5.23 on uusi ohjaus, joka hahmottaa prosessit, joita tarvitaan pilvipalvelujen hankinnassa, käytössä, hallinnassa ja niistä poistumisessa suhteessa organisaation ainutlaatuiseen tietoturvavaatimukset.
Ohjaus 5.23 antaa organisaatioille mahdollisuuden ensin määrittää ja sitten hallita ja hallinnoida tietoturvaa pilvipalveluihin liittyviä konsepteja "pilvipalveluasiakkaana".
5.23 on ennaltaehkäisevä valvonta että ylläpitää riskiä määrittelemällä käytännöt ja menettelyt, jotka hallitsevat tietoturvaa, kaupallisten pilvipalvelujen alalla.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Rehellisyys #Saatavuus | #Suojella | #Toimittajasuhteiden turvallisuus | #Hallinto ja ekosysteemi #suojelu |
Olemme kustannustehokkaita ja nopeita
Sellaista on pilvipalvelujen yleistyminen viimeisen vuosikymmenen aikana. Control 5.23 sisältää joukon toimenpiteitä, jotka kattavat monia organisaation toiminnan erillisiä elementtejä.
Koska kaikki pilvipalvelut eivät ole ICT-spesifisiä – vaikka voidaan kohtuudella väittää, että useimmat ovat – Control 5.22:n omistus olisi jaettava organisaation kesken. CTO or KUJERTAA, riippuen vallitsevista käyttöolosuhteista.
Control 5.23:n noudattaminen edellyttää ns. a "aihekohtainen" lähestymistapa pilvipalveluihin ja tietoturvaan.
Kun otetaan huomioon tarjolla olevien pilvipalvelujen valikoima, aihekohtaiset lähestymistavat rohkaisevat organisaatioita luomaan pilvipalvelukäytäntöjä, jotka on räätälöity yksittäisiin liiketoimintatoimintoihin sen sijaan, että ne noudattaisivat kokonaisuutta. tietoturvaa koskeva politiikka ja pilvipalveluita kaikkialla.
On huomattava, että ISO pitää Control 5.23:n noudattamista yhteistyönä organisaation ja pilvipalvelukumppaninsa välillä. Ohjauskohdat 5.23 tulisi myös olla tiukasti linjassa hallintaosien 5.21 ja 5.22 kanssa, jotka käsittelevät tietoja toimitusketjun hallinta ja vastaavasti toimittajapalvelujen hallinta.
Riippumatta siitä, miten organisaatio päättää toimia, valvontaa 5.23 ei pidä tarkastella erillään, ja sen tulisi täydentää olemassa olevia pyrkimyksiä hoitaa toimittajasuhteita.
Tietoturvan eturintamassa organisaation tulisi määritellä:
Control 5.23 myöntää, että toisin kuin muut toimittajasuhteet, pilvipalvelusopimukset ovat jäykkiä asiakirjoja, joita ei voi muuttaa useimmissa tapauksissa.
Tätä silmällä pitäen organisaatioiden tulee tarkastaa pilvipalvelusopimukset ja varmistaa, että neljä pääasiallista toiminnallista vaatimusta täyttyvät:
Kuten muissakin toimittajasopimuksissa, pilvipalvelusopimuksille tulee tehdä ennen hyväksymistä a perusteellinen riskinarviointi joka korostaa mahdollisia ongelmia niiden lähteellä.
Vähintäänkin organisaation tulisi tehdä pilvipalvelusopimus vasta, kun se on vakuuttunut siitä, että seuraavat 10 ehtoa on täytetty:
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Jos et käytä ISMS.onlinea, teet elämästäsi vaikeampaa kuin sen tarvitsee olla!
Ohjaus 5.23 ehdottaa yllä olevan ohjeen lisäksi, että organisaatiot muodostavat läheisen yhteistyösuhteen pilvipalveluntarjoajien kanssa niiden tarjoaman tärkeän palvelun mukaisesti, ei vain tietoturvan kannalta, vaan koko organisaation kaupallisen toiminnan osalta.
Organisaatioiden tulee mahdollisuuksien mukaan pyytää pilvipalveluntarjoajilta seuraavat ehdot parantaakseen toiminnan kestävyyttä ja nauttiakseen parannetusta tietoturvasta:
Ohjaus 5.23 on a uusi ohjaus jota ei mainita ISO 27002:2013:ssa missään ominaisuudessa.
ISMS.online virtaviivaistaa ISO 27002 käyttöönottoprosessin tarjoamalla kehittynyt pilvipohjainen kehys tietoturvan hallintajärjestelmän menettelyjen ja tarkistuslistojen dokumentoimiseksi tunnustettujen standardien noudattamisen varmistamiseksi.
Kun käytät ISMS.onlinea, voit:
Ota yhteyttä ja varaa esittely.
Varaa räätälöity käytännönläheinen istunto tarpeidesi ja tavoitteidesi mukaan.
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |