Hyppää sisältöön
ISMS.online

ISO 27002:2022 – Valvonta 5.35 – Tietoturvan riippumaton katsaus

ISO 27002:2022 Control 5.35 selittää vaatimuksen riippumattomista tietoturvatarkastuksista säännöllisin väliajoin tai suurten muutosten jälkeen sen varmistamiseksi, että käytännöt pysyvät riittävinä, sopivina ja tehokkaina, ja se korvaa aiemman ISO 18.1.2:27002:n Control 2013 -standardin.

kirjailija
Sam Peters
Päivitetty heinäkuu 25, 2025
4/5 tähteä

ISO 27002 Control 5.35: Miksi riippumattomilla suojausarvioinneilla on merkitystä?

Tietoturva on keskeinen osa organisaation tietohallintoa käytäntöjä.

Niin paljon, että on välttämätöntä poistaa omahyväisyys tekemällä säännöllisiä riippumattomia arviointeja siitä, kuinka organisaatio hallitsee ihmisiä, prosesseja ja tekniikoita, jotka liittyvät organisaation ylläpitämiseen. tehokas tietoturva operaatio.

Valvonnan tarkoitus 5.35

Valvonta 5.35 edellyttää, että organisaatiot suorittavat riippumattomia tietoturvakäytäntöjensä tarkastuksia – sekä suunnitelluin väliajoin että suurten toiminnallisten muutosten tapahtuessa – varmistaakseen, että tietoturvan hallintakäytännöt ovat:

  • Riittävä – Heillä on kyky saavuttaa sitoutuminen
  • Sopiva – He yrittävät saavuttaa oikeat tavoitteet
  • Tehokas – Ne toimivat tarkoitetulla tavalla

Ominaisuustaulukko

Ohjaus 5.35 on a ehkäisevä ja korjaavia hallitse sitä ylläpitää riskiä luomalla prosesseja, jotka mahdollistavat organisaation tietoturvan hallintakäytäntöjen säännöllisen tarkastelun.

Ohjaus Tietoturvaominaisuudet Kyberturvallisuuden käsitteet Toiminnalliset valmiudet Turvallisuus Domains
#Ennaltaehkäisevä #Luottamuksellisuus #Tunnistaa #Tietoturvatakuu #Hallinto ja ekosysteemi
#Korjaava #Integrity #Suojella
#Saatavuus


kiipeily

Vapauta itsesi laskentataulukoiden vuorten vallasta

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi


Määräysvallan omistus 5.35

Valvonta 5.35 koskee ensisijaisesti operatiivisia asioita. Sellaisenaan omistusoikeuden tulisi sijaita COO:lla tai CISO:lla (jos sellainen on).

Yleiset valvontaohjeet 5.35

Kattava tavoite on johdon luomaan ja toteuttamaan prosesseja, jotka huolehtivat heidän tietoturvansa riippumattomista arvioinneista käytäntöjä.

Arvosteluissa tulee keskittyä mahdollisiin muutoksiin tarvitaan parantamaan organisaation lähestymistapaa tietoturvaan, Mukaan lukien:

  1. - tietoturvapolitiikka.
  2. Aihekohtaiset käytännöt.
  3. Aiheeseen liittyvät säätimet.

Kaikki tarkistukset tulee suorittaa organisaatiossa tai sen ulkopuolella olevan henkilön, jolla ei ole omaa etua tutkittavaan asiaan, kuten:

  1. Sisäiset tarkastajat.
  2. Riippumattomat osastonjohtajat.
  3. Kolmannen osapuolen organisaatiot.

Tarkistuksen suorittajalla tulee olla asiaankuuluvat tiedot operatiivista osaamista tehdä järkevä arvio havainnoistaan, ja (sisäisen henkilöstön tapauksessa) heidän työtehtävänsä ei saisi estää heitä tekemästä pätevää ja oikeutettua arviointia.

Tarkastuksen tulokset tulee tallentaa perusteellisesti, tallentaa ja raportoida sitä pyytäneelle Managerille (tai johtajien ryhmille) ja tietyissä tapauksissa C-sarjan tasolle tai omistajille.

Arvioijien tulee pyrkiä toteamaan, ovatko tietoturvakäytännöt organisaation tietoturvapolitiikan tai aihekohtaisten käytäntöjen sisältämien "dokumentoitujen tavoitteiden ja vaatimusten" mukaisia.

Säännöllisten tarkistusten lisäksi voi olla tarpeen käynnistää tapauskohtaisia ​​tarkastuksia. Nämä arvostelut voidaan perustella viidellä avainalueella:

  1. Organisaation tietoturvatoimintaan vaikuttavia lakeja, ohjeita tai määräyksiä muutetaan.
  2. Merkittävä tapahtuu tapauksia, jotka vaikuttavat tietoturvaan (tietojen katoaminen, tunkeutuminen jne.).
  3. Uusi yritys perustetaan tai nykyiseen liiketoimintaan tehdään suuria muutoksia.
  4. - organisaatio ottaa käyttöön uuden tuotteen tai palvelun, jolla on tietoturva vaikuttaa tai tekee taustalla olevia muutoksia nykyiseen tuotteeseen tai palveluun.
  5. Organisaation tietoturvavalvontapankissa, politiikoissa ja menettelytavoissa tehdään suuria muutoksia.

