Mikä on valvonta 5.10, tietojen ja muiden niihin liittyvien varojen hyväksyttävä käyttö?
Tietovarojen hyväksytyn käytön käytäntö (AUA) koskee kaikkia organisaation jäseniä ja organisaation omistamia tai hallinnoimia varoja. AUA koskee kaikkea Tietoomaisuuden käyttöä mihin tahansa tarkoitukseen, mukaan lukien kaupallisiin tarkoituksiin.
Seuraavat ovat esimerkkejä tietovarannoista:
- Palvelimet: tietokoneet, mobiililaitteet, puhelimet ja faksit.
- Tuotteemme: käyttöjärjestelmät, sovellukset (mukaan lukien verkkopohjaiset sovellukset), apuohjelmat, laiteohjelmistot ja ohjelmointikielet.
- Päiväys: strukturoitu data relaatiotietokantoihin, litteät tiedostot ja NoSQL-tiedot; jäsentämätön data, kuten tekstiasiakirjat, laskentataulukot, kuvat, video- ja äänitiedostot; tallentaa missä tahansa muodossa.
- Verkostot: kiinteät ja langattomat verkot; tietoliikennejärjestelmät; Voice over IP -palvelut.
- Palvelut: pilvipalvelut, sähköpostitilit ja muut isännöidyt palvelut.
Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö tarkoittaa tietovarojen käyttöä tavoilla, jotka eivät vaaranna tietojen, palveluiden tai resurssien saatavuutta, luotettavuutta tai eheyttä. Se tarkoittaa myös niiden käyttöä tavoilla, jotka eivät riko lakeja tai organisaation käytäntöjä.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Ohjauksen ominaisuudet 5.10
Uusi ISO 27002:2022 -standardi mukana attribuuttitaulukot, joita ei löydy vuoden 2013 versiosta. Attribuutit ovat tapa luokitella säätimiä.
Niiden avulla voit myös sovittaa ohjausvalintasi yleisesti käytettyihin alan termeihin ja spesifikaatioihin. Seuraavat säätimet ovat käytettävissä ohjauksessa 5:10.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Vahvuuksien hallinta | #Hallinto ja ekosysteemi |
| #Integrity | #Tiedon suojaus | #Suojaus | ||
| #Saatavuus |
Mikä on hallinnan tarkoitus 5.10?
Tämän kaiken kattava tavoite valvonnan tarkoituksena on varmistaa tiedot ja muut niihin liittyvät varat suojataan, käytetään ja käsitellään asianmukaisesti.
Ohjaus 5.10 on suunniteltu varmistamaan, että käytössä on käytännöt, menettelyt ja tekniset hallintakeinot, jotka estävät käyttäjiä pääsemästä, käyttämään tai paljastamasta tietoresursseja väärin.
Tämän valvonnan tarkoituksena on tarjota organisaatioille puitteet sen varmistamiseksi tietoa ja muuta omaisuutta suojataan, käytetään ja käsitellään asianmukaisesti. Tähän kuuluu sen varmistaminen, että periaatteet ja menettelyt ovat olemassa kaikilla organisaation tasoilla, sekä sen varmistaminen, että näitä periaatteita ja menettelyjä noudatetaan johdonmukaisesti.
Ohjauksen 5.10 käyttöönotto osana sinun ISMS tarkoittaa että olet asettanut erilaisia vaatimuksia, jotka liittyvät siihen, miten yrityksesi suojaa IT-omaisuutta, mukaan lukien:
- Tietojen suojaaminen varastoinnin, käsittelyn ja kuljetuksen aikana.
- IT-laitteiden suojaaminen ja asianmukainen käyttö.
- Asianmukaisten todennuspalvelujen käyttö tietojärjestelmiin pääsyn valvomiseksi.
- Tietojen käsittely organisaatiossa vain käyttäjien toimesta, joilla on asianmukainen valtuutus.
- Tiedon jakaminen vastuut tietyille henkilöille tai rooleille.
- Käyttäjien koulutus ja koulutus koskien heidän turvallisuusvastuutaan.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Mitä se sisältää ja kuinka vaatimukset täytetään
Täyttääkseen vaatimukset ohjaus 5.10 standardissa ISO 27002:2022, on tärkeää, että työntekijät ja ulkopuoliset tahot, jotka käyttävät tai pääsevät käsiksi organisaation tietoihin ja muuhun asiaan liittyvään omaisuuteen, ovat tietoisia organisaation tietoturvavaatimuksista.
Nämä ihmiset tulisi saattaa vastuuseen kaikista käyttämistään tietojenkäsittelymahdollisuuksista.
Jokaisen, joka osallistuu tiedon ja muun asiaan liittyvän omaisuuden käyttöön tai käsittelyyn, tulee olla tietoinen organisaation käytännöstä tiedon ja muun asiaan liittyvän omaisuuden hyväksyttävästä käytöstä.
Kaikki, jotka ovat mukana tuotteen käytössä tai käsittelyssä tiedot ja muu siihen liittyvä omaisuus tulee olla tietoinen organisaation käytännöistä tiedon ja muun siihen liittyvän omaisuuden sallitusta käytöstä. Osana aihekohtaista hyväksyttävän käytön politiikkaa henkilöstön tulee tietää tarkalleen, mitä heidän odotetaan tekevän tiedolla ja muulla omaisuudella.
Aihekohtaisessa politiikassa tulee erityisesti mainita, että:
a) henkilöiden odotettu ja ei-hyväksyttävä käyttäytyminen tietoturvallisuuden näkökulmasta;
b) tietojen ja muun siihen liittyvän omaisuuden sallittu ja kielletty käyttö;
c) organisaation suorittamia seurantatoimia.
