Tietoturva on keskeinen osa organisaation tietohallintoa käytäntöjä.
Niin paljon, että on välttämätöntä poistaa omahyväisyys tekemällä säännöllisiä riippumattomia arviointeja siitä, kuinka organisaatio hallitsee ihmisiä, prosesseja ja tekniikoita, jotka liittyvät organisaation ylläpitämiseen. tehokas tietoturva operaatio.
Valvonta 5.35 edellyttää, että organisaatiot suorittavat riippumattomia tietoturvakäytäntöjensä tarkastuksia – sekä suunnitelluin väliajoin että suurten toiminnallisten muutosten tapahtuessa – varmistaakseen, että tietoturvan hallintakäytännöt ovat:
Ohjaus 5.35 on a ehkäisevä ja korjaavia hallitse sitä ylläpitää riskiä luomalla prosesseja, jotka mahdollistavat organisaation tietoturvan hallintakäytäntöjen säännöllisen tarkastelun.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä #Korjaava | #Luottamuksellisuus #Integrity #Saatavuus | #Tunnistaa #Suojella | #Tietoturvatakuu | #Hallinto ja ekosysteemi |
Valvonta 5.35 koskee ensisijaisesti operatiivisia asioita. Sellaisenaan omistusoikeuden tulisi sijaita COO:lla tai CISO:lla (jos sellainen on).
Kattava tavoite on johdon luomaan ja toteuttamaan prosesseja, jotka huolehtivat heidän tietoturvansa riippumattomista arvioinneista käytäntöjä.
Arvosteluissa tulee keskittyä mahdollisiin muutoksiin tarvitaan parantamaan organisaation lähestymistapaa tietoturvaan, Mukaan lukien:
Kaikki tarkistukset tulee suorittaa organisaatiossa tai sen ulkopuolella olevan henkilön, jolla ei ole omaa etua tutkittavaan asiaan, kuten:
Tarkistuksen suorittajalla tulee olla asiaankuuluvat tiedot operatiivista osaamista tehdä järkevä arvio havainnoistaan, ja (sisäisen henkilöstön tapauksessa) heidän työtehtävänsä ei saisi estää heitä tekemästä pätevää ja oikeutettua arviointia.
Tarkastuksen tulokset tulee tallentaa perusteellisesti, tallentaa ja raportoida sitä pyytäneelle Managerille (tai johtajien ryhmille) ja tietyissä tapauksissa C-sarjan tasolle tai omistajille.
Arvioijien tulee pyrkiä toteamaan, ovatko tietoturvakäytännöt organisaation tietoturvapolitiikan tai aihekohtaisten käytäntöjen sisältämien "dokumentoitujen tavoitteiden ja vaatimusten" mukaisia.
Säännöllisten tarkistusten lisäksi voi olla tarpeen käynnistää tapauskohtaisia tarkastuksia. Nämä arvostelut voidaan perustella viidellä avainalueella:
ISO / IEC 27007 ja ISO/IEC TS 27008 sisältävät lisäohjeita riippumattomien arvioiden harjoittamisesta.
27002:2022-5.35 korvaa 27002:2013-18.1.2 (tietoturvan riippumaton katsaus).
27002:2022-5.35 sisältää saman yleisen ohjeen kuin 27002:2013-18.1.2, mutta menee askeleen pidemmälle määrittelemällä konkreettisia esimerkkejä siitä, milloin organisaation tulee suorittaa ad hoc -tarkastuksia säännöllisten tarkistustensa ohella.
ISMS.online virtaviivaistaa ISO 27002 käyttöönottoprosessin tarjoamalla kehittynyt pilvipohjainen kehys tietoturvan hallintajärjestelmän menettelyjen ja tarkistuslistojen dokumentoimiseksi tunnustettujen standardien noudattamisen varmistamiseksi.
Kun olet käytä ISMS.onlinea, voit:
luo ISMS, joka on yhteensopiva ISO 27001 standardit.
suorittaa tehtäviä ja toimittaa todisteet siitä, että he ovat täyttäneet standardin vaatimukset.
jakaa tehtäviä ja seurata edistymistä lain noudattamisessa.
pääset käsiksi erikoistuneeseen neuvonantajatiimiin, joka auttaa sinua koko tielläsi kohti vaatimustenmukaisuutta.
Ota yhteyttä jo tänään varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Olemme niin tyytyväisiä, että löysimme tämän ratkaisun, sillä sen avulla kaikki sovittiin yhteen helpommin.