Täydentävä opas

ISO / IEC 27007 ja ISO/IEC TS 27008 sisältävät lisäohjeita riippumattomien arvioiden harjoittamisesta.



ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi


Muutokset ja erot standardista ISO 27002:2013

27002:2022-5.35 korvaa 27002:2013-18.1.2 (tietoturvan riippumaton katsaus).

27002:2022-5.35 sisältää saman yleisen ohjeen kuin 27002:2013-18.1.2, mutta menee askeleen pidemmälle määrittelemällä konkreettisia esimerkkejä siitä, milloin organisaation tulee suorittaa ad hoc -tarkastuksia säännöllisten tarkistustensa ohella.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.7 UUSI Uhan älykkyys
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.30 UUSI ICT-valmius liiketoiminnan jatkuvuuteen
7.4 UUSI Fyysisen turvallisuuden valvonta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.16 UUSI Toimien seuranta
8.23 UUSI Web-suodatus
8.28 UUSI Turvallinen koodaus
Organisaation valvonta
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
5.1 05.1.1, 05.1.2 Tietoturvakäytännöt
5.2 06.1.1 Tietoturvaroolit ja -vastuut
5.3 06.1.2 Tehtävien eriyttäminen
5.4 07.2.1 Johdon vastuut
5.5 06.1.3 Yhteys viranomaisiin
5.6 06.1.4 Ota yhteyttä erityisiin eturyhmiin
5.7 UUSI Uhan älykkyys
5.8 06.1.5, 14.1.1 Tietoturva projektinhallinnassa
5.9 08.1.1, 08.1.2 Tietojen ja muiden niihin liittyvien varojen luettelo
5.10 08.1.3, 08.2.3 Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11 08.1.4 Omaisuuden palautus
5.12 08.2.1 Tietojen luokitus
5.13 08.2.2 Tietojen merkitseminen
5.14 13.2.1, 13.2.2, 13.2.3 Tietojen siirto
5.15 09.1.1, 09.1.2 Kulunvalvonta
5.16 09.2.1 Identiteettihallinta
5.17 09.2.4, 09.3.1, 09.4.3 Todennustiedot
5.18 09.2.2, 09.2.5, 09.2.6 Käyttöoikeudet
5.19 15.1.1 Tietoturva toimittajasuhteissa
5.20 15.1.2 Tietoturvan huomioiminen toimittajasopimuksissa
5.21 15.1.3 Tietoturvan hallinta ICT-toimitusketjussa
5.22 15.2.1, 15.2.2 Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23 UUSI Tietoturva pilvipalvelujen käyttöön
5.24 16.1.1 Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25 16.1.4 Tietoturvatapahtumien arviointi ja päätös
5.26 16.1.5 Tietoturvahäiriöihin reagointi
5.27 16.1.6 Tietoturvahäiriöistä oppiminen
5.28 16.1.7 Todisteiden kerääminen
5.29 17.1.1, 17.1.2, 17.1.3 Tietoturva häiriön aikana
5.30 5.30 ICT-valmius liiketoiminnan jatkuvuuteen
5.31 18.1.1, 18.1.5 Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32 18.1.2 Immateriaalioikeudet
5.33 18.1.3 Tietueiden suojaus
5.34 18.1.4 Yksityisyys ja henkilötietojen suoja
5.35 18.2.1 Riippumaton tietoturvatarkastus
5.36 18.2.2, 18.2.3 Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37 12.1.1 Dokumentoidut toimintaohjeet
Ihmisten ohjaukset
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
6.1 07.1.1 Seulonta
6.2 07.1.2 Työsuhteen ehdot
6.3 07.2.2 Tietoturvatietoisuus, koulutus ja koulutus
6.4 07.2.3 Kurinpitoprosessi
6.5 07.3.1 Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6 13.2.4 Luottamuksellisuus- tai salassapitosopimukset
6.7 06.2.2 Etätyö
6.8 16.1.2, 16.1.3 Tietoturvatapahtumaraportointi
Fyysiset säätimet
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
7.1 11.1.1 Fyysisen turvallisuuden rajat
7.2 11.1.2, 11.1.6 Fyysinen sisääntulo
7.3 11.1.3 Toimistojen, huoneiden ja tilojen turvaaminen
7.4 UUSI Fyysisen turvallisuuden valvonta
7.5 11.1.4 Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6 11.1.5 Työskentely turvallisilla alueilla
7.7 11.2.9 Selkeä pöytä ja selkeä näyttö
7.8 11.2.1 Laitteiden sijoitus ja suojaus
7.9 11.2.6 Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Tallennusvälineet
7.11 11.2.2 Apuohjelmia tukevat
7.12 11.2.3 Kaapeloinnin turvallisuus
7.13 11.2.4 Laitehuolto
7.14 11.2.7 Laitteiden turvallinen hävittäminen tai uudelleenkäyttö
Tekniset säädöt
ISO/IEC 27002:2022 Control Identifier ISO/IEC 27002:2013 Control Identifier Ohjausnimi
8.1 06.2.1, 11.2.8 Käyttäjän päätelaitteet
8.2 09.2.3 Etuoikeutetut käyttöoikeudet
8.3 09.4.1 Tiedon pääsyn rajoitus
8.4 09.4.5 Pääsy lähdekoodiin
8.5 09.4.2 Turvallinen todennus
8.6 12.1.3 Kapasiteetin hallinta
8.7 12.2.1 Suojaus haittaohjelmia vastaan
8.8 12.6.1, 18.2.3 Teknisten haavoittuvuuksien hallinta
8.9 UUSI Kokoonpanonhallinta
8.10 UUSI Tietojen poistaminen
8.11 UUSI Tietojen peittäminen
8.12 UUSI Tietovuotojen esto
8.13 12.3.1 Tietojen varmuuskopiointi
8.14 17.2.1 Tietojenkäsittelylaitteiden redundanssi
8.15 12.4.1, 12.4.2, 12.4.3 Hakkuu
8.16 UUSI Toimien seuranta
8.17 12.4.4 Kellon synkronointi
8.18 09.4.4 Etuoikeutettujen apuohjelmien käyttö
8.19 12.5.1, 12.6.2 Ohjelmistojen asennus käyttöjärjestelmiin
8.20 13.1.1 Verkkojen turvallisuus
8.21 13.1.2 Verkkopalvelujen turvallisuus
8.22 13.1.3 Verkkojen erottelu
8.23 UUSI Web-suodatus
8.24 10.1.1, 10.1.2 Salaustekniikan käyttö
8.25 14.2.1 Turvallinen kehityksen elinkaari
8.26 14.1.2, 14.1.3 Sovelluksen suojausvaatimukset
8.27 14.2.5 Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28 UUSI Turvallinen koodaus
8.29 14.2.8, 14.2.9 Tietoturvatestausta kehitetään ja hyväksytään
8.30 14.2.7 Ulkoistettu kehitys
8.31 12.1.4, 14.2.6 Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Muutoksen hallinta
8.33 14.3.1 Testitiedot
8.34 12.7.1 Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

