Mikä on Control 5.2: Tietoturvaroolit ja -vastuut?
ISO 27002: 2022, ohjaus 5.2 – tietoturvaroolit ja -vastuut – on yksi ISO 27002:2022:n tärkeimmistä ohjauksista. Se on muunnos ISO 6.1.1:27002:n ohjauksen 2013:stä, ja se määrittelee, kuinka organisaatioiden tulee määritellä ja jakaa tietoturvaroolit ja -vastuut.
Tietoturvaroolit ja -vastuut selitetty
Organisaation päällikkö, tietoturvapäälliköt (CISO), IT-palveluiden hallinta (ITSM), järjestelmän omistajat ja järjestelmän käyttäjät myötävaikuttavat tietoturvan kestävyyteen. Tässä osiossa esitetään yhteenveto ja käsitellään näitä tehtäviä hoitavien henkilöiden vastuuta.
Organisaation johtaja kantaa suurimman vastuun
Tietoturva on sinun vastuullasi toimistosi toimitusjohtajana. Lisäksi toimit organisaation akkreditointielimenä.
Tietoturva on CISO:n vastuulla
Turvallisuusalan ja hallinnon hyvät käytännöt ovat CISO:n vastuulla. Tämän asennon saaminen takaa sen tietoturvaa hoidetaan asianmukaisesti organisaation korkeimmilla tasoilla.
IT-palveluiden hallinta (ITSM) vastaa tietoturvatoimenpiteiden toteuttamisesta sekä asiantuntemuksen tuottamisesta
ITSM on korkea-arvoinen virkamies yrityksessä. Järjestelmänvalvojat työskentelevät yhdessä tietoturvajohtajan kanssa toimitusjohtajan strategisten ohjeiden toteuttamiseksi.
Järjestelmien omistajat ovat vastuussa niiden ylläpidosta ja käytöstä
Jokaiselle järjestelmälle tarvitaan omistaja. Tästä johtuen jokaisen järjestelmän omistajan velvollisuutena on taata IT-hallinnon sääntöjen noudattaminen ja liiketoiminnan tarpeiden täyttäminen.
Järjestelmän käyttäjät suojaavat järjestelmiä noudattamalla käytäntöjä ja menettelytapoja
Järjestelmän käyttäjät noudattavat todennäköisemmin turvallisuussääntöjä ja -menettelyjä, jos käytössä on vahva turvallisuuskulttuuri. Jokaisessa järjestelmässä on omat vaaransa, ja käyttäjien on otettava vastuu tällaisten vaarojen lieventämisestä.
Tämän hallinnan käsitteleminen on ratkaisevan tärkeää sen varmistamiseksi, että jokainen työntekijä ymmärtää, mitä he ovat vastuussa tietojen suojaamisesta, järjestelmät ja verkot. Tämä on tosin haaste monille yrityksille, varsinkin pienille, joissa työntekijät käyttävät yleensä useampaa kuin yhtä hattua.
Attribuuttien ohjaustaulukko 5.2
Attribuutit-osio on nyt mukana ISO 27002 uusin versio. Attribuuttien määrittäminen on tapa luokitella säätimiä. Niiden avulla voit helposti yhdistää ohjausvalinnan alan tyypilliseen terminologiaan. Ohjauksen 5.2 attribuutit ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Tunnistaa | #Hallinto | #Hallinto ja ekosysteemi |
| #Integrity | #Kestävyys | |||
| #Saatavuus |
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Mikä on hallinnan tarkoitus 5.2?
Valvonnan 5.2 tarkoituksena on luoda määritelty, hyväksytty ja ymmärretty rakenne tietoturvan toteuttamiselle, toiminnalle ja johtamiselle organisaatiossa. Tämä on muodollinen organisaatiorakenne, joka antaa vastuun tietoturvasta koko organisaatiossa.
Ohjaus 5.2 Selitetty
Ohjaus 5.2 käsittelee tietoturvaroolien ja -vastuiden toteutusta, toimintaa ja hallintaa organisaatiossa ISO 27001:n määrittelemän viitekehyksen mukaisesti.
Valvonta toteaa, että tietoturvaroolit ja -vastuut tulee olla hyvin määriteltyjä ja kaikkien mukana olevien tulee ymmärtää roolinsa. Tavallisesti omaisuudelle määrätään omistaja, joka ottaa vastuun niiden päivittäisestä hoidosta.
Organisaation koosta ja käytettävissä olevista resursseista riippuen tietoturvasta voi kuitenkin huolehtia oma tiimi tai lisävastuita nykyisille työntekijöille.
Mitä se sisältää ja kuinka vaatimukset täytetään
Tietoturvan roolien ja vastuiden jakaminen on keskeistä organisaation tietoturvan ylläpidon ja parantamisen kannalta. Tämän valvonnan vaatimusten täyttämiseksi roolien jakaminen tulee muotoilla ja dokumentoida esim. taulukkomuodossa tai organisaatiokaavion muodossa.
- Organisaation tulee määritellä vastuut ja vastuut tietoturvasta organisaatiossa ja osoittaa ne tiettyihin esimiestehtäviin tai rooleihin.
- Tällä valvonnalla tulisi varmistaa, että organisaation eri roolit ja vastuut ovat selkeitä, jotta voidaan varmistaa, että johdon tietoturvaan kiinnitetään asianmukaista huomiota.
- Tarvittaessa olisi järjestettävä lisäkoulutusta yksittäisille toimipaikoille ja tietojenkäsittelylaitoksille näiden tehtävien suorittamisen helpottamiseksi.
