ISO 27002:2022 – Valvonta 5.1 – Tietoturvakäytännöt

ISO 5.1:27002:n ohjaus 2022 kattaa organisaatioiden tarpeen saada käyttöön tietoturvapolitiikkadokumentti suojatakseen tietoturvaongelmia vastaan.

Tarvitsemme meille antamiasi tietoja ottaaksemme sinuun yhteyttä palveluihimme liittyen.
Peruuta tilaus milloin tahansa. Lisätietoja saat tutustumalla Tietosuojakäytäntö.

kirjailija
Max Edwards
Päivitetty 7
LinkedIn Twitter Twitter

Mikä on Control 5.1?

Tietoturvapolitiikka tarjoaa työntekijöille, johdolle ja ulkopuolisille osapuolille (esim. asiakkaille ja tavarantoimittajille) puitteet sähköisen tiedon, mukaan lukien tietokoneverkkojen, hallintaan.

Tietoturvapolitiikan tarkoituksena on vähentää sisäisten ja ulkoisten uhkien aiheuttamien tietojen katoamisen tai varkauksien riskiä. Tietoturvapolitiikka varmistaa myös, että kaikki työntekijät ovat tietoisia vastuustaan ​​organisaationsa hallussa olevien tietojen suojaamisessa.

Tietoturvapolitiikkaa voidaan käyttää myös lakien ja määräysten noudattamisen osoittamiseen, ja se auttaa täyttämään standardit, kuten ISO 27001.

Kyberturvallisuus ja tietoturvauhat selitetty

Kyberturvallisuusuhat ovat kaikki mahdolliset haitalliset hyökkäykset, joiden tarkoituksena on päästä laittomasti käsiksi tietoihin, häiritä digitaalista toimintaa tai vahingoittaa tietoja. Kyberuhat voivat olla peräisin useilta eri toimijoilta, mukaan lukien yritysten vakoojista ja hacktivisteistä, terroristiryhmistä, vihamielisistä kansallisvaltioista ja rikollisjärjestöistä.

Jotkut suosituimmista kyberturvallisuus- ja tietoturvauhkista ovat:

  • Malware: virukset, vakoiluohjelmat ja muut haittaohjelmat.
  • Tietojenkalastelusähköpostit: viestit, jotka näyttävät olevan peräisin luotettavista lähteistä, mutta sisältävät linkkejä ja liitteitä, jotka asentavat haittaohjelmia.
  • ransomware: haittaohjelma, joka estää käyttäjiä pääsemästä omiin tietoihinsa ennen kuin he maksavat lunnaita.
  • Sosiaalinen suunnittelu: hyökkääjät manipuloivat ihmisiä antamaan arkaluontoisia tietoja, yleensä näyttämällä luotettavilta.
  • Valaanpyyntihyökkäykset: tietojenkalasteluviestit, jotka on suunniteltu näyttämään siltä kuin ne olisivat peräisin organisaation korkean profiilin henkilöiltä.


Hanki 81 % etumatka

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


Mikä on hallinnan tarkoitus 5.1?

Tietoturvapolitiikan tarkoituksena on varmistaa johdon tuki yrityksesi arkaluonteisten tietojen suojaamiseksi varkauksilta ja luvattomalta käytöltä.

Ohjaus 5.1 kattaa ohjauksen, tarkoituksen ja toteutusohjeet organisaation tietoturvapolitiikan määrittämiseksi ISO 27001:n määrittelemän viitekehyksen mukaisesti.

Ohjaus 5.1 sanoo, että organisaatioilla on oltava korkean ja matalan tason käytännöt tietoturvansa hallinnassa. Organisaation ylimmän johdon tulee hyväksyä linjaukset, jotka tulee tarkistaa säännöllisesti ja myös jos tietoturvaympäristössä tapahtuu muutoksia.

Paras tapa on tavata säännöllisesti vähintään kerran kuukaudessa ja lisätapaamisia järjestetään tarvittaessa. Jos käytäntöihin tehdään muutoksia, johdon on hyväksyttävä ne ennen kuin ne otetaan käyttöön. Politiikat tulisi myös jakaa sisäisten ja ulkoisten sidosryhmien kanssa.

Ohjauksen ominaisuudet 5.1

Attribuutit ovat väline ohjaimien luokitteluun. Niiden avulla voit nopeasti mukauttaa ohjausvalintasi yleisten alan kielten ja standardien kanssa. Ohjauksessa 5.1 nämä ovat.