ISMS.online virtaviivaistaa ISO 27002 käyttöönottoprosessin tarjoamalla kehittynyt pilvipohjainen kehys tietoturvan hallintajärjestelmän menettelyjen ja tarkistuslistojen dokumentoimiseksi tunnustettujen standardien noudattamisen varmistamiseksi.

Kun olet käytä ISMS.onlinea, voit:

luo ISMS, joka on yhteensopiva ISO 27001 standardit.
suorittaa tehtäviä ja toimittaa todisteet siitä, että he ovat täyttäneet standardin vaatimukset.
jakaa tehtäviä ja seurata edistymistä lain noudattamisessa.
pääset käsiksi erikoistuneeseen neuvonantajatiimiin, joka auttaa sinua koko tielläsi kohti vaatimustenmukaisuutta.

Ota yhteyttä jo tänään varaa esittely.

Sam Peters

Sam on Chief Product Officer ISMS.onlinessa ja johtaa kaikkien tuoteominaisuuksien ja toimintojen kehitystä. Sam on asiantuntija monilla vaatimustenmukaisuuden aloilla ja työskentelee asiakkaiden kanssa kaikissa mittatilaustyönä tehdyissä tai suurissa projekteissa.

Tee virtuaalikierros

Aloita ilmainen kahden minuutin interaktiivinen demosi nyt ja katso
ISMS.online toiminnassa!

Kokeile nyt
alustan kojelauta kokonaan kristallilla

Olemme alamme johtaja

4/5 tähteä
Käyttäjät rakastavat meitä
Johtaja - Syksy 2025
Huippusuorittaja, pienyritys - syksy 2025, Iso-Britannia
Aluejohtaja - Syksy 2025 Eurooppa
Aluejohtaja - Syksy 2025 EMEA
Aluejohtaja - Syksy 2025, Iso-Britannia
Huippusuorittaja - Syksy 2025 Eurooppa Keskisuuret markkinat

"ISMS.Online, erinomainen työkalu sääntelyn noudattamiseen"

—Jim M.

"Tekee ulkoisista tarkastuksista helppoa ja yhdistää kaikki ISMS:si osat saumattomasti yhteen"

—Karen C.

"Innovatiivinen ratkaisu ISO- ja muiden akkreditointien hallintaan"

—Ben H.