ISO 27002, valvonta 5.3, tehtävien erottelu

Mitä on valvonta 5.3 tehtävien erottelu?

Ristiriitaiset tehtävät ja vastuualueet selitetty

Jokaisella organisaatiolla on joukko käytäntöjä ja menettelytapoja (P&P), jotka ohjaavat sen sisäistä toimintaa. P&P:t pitäisi olla dokumentoituja, mutta usein niitä ei ole.

Jos nämä P&P:t eivät ole selkeitä tai hyvin kommunikoituja, seurauksena on hämmennystä työntekijöiden keskuudessa heidän vastuualueistaan. Tilanne voi pahentua entisestään, jos työntekijöillä on päällekkäisiä tehtäviä tai ristiriitaisia vastuualueita.

Ristiriitoja voi syntyä, kun kahdella tai useammalla työntekijällä on samanlaiset tai erilaiset vastuut tietystä tehtävästä. Kun näin tapahtuu, työntekijät voivat päätyä tekemään saman asian kahdesti tai tekemään erilaisia asioita, jotka kumoavat toistensa ponnistelut. Tämä tuhlaa yrityksen resursseja ja heikentää tuottavuutta, mikä vaikuttaa sekä yrityksen tulokseen että moraaliin.

Jotta organisaatiosi ei kärsi tästä ongelmasta, on tärkeää ymmärtää, mitkä vastuualueet ovat ristiriitaisia, miksi niitä tapahtuu ja miten voit estää niiden esiintymisen organisaatiossasi. Suurimmaksi osaksi tämä tarkoittaa tehtävien erottamista siten, että eri ihmiset hoitavat eri tavalla roolit organisaatiossa.

Attribuuttien ohjaustaulukko 5.3

Kontrollit luokitellaan niiden ominaisuuksien mukaan. Attribuutit auttavat sinua yhdenmukaistamaan ohjausvalinnan alan standardien ja kielen kanssa. Ohjauksessa 5.3 nämä ovat:

Ohjaus	Tietoturvaominaisuudet	Kyberturvallisuuden käsitteet	Toiminnalliset valmiudet	Turvallisuus Domains
#Ennaltaehkäisevä	#Luottamuksellisuus	#Suojella	#Hallinto	#Hallinto ja ekosysteemi
	#Integrity		#Identiteetti- ja pääsyhallinta
	#Saatavuus

ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita

Mikä on hallinnan tarkoitus 5.3?

Valvonnan 5.3 Tehtävien eriyttäminen ISO 27002:ssa tarkoituksena on vähentää petosten, virheiden ja tietoturvaohjauksen ohituksen riskiä varmistamalla, että ristiriitaiset tehtävät erotetaan toisistaan.

Ohjaus 5.3 Selitetty

Ohjaus 5.3 kattaa organisaation eriyttämiseen liittyvien tehtävien ja velvollisuuksien toteutusohjeistuksen viitekehyksen mukaisesti. ISO 27001.

Periaatteena on, että keskeiset tehtävät jaetaan osatehtäviin ja jaetaan eri henkilöille. Tämä luo tarkastus- ja tasapainojärjestelmän, joka voi vähentää virheiden tai petosten riskiä.

Valvonta on suunniteltu estämään yksittäistä henkilöä tekemästä, salaamasta ja perustelemasta sopimattomia toimia, mikä vähentää petoksen tai virheen riskiä. Se myös estää yksittäistä henkilöä ohittamasta tietoturvan valvontaa.

Jos yhdellä työntekijällä on kaikki tiettyyn tehtävään vaadittavat oikeudet, petoksen tai virheen riski on suurempi, koska yksi henkilö voi tehdä kaiken ilman valvontaa ja tasapainoa. Jos kenelläkään yksittäisellä henkilöllä ei kuitenkaan ole kaikkia tietyn tehtävän edellyttämiä käyttöoikeuksia, tämä vähentää riskiä, että työntekijä voi aiheuttaa merkittävää vahinkoa tai taloudellista menetystä.

Mitä se sisältää ja kuinka vaatimukset täytetään

Tehtävät ja vastuualueet, joita ei ole erillään, voivat johtaa petokseen, väärinkäyttöön, sopimattomaan pääsyyn ja muihin turvallisuustilanteet.

Lisäksi tehtävien eriyttäminen on tarpeen yksilöiden väliseen salaiseen yhteistyöhön liittyvien riskien vähentämiseksi. Nämä riskit lisääntyvät, kun valvonta ei ole riittävää salaisen yhteistyön estämiseksi tai havaitsemiseksi.

Täyttääkseen ISO 5.3:27002:n valvonnan 2022 vaatimukset organisaation tulee määrittää, mitkä tehtävät ja vastuualueet on erotettava ja otettava käyttöön toimivia erotteluvalvontatoimenpiteitä.

Jos tällaiset tarkastukset eivät ole mahdollisia, erityisesti pienissä organisaatioissa, joissa on vain vähän henkilöstöä, toimintojen seuranta, kirjausketjut ja johdon valvonta voidaan käyttää. Suuremmissa organisaatioissa voidaan käyttää automaattisia työkaluja roolien tunnistamiseen ja erottamiseen, jotta ristiriitaisia rooleja ei jaeta ihmisille.

