Mikä on Control 5.11, Return of Assets?
An tietovarat on kaikenlaista tietoa, jolla on arvoa organisaatiolle. Tietovarat voivat sisältää fyysisiä asiakirjoja, digitaalisia tiedostoja ja tietokantoja, ohjelmistoja ja jopa aineettomia kohteita, kuten liikesalaisuuksia ja immateriaalioikeuksia.
Tietovaroilla voi olla arvoa monin tavoin. Ne voivat sisältää henkilökohtaiset tunnistetiedot (PII) asiakkaista, työntekijöistä tai muista sidosryhmistä, joita huonot toimijat voisivat käyttää taloudellisen hyödyn tai identiteettivarkauden hankkimiseen. Ne voivat sisältää arkaluontoisia tietoja organisaatiosi taloudesta, tutkimuksesta tai toiminnasta, mikä tarjoaisi kilpailijoille kilpailuetua, jos he saisivat käsiinsä.
Tästä syystä on tärkeää, että henkilöstö ja urakoitsijat, joiden liiketoiminta lopetetaan organisaation kanssa, pakotetaan palauttamaan kaikki hallussaan oleva omaisuus.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Ohjauksen ominaisuudet 5.11
Uusi ISO 27002:2022 -standardi sisältää attribuuttitaulukot, jotka eivät sisältyneet edelliseen 2013 standardiin. Kontrollit luokitellaan niiden ominaisuuksien perusteella. Voit myös käyttää näitä määritteitä kohdistaaksesi ohjausvalintasi yleisesti käytettyihin alan termeihin ja spesifikaatioihin.
Ohjauksen 5.11 attribuutit ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Vahvuuksien hallinta | #Suojaus |
| #Integrity | ||||
| #Saatavuus |
Mikä on hallinnan tarkoitus 5.11?
Valvonta 5.11 on suunniteltu suojaamaan organisaation omaisuutta osana työsuhteen, sopimuksen tai sopimuksen muuttamis- tai irtisanomista. Tämän valvonnan tarkoituksena on estää luvattomia henkilöitä säilyttämästä organisaatiolle kuuluvaa omaisuutta (esim. laitteita, tietoja, ohjelmistoja jne.).
Kun työntekijät ja urakoitsijat lähtevät organisaatiostasi, sinun on varmistettava, etteivät he ota arkaluonteisia tietoja mukanaan. Teet sen tunnistamalla mahdolliset uhat ja seuraamalla käyttäjän toimintaa ennen hänen lähtöään.
Tämän valvonnan tarkoituksena on varmistaa, että henkilöllä ei ole pääsyä IT-järjestelmiin ja -verkkoihin, kun ne lopetetaan. Organisaatioiden tulee ottaa käyttöön muodollinen irtisanomisprosessi, jolla varmistetaan, etteivät henkilöt pääse käyttämään IT-järjestelmiä organisaatiosta lähtemisen jälkeen. Tämä voidaan tehdä peruuttamalla kaikki käyttöoikeudet, poistamalla tilit ja poistamalla pääsy rakennuksen tiloista.
Käytössä on oltava menettelyt, joilla varmistetaan, että työntekijät, urakoitsijat ja muut asiaankuuluvat osapuolet palauttavat kaikki organisaation varat, joita ei enää tarvita liiketoimintatarkoituksiin tai jotka on määrä korvata. Organisaatiot saattavat myös haluta suorittaa viimeisen tarkistuksen henkilön työalueelle varmistaakseen, että kaikki arkaluonteiset tiedot on palautettu.
Esimerkiksi:
- Erottamisen yhteydessä kerätään organisaation omistamat laitteet (esim. siirrettävät tietovälineet, kannettavat tietokoneet).
- Urakoitsijat palauttavat laitteet ja tiedot sopimuksensa päätyttyä.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Mitä se sisältää ja kuinka vaatimukset täytetään
Valvontavaatimusten 5.11 täyttämiseksi muutos- tai irtisanoutumisprosessi tulee virallistaa siten, että se sisältää kaikkien aiemmin liikkeeseen laskettujen organisaation omistamien tai sille uskottujen fyysisten ja elektronisten omaisuuserien palauttamisen.
Prosessin tulisi myös varmistaa, että kaikki käyttöoikeudet, tilit, digitaaliset varmenteet ja salasanat poistetaan. Tämä virallistaminen on erityisen tärkeää tapauksissa, joissa muutos tai irtisanominen tapahtuu odottamatta, kuten kuolema tai eroaminen, jotta estetään luvaton pääsy organisaation omaisuuteen, joka voi johtaa tietoturvaloukkaukseen.
Prosessin tulee varmistaa, että kaikki omaisuus kirjataan ja että ne on palautettu/hävitetty turvallisesti.
