohjaus 5.1 kattaa ohjauksen, tarkoituksen ja toteutusohjeet organisaation tietoturvapolitiikan määrittämiseksi ISO 27001:n määrittelemän viitekehyksen mukaisesti.
Ohjaus 5.1 sanoo, että organisaatioilla on oltava korkean ja matalan tason käytännöt tietoturvansa hallinnassa. Organisaation ylimmän johdon tulee hyväksyä linjaukset, jotka tulee tarkistaa säännöllisesti ja myös jos tietoturvaympäristössä tapahtuu muutoksia.
Paras tapa on tavata säännöllisesti vähintään kerran kuukaudessa ja lisätapaamisia järjestetään tarvittaessa. Jos käytäntöihin tehdään muutoksia, johdon on hyväksyttävä ne ennen kuin ne otetaan käyttöön. Politiikat tulisi myös jakaa sisäisten ja ulkoisten sidosryhmien kanssa.
Ohjauksen ominaisuudet 5.1
Attribuutit ovat väline ohjaimien luokitteluun. Niiden avulla voit nopeasti mukauttaa ohjausvalintasi yleisten alan kielten ja standardien kanssa. Ohjauksessa 5.1 nämä ovat.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Tunnistaa | #Hallinto | #Hallinto ja ekosysteemi |
| #Integrity | #Kestävyys | |||
| #Saatavuus |
Vapauta itsesi laskentataulukoiden vuorten vallasta
Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.
Mitä se sisältää ja kuinka vaatimukset täytetään
Tietoturvapolitiikan tulee tarjota perusta ja tukea yksityiskohtaisille toimintaohjeille, jotka kuvaavat, miten tietoturvaa käytännössä hallitaan.
Ylimmän johdon tulee hyväksyä politiikka, jonka tulee varmistaa, että se välitetään henkilöstölle ja että se on asianomaisten osapuolten saatavilla.
Politiikka ohjaa organisaation lähestymistapaa tietoturvallisuuden hallintaan, ja sitä voidaan käyttää puitteena yksityiskohtaisempien toimintatapojen kehittämisessä.
Käytäntö on olennainen osa ISO/IEC 27000 -standardiperheen edellyttämän tietoturvan hallintajärjestelmän (ISMS) perustamisessa ja ylläpidossa, vaikka organisaatio ei aio toteuttaa virallista ISO 27001 -standardin tai muun standardin sertifiointia. , hyvin määritelty politiikka on edelleen tärkeä.
Muutokset ja erot standardista ISO 27002:2013
ISO 27002: 2022:ssa ohjaus 5.1 Tietoturvakäytännöt ei ole uusi ohjausobjekti, vaan se on seurausta kontrollien yhdistämisestä 5.1.1 Tietoturvakäytännöt ja 5.1.2 Tietoturvakäytäntöjen tarkastelu ISO 27002 -versiosta 2013.
ISO 27002:2022:ssa ohjaus 5.1 on päivitetty sisältämään kuvaus sen tarkoituksesta ja laajennettu käyttöönotto-opastus. Sen mukana tuli myös attribuuttitaulukko, jonka avulla käyttäjät voivat sovittaa säätimet yhteen alan terminologian kanssa.
ISO 27002:2022:n valvonnassa 5.1 todetaan, että tietoturva- ja aihekohtaiset käytännöt tulee määritellä, johdon hyväksyä, julkaista, viestiä asianomaiselle henkilöstölle ja asianomaisille osapuolille ja tunnustaa ne.
Organisaation tietoturvapolitiikan tulee heijastaa organisaation kokoa, tyyppiä ja tietovarojen herkkyyttä. Sen tulee myös olla alan standardien ja sovellettavien viranomaisten määräysten mukainen.
Vaikka itse ohjauksen olemus on samanlainen kuin ISO 5.1.1: 27002:n 2013, versio 2022 sanoo nimenomaan, että nämä tietoturvakäytännöt tulee tarkistaa säännöllisesti ja myös jos tietoturvaympäristössä tapahtuu muutoksia. Tämä ratsastaja on ISO 5.1.2:27002:n kohdan 2013 katettu.