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi

Erot ISO 27002:2013 ja ISO 27002:2022 välillä

ISO 5.3:27002:n tarkistusnumero 2022 Tehtävien erottelu ei ole uusi kontrolli. Se on yksinkertaisesti paranneltu versio ISO 6.1.2:27002:n valvonnasta 2013 Tehtävien erottelu.

Tehtävien erottelun perusteet ovat samat sekä ohjaus 5.3 ISO 27002:2022 että ohjaus 6.1.2 ISO 27002:2013. Uusi versio kuvaa kuitenkin joukon toimintoja, jotka vaativat erottelun tämän ohjauksen käyttöönoton yhteydessä.

Nämä toiminnot ovat:

a) muutoksen käynnistäminen, hyväksyminen ja toteuttaminen;

b) käyttöoikeuksien pyytäminen, hyväksyminen ja toteuttaminen;

c) koodin suunnittelu, toteuttaminen ja tarkistaminen;

d) ohjelmistojen kehittäminen ja tuotantojärjestelmien hallinta;

e) sovellusten käyttö ja hallinta;

f) sovellusten käyttö ja tietokantojen hallinta;

g) suunnittelu, auditointi ja varmistus tietoturvan valvonta.

Kuka on vastuussa tästä prosessista?

ISO 27002:ssa on useita ihmisiä, jotka ovat vastuussa tehtävien eriyttämisestä. Ensinnäkin johtoryhmän vanhempi jäsen tulee olla mukana varmistamassa, että ensimmäinen riskinarviointi on valmis.

Sitten organisaation eri osia kattavat prosessit tulisi allokoida eri pätevien työntekijöiden ryhmille. Jotta roistotyöntekijät eivät heikentäisi yrityksen turvallisuutta, tämä tehdään yleensä jakamalla tehtäviä eri työyksiköille ja osastoittamalla IT-toimintaa ja ylläpitoa.