ISO 5.11:27002 valvonnan 2022 mukaan organisaation tulee selkeästi tunnistaa ja dokumentoida kaikki tiedot ja muu palautettava omaisuus, joka voi sisältää:
a) käyttäjän päätelaitteet;
b) kannettavat tallennuslaitteet;
c) erikoislaitteet;
d) todennuslaitteistot (esim. mekaaniset avaimet, fyysiset tunnukset ja älykortit) tietojärjestelmiä, sivustoja ja fyysisiä arkistoja varten;
e) fyysisiä kopioita tiedoista.
Tämä voidaan saavuttaa muodollisella tarkistuslistalla, joka sisältää kaikki tarvittavat tuotteet, jotka käyttäjän on palautettava/hävitettävä ja jotka käyttäjän on täytettävä irtisanomisen yhteydessä, sekä tarvittavat allekirjoitukset, jotka vahvistavat, että omaisuus on palautettu/hävitetty onnistuneesti.
Erot ISO 27002:2013 ja ISO 27002:2022 välillä
ISO 2022:n uusi versio 27002 julkaistiin 15. helmikuuta 2022, ja se on ISO 27002:2013 -päivitys.
Ohjaus 5.11 standardissa ISO 27002: 2022 ei ole uusi ohjausobjekti, vaan se on muunnos ISO 8.1.4:27002:n ohjauksesta 2013 – varojen palautus.
Molemmat ohjausobjektit ovat olennaisesti samat ja lähes samankaltainen kieli ja fraseologia, jotka sisältyvät toteutusohjeisiin. Kuitenkin, ohjaus 5.11 standardissa ISO 27002:2022 mukana tulee attribuuttitaulukko, jonka avulla käyttäjät voivat sovittaa ohjausobjektin käyttöönsä. Myös standardin ISO 5.11:27002 ohjauskohdassa 2022 lueteltiin omaisuuserät, jotka voivat kuulua sen alle, mikä on palautettava työsuhteen päättyessä tai sopimuksen päättyessä.
Näitä ovat muun muassa:
a) käyttäjän päätelaitteet;
b) kannettavat tallennuslaitteet;
c) erikoislaitteet;
d) todennuslaitteistot (esim. mekaaniset avaimet, fyysiset tunnukset ja älykortit) tietojärjestelmiä, sivustoja ja fyysisiä arkistoja varten;
e) fyysisiä kopioita tiedoista.
Tämä luettelo ei ole saatavilla vuoden 2013 versiossa.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä nämä muutokset merkitsevät sinulle?
Päivitetty ISO 27002:2022 -standardi perustuu vuoden 2013 versioon. Standardia valvova toimikunta ei tehnyt merkittäviä päivityksiä tai muutoksia aikaisempiin versioihin. Tämän seurauksena kaikki tällä hetkellä ISO 27002:2013 -standardin mukaiset organisaatiot ovat jo uuden standardin mukaisia. Jos yrityksesi aikoo noudattaa ISO 27002 -standardia, sinun ei tarvitse tehdä monia merkittäviä muutoksia järjestelmiisi ja prosesseihisi.
Voit kuitenkin oppia lisää siitä, kuinka nämä muutokset 5.11:n hallintaan vaikuttavat organisaatioosi ISO 27002:2022 -oppaastamme.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
ISMS.online-alusta on loistava työkalu, jonka avulla voit ottaa käyttöön ja hallita ISO 27001/27002 -standardia. Tietoturvan hallintajärjestelmä, riippumatta kokemuksestasi standardista.
Järjestelmämme opastaa sinut vaiheiden läpi määritä ISMS onnistuneesti ja hallitse sitä eteenpäin. Saat käyttöösi monenlaisia resursseja, mukaan lukien:
- Interaktiivinen ISMS.online-opas, joka tarjoaa vaiheittaiset ohjeet ISO 27001/27002 -standardin käyttöönotosta missä tahansa organisaatiossa.
- A riskinarviointiväline joka opastaa sinut riskien tunnistamis- ja arviointiprosessin läpi.
- Verkossa politiikkapaketti jota on helppo muokata tarpeidesi mukaan.
- Asiakirjanhallintajärjestelmä, jonka avulla voit hallita jokaista asiakirjaa ja tietuetta, joka on luotu osana ISMS-järjestelmääsi.
- Automaattinen raportointi parantaa päätöksentekoa.
- Tarkistuslista, jonka avulla voit varmistaa, että prosessisi ovat ISO 27002 -kehyksen mukaisia. Lopuksi pilvipohjaisella alustallamme on kaikki mitä tarvitset dokumentoidaksesi ISO-kehyksen noudattamisen.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
