ISO 5.1:27002:n ohjaus 2022 kattaa organisaatioiden tarpeen saada käyttöön tietoturvapolitiikkadokumentti suojatakseen tietoturvaongelmia vastaan.
Tietoturvapolitiikka tarjoaa työntekijöille, johdolle ja ulkopuolisille osapuolille (esim. asiakkaille ja tavarantoimittajille) puitteet sähköisen tiedon, mukaan lukien tietokoneverkkojen, hallintaan.
Tietoturvapolitiikan tarkoituksena on vähentää sisäisten ja ulkoisten uhkien aiheuttamien tietojen katoamisen tai varkauksien riskiä. Tietoturvapolitiikka varmistaa myös, että kaikki työntekijät ovat tietoisia vastuustaan organisaationsa hallussa olevien tietojen suojaamisessa.
Tietoturvapolitiikkaa voidaan käyttää myös lakien ja määräysten noudattamisen osoittamiseen, ja se auttaa täyttämään standardit, kuten ISO 27001.
Kyberturvallisuusuhat ovat kaikki mahdolliset haitalliset hyökkäykset, joiden tarkoituksena on päästä laittomasti käsiksi tietoihin, häiritä digitaalista toimintaa tai vahingoittaa tietoja. Kyberuhat voivat olla peräisin useilta eri toimijoilta, mukaan lukien yritysten vakoojista ja hacktivisteistä, terroristiryhmistä, vihamielisistä kansallisvaltioista ja rikollisjärjestöistä.
Jotkut suosituimmista kyberturvallisuus- ja tietoturvauhkista ovat:
Tietoturvapolitiikan tarkoituksena on varmistaa johdon tuki yrityksesi arkaluonteisten tietojen suojaamiseksi varkauksilta ja luvattomalta käytöltä.
Ohjaus 5.1 kattaa ohjauksen, tarkoituksen ja toteutusohjeet organisaation tietoturvapolitiikan määrittämiseksi ISO 27001:n määrittelemän viitekehyksen mukaisesti.
Ohjaus 5.1 sanoo, että organisaatioilla on oltava korkean ja matalan tason käytännöt tietoturvansa hallinnassa. Organisaation ylimmän johdon tulee hyväksyä linjaukset, jotka tulee tarkistaa säännöllisesti ja myös jos tietoturvaympäristössä tapahtuu muutoksia.
Paras tapa on tavata säännöllisesti vähintään kerran kuukaudessa ja lisätapaamisia järjestetään tarvittaessa. Jos käytäntöihin tehdään muutoksia, johdon on hyväksyttävä ne ennen kuin ne otetaan käyttöön. Politiikat tulisi myös jakaa sisäisten ja ulkoisten sidosryhmien kanssa.
Attribuutit ovat väline ohjaimien luokitteluun. Niiden avulla voit nopeasti mukauttaa ohjausvalintasi yleisten alan kielten ja standardien kanssa. Ohjauksessa 5.1 nämä ovat.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Tunnistaa | #Hallinto | #Hallinto ja ekosysteemi #Kestävyys |
Tietoturvapolitiikan tulee tarjota perusta ja tukea yksityiskohtaisille toimintaohjeille, jotka kuvaavat, miten tietoturvaa käytännössä hallitaan.
Ylimmän johdon tulee hyväksyä politiikka, jonka tulee varmistaa, että se välitetään henkilöstölle ja että se on asianomaisten osapuolten saatavilla.
Politiikka ohjaa organisaation lähestymistapaa tietoturvallisuuden hallintaan, ja sitä voidaan käyttää puitteena yksityiskohtaisempien toimintatapojen kehittämisessä.