OhjausTietoturvaominaisuudetKyberturvallisuuden käsitteetToiminnalliset valmiudetTurvallisuus Domains
#Ennaltaehkäisevä#Luottamuksellisuus#Tunnistaa#Hallinto#Hallinto ja ekosysteemi
#Integrity#Kestävyys
#Saatavuus


Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo


Mitä se sisältää ja kuinka vaatimukset täytetään

Tietoturvapolitiikan tulee tarjota perusta ja tukea yksityiskohtaisille toimintaohjeille, jotka kuvaavat, miten tietoturvaa käytännössä hallitaan.

Ylimmän johdon tulee hyväksyä politiikka, jonka tulee varmistaa, että se välitetään henkilöstölle ja että se on asianomaisten osapuolten saatavilla.

Politiikka ohjaa organisaation lähestymistapaa tietoturvallisuuden hallintaan, ja sitä voidaan käyttää puitteena yksityiskohtaisempien toimintatapojen kehittämisessä.

Käytäntö on olennainen osa ISO/IEC 27000 -standardiperheen edellyttämän tietoturvan hallintajärjestelmän (ISMS) perustamisessa ja ylläpidossa, vaikka organisaatio ei aio toteuttaa virallista ISO 27001 -standardin tai muun standardin sertifiointia. , hyvin määritelty politiikka on edelleen tärkeä.

Muutokset ja erot standardista ISO 27002:2013

ISO 27002: 2022:ssa ohjaus 5.1 Tietoturvakäytännöt ei ole uusi ohjausobjekti, vaan se on seurausta kontrollien yhdistämisestä 5.1.1 Tietoturvakäytännöt ja 5.1.2 Tietoturvakäytäntöjen tarkastelu ISO 27002 -versiosta 2013.

ISO 27002:2022:ssa ohjaus 5.1 on päivitetty sisältämään kuvaus sen tarkoituksesta ja laajennettu käyttöönotto-opastus. Sen mukana tuli myös attribuuttitaulukko, jonka avulla käyttäjät voivat sovittaa säätimet yhteen alan terminologian kanssa.

ISO 27002:2022:n valvonnassa 5.1 todetaan, että tietoturva- ja aihekohtaiset käytännöt tulee määritellä, johdon hyväksyä, julkaista, viestiä asianomaiselle henkilöstölle ja asianomaisille osapuolille ja tunnustaa ne.

Organisaation tietoturvapolitiikan tulee heijastaa organisaation kokoa, tyyppiä ja tietovarojen herkkyyttä. Sen tulee myös olla alan standardien ja sovellettavien viranomaisten määräysten mukainen.

Vaikka itse ohjauksen olemus on samanlainen kuin ISO 5.1.1: 27002:n 2013, versio 2022 sanoo nimenomaan, että nämä tietoturvakäytännöt tulee tarkistaa säännöllisesti ja myös jos tietoturvaympäristössä tapahtuu muutoksia. Tämä ratsastaja on ISO 5.1.2:27002:n kohdan 2013 katettu.

ISO 27002: 2013 ja ISO 27002: 2022 sanovat, että organisaation korkeimman tason tulee määritellä turvallisuuspolitiikka, jonka ylin johto hyväksyy ja jossa kerrotaan, kuinka he valvovat tietojensa suojaa. Molempien versioiden käytäntöjen kattamat vaatimukset ovat kuitenkin erilaiset.



Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo


Control 5.1 2013 – 2022 Toteutusohjeet Verrattuna

ISO 27002:2013:ssa tietoturvakäytäntöjen tulee vastata vaatimuksiin, jotka ovat luoneet:

  • Liiketoimintastrategiat.
  • Määräykset, lait ja sopimukset.
  • Nykyinen ja ennakoitu tietoturvauhkaympäristö.

Tietoturvapolitiikan tulee sisältää seuraavat lausunnot:

  • Tietoturvan määrittely, tavoitteet ja periaatteet ohjaamaan kaikkea siihen liittyvää toimintaa
    tietoturva.
  • Tietoturvan hallinnan yleisten ja erityisten vastuiden antaminen henkilölle
    määriteltyjä rooleja.
  • Poikkeamien ja poikkeusten käsittelyprosessit.

Mutta ISO 27002:2022:n vaatimukset ovat hieman kattavampia.

Tietoturvapolitiikassa tulee ottaa huomioon seuraavat vaatimukset:

  • Liiketoimintastrategia ja vaatimukset.
  • Määräykset, lait ja sopimukset.
  • Nykyiset ja ennustetut tietoturvariskit ja -uhat.

