ISO 27002, Valvonta 5.4, Johdon vastuut

Mikä on valvonta 5.4 Johdon vastuut

Mikä on tietoturvapolitiikka?

An Tietoturvapolitiikka on virallinen asiakirja joka antaa johdon suunnan, tavoitteet ja periaatteet organisaation tietojen suojaamiseksi. An tehokas tietoturvapolitiikka Sen tulee olla räätälöity organisaation erityistarpeisiin ja ylimmän johdon tuettava resurssien asianmukaisen kohdentamisen varmistamiseksi.

Käytännössä kerrotaan yleisperiaatteet siitä, kuinka johto haluaisi työntekijöiden käsittelevän arkaluonteisia tietoja ja miten yritys suojelee tietoomaisuuttaan.

Käytäntö perustuu usein lakeihin, määräyksiin ja parhaisiin käytäntöihin, joita organisaation on noudatettava. Tietoturvapolitiikan laatii yleensä organisaation ylin johto IT-tietoturvahenkilöstön panoksensa.

Politiikoihin olisi sisällytettävä myös puitteet määritellä roolit ja vastuut ja määräaikaisarvioinnin aikajana.

Ominaisuustaulukko

Attribuutit ovat tapa luokitella erityyppisiä säätimiä. Näiden ominaisuuksien avulla voit kohdistaa säätimet alan standardien mukaisiksi. Kontrollissa 5.4 ne ovat:

Ohjaus	Tietoturvaominaisuudet	Kyberturvallisuuden käsitteet	Toiminnalliset valmiudet	Turvallisuus Domains
#Ennaltaehkäisevä	#Luottamuksellisuus	#Tunnistaa	#Hallinto	#Hallinto ja ekosysteemi
	#Integrity
	#Saatavuus

ISMS.online antaa sinulle 81 %:n etumatkan heti sisäänkirjautumisestasi lähtien.

ISO 27001 helposti

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään. Sinun tarvitsee vain täyttää tyhjät kohdat.

Aloita

Mikä on hallinnan tarkoitus 5.4?

Ohjaus 5.4 on suunniteltu varmistaa, että johto ymmärtää vastuunsa tietoturvassa ja ryhtyy toimenpiteisiin varmistaakseen, että kaikki työntekijät ovat tietoisia ja täyttävät tietoturvavelvoitteensa.

Ohjaus 5.4 Selitetty

Tieto on arvokas voimavara ja ne on suojattava katoamiselta, vahingoittumiselta tai väärinkäytöltä. Organisaation on varmistettava, että tämän omaisuuden suojaamiseksi toteutetaan asianmukaiset toimenpiteet. Tätä varten johdon tulee varmistaa, että koko henkilöstö noudattaa kaikkia organisaation tietoturvapolitiikkaa, aihekohtaisia periaatteita ja menettelytapoja.

Ohjaus 5.4 kattaa tarkoituksen ja toteutusohjeet organisaation tietoturvaan liittyvän johdon vastuun määrittelemiseksi. ISO 27001 -standardin puitteissa.

Tämän valvonnan tarkoituksena on varmistaa, että johto on tietoturvaohjelman kanssa mukana ja että kaikki työntekijät ja urakoitsijat ovat tietoisia organisaation tietoturvapolitiikasta ja noudattavat sitä. Ketään ei pitäisi koskaan vapauttaa organisaation tietoturvakäytäntöjen, aihekohtaisten käytäntöjen ja menettelytapojen pakollisesta noudattamisesta.

Mitä se sisältää ja kuinka vaatimukset täytetään

Avain tämän valvonnan vaatimusten täyttämiseen on varmistaa, että johto pystyy pakottamaan koko asiaankuuluvan henkilöstön noudattamaan organisaation tietoturvaperiaatteita, -standardeja ja -menettelyjä.

Ensimmäinen askel on johdon sisäänosto ja tuki. Johdon on osoitettava sitoutumisensa noudattamalla kaikkia sen käyttöön ottamia käytäntöjä ja menettelyjä. Jos esimerkiksi vaadit työntekijöiltä vuosittaisen turvallisuustietoisuuden koulutuskurssejajohtajien tulee näyttää esimerkkiä ja suorittaa nämä kurssit ensin.

Seuraavaksi tulee tietoturvan tärkeyden viestiminen kaikille yrityksen työntekijöille roolista riippumatta. Tämä sisältää hallituksen, johtajat ja johdon sekä työntekijät. Jokaisen on ymmärrettävä roolinsa ylläpidossa arkaluonteisten tietojen turvallisuus yrityksen ISMS:n mukaisesti ohjelmia.

