Mitä on valvonta 5.3 tehtävien erottelu?
Ristiriitaiset tehtävät ja vastuualueet selitetty
Jokaisella organisaatiolla on joukko käytäntöjä ja menettelytapoja (P&P), jotka ohjaavat sen sisäistä toimintaa. P&P:t pitäisi olla dokumentoituja, mutta usein niitä ei ole.
Jos nämä P&P:t eivät ole selkeitä tai hyvin kommunikoituja, seurauksena on hämmennystä työntekijöiden keskuudessa heidän vastuualueistaan. Tilanne voi pahentua entisestään, jos työntekijöillä on päällekkäisiä tehtäviä tai ristiriitaisia vastuualueita.
Ristiriitoja voi syntyä, kun kahdella tai useammalla työntekijällä on samanlaiset tai erilaiset vastuut tietystä tehtävästä. Kun näin tapahtuu, työntekijät voivat päätyä tekemään saman asian kahdesti tai tekemään erilaisia asioita, jotka kumoavat toistensa ponnistelut. Tämä tuhlaa yrityksen resursseja ja heikentää tuottavuutta, mikä vaikuttaa sekä yrityksen tulokseen että moraaliin.
Jotta organisaatiosi ei kärsi tästä ongelmasta, on tärkeää ymmärtää, mitkä vastuualueet ovat ristiriitaisia, miksi niitä tapahtuu ja miten voit estää niiden esiintymisen organisaatiossasi. Suurimmaksi osaksi tämä tarkoittaa tehtävien erottamista siten, että eri ihmiset hoitavat eri tavalla roolit organisaatiossa.
Attribuuttien ohjaustaulukko 5.3
Kontrollit luokitellaan niiden ominaisuuksien mukaan. Attribuutit auttavat sinua yhdenmukaistamaan ohjausvalinnan alan standardien ja kielen kanssa. Ohjauksessa 5.3 nämä ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Hallinto | #Hallinto ja ekosysteemi |
| #Integrity | #Identiteetti- ja pääsyhallinta | |||
| #Saatavuus |
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Mikä on hallinnan tarkoitus 5.3?
Valvonnan 5.3 Tehtävien eriyttäminen ISO 27002:ssa tarkoituksena on vähentää petosten, virheiden ja tietoturvaohjauksen ohituksen riskiä varmistamalla, että ristiriitaiset tehtävät erotetaan toisistaan.
Ohjaus 5.3 Selitetty
Ohjaus 5.3 kattaa organisaation eriyttämiseen liittyvien tehtävien ja velvollisuuksien toteutusohjeistuksen viitekehyksen mukaisesti. ISO 27001.
Periaatteena on, että keskeiset tehtävät jaetaan osatehtäviin ja jaetaan eri henkilöille. Tämä luo tarkastus- ja tasapainojärjestelmän, joka voi vähentää virheiden tai petosten riskiä.
Valvonta on suunniteltu estämään yksittäistä henkilöä tekemästä, salaamasta ja perustelemasta sopimattomia toimia, mikä vähentää petoksen tai virheen riskiä. Se myös estää yksittäistä henkilöä ohittamasta tietoturvan valvontaa.
Jos yhdellä työntekijällä on kaikki tiettyyn tehtävään vaadittavat oikeudet, petoksen tai virheen riski on suurempi, koska yksi henkilö voi tehdä kaiken ilman valvontaa ja tasapainoa. Jos kenelläkään yksittäisellä henkilöllä ei kuitenkaan ole kaikkia tietyn tehtävän edellyttämiä käyttöoikeuksia, tämä vähentää riskiä, että työntekijä voi aiheuttaa merkittävää vahinkoa tai taloudellista menetystä.
Mitä se sisältää ja kuinka vaatimukset täytetään
Tehtävät ja vastuualueet, joita ei ole erillään, voivat johtaa petokseen, väärinkäyttöön, sopimattomaan pääsyyn ja muihin turvallisuustilanteet.
Lisäksi tehtävien eriyttäminen on tarpeen yksilöiden väliseen salaiseen yhteistyöhön liittyvien riskien vähentämiseksi. Nämä riskit lisääntyvät, kun valvonta ei ole riittävää salaisen yhteistyön estämiseksi tai havaitsemiseksi.