ISO 27002: 2013 ja ISO 27002: 2022 sanovat, että organisaation korkeimman tason tulee määritellä turvallisuuspolitiikka, jonka ylin johto hyväksyy ja jossa kerrotaan, kuinka he valvovat tietojensa suojaa. Molempien versioiden käytäntöjen kattamat vaatimukset ovat kuitenkin erilaiset.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.
Control 5.1 2013 – 2022 Toteutusohjeet Verrattuna
ISO 27002:2013:ssa tietoturvakäytäntöjen tulee vastata vaatimuksiin, jotka ovat luoneet:
- Liiketoimintastrategiat.
- Määräykset, lait ja sopimukset.
- Nykyinen ja ennakoitu tietoturvauhkaympäristö.
Tietoturvapolitiikan tulee sisältää seuraavat lausunnot:
- Tietoturvan määrittely, tavoitteet ja periaatteet ohjaamaan kaikkea siihen liittyvää toimintaa
tietoturva. - Tietoturvan hallinnan yleisten ja erityisten vastuiden antaminen henkilölle
määriteltyjä rooleja. - Poikkeamien ja poikkeusten käsittelyprosessit.
Mutta ISO 27002:2022:n vaatimukset ovat hieman kattavampia.
Tietoturvapolitiikassa tulee ottaa huomioon seuraavat vaatimukset:
- Liiketoimintastrategia ja vaatimukset.
- Määräykset, lait ja sopimukset.
- Nykyiset ja ennustetut tietoturvariskit ja -uhat.
Tietoturvapolitiikan tulee sisältää seuraavat lausunnot:
- Tietoturvan määritelmä.
- Tietoturvatavoitteet tai puitteet tietoturvatavoitteiden asettamiselle.
- Periaatteet ohjaavat kaikkea tietoturvaan liittyvää toimintaa.
- Sitoutuminen tietoturvaan liittyvien soveltuvien vaatimusten täyttämiseen.
- Sitoutuminen tietoturvan hallintajärjestelmän jatkuvaan parantamiseen.
- Tietoturvan hallinnan vastuiden jakaminen määriteltyihin rooleihin.
- Poikkeusten käsittelymenettelyt.
Samanaikaisesti aihekohtaiset käytännöt muokattiin ISO 27002:2022:ssa sisältämään; tietoturvahäiriöiden hallinta, omaisuudenhallinta, verkkoturvallisuus, tietoturvahäiriöiden hallinta ja suojattu kehitys. Jotkut ISO 27002:2013:ssa olevista joko poistettiin tai yhdistettiin kokonaisvaltaisemman kehyksen muodostamiseksi.
Uudet ISO 27002 -säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | UUSI | Uhan älykkyys |
| 5.23 | UUSI | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | UUSI | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| 8.9 | UUSI | Kokoonpanonhallinta |
| 8.10 | UUSI | Tietojen poistaminen |
| 8.11 | UUSI | Tietojen peittäminen |
| 8.12 | UUSI | Tietovuotojen esto |
| 8.16 | UUSI | Toimien seuranta |
| 8.23 | UUSI | Web-suodatus |
| 8.28 | UUSI | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | UUSI | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Miten ISMS.Online auttaa
ISMS.onlinen helppokäyttöinen, mutta tehokas pilvijärjestelmämme tarjoaa sinulle täydellisen valikoiman työkaluja ja resursseja, joiden avulla voit hallita omaa ISO 27001/27002 -tietoturvajärjestelmääsi (ISMS), olitpa uusi. ISO 27001/27002 tai jo sertifioitu.
Intuitiivinen vaiheittainen työnkulkumme, työkalumme, kehyksiämme, käytäntöjämme ja valvontatoimiamme, toimiva dokumentaatio ja opastus opastaa ISO 27002 -standardin käyttöönottoprosessin läpi, mikä tekee ISMS:n laajuuden määrittämisestä, riskien tunnistamisesta ja valvonnan toteuttamisesta helppoa. algoritmimme – joko tyhjästä tai parhaiden käytäntöjen malleista.
Ota yhteyttä jo tänään varaa esittely.
