ISO 27002: 2022 valvonta 5.3 — Tehtävien erottelu, joka tunnettiin aiemmin nimellä valvonta 6.1.2 standardissa ISO 27002:2013, määrittelee järjestelmän, jolla ristiriitaiset tehtävät ja ristiriitaiset vastuualueet erotetaan toisistaan.
Jokaisella organisaatiolla on joukko käytäntöjä ja menettelytapoja (P&P), jotka ohjaavat sen sisäistä toimintaa. P&P:t pitäisi olla dokumentoituja, mutta usein niitä ei ole.
Jos nämä P&P:t eivät ole selkeitä tai hyvin kommunikoituja, seurauksena on hämmennystä työntekijöiden keskuudessa heidän vastuualueistaan. Tilanne voi pahentua entisestään, jos työntekijöillä on päällekkäisiä tehtäviä tai ristiriitaisia vastuualueita.
Ristiriitoja voi syntyä, kun kahdella tai useammalla työntekijällä on samanlaiset tai erilaiset vastuut tietystä tehtävästä. Kun näin tapahtuu, työntekijät voivat päätyä tekemään saman asian kahdesti tai tekemään erilaisia asioita, jotka kumoavat toistensa ponnistelut. Tämä tuhlaa yrityksen resursseja ja heikentää tuottavuutta, mikä vaikuttaa sekä yrityksen tulokseen että moraaliin.
Jotta organisaatiosi ei kärsi tästä ongelmasta, on tärkeää ymmärtää, mitkä vastuualueet ovat ristiriitaisia, miksi niitä tapahtuu ja miten voit estää niiden esiintymisen organisaatiossasi. Suurimmaksi osaksi tämä tarkoittaa tehtävien erottamista siten, että eri ihmiset hoitavat eri tavalla roolit organisaatiossa.
Kontrollit luokitellaan niiden ominaisuuksien mukaan. Attribuutit auttavat sinua yhdenmukaistamaan ohjausvalinnan alan standardien ja kielen kanssa. Ohjauksessa 5.3 nämä ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Rehellisyys #Saatavuus | #Suojella | #Hallinto #Identiteetti- ja pääsynhallinta | #Hallinto ja ekosysteemi |
Olemme kustannustehokkaita ja nopeita
Valvonnan 5.3 Tehtävien eriyttäminen ISO 27002:ssa tarkoituksena on vähentää petosten, virheiden ja tietoturvaohjauksen ohituksen riskiä varmistamalla, että ristiriitaiset tehtävät erotetaan toisistaan.
Ohjaus 5.3 kattaa organisaation eriyttämiseen liittyvien tehtävien ja velvollisuuksien toteutusohjeistuksen viitekehyksen mukaisesti. ISO 27001.
Periaatteena on, että keskeiset tehtävät jaetaan osatehtäviin ja jaetaan eri henkilöille. Tämä luo tarkastus- ja tasapainojärjestelmän, joka voi vähentää virheiden tai petosten riskiä.
Valvonta on suunniteltu estämään yksittäistä henkilöä tekemästä, salaamasta ja perustelemasta sopimattomia toimia, mikä vähentää petoksen tai virheen riskiä. Se myös estää yksittäistä henkilöä ohittamasta tietoturvan valvontaa.
Jos yhdellä työntekijällä on kaikki tiettyyn tehtävään vaadittavat oikeudet, petoksen tai virheen riski on suurempi, koska yksi henkilö voi tehdä kaiken ilman valvontaa ja tasapainoa. Jos kenelläkään yksittäisellä henkilöllä ei kuitenkaan ole kaikkia tietyn tehtävän edellyttämiä käyttöoikeuksia, tämä vähentää riskiä, että työntekijä voi aiheuttaa merkittävää vahinkoa tai taloudellista menetystä.
Tehtävät ja vastuualueet, joita ei ole erillään, voivat johtaa petokseen, väärinkäyttöön, sopimattomaan pääsyyn ja muihin turvallisuustilanteet.
