ISO 27002: 2022, ohjaus 5.4, Johdon vastuut kattavat johdon tarpeen varmistaa, että koko henkilöstö noudattaa kaikkia tietoturva-aihekohtaisia periaatteita ja menettelyjä, jotka on määritelty organisaation vakiintuneessa tietoturvapolitiikassa.
An Tietoturvapolitiikka on virallinen asiakirja joka antaa johdon suunnan, tavoitteet ja periaatteet organisaation tietojen suojaamiseksi. An tehokas tietoturvapolitiikka Sen tulee olla räätälöity organisaation erityistarpeisiin ja ylimmän johdon tuettava resurssien asianmukaisen kohdentamisen varmistamiseksi.
Käytännössä kerrotaan yleisperiaatteet siitä, kuinka johto haluaisi työntekijöiden käsittelevän arkaluonteisia tietoja ja miten yritys suojelee tietoomaisuuttaan.
Käytäntö perustuu usein lakeihin, määräyksiin ja parhaisiin käytäntöihin, joita organisaation on noudatettava. Tietoturvapolitiikan laatii yleensä organisaation ylin johto IT-tietoturvahenkilöstön panoksensa.
Politiikoihin olisi sisällytettävä myös puitteet määritellä roolit ja vastuut ja määräaikaisarvioinnin aikajana.
Attribuutit ovat tapa luokitella erityyppisiä säätimiä. Näiden ominaisuuksien avulla voit kohdistaa säätimet alan standardien mukaisiksi. Kontrollissa 5.4 ne ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Rehellisyys #Saatavuus | #Tunnistaa | #Hallinto | #Hallinto ja ekosysteemi |
ISMS.online säästää aikaa ja rahaa
Hanki tarjousOhjaus 5.4 on suunniteltu varmistaa, että johto ymmärtää vastuunsa tietoturvassa ja ryhtyy toimenpiteisiin varmistaakseen, että kaikki työntekijät ovat tietoisia ja täyttävät tietoturvavelvoitteensa.
Tieto on arvokas voimavara ja ne on suojattava katoamiselta, vahingoittumiselta tai väärinkäytöltä. Organisaation on varmistettava, että tämän omaisuuden suojaamiseksi toteutetaan asianmukaiset toimenpiteet. Tätä varten johdon tulee varmistaa, että koko henkilöstö noudattaa kaikkia organisaation tietoturvapolitiikkaa, aihekohtaisia periaatteita ja menettelytapoja.
Ohjaus 5.4 kattaa tarkoituksen ja toteutusohjeet organisaation tietoturvaan liittyvän johdon vastuun määrittelemiseksi. ISO 27001 -standardin puitteissa.
Tässä hallinnassa on kyse sen varmistamisesta johto on mukana tietoturvaohjelmassa ja että kaikki työntekijät ja urakoitsijat ovat tietoisia ja noudattavat organisaation tietoturvapolitiikkaa. Kukaan ei saa koskaan olla vapautettu organisaation turvallisuuspolitiikan, aihekohtaisten käytäntöjen ja menettelytapojen pakollisesta noudattamisesta.
Avain tämän valvonnan vaatimusten täyttämiseen on varmistaa, että johto pystyy pakottamaan koko asiaankuuluvan henkilöstön noudattamaan organisaation tietoturvaperiaatteita, -standardeja ja -menettelyjä.
Ensimmäinen askel on johdon sisäänosto ja tuki. Johdon on osoitettava sitoutumisensa noudattamalla kaikkia sen käyttöön ottamia käytäntöjä ja menettelyjä. Jos esimerkiksi vaadit työntekijöiltä vuosittaisen turvallisuustietoisuuden koulutuskurssejajohtajien tulee näyttää esimerkkiä ja suorittaa nämä kurssit ensin.
Seuraavaksi tulee tietoturvan tärkeyden viestiminen kaikille yrityksen työntekijöille roolista riippumatta. Tämä sisältää hallituksen, johtajat ja johdon sekä työntekijät. Jokaisen on ymmärrettävä roolinsa ylläpidossa arkaluonteisten tietojen turvallisuus yrityksen ISMS:n mukaisesti ohjelmia.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Siirron jälkeen olemme pystyneet vähentämään hallintoon käytettyä aikaa.
ISO 27002:2022 ohjaus 5.4 Johdon vastuut tunnettiin aiemmin nimellä valvonta 7.2.1 Johdon vastuut standardissa ISO 27002:2013. Tämä ei ole uusi ohjausobjekti, vaan vahvempi tulkinta vuoden 2013 versiosta.
Vaikka ohjaus 5.4 ja ohjaus 7.2.1 kattavat pääpiirteissään saman asian, organisaatioiden ja yritysjohtajien tulisi huomata muutamia eroja. Nämä erot on käsitelty valvonnan toteutusohjeissa.