Käytäntö on olennainen osa ISO/IEC 27000 -standardiperheen edellyttämän tietoturvan hallintajärjestelmän (ISMS) perustamisessa ja ylläpidossa, vaikka organisaatio ei aio toteuttaa virallista ISO 27001 -standardin tai muun standardin sertifiointia. , hyvin määritelty politiikka on edelleen tärkeä.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
ISO 27002: 2022:ssa ohjaus 5.1 Tietoturvakäytännöt ei ole uusi ohjausobjekti, vaan se on seurausta kontrollien yhdistämisestä 5.1.1 Tietoturvakäytännöt ja 5.1.2 Tietoturvakäytäntöjen tarkastelu ISO 27002 -versiosta 2013.
ISO 27002:2022:ssa ohjaus 5.1 on päivitetty sisältämään kuvaus sen tarkoituksesta ja laajennettu käyttöönotto-opastus. Sen mukana tuli myös attribuuttitaulukko, jonka avulla käyttäjät voivat sovittaa säätimet yhteen alan terminologian kanssa.
ISO 27002:2022:n valvonnassa 5.1 todetaan, että tietoturva- ja aihekohtaiset käytännöt tulee määritellä, johdon hyväksyä, julkaista, viestiä asianomaiselle henkilöstölle ja asianomaisille osapuolille ja tunnustaa ne.
Organisaation tietoturvapolitiikan tulee heijastaa organisaation kokoa, tyyppiä ja tietovarojen herkkyyttä. Sen tulee myös olla alan standardien ja sovellettavien viranomaisten määräysten mukainen.
Vaikka itse ohjauksen olemus on samanlainen kuin ISO 5.1.1: 27002:n 2013, versio 2022 sanoo nimenomaan, että nämä tietoturvakäytännöt tulee tarkistaa säännöllisesti ja myös jos tietoturvaympäristössä tapahtuu muutoksia. Tämä ratsastaja on ISO 5.1.2:27002:n kohdan 2013 katettu.
ISO 27002: 2013 ja ISO 27002: 2022 sanovat, että organisaation korkeimman tason tulee määritellä turvallisuuspolitiikka, jonka ylin johto hyväksyy ja jossa kerrotaan, kuinka he valvovat tietojensa suojaa. Molempien versioiden käytäntöjen kattamat vaatimukset ovat kuitenkin erilaiset.
ISO 27002:2013:ssa tietoturvakäytäntöjen tulee vastata vaatimuksiin, jotka ovat luoneet:
Tietoturvapolitiikan tulee sisältää seuraavat lausunnot:
Mutta ISO 27002:2022:n vaatimukset ovat hieman kattavampia.
Tietoturvapolitiikassa tulee ottaa huomioon seuraavat vaatimukset:
Tietoturvapolitiikan tulee sisältää seuraavat lausunnot:
Samanaikaisesti aihekohtaiset käytännöt muokattiin ISO 27002:2022:ssa sisältämään; tietoturvahäiriöiden hallinta, omaisuudenhallinta, verkkoturvallisuus, tietoturvahäiriöiden hallinta ja suojattu kehitys. Jotkut ISO 27002:2013:ssa olevista joko poistettiin tai yhdistettiin kokonaisvaltaisemman kehyksen muodostamiseksi.
ISMS.onlinen helppokäyttöinen, mutta tehokas pilvijärjestelmämme tarjoaa sinulle täydellisen valikoiman työkaluja ja resursseja, joiden avulla voit hallita omaa ISO 27001/27002 -tietoturvajärjestelmääsi (ISMS), olitpa uusi. ISO 27001/27002 tai jo sertifioitu.
Intuitiivinen vaiheittainen työnkulkumme, työkalumme, kehyksiämme, käytäntöjämme ja valvontatoimiamme, toimiva dokumentaatio ja opastus opastaa ISO 27002 -standardin käyttöönottoprosessin läpi, mikä tekee ISMS:n laajuuden määrittämisestä, riskien tunnistamisesta ja valvonnan toteuttamisesta helppoa. algoritmimme – joko tyhjästä tai parhaiden käytäntöjen malleista.
Ota yhteyttä jo tänään varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