Tietoturvapolitiikan tulee sisältää seuraavat lausunnot:

  • Tietoturvan määritelmä.
  • Tietoturvatavoitteet tai puitteet tietoturvatavoitteiden asettamiselle.
  • Periaatteet ohjaavat kaikkea tietoturvaan liittyvää toimintaa.
  • Sitoutuminen tietoturvaan liittyvien soveltuvien vaatimusten täyttämiseen.
  • Sitoutuminen tietoturvan hallintajärjestelmän jatkuvaan parantamiseen.
  • Tietoturvan hallinnan vastuiden jakaminen määriteltyihin rooleihin.
  • Poikkeusten käsittelymenettelyt.

Samanaikaisesti aihekohtaiset käytännöt muokattiin ISO 27002:2022:ssa sisältämään; tietoturvahäiriöiden hallinta, omaisuudenhallinta, verkkoturvallisuus, tietoturvahäiriöiden hallinta ja suojattu kehitys. Jotkut ISO 27002:2013:ssa olevista joko poistettiin tai yhdistettiin kokonaisvaltaisemman kehyksen muodostamiseksi.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
5.7UusiUhan älykkyys
5.23UusiTietoturva pilvipalvelujen käyttöön
5.30UusiICT-valmius liiketoiminnan jatkuvuuteen
7.4UusiFyysisen turvallisuuden valvonta
8.9UusiKokoonpanonhallinta
8.10UusiTietojen poistaminen
8.11UusiTietojen peittäminen
8.12UusiTietovuotojen esto
8.16UusiToimien seuranta
8.23UusiWeb-suodatus
8.28UusiTurvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
5.105.1.1, 05.1.2Tietoturvakäytännöt
5.206.1.1Tietoturvaroolit ja -vastuut
5.306.1.2Tehtävien eriyttäminen
5.407.2.1Johdon vastuut
5.506.1.3Yhteys viranomaisiin
5.606.1.4Ota yhteyttä erityisiin eturyhmiin
5.7UusiUhan älykkyys
5.806.1.5, 14.1.1Tietoturva projektinhallinnassa
5.908.1.1, 08.1.2Tietojen ja muiden niihin liittyvien varojen luettelo
5.1008.1.3, 08.2.3Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.1108.1.4Omaisuuden palautus
5.1208.2.1Tietojen luokitus
5.1308.2.2Tietojen merkitseminen
5.1413.2.1, 13.2.2, 13.2.3Tietojen siirto
5.1509.1.1, 09.1.2Kulunvalvonta
5.1609.2.1Identiteettihallinta
5.1709.2.4, 09.3.1, 09.4.3Todennustiedot
5.1809.2.2, 09.2.5, 09.2.6Käyttöoikeudet
5.1915.1.1Tietoturva toimittajasuhteissa
5.2015.1.2Tietoturvan huomioiminen toimittajasopimuksissa
5.2115.1.3Tietoturvan hallinta ICT-toimitusketjussa
5.2215.2.1, 15.2.2Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23UusiTietoturva pilvipalvelujen käyttöön
5.2416.1.1Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.2516.1.4Tietoturvatapahtumien arviointi ja päätös
5.2616.1.5Tietoturvahäiriöihin reagointi
5.2716.1.6Tietoturvahäiriöistä oppiminen
5.2816.1.7Todisteiden kerääminen
5.2917.1.1, 17.1.2, 17.1.3Tietoturva häiriön aikana
5.30UusiICT-valmius liiketoiminnan jatkuvuuteen
5.3118.1.1, 18.1.5Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.3218.1.2Immateriaalioikeudet
5.3318.1.3Tietueiden suojaus
5.3418.1.4Yksityisyys ja henkilötietojen suoja
5.3518.2.1Riippumaton tietoturvatarkastus
5.3618.2.2, 18.2.3Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.3712.1.1Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
6.107.1.1Seulonta
6.207.1.2Työsuhteen ehdot
6.307.2.2Tietoturvatietoisuus, koulutus ja koulutus
6.407.2.3Kurinpitoprosessi
6.507.3.1Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.613.2.4Luottamuksellisuus- tai salassapitosopimukset
6.706.2.2Etätyö
6.816.1.2, 16.1.3Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
7.111.1.1Fyysisen turvallisuuden rajat
7.211.1.2, 11.1.6Fyysinen sisääntulo
7.311.1.3Toimistojen, huoneiden ja tilojen turvaaminen
7.4UusiFyysisen turvallisuuden valvonta
7.511.1.4Suojautuminen fyysisiltä ja ympäristöuhkilta
7.611.1.5Työskentely turvallisilla alueilla
7.711.2.9Selkeä pöytä ja selkeä näyttö
7.811.2.1Laitteiden sijoitus ja suojaus
7.911.2.6Omaisuuden turvallisuus muualla kuin toimitiloissa
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Tallennusvälineet
7.1111.2.2Apuohjelmia tukevat
7.1211.2.3Kaapeloinnin turvallisuus
7.1311.2.4Laitehuolto
7.1411.2.7Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control IdentifierISO/IEC 27002:2013 Control IdentifierOhjausnimi
8.106.2.1, 11.2.8Käyttäjän päätelaitteet
8.209.2.3Etuoikeutetut käyttöoikeudet
8.309.4.1Tiedon pääsyn rajoitus
8.409.4.5Pääsy lähdekoodiin
8.509.4.2Turvallinen todennus
8.612.1.3Kapasiteetin hallinta
8.712.2.1Suojaus haittaohjelmia vastaan
8.812.6.1, 18.2.3Teknisten haavoittuvuuksien hallinta
8.9UusiKokoonpanonhallinta
8.10UusiTietojen poistaminen
8.11UusiTietojen peittäminen
8.12UusiTietovuotojen esto
8.1312.3.1Tietojen varmuuskopiointi
8.1417.2.1Tietojenkäsittelylaitteiden redundanssi
8.1512.4.1, 12.4.2, 12.4.3Hakkuu
8.16UusiToimien seuranta
8.1712.4.4Kellon synkronointi
8.1809.4.4Etuoikeutettujen apuohjelmien käyttö
8.1912.5.1, 12.6.2Ohjelmistojen asennus käyttöjärjestelmiin
8.2013.1.1Verkkojen turvallisuus
8.2113.1.2Verkkopalvelujen turvallisuus
8.2213.1.3Verkkojen erottelu
8.23UusiWeb-suodatus
8.2410.1.1, 10.1.2Salaustekniikan käyttö
8.2514.2.1Turvallinen kehityksen elinkaari
8.2614.1.2, 14.1.3Sovelluksen suojausvaatimukset
8.2714.2.5Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28UusiTurvallinen koodaus
8.2914.2.8, 14.2.9Tietoturvatestausta kehitetään ja hyväksytään
8.3014.2.7Ulkoistettu kehitys
8.3112.1.4, 14.2.6Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Muutoksen hallinta
8.3314.3.1Testitiedot
8.3412.7.1Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.Online auttaa