Ota käyttöön, laajenna ja skaalaa vaatimustenmukaisuus ilman sotkua. Io antaa sinulle joustavuutta ja luottamusta kasvaa turvallisesti.

Varaa esittelysi

Erot ISO 27002:2013 ja ISO 27002:2022 välillä

ISO 27002:2022 ohjaus 5.4 Johdon vastuut tunnettiin aiemmin nimellä valvonta 7.2.1 Johdon vastuut standardissa ISO 27002:2013. Tämä ei ole uusi ohjausobjekti, vaan vahvempi tulkinta vuoden 2013 versiosta.

Vaikka ohjaus 5.4 ja ohjaus 7.2.1 kattavat pääpiirteissään saman asian, organisaatioiden ja yritysjohtajien tulisi huomata muutamia eroja. Nämä erot on käsitelty valvonnan toteutusohjeissa.

Control 5.4 ISO 27002:2013-2022 täytäntöönpanoohjeita verrattu

ISO 27002: 2013:ssa johdon velvollisuudet kattavat sen varmistamisen, että työntekijät ja urakoitsijat:

a) heille on tiedotettu asianmukaisesti tietoturvaroolit ja -vastuut ennen luottamuksellisten tietojen tai tietojärjestelmien käyttöoikeuden myöntämistä;

b) saavat ohjeet valtion tietoturvaodotuksiin roolistaan
Organisaatio;

c) olet motivoitunut toteuttamaan organisaation tietoturvapolitiikkaa;

d) saavuttaa tietoturvasta tietoturvan taso, joka on olennaista heidän tehtäviensä ja vastuidensa kannalta organisaatiossa;

e) noudattaa työehtoja, jotka sisältävät organisaation tietoturvapolitiikan ja asianmukaiset työskentelytavat;

f) heillä on edelleen asianmukaiset taidot ja pätevyys ja he saavat säännöllistä koulutusta;

g) niillä on anonyymi ilmoituskanava, jolla voi ilmoittaa tietoturvakäytäntöjen tai -menettelyjen rikkomuksista ("whistle blowing").

Johdon tulee osoittaa tukea tietoturvapolitiikoille, -menettelyille ja -valvonnalle ja toimia roolimallina.

Control 5.4 on käyttäjäystävällisempi versio ja edellyttää, että hallintovastuut varmistaa, että työntekijät ja urakoitsijat:

a) Heille on kerrottu asianmukaisesti tietoturvarooleistaan ja -vastuistaan ennen kuin heille myönnetään pääsy organisaation tietoihin ja muuhun asiaan liittyvään omaisuuteen;

b) He saavat ohjeita, jotka ilmaisevat heidän roolinsa tietoturva-odotukset organisaatiossa;

c) Ovat velvollisia täyttämään organisaation tietoturvapolitiikan ja aihekohtaiset linjaukset;

d) Saavuttaa tietoturvan tietoturvan taso, joka liittyy heidän rooleihinsa ja velvollisuuksiinsa organisaatiossa;

e) Työehtojen, sopimuksen tai sopimuksen noudattaminen, mukaan lukien organisaation tietoturvapolitiikka ja asianmukaiset työskentelytavat;

f) Sinulla on edelleen asianmukaiset tietoturvataidot ja -pätevyydet jatkuvan ammatillisen koulutuksen kautta;

g) Heille tarjotaan mahdollisuuksien mukaan luottamuksellinen kanava tietoturvapolitiikan, aihekohtaisten käytäntöjen tai tietoturvamenettelyjen rikkomusten raportoimiseksi ("whistleblowing"). Tämä voi mahdollistaa nimettömän raportoinnin tai sisältää säännöksiä sen varmistamiseksi, että vain ne, joiden on käsiteltävä tällaisia ilmoituksia, tietävät ilmoittajan henkilöllisyyden.

h) Järjestetään riittävät resurssit ja projektisuunnitteluaika organisaation turvallisuuteen liittyvien prosessien ja valvonnan toteuttamiseen.

Kuten näette, ISO 27002:2022 vaatii nimenomaan, että organisaation turvallisuuteen liittyvien toimenpiteiden ja valvonnan toteuttamiseksi työntekijöille ja urakoitsijoille on hankittava tarvittavat resurssit sekä projektin suunnitteluaika.

Myös joidenkin ISO 27002:2013 vs ISO 27002:2020 toteutusohjeiden sanamuotoja vaikutti. Kun vuoden 2013 version ohjeessa C todetaan, että työntekijät ja urakoitsijat ovat "motivoituneita" ottamaan käyttöön yrityksen ISMS-käytännöt, vuonna 2022 käytetään sanaa "valtuutettu".

