ISO 27002: 2022, ohjaus 5.2 – tietoturvaroolit ja -vastuut – on yksi ISO 27002:2022:n tärkeimmistä ohjauksista. Se on muunnos ISO 6.1.1:27002:n ohjauksen 2013:stä, ja se määrittelee, kuinka organisaatioiden tulee määritellä ja jakaa tietoturvaroolit ja -vastuut.
Organisaation päällikkö, tietoturvapäälliköt (CISO), IT-palveluiden hallinta (ITSM), järjestelmän omistajat ja järjestelmän käyttäjät myötävaikuttavat tietoturvan kestävyyteen. Tässä osiossa esitetään yhteenveto ja käsitellään näitä tehtäviä hoitavien henkilöiden vastuuta.
Tietoturva on sinun vastuullasi toimistosi toimitusjohtajana. Lisäksi toimit organisaation akkreditointielimenä.
Turvallisuusalan ja hallinnon hyvät käytännöt ovat CISO:n vastuulla. Tämän asennon saaminen takaa sen tietoturvaa hoidetaan asianmukaisesti organisaation korkeimmilla tasoilla.
ITSM on korkea-arvoinen virkamies yrityksessä. Järjestelmänvalvojat työskentelevät yhdessä tietoturvajohtajan kanssa toimitusjohtajan strategisten ohjeiden toteuttamiseksi.
Jokaiselle järjestelmälle tarvitaan omistaja. Tästä johtuen jokaisen järjestelmän omistajan velvollisuutena on taata IT-hallinnon sääntöjen noudattaminen ja liiketoiminnan tarpeiden täyttäminen.
Järjestelmän käyttäjät noudattavat todennäköisemmin turvallisuussääntöjä ja -menettelyjä, jos käytössä on vahva turvallisuuskulttuuri. Jokaisessa järjestelmässä on omat vaaransa, ja käyttäjien on otettava vastuu tällaisten vaarojen lieventämisestä.
Tämän hallinnan käsitteleminen on ratkaisevan tärkeää sen varmistamiseksi, että jokainen työntekijä ymmärtää, mitä he ovat vastuussa tietojen suojaamisesta, järjestelmät ja verkot. Tämä on tosin haaste monille yrityksille, varsinkin pienille, joissa työntekijät käyttävät yleensä useampaa kuin yhtä hattua.
Attribuutit-osio on nyt mukana ISO 27002 uusin versio. Attribuuttien määrittäminen on tapa luokitella säätimiä. Niiden avulla voit helposti yhdistää ohjausvalinnan alan tyypilliseen terminologiaan. Ohjauksen 5.2 attribuutit ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Tunnistaa | #Hallinto | #Hallinto ja ekosysteemi #Kestävyys |
Valvonnan 5.2 tarkoituksena on luoda määritelty, hyväksytty ja ymmärretty rakenne tietoturvan toteuttamiselle, toiminnalle ja johtamiselle organisaatiossa. Tämä on muodollinen organisaatiorakenne, joka antaa vastuun tietoturvasta koko organisaatiossa.
Ohjaus 5.2 käsittelee tietoturvaroolien ja -vastuiden toteutusta, toimintaa ja hallintaa organisaatiossa ISO 27001:n määrittelemän viitekehyksen mukaisesti.
Valvonta toteaa, että tietoturvaroolit ja -vastuut tulee olla hyvin määriteltyjä ja kaikkien mukana olevien tulee ymmärtää roolinsa. Tavallisesti omaisuudelle määrätään omistaja, joka ottaa vastuun niiden päivittäisestä hoidosta.
Organisaation koosta ja käytettävissä olevista resursseista riippuen tietoturvasta voi kuitenkin huolehtia oma tiimi tai lisävastuita nykyisille työntekijöille.
Tietoturvan roolien ja vastuiden jakaminen on keskeistä organisaation tietoturvan ylläpidon ja parantamisen kannalta. Tämän valvonnan vaatimusten täyttämiseksi roolien jakaminen tulee muotoilla ja dokumentoida esim. taulukkomuodossa tai organisaatiokaavion muodossa.
Tarkoituksena on varmistaa, että selkeät roolit, vastuut ja valtuudet jaetaan ja ymmärretään koko organisaatiossa. Tehtävien tehokkaan eriyttämisen varmistamiseksi roolit ja vastuut tulee dokumentoida, niistä on tiedotettava ja niitä tulee soveltaa johdonmukaisesti koko organisaatiossa.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
Kuten jo todettiin, ISO 5.2:27002:n Tietoturvaroolit ja -vastuut ohjaus 2022 ei ole uusi ohjausobjekti. Tämä on yksinkertaisesti muutettu ohjausobjekti, joka löytyy standardista ISO 27002:2013 ohjausobjektina 6.1.1.