Hyväksytyt käyttötavat tulee laatia tiedon koko elinkaarelle sen luokituksen ja määritettyjen riskien mukaisesti. Seuraavat asiat tulee ottaa huomioon:
a) pääsyrajoitukset, jotka tukevat kunkin luokitustason suojausvaatimuksia;
b) tietueen ylläpito valtuutetuista tietojen ja muiden niihin liittyvien varojen käyttäjistä;
c) tilapäisten tai pysyvien tietojen kopioiden suojan tasolle, joka on yhdenmukainen
alkuperäisten tietojen suojaaminen;
d) tietoihin liittyvien omaisuuserien säilyttäminen valmistajan ohjeiden mukaisesti;
e) kaikkien tallennusvälineiden (sähköisten tai fyysisten) kopioiden selkeä merkintä
valtuutettu vastaanottaja;
f) valtuutus tietojen ja muiden niihin liittyvien varojen hävittämiseen ja tuetut poistomenetelmät.
Erot ISO 27002:2013 ja ISO 27002:2022 välillä
ISO 2022:n uusi versio 27002 julkaistiin 15. helmikuuta 2022, ja se on ISO 27002:2013 -päivitys.
Ohjaus 5.10 standardissa ISO 27002:2022 ei ole uusi ohjaus, vaan se on yhdistelmä säätimiä 8.1.3 – varojen hyväksyttävä käyttö ja 8.2.3 – varojen käsittely standardissa ISO 27002:2013.
Vaikka valvonnan 5.10 olemus ja toteutusohjeet ovat suhteellisen samat kuin kontrollit 8.1.3 ja 8.2.3, ohjaus 5.10 yhdisti sekä varojen hyväksyttävän käytön että varojen käsittelyn yhdeksi ohjausobjektiksi parantaakseen käyttäjäystävällisyyttä.
Kuitenkin tarkistus 5.10 lisäsi myös kontrolliin 8.2.3. Tämä kattaa luvan tietojen ja muiden niihin liittyvien varojen hävittämiseen sekä tuetut poistomenetelmät.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Kuka on vastuussa tästä prosessista?
Tietojen ja muiden niihin liittyvien omaisuuserien hyväksyttävä käyttö on käytäntö, joka määrittelee säännöt, joilla varmistetaan yrityksen tietojen ja muiden siihen liittyvien omaisuuserien, mukaan lukien tietokoneet, verkot ja järjestelmät, sähköposti, tiedostot ja tallennusvälineet, asianmukainen käyttö. Tämä käytäntö sitoo kaikkia työntekijöitä ja urakoitsijoita.
Tämän käytännön tarkoitus on:
- Varmista, että yrityksen tietoja ja muuta siihen liittyvää omaisuutta käytetään vain laillisiin liiketoimintatarkoituksiin.
- Varmista, että työntekijät noudattavat kaikkia tietoturvaan liittyviä lakeja ja määräyksiä.
- Suojaa yrityksen tietoja ja muuta siihen liittyvää omaisuutta yhtiön sisältä tai ulkopuolelta tulevilta uhilta.
Tietoturvavastaava (ISO) on vastuussa tietovarojen Hyväksytyn käytön kehittämisestä, toteuttamisesta ja ylläpidosta.
ISO on vastuussa tietoresurssien käytön hallinnasta koko organisaatiossa sen varmistamiseksi, että tietoja käytetään tavalla, joka suojaa tietojen turvallisuutta ja eheyttä, säilyttää omistusoikeudellisten tai arkaluonteisten tietojen luottamuksellisuuden, suojaa väärinkäytöltä ja luvattomalta pääsyltä tietojenkäsittelyyn. resursseja ja eliminoi tarpeettoman altistumisen tai vastuun organisaatiolle.
Mitä nämä muutokset merkitsevät sinulle?
Uusi ISO 27002: 2022 -standardi ei ole olennainen päivitys. Tämän seurauksena sinun ei ehkä tarvitse tehdä merkittäviä muutoksia ISO 27002 -standardin uusimman version noudattamiseen.
Tutustu kuitenkin ISO 27002:2022 -oppaaseen, josta saat lisätietoja siitä, kuinka nämä muutokset 5.10:n hallintaan vaikuttavat liiketoimintaasi.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
Kuten tiedät, ISO 27002 on laajalti hyväksytty ja hyvin tunnustettu tietoturvastandardi.
Se tarjoaa mallin luomiseen, toteuttamiseen, käyttöön, seurantaan, tarkistamiseen, ylläpitoon ja parantamiseen Tietoturvan hallintajärjestelmä (ISMS).
Koska ISO 27002 -standardi on niin kattava ja yksityiskohtainen, sen käyttöönotto voi olla aikaa vievä prosessi. Mutta kanssa ISMS.online, sinulla on yhden luukun ratkaisu, joka tekee asioista paljon yksinkertaisempaa.
Meidän maailmanluokan tietoturva hallintajärjestelmän ohjelmistoalustan avulla on erittäin helppo ymmärtää, mitä on tehtävä ja miten se tehdään.
Otamme pois vaatimustenmukaisuusvaatimustesi hallinnasta.
ISMS.onlinen avulla ISO 27002:n käyttöönotto on yksinkertaisempaa vaiheittaisen tarkistuslistan avulla, joka opastaa sinut koko prosessin läpi ISMS:n laajuuden määrittämisestä riskien tunnistamiseen ja hallintaan.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
