Valvonnan tarkoitus 5.37
Control 5.37 käsittelee tietoturvan käsite operatiivisena toimintona, jonka osatekijöitä suorittaa ja/tai johtaa yksi tai useampi henkilö.
Ohjaus 5.37 hahmottelee joukon toimintamenetelmiä, jotka varmistavat organisaation tietoturvasta laitos pysyy tehokkaana ja turvallisena ja vastaa niiden dokumentoituja vaatimuksia.
Ominaisuustaulukko
Ohjaus 5.37 on a ehkäisevä ja korjaavia hallitse sitä ylläpitää riskiä luomalla pankkiin liittyviä menettelyjä organisaation tietoturvasta toimintaa.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Vahvuuksien hallinta | #Hallinto ja ekosysteemi |
| #Korjaava | #Integrity | #Palauta | #Fyysinen turvallisuus | #Suojaus |
| #Saatavuus | #Järjestelmä- ja verkkoturvallisuus | #Puolustus | ||
| #Sovellusturvallisuus | ||||
| #Suojattu määritys | ||||
| #Identiteetti- ja käyttöoikeushallinta | ||||
| #Uhkien ja haavoittuvuuksien hallinta | ||||
| #Jatkuvuus | ||||
| #Tietoturvatapahtumanhallinta |
Määräysvallan omistus 5.37
Ohjaus 5.37 käsittelee erilaisia olosuhteita, jotka voivat sisältää useita osastoja ja työtehtäviä dokumentoitujen toimintamenettelyjen puitteissa. Tästä huolimatta voidaan turvallisesti olettaa, että suurin osa toimenpiteistä koskee ICT-henkilöstöä, -laitteita ja -järjestelmiä.
Jos näin tapahtuu, omistusoikeuden tulisi olla johtoryhmän vanhemmalla jäsenellä, joka vastaa kaikista tieto- ja viestintätekniikkaan liittyvistä toiminnoista, kuten IT-päällikkö.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleiset valvontaohjeet 5.37
Tietoturvaan liittyvää toimintaa varten tulisi luoda menettelyt viiden keskeisen toiminnallisen näkökohdan mukaisesti:
- Mikä tahansa toiminto, jonka yksi tai useampi henkilö suorittaa samalla tavalla.
- Kun toimintaa ei usein suoriteta.
- Kun menettelyyn liittyy riski tulla unohdetuksi.
- Kaikki uudet toiminnot, jotka ovat henkilökunnalle tuntemattomia ja ovat siksi alttiita suuremmalle riskille.
- Kun vastuu toiminnan suorittamisesta siirtyy toiselle työntekijälle tai työntekijäryhmälle.
Jos tällaisia tapauksia esiintyy, dokumentoiduissa toimintamenetelmissä tulee kuvata selkeästi:
- Kaikki vastuussa olevat henkilöt – sekä vakiintuneet että uudet toimijat.
- Ohjeet, jotka ylläpitävät tietoturvaa asiaan liittyvien liiketoimintajärjestelmien asennuksen ja myöhemmän määrityksen aikana.
- Miten tietoa käsitellään koko toiminnan ajan.
- BUDR-suunnitelmat ja vaikutukset tietojen katoamisen tai suuren tapahtuman sattuessa (katso ohjaus 8.13).
- Linkitetyt riippuvuudet muihin järjestelmiin, mukaan lukien ajoitus.
- Selkeä menettely "käsittelyvirheiden" tai sekalaisten mahdollisten tapahtumien käsittelemiseksi (katso valvonta 8.18).
- Täydellinen luettelo henkilöistä, joihin on otettava yhteyttä häiriötilanteissa, mukaan lukien selkeät eskalointimenettelyt.
- Kuinka käyttää mitä tahansa toimintaan liittyvää tallennusvälinettä (katso Ohjaimet 7.10 ja 7.14).
- Kuinka käynnistää uudelleen ja toipua järjestelmävirheestä.
- Jälkijälkikirjaus, mukaan lukien kaikki liittyvät tapahtuma- ja järjestelmälokit (katso kontrollit 8.15 ja 8.17).
- Videovalvontajärjestelmät, jotka valvovat paikan päällä tapahtuvaa toimintaa (katso Ohjaus 7.4).
- Vankka joukko valvontamenettelyjä, jotka vastaavat toimintakykyä, suorituskykypotentiaali ja turvallisuus mainitusta toiminnasta.
- Kuinka aktiivisuutta tulisi ylläpitää, jotta se pysyy optimaalisella suoritustasolla.
Kaikille edellä mainituille menettelyille tulee tehdä määräajoin ja/tai tapauskohtaisia tarkastuksia tarpeen mukaan, ja johdon on ratifioitava kaikki muutokset ajoissa tietoturvatoiminnan turvaamiseksi koko organisaatiossa.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot ISO 27002:2013:sta
27002:2022-5.37 korvaa 27002:2013-12.1.1 (dokumentoidut käyttötavat).
27002:2022-5.37 laajentaa 27002:2013-12.1.1:tä tarjoamalla paljon laajemman joukon olosuhteita, jotka oikeuttaisivat asiakirjamenettelyn noudattamisen.
27002:2013-12.1.1 luetellaan tietojenkäsittelytoiminnot, kuten tietokoneen käynnistys- ja sulkemistoimenpiteet, varmuuskopiointi, laitteiden ylläpito, median käsittely, kun taas 27002:2022-5.37 laajentaa valvonnan yleisiin toimintoihin, jotka eivät rajoitu tiettyihin tekniset toiminnot.
Muutamia pieniä lisäyksiä, kuten toiminnasta vastuussa olevien henkilöiden luokittelua lukuun ottamatta 27002:2022-5.37 sisältää samat yleiset ohjeet kuin 27002:2013-12.1.1.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
ISO 27002 käyttöönotto on yksinkertaisempaa vaiheittaisella tarkistuslistallamme, joka opastaa sinut koko prosessin läpi ISMS:si laajuuden määrittämisestä riskien tunnistamiseen ja valvonnan toteutukseen.
- Käyttäjät voivat suorittaa tehtäviä ja toimittaa todisteita standardin noudattamisesta.
- On helppoa delegoida vastuita ja seurata edistymistä vaatimustenmukaisuuden saavuttamisessa.
- Laaja riskinarvioinnin työkalusarja säästää aikaa ja vaivaa koko prosessin ajan.
- Meillä on omistautunut konsulttien tiimi valmiina tukemaan sinua koko matkasi ajan vaatimustenmukaisuuteen.
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