Control 5.2:n tarkoitus on määritelty ja uudet toteutusohjeet on sisällytetty uusimpaan ISO 27002 -versioon. Vaikka näiden kahden ohjauksen olemus on periaatteessa sama, vuoden 2022 versiossa on pieniä parannuksia.
Esimerkiksi ISO 27002:2022 sanoo, että henkilöiden, jotka suorittavat tietyn tietoturvatoiminnon, tulee olla osaava tiedoissa ja taidoissa tehtävän edellyttämä ja tuettu pysyäkseen ajan tasalla rooliin liittyvien edistysaskeleiden kanssa, jotka ovat tarpeen roolin velvoitteiden täyttämiseksi. Tämä kohta ei ole osa vuoden 2013 versiota.
Lisäksi molempien versioiden toteutusohjeet ovat hieman erilaiset. Vertaakaamme alla olevien kahden osia:
ISO 27002:2013 määrittelee alueet, joista henkilöt ovat vastuussa. Nämä alueet ovat:
a) omaisuus- ja tietoturvaprosessit tulee tunnistaa ja määritellä;
b) kustakin omaisuus- tai tietoturvaprosessista vastaava taho olisi nimettävä ja tämän vastuun yksityiskohdat olisi dokumentoitava;
c) lupatasot olisi määriteltävä ja dokumentoitava;
d) Tietoturva-alan tehtävien hoitamiseksi nimitettyjen henkilöiden tulee olla alalla päteviä ja heille on annettava mahdollisuus pysyä ajan tasalla kehityksestä;
e) koordinointi ja valvonta tietoturvanäkökohdat toimittajasuhteet tulee tunnistaa ja dokumentoida.
ISO 27002:2022 on tiiviimpi. Siinä todetaan yksinkertaisesti, että organisaation tulee määritellä ja hallita vastuut:
a) tietojen ja muiden niihin liittyvien omaisuuserien suojaaminen;
b) erityisten tietoturvaprosessien toteuttaminen;
c) tietoturvariskien hallinta toiminta ja erityisesti jäännösriskien hyväksyminen (esim. riskien omistajille);
d) koko henkilöstö, joka käyttää organisaation tietoja ja muuta siihen liittyvää omaisuutta.
Molemmat ohjausversiot viittaavat kuitenkin siihen, että organisaatiot voivat nimittää tietoturvapäällikön ottamaan kokonaisvastuun tietoturvan kehittämisestä ja toteutuksesta sekä tukemaan kontrollien tunnistamista.
Yritykset nimittävät usein tietoturvapäällikön valvomaan turvatoimien luomista ja toteuttamista sekä auttamaan mahdollisten uhkien ja valvontatoimien havaitsemisessa.
Resurssointi ja säätimien laittaminen paikoilleen jää tyypillisesti yksittäisille esimiehille. Yleinen käytäntö on nimetä jokaiselle omaisuudelle henkilö, joka sitten vastaa omaisuuden jatkuvasta turvallisuudesta.
Sinun ei odoteta tekevän paljon uuden ISO 27002:2022 -standardin vaatimusten täyttämisessä paitsi ISMS:n päivittäminen ISMS.online voi auttaa, jos oma tiimisi ei pysty käsittelemään tätä.
Sen lisäksi, että ISMS.online tarjoaa kehittyneen pilvipohjaisen kehyksen ISMS-menettelyjen ja tarkistuslistojen dokumentoimiseksi vakiintuneiden normien noudattamisen varmistamiseksi, ISMS.online myös virtaviivaistaa ISO 27001 -sertifiointiprosessia ja ISO 27002 -toteutusprosessia.
Kaikki sinun ISMS ratkaisuja voidaan hallita keskitetysti pilvipohjaisen ohjelmistomme ansiosta. Voit käyttää helppokäyttöistä sovellustamme seurataksesi kaikkea, mikä on vaaditaan ISO-vaatimustenmukaisuuden tarkistamiseksi 2K7 tekniset tiedot.
ISO 27002:n käyttöönottoa yksinkertaistavat intuitiiviset vaiheittaiset työnkulkumme ja työkalumme, jotka sisältävät viitekehykset, käytännöt ja hallintalaitteet, toimivan dokumentaation ja opastuksen. Voit määritellä ISMS:n laajuus, tunnista riskit ja ota käyttöön valvontaa alustamme avulla – vain muutamalla napsautuksella.
Meillä on myös oma tietotekniikan asiantuntijoiden tiimi, joka antaa sinulle neuvoja ja apua, jotta voit osoittaa asiakkaillesi standardien noudattamista ja tietoturvaan omistautumista.
Jos haluat lisätietoja siitä, kuinka ISMS.online voi auttaa sinua saavuttamaan ISO 2K7 -tavoitteesi, soita meille numeroon +44 (0)1273 041140.
Ota yhteyttä jo tänään varaa esittely.
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
