ISO 27002:2022, valvonta 5.11 – Return of Assets

Mikä on hallinnan tarkoitus 5.11?

Valvonta 5.11 on suunniteltu suojaamaan organisaation omaisuutta osana työsuhteen, sopimuksen tai sopimuksen muuttamis- tai irtisanomista. Tämän valvonnan tarkoituksena on estää luvattomia henkilöitä säilyttämästä organisaatiolle kuuluvaa omaisuutta (esim. laitteita, tietoja, ohjelmistoja jne.).

Kun työntekijät ja urakoitsijat lähtevät organisaatiostasi, sinun on varmistettava, etteivät he ota arkaluonteisia tietoja mukanaan. Teet sen tunnistamalla mahdolliset uhat ja seuraamalla käyttäjän toimintaa ennen hänen lähtöään.

Tämän valvonnan tarkoituksena on varmistaa, että henkilöllä ei ole pääsyä IT-järjestelmiin ja -verkkoihin, kun ne lopetetaan. Organisaatioiden tulee ottaa käyttöön muodollinen irtisanomisprosessi, jolla varmistetaan, etteivät henkilöt pääse käyttämään IT-järjestelmiä organisaatiosta lähtemisen jälkeen. Tämä voidaan tehdä peruuttamalla kaikki käyttöoikeudet, poistamalla tilit ja poistamalla pääsy rakennuksen tiloista.

Käytössä on oltava menettelyt, joilla varmistetaan, että työntekijät, urakoitsijat ja muut asiaankuuluvat osapuolet palauttavat kaikki organisaation varat, joita ei enää tarvita liiketoimintatarkoituksiin tai jotka on määrä korvata. Organisaatiot saattavat myös haluta suorittaa viimeisen tarkistuksen henkilön työalueelle varmistaakseen, että kaikki arkaluonteiset tiedot on palautettu.

Esimerkiksi:

• Erottamisen yhteydessä kerätään organisaation omistamat laitteet (esim. siirrettävät tietovälineet, kannettavat tietokoneet).
• Urakoitsijat palauttavat laitteet ja tiedot sopimuksensa päätyttyä.

Mitä se sisältää ja kuinka vaatimukset täytetään

Valvontavaatimusten 5.11 täyttämiseksi muutos- tai irtisanoutumisprosessi tulee virallistaa siten, että se sisältää kaikkien aiemmin liikkeeseen laskettujen organisaation omistamien tai sille uskottujen fyysisten ja elektronisten omaisuuserien palauttamisen.

Prosessin tulisi myös varmistaa, että kaikki käyttöoikeudet, tilit, digitaaliset varmenteet ja salasanat poistetaan. Tämä virallistaminen on erityisen tärkeää tapauksissa, joissa muutos tai irtisanominen tapahtuu odottamatta, kuten kuolema tai eroaminen, jotta estetään luvaton pääsy organisaation omaisuuteen, joka voi johtaa tietoturvaloukkaukseen.

Prosessin tulee varmistaa, että kaikki omaisuus kirjataan ja että ne on palautettu/hävitetty turvallisesti.

ISO 5.11:27002 valvonnan 2022 mukaan organisaation tulee selkeästi tunnistaa ja dokumentoida kaikki tiedot ja muu palautettava omaisuus, joka voi sisältää:

a) käyttäjän päätelaitteet;

b) kannettavat tallennuslaitteet;

c) erikoislaitteet;

d) todennuslaitteistot (esim. mekaaniset avaimet, fyysiset tunnukset ja älykortit) tietojärjestelmiä, sivustoja ja fyysisiä arkistoja varten;

e) fyysisiä kopioita tiedoista.

Tämä voidaan saavuttaa muodollisella tarkistuslistalla, joka sisältää kaikki tarvittavat tuotteet, jotka käyttäjän on palautettava/hävitettävä ja jotka käyttäjän on täytettävä irtisanomisen yhteydessä, sekä tarvittavat allekirjoitukset, jotka vahvistavat, että omaisuus on palautettu/hävitetty onnistuneesti.