ISO 27002: 2013:ssa johdon velvollisuudet kattavat sen varmistamisen, että työntekijät ja urakoitsijat:
a) heille on tiedotettu asianmukaisesti tietoturvaroolit ja -vastuut ennen luottamuksellisten tietojen tai tietojärjestelmien käyttöoikeuden myöntämistä;
b) saavat ohjeet valtion tietoturvaodotuksiin roolistaan
Organisaatio;
c) olet motivoitunut toteuttamaan organisaation tietoturvapolitiikkaa;
d) saavuttaa tietoturvasta tietoturvan taso, joka on olennaista heidän tehtäviensä ja vastuidensa kannalta organisaatiossa;
e) noudattaa työehtoja, jotka sisältävät organisaation tietoturvapolitiikan ja asianmukaiset työskentelytavat;
f) heillä on edelleen asianmukaiset taidot ja pätevyys ja he saavat säännöllistä koulutusta;
g) niillä on anonyymi ilmoituskanava, jolla voi ilmoittaa tietoturvakäytäntöjen tai -menettelyjen rikkomuksista ("whistle blowing").
Johdon tulee osoittaa tukea tietoturvapolitiikoille, -menettelyille ja -valvonnalle ja toimia roolimallina.
Control 5.4 on käyttäjäystävällisempi versio ja edellyttää, että hallintovastuut varmistaa, että työntekijät ja urakoitsijat:
a) Heille on kerrottu asianmukaisesti tietoturvarooleistaan ja -vastuistaan ennen kuin heille myönnetään pääsy organisaation tietoihin ja muuhun asiaan liittyvään omaisuuteen;
b) He saavat ohjeita, jotka ilmaisevat heidän roolinsa tietoturva-odotukset organisaatiossa;
c) Ovat velvollisia täyttämään organisaation tietoturvapolitiikan ja aihekohtaiset linjaukset;
d) Saavuttaa tietoturvan tietoturvan taso, joka liittyy heidän rooleihinsa ja velvollisuuksiinsa organisaatiossa;
e) Työehtojen, sopimuksen tai sopimuksen noudattaminen, mukaan lukien organisaation tietoturvapolitiikka ja asianmukaiset työskentelytavat;
f) Sinulla on edelleen asianmukaiset tietoturvataidot ja -pätevyydet jatkuvan ammatillisen koulutuksen kautta;
g) Heille tarjotaan mahdollisuuksien mukaan luottamuksellinen kanava tietoturvapolitiikan, aihekohtaisten käytäntöjen tai tietoturvamenettelyjen rikkomusten raportoimiseksi ("whistleblowing"). Tämä voi mahdollistaa nimettömän raportoinnin tai sisältää säännöksiä sen varmistamiseksi, että vain ne, joiden on käsiteltävä tällaisia ilmoituksia, tietävät ilmoittajan henkilöllisyyden.
h) Järjestetään riittävät resurssit ja projektisuunnitteluaika organisaation turvallisuuteen liittyvien prosessien ja valvonnan toteuttamiseen.
Kuten näette, ISO 27002:2022 vaatii nimenomaan, että organisaation turvallisuuteen liittyvien toimenpiteiden ja valvonnan toteuttamiseksi työntekijöille ja urakoitsijoille on hankittava tarvittavat resurssit sekä projektin suunnitteluaika.
Myös joidenkin ISO 27002:2013 vs ISO 27002:2020 toteutusohjeiden sanamuotoja vaikutti. Kun vuoden 2013 version ohjeessa C todetaan, että työntekijät ja urakoitsijat ovat "motivoituneita" ottamaan käyttöön yrityksen ISMS-käytännöt, vuonna 2022 käytetään sanaa "valtuutettu".
Vastaus tähän kysymykseen on melko yksinkertainen: johto! Johdon vastuulla on varmistaa, että asianmukainen ISMS (Information Security Management System) on otettu käyttöön.
Tätä tukee normaalisti nimittämällä sopivasti pätevä ja kokenut tietoturvapäällikkö, joka on vastuussa ylimmälle johdolle ISMS:n kehittämisestä, toteuttamisesta, hallinnasta ja jatkuvasta parantamisesta.
Yksi suurimmista haasteista toteutettaessa ISO 27001 mukautettu ISMS pitää yllä tietoturvatoimiasi. Järjestelmämme tekee tämän helpoksi.
Ymmärrämme sen tärkeyden organisaatiosi tietojen suojaamiseen ja maine. Siksi pilvipohjainen alustamme on suunniteltu yksinkertaistamaan ISO 27001:n käyttöönottoa, tarjoamaan sinulle vankan tietoturvan valvontakehyksen ja auttamaan sinua saavuttamaan sertifioinnin minimaalisilla resursseilla ja ajallaan.
Olemme sisällyttäneet erilaisia käyttäjäystävällisiä ominaisuuksia ja työkalusarjoja alustaamme säästääksesi aikaa ja varmistaaksesi, että luot todella vankan ISMS:n. Kanssa ISMS.online, voit helposti hankkia ISO 27001 -sertifikaatin ja hallita sitä myöhemmin helposti.
Varaa demo tänään.
ISMS.online on a
yhden luukun ratkaisu, joka nopeuttaa toteutumistamme radikaalisti.
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