Lopuksi, tehtävien eriyttämistä ei voida määrittää oikein ilman asianmukaista IT-tarkastusohjelmaa, tehokasta riskienhallintastrategiaa sekä asianmukaista valvontaympäristöä.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.7	UUSI	Uhan älykkyys
5.23	UUSI	Tietoturva pilvipalvelujen käyttöön
5.30	UUSI	ICT-valmius liiketoiminnan jatkuvuuteen
7.4	UUSI	Fyysisen turvallisuuden valvonta
8.9	UUSI	Kokoonpanonhallinta
8.10	UUSI	Tietojen poistaminen
8.11	UUSI	Tietojen peittäminen
8.12	UUSI	Tietovuotojen esto
8.16	UUSI	Toimien seuranta
8.23	UUSI	Web-suodatus
8.28	UUSI	Turvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.1	05.1.1, 05.1.2	Tietoturvakäytännöt
5.2	06.1.1	Tietoturvaroolit ja -vastuut
5.3	06.1.2	Tehtävien eriyttäminen
5.4	07.2.1	Johdon vastuut
5.5	06.1.3	Yhteys viranomaisiin
5.6	06.1.4	Ota yhteyttä erityisiin eturyhmiin
5.7	UUSI	Uhan älykkyys
5.8	06.1.5, 14.1.1	Tietoturva projektinhallinnassa
5.9	08.1.1, 08.1.2	Tietojen ja muiden niihin liittyvien varojen luettelo
5.10	08.1.3, 08.2.3	Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11	08.1.4	Omaisuuden palautus
5.12	08.2.1	Tietojen luokitus
5.13	08.2.2	Tietojen merkitseminen
5.14	13.2.1, 13.2.2, 13.2.3	Tietojen siirto
5.15	09.1.1, 09.1.2	Kulunvalvonta
5.16	09.2.1	Identiteettihallinta
5.17	09.2.4, 09.3.1, 09.4.3	Todennustiedot
5.18	09.2.2, 09.2.5, 09.2.6	Käyttöoikeudet
5.19	15.1.1	Tietoturva toimittajasuhteissa
5.20	15.1.2	Tietoturvan huomioiminen toimittajasopimuksissa
5.21	15.1.3	Tietoturvan hallinta ICT-toimitusketjussa
5.22	15.2.1, 15.2.2	Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23	UUSI	Tietoturva pilvipalvelujen käyttöön
5.24	16.1.1	Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25	16.1.4	Tietoturvatapahtumien arviointi ja päätös
5.26	16.1.5	Tietoturvahäiriöihin reagointi
5.27	16.1.6	Tietoturvahäiriöistä oppiminen
5.28	16.1.7	Todisteiden kerääminen
5.29	17.1.1, 17.1.2, 17.1.3	Tietoturva häiriön aikana
5.30	5.30	ICT-valmius liiketoiminnan jatkuvuuteen
5.31	18.1.1, 18.1.5	Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32	18.1.2	Immateriaalioikeudet
5.33	18.1.3	Tietueiden suojaus
5.34	18.1.4	Yksityisyys ja henkilötietojen suoja
5.35	18.2.1	Riippumaton tietoturvatarkastus
5.36	18.2.2, 18.2.3	Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37	12.1.1	Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
6.1	07.1.1	Seulonta
6.2	07.1.2	Työsuhteen ehdot
6.3	07.2.2	Tietoturvatietoisuus, koulutus ja koulutus
6.4	07.2.3	Kurinpitoprosessi
6.5	07.3.1	Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6	13.2.4	Luottamuksellisuus- tai salassapitosopimukset
6.7	06.2.2	Etätyö
6.8	16.1.2, 16.1.3	Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
7.1	11.1.1	Fyysisen turvallisuuden rajat
7.2	11.1.2, 11.1.6	Fyysinen sisääntulo
7.3	11.1.3	Toimistojen, huoneiden ja tilojen turvaaminen
7.4	UUSI	Fyysisen turvallisuuden valvonta
7.5	11.1.4	Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6	11.1.5	Työskentely turvallisilla alueilla
7.7	11.2.9	Selkeä pöytä ja selkeä näyttö
7.8	11.2.1	Laitteiden sijoitus ja suojaus
7.9	11.2.6	Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Tallennusvälineet
7.11	11.2.2	Apuohjelmia tukevat
7.12	11.2.3	Kaapeloinnin turvallisuus
7.13	11.2.4	Laitehuolto
7.14	11.2.7	Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
8.1	06.2.1, 11.2.8	Käyttäjän päätelaitteet
8.2	09.2.3	Etuoikeutetut käyttöoikeudet
8.3	09.4.1	Tiedon pääsyn rajoitus
8.4	09.4.5	Pääsy lähdekoodiin
8.5	09.4.2	Turvallinen todennus
8.6	12.1.3	Kapasiteetin hallinta
8.7	12.2.1	Suojaus haittaohjelmia vastaan
8.8	12.6.1, 18.2.3	Teknisten haavoittuvuuksien hallinta
8.9	UUSI	Kokoonpanonhallinta
8.10	UUSI	Tietojen poistaminen
8.11	UUSI	Tietojen peittäminen
8.12	UUSI	Tietovuotojen esto
8.13	12.3.1	Tietojen varmuuskopiointi
8.14	17.2.1	Tietojenkäsittelylaitteiden redundanssi
8.15	12.4.1, 12.4.2, 12.4.3	Hakkuu
8.16	UUSI	Toimien seuranta
8.17	12.4.4	Kellon synkronointi
8.18	09.4.4	Etuoikeutettujen apuohjelmien käyttö
8.19	12.5.1, 12.6.2	Ohjelmistojen asennus käyttöjärjestelmiin
8.20	13.1.1	Verkkojen turvallisuus
8.21	13.1.2	Verkkopalvelujen turvallisuus
8.22	13.1.3	Verkkojen erottelu
8.23	UUSI	Web-suodatus
8.24	10.1.1, 10.1.2	Salaustekniikan käyttö
8.25	14.2.1	Turvallinen kehityksen elinkaari
8.26	14.1.2, 14.1.3	Sovelluksen suojausvaatimukset
8.27	14.2.5	Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28	UUSI	Turvallinen koodaus
8.29	14.2.8, 14.2.9	Tietoturvatestausta kehitetään ja hyväksytään
8.30	14.2.7	Ulkoistettu kehitys
8.31	12.1.4, 14.2.6	Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Muutoksen hallinta
8.33	14.3.1	Testitiedot
8.34	12.7.1	Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

Uusi ISO 27002:2022 -standardi ei vaadi paljon muuta kuin päivitä ISMS prosesseja, jotka kuvastavat parannettuja valvontatoimia. Ja jos tiimisi ei pysty hallitsemaan tätä, ISMS.online voi auttaa sinua.

ISMS.online virtaviivaistaa ISO 27002 -standardin käyttöönottoprosessia tarjoamalla kehittyneen pilvipohjaisen kehyksen tietoturvan hallintajärjestelmän menettelyjen ja tarkistuslistojen dokumentoimiseksi tunnustettujen standardien noudattamisen varmistamiseksi.

Kun käytät ISMS.onlinea, voit:

Luo ISMS, joka on yhteensopiva ISO 27001 -standardien kanssa.
suorittaa tehtäviä ja toimittaa todisteet siitä, että he ovat täyttäneet standardin vaatimukset.
jakaa tehtäviä ja seurata edistymistä lain noudattamisessa.
pääset käsiksi erikoistuneeseen neuvonantajatiimiin, joka auttaa sinua koko tielläsi kohti vaatimustenmukaisuutta.

Pilvipohjaisen alustamme ansiosta on nyt mahdollista hallita keskitetysti tarkistuslistojasi, olla vuorovaikutuksessa kollegoiden kanssa ja käyttää kattavaa työkalusarjaa, joka auttaa organisaatiotasi luomaan ja käyttämään ISMS:ää maailmanlaajuisten parhaiden käytäntöjen mukaisesti.

Ota yhteyttä jo tänään varaa esittely.

Olemme alamme johtaja