Erot ISO 27002:2013 ja ISO 27002:2022 välillä

ISO 2022:n uusi versio 27002 julkaistiin 15. helmikuuta 2022, ja se on ISO 27002:2013 -päivitys.

Ohjaus 5.11 standardissa ISO 27002: 2022 ei ole uusi ohjausobjekti, vaan se on muunnos ISO 8.1.4:27002:n ohjauksesta 2013 – varojen palautus.

Molemmat ohjausobjektit ovat olennaisesti samat ja lähes samankaltainen kieli ja fraseologia, jotka sisältyvät toteutusohjeisiin. Kuitenkin, ohjaus 5.11 standardissa ISO 27002:2022 mukana tulee attribuuttitaulukko, jonka avulla käyttäjät voivat sovittaa ohjausobjektin käyttöönsä. Myös standardin ISO 5.11:27002 ohjauskohdassa 2022 lueteltiin omaisuuserät, jotka voivat kuulua sen alle, mikä on palautettava työsuhteen päättyessä tai sopimuksen päättyessä.

Näitä ovat muun muassa:

a) käyttäjän päätelaitteet;

b) kannettavat tallennuslaitteet;

c) erikoislaitteet;

d) todennuslaitteistot (esim. mekaaniset avaimet, fyysiset tunnukset ja älykortit) tietojärjestelmiä, sivustoja ja fyysisiä arkistoja varten;

e) fyysisiä kopioita tiedoista.

Tämä luettelo ei ole saatavilla vuoden 2013 versiossa.

Mitä nämä muutokset merkitsevät sinulle?

Päivitetty ISO 27002:2022 -standardi perustuu vuoden 2013 versioon. Standardia valvova toimikunta ei tehnyt merkittäviä päivityksiä tai muutoksia aikaisempiin versioihin. Tämän seurauksena kaikki tällä hetkellä ISO 27002:2013 -standardin mukaiset organisaatiot ovat jo uuden standardin mukaisia. Jos yrityksesi aikoo noudattaa ISO 27002 -standardia, sinun ei tarvitse tehdä monia merkittäviä muutoksia järjestelmiisi ja prosesseihisi.

Voit kuitenkin oppia lisää siitä, kuinka nämä muutokset 5.11:n hallintaan vaikuttavat organisaatioosi ISO 27002:2022 -oppaastamme.

Miten ISMS.online auttaa

ISMS.online-alusta on loistava työkalu, jonka avulla voit ottaa käyttöön ja hallita ISO 27001/27002 -standardia. Tietoturvan hallintajärjestelmä, riippumatta kokemuksestasi standardista.

Järjestelmämme opastaa sinut vaiheiden läpi määritä ISMS onnistuneesti ja hallitse sitä eteenpäin. Saat käyttöösi monenlaisia ​​resursseja, mukaan lukien:

• Interaktiivinen ISMS.online-opas, joka tarjoaa vaiheittaiset ohjeet ISO 27001/27002 -standardin käyttöönotosta missä tahansa organisaatiossa.
• A riskinarviointiväline joka opastaa sinut riskien tunnistamis- ja arviointiprosessin läpi.
• Verkossa politiikkapaketti jota on helppo muokata tarpeidesi mukaan.
• Asiakirjanhallintajärjestelmä, jonka avulla voit hallita jokaista asiakirjaa ja tietuetta, joka on luotu osana ISMS-järjestelmääsi.
• Automaattinen raportointi parantaa päätöksentekoa.
• Tarkistuslista, jonka avulla voit varmistaa, että prosessisi ovat ISO 27002 -kehyksen mukaisia. Lopuksi pilvipohjaisella alustallamme on kaikki mitä tarvitset dokumentoidaksesi ISO-kehyksen noudattamisen.

Ota yhteyttä jo tänään varaa esittely.