ISMS.onlinen helppokäyttöinen, mutta tehokas pilvijärjestelmämme tarjoaa sinulle täydellisen valikoiman työkaluja ja resursseja, joiden avulla voit hallita omaa ISO 27001/27002 -tietoturvajärjestelmääsi (ISMS), olitpa uusi. ISO 27001/27002 tai jo sertifioitu.

Intuitiivinen vaiheittainen työnkulkumme, työkalumme, kehyksiämme, käytäntöjämme ja valvontatoimiamme, toimiva dokumentaatio ja opastus opastaa ISO 27002 -standardin käyttöönottoprosessin läpi, mikä tekee ISMS:n laajuuden määrittämisestä, riskien tunnistamisesta ja valvonnan toteuttamisesta helppoa. algoritmimme – joko tyhjästä tai parhaiden käytäntöjen malleista.

Ota yhteyttä jo tänään varaa esittely.

Hyppää aiheeseen

Max Edwards

Max toimii osana ISMS.online-markkinointitiimiä ja varmistaa, että verkkosivustomme päivitetään hyödyllisellä sisällöllä ja tiedolla kaikesta ISO 27001, 27002 ja vaatimustenmukaisuudesta.

ISMS Platform Tour

Oletko kiinnostunut ISMS.online-alustakierroksesta?

Aloita ilmainen 2 minuutin interaktiivinen demo nyt ja koe ISMS.onlinen taika toiminnassa!

Kokeile ilmaiseksi

Olemme alamme johtaja

Käyttäjät rakastavat meitä
Leader Winter 2025
Leader Winter 2025 Iso-Britannia
Paras ROI-talvi 2025
Nopein käyttöönotto talvi 2025
Toteutettavin talvi 2025

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

-Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

-Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

-Ben H.

DORA on täällä! Paranna digitaalista kestävyyttäsi tänään tehokkaalla uudella ratkaisullamme!