Täyttääkseen ISO 5.3:27002:n valvonnan 2022 vaatimukset organisaation tulee määrittää, mitkä tehtävät ja vastuualueet on erotettava ja otettava käyttöön toimivia erotteluvalvontatoimenpiteitä.
Jos tällaiset tarkastukset eivät ole mahdollisia, erityisesti pienissä organisaatioissa, joissa on vain vähän henkilöstöä, toimintojen seuranta, kirjausketjut ja johdon valvonta voidaan käyttää. Suuremmissa organisaatioissa voidaan käyttää automaattisia työkaluja roolien tunnistamiseen ja erottamiseen, jotta ristiriitaisia rooleja ei jaeta ihmisille.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Erot ISO 27002:2013 ja ISO 27002:2022 välillä
ISO 5.3:27002:n tarkistusnumero 2022 Tehtävien erottelu ei ole uusi kontrolli. Se on yksinkertaisesti paranneltu versio ISO 6.1.2:27002:n valvonnasta 2013 Tehtävien erottelu.
Tehtävien erottelun perusteet ovat samat sekä ohjaus 5.3 ISO 27002:2022 että ohjaus 6.1.2 ISO 27002:2013. Uusi versio kuvaa kuitenkin joukon toimintoja, jotka vaativat erottelun tämän ohjauksen käyttöönoton yhteydessä.
Nämä toiminnot ovat:
a) muutoksen käynnistäminen, hyväksyminen ja toteuttaminen;
b) käyttöoikeuksien pyytäminen, hyväksyminen ja toteuttaminen;
c) koodin suunnittelu, toteuttaminen ja tarkistaminen;
d) ohjelmistojen kehittäminen ja tuotantojärjestelmien hallinta;
e) sovellusten käyttö ja hallinta;
f) sovellusten käyttö ja tietokantojen hallinta;
g) suunnittelu, auditointi ja varmistus tietoturvan valvonta.
Kuka on vastuussa tästä prosessista?
ISO 27002:ssa on useita ihmisiä, jotka ovat vastuussa tehtävien eriyttämisestä. Ensinnäkin johtoryhmän vanhempi jäsen tulee olla mukana varmistamassa, että ensimmäinen riskinarviointi on valmis.
Sitten organisaation eri osia kattavat prosessit tulisi allokoida eri pätevien työntekijöiden ryhmille. Jotta roistotyöntekijät eivät heikentäisi yrityksen turvallisuutta, tämä tehdään yleensä jakamalla tehtäviä eri työyksiköille ja osastoittamalla IT-toimintaa ja ylläpitoa.
Lopuksi, tehtävien eriyttämistä ei voida määrittää oikein ilman asianmukaista IT-tarkastusohjelmaa, tehokasta riskienhallintastrategiaa sekä asianmukaista valvontaympäristöä.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
Uusi ISO 27002:2022 -standardi ei vaadi paljon muuta kuin päivitä ISMS prosesseja, jotka kuvastavat parannettuja valvontatoimia. Ja jos tiimisi ei pysty hallitsemaan tätä, ISMS.online voi auttaa sinua.
ISMS.online virtaviivaistaa ISO 27002 -standardin käyttöönottoprosessia tarjoamalla kehittyneen pilvipohjaisen kehyksen tietoturvan hallintajärjestelmän menettelyjen ja tarkistuslistojen dokumentoimiseksi tunnustettujen standardien noudattamisen varmistamiseksi.
Kun käytät ISMS.onlinea, voit:
- Luo ISMS, joka on yhteensopiva ISO 27001 -standardien kanssa.
- suorittaa tehtäviä ja toimittaa todisteet siitä, että he ovat täyttäneet standardin vaatimukset.
- jakaa tehtäviä ja seurata edistymistä lain noudattamisessa.
- pääset käsiksi erikoistuneeseen neuvonantajatiimiin, joka auttaa sinua koko tielläsi kohti vaatimustenmukaisuutta.
Pilvipohjaisen alustamme ansiosta on nyt mahdollista hallita keskitetysti tarkistuslistojasi, olla vuorovaikutuksessa kollegoiden kanssa ja käyttää kattavaa työkalusarjaa, joka auttaa organisaatiotasi luomaan ja käyttämään ISMS:ää maailmanlaajuisten parhaiden käytäntöjen mukaisesti.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
