Tietojen siirtäminen sisäisille tai ulkopuolisille osapuolille aiheuttaa kohonneen riskin luottamuksellisuudelle, eheydelle, saatavuudelle ja tietoturva lähetetään.
Valvonta 5.14 sisältää vaatimukset, jotka organisaatioiden on täytettävä ylläpitääkseen tietojen turvallisuutta, kun niitä jaetaan sisäisesti tai kun ne virtaavat organisaatiosta kolmansille osapuolille.
Ohjaus 5.14 on ennaltaehkäisevä valvonta, joka edellyttää, että organisaatiot ottavat käyttöön asianmukaiset säännöt, menettelyt ja/tai sopimukset tietojen turvallisuuden ylläpitämiseksi, kun niitä jaetaan organisaation sisällä tai siirretään kolmansille osapuolille.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Vahvuuksien hallinta #Tiedon suojaus | #Suojaus |
Sääntöjen, menettelytapojen ja sopimusten kehittäminen ja toteuttaminen vaatii korkean tason johdon tukea ja hyväksyntää, mutta organisaation eri sidosryhmien, mukaan lukien lakitiimin, IT-henkilöstön ja ylimmän johdon yhteistyö ja asiantuntemus on ratkaisevan tärkeää. .
Esimerkiksi lakitiimin tulee varmistaa, että organisaatio tekee siirtosopimuksia kolmansien osapuolten kanssa ja että nämä sopimukset ovat Valvonta 5.14:n vaatimusten mukaisia. Samoin IT-tiimin tulisi osallistua aktiivisesti valvonnan määrittämiseen ja toteuttamiseen tietojen turvallisuuden ylläpitämiseksi kohdassa 5.14 kuvatulla tavalla.
Kohdan 5.14 noudattaminen edellyttää sääntöjen, menettelyjen ja sopimusten kehittämistä, mukaan lukien aihekohtaiset tiedonsiirtokäytännöt, jotka tarjoavat siirrettävälle tiedolle suojaustasoa, joka vastaa niille annettua luokitusta.
Toisin sanoen suojan tason tulisi vastata lähetetyn tiedon kriittisyyttä ja herkkyyttä.
Lisäksi Control 5.14 määrittelee, että organisaatioiden on allekirjoitettava siirtosopimukset vastaanottavien kolmansien osapuolten kanssa tietojen turvallisen siirron takaamiseksi.
Control 5.14 ryhmittelee siirtotyypit kolmeen luokkaan:
Ennen kuin siirrytään kuvaamaan kunkin siirtotyypin erityisvaatimuksia, Control 5.14 luettelee elementit, jotka on sisällytettävä kaikkiin sääntöihin, menettelyihin ja sopimuksiin kaikkien kolmen siirtotyypin osalta:
Ohjaus 5.14 luettelee sisällön vähimmäisvaatimukset säännöille, menettelyille ja sopimuksille, jotka ovat yhteisiä kaikille kolmelle siirtotyypille.
Säännöissä, sopimuksissa ja menettelyissä tulee käsitellä seuraavia asioita, kun tietoja siirretään sähköisesti:
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
Kun tietoa jaetaan fyysisin keinoin, kuten paperein, sääntöjen, menettelyjen ja sopimusten tulee kattaa seuraavat asiat:
Valvonta 5.14 sanoo, että kun henkilöstö vaihtaa tietoja organisaation sisällä tai kun he välittävät tietoja ulkopuolisille osapuolille, heille tulee tiedottaa seuraavista riskeistä:
27002:2022/5.14 korvaa 27002:2013/(13.2.1, 13.2.2. 13.2.3).
Vaikka molemmat säätimet ovat jossain määrin samanlaisia, kaksi keskeistä eroa tekevät vuoden 2022 version vaatimuksista raskaampia.
Vuoden 2013 versiossa kohta 13.2.3 vastannut erityisvaatimuksiin tietojen siirtoon sähköisen viestinnän kautta.
Siinä ei kuitenkaan käsitelty erikseen tiedon siirtoa suullisesti tai fyysisesti.
Vuoden 2022 versiossa sitä vastoin yksilöidään selkeästi kolme tiedonsiirtotyyppiä ja esitetään sitten kullekin erikseen sisältövaatimukset.
Kun kohta 13.2.3 sisälsi erityisiä vaatimuksia sähköisen viestinnän sopimusten sisällölle, vuoden 2022 versio asettaa organisaatioille tiukempia velvoitteita.
2022-versio edellyttää organisaatioiden kuvailevan ja ottavan käyttöön uusia valvontatoimenpiteitä sähköisen tiedonsiirron säännöissä, menettelyissä ja sopimuksissa.
Organisaatioiden tulisi esimerkiksi neuvoa työntekijöitään olemaan käyttämättä tekstiviestipalveluita, jos ne sisältävät arkaluontoisia tietoja.
Vuoden 2022 versio asettaa tiukemmat vaatimukset fyysiselle tallennusvälineen siirrolle. Sen vaatimukset ovat kattavampia esimerkiksi kuriirien todentamisen ja ehkäistävissä olevien vahinkojen osalta.
Vuoden 2013 versiossa oli selkeä viittaus tiedonsiirtosopimusten erityisvaatimuksiin. "Sääntöjä" ja "menettelyjä" ei kuitenkaan käsitelty erikseen.
Sitä vastoin vuoden 2022 versiossa asetetaan erityisvaatimukset kullekin näistä kolmesta mekanismista.
ISO 27002 käyttöönotto on yksinkertaisempaa vaiheittaisella tarkistuslistallamme, joka opastaa sinut koko prosessin läpi ISMS:si laajuuden määrittämisestä riskien tunnistamiseen ja valvonnan toteutukseen.
Ota yhteyttä jo tänään varaa esittely.
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |