Valvonnan tarkoitus 5.31
Lait, määräykset ja sopimusvaatimukset muodostavat suuren osan organisaation tietoturvavastuista.
Organisaatioilla tulee olla selkeä käsitys velvollisuuksistaan joka kerta ja olla valmiita mukauttamaan tietoturvakäytäntöjään vastuullisen tiedonkäsittelijän roolinsa mukaisesti.
On tärkeää huomata, että Control 5.31 ei luettele mitään erityisiä laki-, säädös- tai sopimusehtoja organisaatiot tarvitsevat panna täytäntöön tai noudattaa niitä, eikä siinä säädetä sopimusten laadintamenettelystä. Ohjaus 5.31 keskittyy sen sijaan mihin organisaatioiden on harkittava tietoturvasta näkökulmasta, joka liittyy heidän ainutlaatuisiin vaatimuksiinsa.
Ominaisuustaulukko
Ohjaus 5.31 on a ennaltaehkäisevä valvonta että muuttaa riskiä tarjoamalla opastusta kuinka toimia vankan kanssa tietoturvapolitiikka joka ylläpitää vaatimustenmukaisuutta kaikissa asiaankuuluvissa oikeudellisissa ja sääntely-ympäristöissä.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Tunnistaa | #Laki ja vaatimustenmukaisuus | #Hallinto ja ekosysteemi |
| #Integrity | #Suojaus | |||
| #Saatavuus |
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleiset valvontaohjeet 5.31
On 5 yleistä ohjetta, jotka on otettava huomioon. Organisaation tulee pitää mielessä lailliset, lakisääteiset, säännökset ja sopimusvaatimukset, kun:
- Niiden laatiminen ja/tai muuttaminen tietoturvamenettelyt ja sisäinen politiikka asiakirjoja.
- Tietoturvaohjaimien suunnittelu, muuttaminen tai toteuttaminen.
- Tietojen luokittelu harkitessaan laajempia tietoturvavaatimuksiaan joko organisatorisiin tarkoituksiin tai suhteisiinsa kolmannen osapuolen kanssa (toimittajat jne.)
- meneillään tietoturvaan liittyvät riskiarvioinnit toiminnot, mukaan lukien organisaatiorakenteeseen liittyvät sisäiset roolit ja vastuut.
- Toimittajasuhteen luonteen ja sopimusvelvoitteiden määrittäminen koko tuotteiden ja palvelujen toimittamisen aikana.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Lainsäädäntö- ja sääntelyohjeet
Organisaatioiden tulee "määrittää ja dokumentoida" sisäiset prosessit ja vastuut joiden avulla he voivat:
- Tunnistaa, analysoida ja ymmärtää tietoturvaan liittyvät lainsäädäntö- ja säädösvelvoitteensa, mukaan lukien säännölliset lainsäädännön ja määräysten tarkistukset.
- Varmista, että ne pysyvät vaatimustenmukaisina kaikissa lainsäädännöllisissä ja säädösympäristöissä kaikissa maissa, joissa ne toimivat. Tämä koskee myös sellaisten tuotteiden ja palveluiden käyttöä, jotka ovat peräisin sen maan ulkopuolelta, jossa ne tavallisesti toimivat.
Kryptografinen opastus
Tieto- ja viestintätekniikassa "salakirjoitus" on menetelmä, jolla suojataan tietoja ja viestintää käyttämällä koodeja.
Sellaisenaan koko salauksen ja kryptografian käsite sisältää yleensä erityisiä oikeudellisia vaatimuksia ja huomattavan määrän aihekohtaisia sääntelyohjeita, joita on noudatettava.
Tätä silmällä pitäen seuraavat ohjeet on otettava huomioon:
- Lait, jotka koskevat sellaisten laitteistojen tai ohjelmistojen tuontia ja/tai vientiä, jotka joko suorittavat salaustoiminnon tai joilla on kyky suorittaa mainittu toiminto.
- Salaustoimintojen rajoittamista koskevat lait.
- Kaikki pääsy salattuihin tietoihin, jotka maan tai alueen viranomaisilla on oikeus pyytää ja panna täytäntöön.
- Kolmen salatun tiedon digitaalisen keskeisen elementin pätevyys ja todenmukaisuus:
a) allekirjoitukset
b) Tiivisteet
c) Sertifioinnit
Sopimusohjeistus
Organisaatioiden tulee ottaa huomioon tietoturvavelvoitteensa laatiessaan tai allekirjoittaessaan oikeudellisesti sitovia sopimuksia asiakkaiden, tavarantoimittajien tai myyjien kanssa (mukaan lukien vakuutukset ja sopimukset).
Katso Valvonta 5.20 saadaksesi lisäohjeita toimittajasopimuksista.
Ohjaimet tukevat
- 5.20
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot standardista ISO 27002:2013
27002:2022-5.31 korvaa kaksi ohjausobjektia 27002:2013-18.1.2 (Immateriaalioikeudet).
- 18.1.1 – Sovellettavan lainsäädännön ja sopimusvaatimusten tunnistaminen
- 18.1.5 – Salausohjauksen säätely
Siinä missä 27002:2013-18.1.1 tarjoaa vain vähän muita ohjeita kuin se, että "johtajien" on tunnistettava kaikki heidän liiketoimintansa edellyttämä lainsäädäntö, kun taas 27002:2022-5.31 käsittelee noudattamista lainsäädännöllisissä, sääntely- ja salausympäristöissä sekä tarjoaa joitain yleisiä ohjeita ja paljon yksityiskohtaisempaa tietoa siitä, kuinka pysyä oikealla puolella vallitsevien lakien tai määräysten suhteen.
Mitä tulee salaukseen, 27002:2022-5.31 noudattaa samoja periaatteita kuin 27002:2013-18.1.5 ja sisältää samat taustalla olevat ohjeet, mutta menee askeleen pidemmälle pyytämällä organisaatioita harkitsemaan laitteistoja ja ohjelmistoja, joita voidaan kuljettaa. salaustoimintoja.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
ISO 27002 käyttöönotto on yksinkertaisempaa vaiheittaisella tarkistuslistallamme, joka opastaa sinut koko prosessin läpi ISMS:si laajuuden määrittämisestä riskien tunnistamiseen ja valvonnan toteutukseen.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