Lisäksi tehtävien eriyttäminen on tarpeen yksilöiden väliseen salaiseen yhteistyöhön liittyvien riskien vähentämiseksi. Nämä riskit lisääntyvät, kun valvonta ei ole riittävää salaisen yhteistyön estämiseksi tai havaitsemiseksi.
Täyttääkseen ISO 5.3:27002:n valvonnan 2022 vaatimukset organisaation tulee määrittää, mitkä tehtävät ja vastuualueet on erotettava ja otettava käyttöön toimivia erotteluvalvontatoimenpiteitä.
Jos tällaiset tarkastukset eivät ole mahdollisia, erityisesti pienissä organisaatioissa, joissa on vain vähän henkilöstöä, toimintojen seuranta, kirjausketjut ja johdon valvonta voidaan käyttää. Suuremmissa organisaatioissa voidaan käyttää automaattisia työkaluja roolien tunnistamiseen ja erottamiseen, jotta ristiriitaisia rooleja ei jaeta ihmisille.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
ISO 5.3:27002:n tarkistusnumero 2022 Tehtävien erottelu ei ole uusi kontrolli. Se on yksinkertaisesti paranneltu versio ISO 6.1.2:27002:n valvonnasta 2013 Tehtävien erottelu.
Tehtävien erottelun perusteet ovat samat sekä ohjaus 5.3 ISO 27002:2022 että ohjaus 6.1.2 ISO 27002:2013. Uusi versio kuvaa kuitenkin joukon toimintoja, jotka vaativat erottelun tämän ohjauksen käyttöönoton yhteydessä.
Nämä toiminnot ovat:
a) muutoksen käynnistäminen, hyväksyminen ja toteuttaminen;
b) käyttöoikeuksien pyytäminen, hyväksyminen ja toteuttaminen;
c) koodin suunnittelu, toteuttaminen ja tarkistaminen;
d) ohjelmistojen kehittäminen ja tuotantojärjestelmien hallinta;
e) sovellusten käyttö ja hallinta;
f) sovellusten käyttö ja tietokantojen hallinta;
g) suunnittelu, auditointi ja varmistus tietoturvan valvonta.
ISO 27002:ssa on useita ihmisiä, jotka ovat vastuussa tehtävien eriyttämisestä. Ensinnäkin johtoryhmän vanhempi jäsen tulee olla mukana varmistamassa, että ensimmäinen riskinarviointi on valmis.
Sitten organisaation eri osia kattavat prosessit tulisi allokoida eri pätevien työntekijöiden ryhmille. Jotta roistotyöntekijät eivät heikentäisi yrityksen turvallisuutta, tämä tehdään yleensä jakamalla tehtäviä eri työyksiköille ja osastoittamalla IT-toimintaa ja ylläpitoa.
Lopuksi, tehtävien eriyttämistä ei voida määrittää oikein ilman asianmukaista IT-tarkastusohjelmaa, tehokasta riskienhallintastrategiaa sekä asianmukaista valvontaympäristöä.
Uusi ISO 27002:2022 -standardi ei vaadi paljon muuta kuin päivitä ISMS prosesseja, jotka kuvastavat parannettuja valvontatoimia. Ja jos tiimisi ei pysty hallitsemaan tätä, ISMS.online voi auttaa sinua.
ISMS.online virtaviivaistaa ISO 27002 -standardin käyttöönottoprosessia tarjoamalla kehittyneen pilvipohjaisen kehyksen tietoturvan hallintajärjestelmän menettelyjen ja tarkistuslistojen dokumentoimiseksi tunnustettujen standardien noudattamisen varmistamiseksi.
Kun käytät ISMS.onlinea, voit:
Pilvipohjaisen alustamme ansiosta on nyt mahdollista hallita keskitetysti tarkistuslistojasi, olla vuorovaikutuksessa kollegoiden kanssa ja käyttää kattavaa työkalusarjaa, joka auttaa organisaatiotasi luomaan ja käyttämään ISMS:ää maailmanlaajuisten parhaiden käytäntöjen mukaisesti.
Ota yhteyttä jo tänään varaa esittely.
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