Tarkoituksena on varmistaa, että selkeät roolit, vastuut ja valtuudet jaetaan ja ymmärretään koko organisaatiossa. Tehtävien tehokkaan eriyttämisen varmistamiseksi roolit ja vastuut tulee dokumentoida, niistä on tiedotettava ja niitä tulee soveltaa johdonmukaisesti koko organisaatiossa.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Erot ISO 27002:2013 ja 27002:2022 välillä
Kuten jo todettiin, ISO 5.2:27002:n Tietoturvaroolit ja -vastuut ohjaus 2022 ei ole uusi ohjausobjekti. Tämä on yksinkertaisesti muutettu ohjausobjekti, joka löytyy standardista ISO 27002:2013 ohjausobjektina 6.1.1.
Control 5.2:n tarkoitus on määritelty ja uudet toteutusohjeet on sisällytetty uusimpaan ISO 27002 -versioon. Vaikka näiden kahden ohjauksen olemus on periaatteessa sama, vuoden 2022 versiossa on pieniä parannuksia.
Esimerkiksi ISO 27002:2022 sanoo, että henkilöiden, jotka suorittavat tietyn tietoturvatoiminnon, tulee olla osaava tiedoissa ja taidoissa tehtävän edellyttämä ja tuettu pysyäkseen ajan tasalla rooliin liittyvien edistysaskeleiden kanssa, jotka ovat tarpeen roolin velvoitteiden täyttämiseksi. Tämä kohta ei ole osa vuoden 2013 versiota.
Lisäksi molempien versioiden toteutusohjeet ovat hieman erilaiset. Vertaakaamme alla olevien kahden osia:
ISO 27002:2013 määrittelee alueet, joista henkilöt ovat vastuussa. Nämä alueet ovat:
a) omaisuus- ja tietoturvaprosessit tulee tunnistaa ja määritellä;
b) kustakin omaisuus- tai tietoturvaprosessista vastaava taho olisi nimettävä ja tämän vastuun yksityiskohdat olisi dokumentoitava;
c) lupatasot olisi määriteltävä ja dokumentoitava;
d) Tietoturva-alan tehtävien hoitamiseksi nimitettyjen henkilöiden tulee olla alalla päteviä ja heille on annettava mahdollisuus pysyä ajan tasalla kehityksestä;
e) koordinointi ja valvonta tietoturvanäkökohdat toimittajasuhteet tulee tunnistaa ja dokumentoida.
ISO 27002:2022 on tiiviimpi. Siinä todetaan yksinkertaisesti, että organisaation tulee määritellä ja hallita vastuut:
a) tietojen ja muiden niihin liittyvien omaisuuserien suojaaminen;
b) erityisten tietoturvaprosessien toteuttaminen;
c) tietoturvariskien hallinta toiminta ja erityisesti jäännösriskien hyväksyminen (esim. riskien omistajille);
d) koko henkilöstö, joka käyttää organisaation tietoja ja muuta siihen liittyvää omaisuutta.
Molemmat ohjausversiot viittaavat kuitenkin siihen, että organisaatiot voivat nimittää tietoturvapäällikön ottamaan kokonaisvastuun tietoturvan kehittämisestä ja toteutuksesta sekä tukemaan kontrollien tunnistamista.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Kuka on vastuussa tästä prosessista?
Yritykset nimittävät usein tietoturvapäällikön valvomaan turvatoimien luomista ja toteuttamista sekä auttamaan mahdollisten uhkien ja valvontatoimien havaitsemisessa.
Resurssointi ja säätimien laittaminen paikoilleen jää tyypillisesti yksittäisille esimiehille. Yleinen käytäntö on nimetä jokaiselle omaisuudelle henkilö, joka sitten vastaa omaisuuden jatkuvasta turvallisuudesta.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
Sinun ei odoteta tekevän paljon uuden ISO 27002:2022 -standardin vaatimusten täyttämisessä paitsi ISMS:n päivittäminen ISMS.online voi auttaa, jos oma tiimisi ei pysty käsittelemään tätä.
Sen lisäksi, että ISMS.online tarjoaa kehittyneen pilvipohjaisen kehyksen ISMS-menettelyjen ja tarkistuslistojen dokumentoimiseksi vakiintuneiden normien noudattamisen varmistamiseksi, ISMS.online myös virtaviivaistaa ISO 27001 -sertifiointiprosessia ja ISO 27002 -toteutusprosessia.
Kaikki sinun ISMS ratkaisuja voidaan hallita keskitetysti pilvipohjaisen ohjelmistomme ansiosta. Voit käyttää helppokäyttöistä sovellustamme seurataksesi kaikkea, mikä on vaaditaan ISO-vaatimustenmukaisuuden tarkistamiseksi 2K7 tekniset tiedot.
ISO 27002:n käyttöönottoa yksinkertaistavat intuitiiviset vaiheittaiset työnkulkumme ja työkalumme, jotka sisältävät viitekehykset, käytännöt ja hallintalaitteet, toimivan dokumentaation ja opastuksen. Voit määritellä ISMS:n laajuus, tunnista riskit ja ota käyttöön valvontaa alustamme avulla – vain muutamalla napsautuksella.
Meillä on myös oma tietotekniikan asiantuntijoiden tiimi, joka antaa sinulle neuvoja ja apua, jotta voit osoittaa asiakkaillesi standardien noudattamista ja tietoturvaan omistautumista.
Jos haluat lisätietoja siitä, kuinka ISMS.online voi auttaa sinua saavuttamaan ISO 2K7 -tavoitteesi, soita meille numeroon +44 (0)1273 041140.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