ISMS.online tukee yli 100 standardia ja sääntöä, mikä tarjoaa sinulle yhden alustan kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa esittelysi

Kuka on vastuussa tästä prosessista?

Vastaus tähän kysymykseen on melko yksinkertainen: johto! Johdon vastuulla on varmistaa, että asianmukainen ISMS (Information Security Management System) on otettu käyttöön.

Tätä tukee normaalisti nimittämällä sopivasti pätevä ja kokenut tietoturvapäällikkö, joka on vastuussa ylimmälle johdolle ISMS:n kehittämisestä, toteuttamisesta, hallinnasta ja jatkuvasta parantamisesta.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.7	UUSI	Uhan älykkyys
5.23	UUSI	Tietoturva pilvipalvelujen käyttöön
5.30	UUSI	ICT-valmius liiketoiminnan jatkuvuuteen
7.4	UUSI	Fyysisen turvallisuuden valvonta
8.9	UUSI	Kokoonpanonhallinta
8.10	UUSI	Tietojen poistaminen
8.11	UUSI	Tietojen peittäminen
8.12	UUSI	Tietovuotojen esto
8.16	UUSI	Toimien seuranta
8.23	UUSI	Web-suodatus
8.28	UUSI	Turvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.1	05.1.1, 05.1.2	Tietoturvakäytännöt
5.2	06.1.1	Tietoturvaroolit ja -vastuut
5.3	06.1.2	Tehtävien eriyttäminen
5.4	07.2.1	Johdon vastuut
5.5	06.1.3	Yhteys viranomaisiin
5.6	06.1.4	Ota yhteyttä erityisiin eturyhmiin
5.7	UUSI	Uhan älykkyys
5.8	06.1.5, 14.1.1	Tietoturva projektinhallinnassa
5.9	08.1.1, 08.1.2	Tietojen ja muiden niihin liittyvien varojen luettelo
5.10	08.1.3, 08.2.3	Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11	08.1.4	Omaisuuden palautus
5.12	08.2.1	Tietojen luokitus
5.13	08.2.2	Tietojen merkitseminen
5.14	13.2.1, 13.2.2, 13.2.3	Tietojen siirto
5.15	09.1.1, 09.1.2	Kulunvalvonta
5.16	09.2.1	Identiteettihallinta
5.17	09.2.4, 09.3.1, 09.4.3	Todennustiedot
5.18	09.2.2, 09.2.5, 09.2.6	Käyttöoikeudet
5.19	15.1.1	Tietoturva toimittajasuhteissa
5.20	15.1.2	Tietoturvan huomioiminen toimittajasopimuksissa
5.21	15.1.3	Tietoturvan hallinta ICT-toimitusketjussa
5.22	15.2.1, 15.2.2	Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23	UUSI	Tietoturva pilvipalvelujen käyttöön
5.24	16.1.1	Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25	16.1.4	Tietoturvatapahtumien arviointi ja päätös
5.26	16.1.5	Tietoturvahäiriöihin reagointi
5.27	16.1.6	Tietoturvahäiriöistä oppiminen
5.28	16.1.7	Todisteiden kerääminen
5.29	17.1.1, 17.1.2, 17.1.3	Tietoturva häiriön aikana
5.30	5.30	ICT-valmius liiketoiminnan jatkuvuuteen
5.31	18.1.1, 18.1.5	Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32	18.1.2	Immateriaalioikeudet
5.33	18.1.3	Tietueiden suojaus
5.34	18.1.4	Yksityisyys ja henkilötietojen suoja
5.35	18.2.1	Riippumaton tietoturvatarkastus
5.36	18.2.2, 18.2.3	Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37	12.1.1	Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
6.1	07.1.1	Seulonta
6.2	07.1.2	Työsuhteen ehdot
6.3	07.2.2	Tietoturvatietoisuus, koulutus ja koulutus
6.4	07.2.3	Kurinpitoprosessi
6.5	07.3.1	Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6	13.2.4	Luottamuksellisuus- tai salassapitosopimukset
6.7	06.2.2	Etätyö
6.8	16.1.2, 16.1.3	Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
7.1	11.1.1	Fyysisen turvallisuuden rajat
7.2	11.1.2, 11.1.6	Fyysinen sisääntulo
7.3	11.1.3	Toimistojen, huoneiden ja tilojen turvaaminen
7.4	UUSI	Fyysisen turvallisuuden valvonta
7.5	11.1.4	Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6	11.1.5	Työskentely turvallisilla alueilla
7.7	11.2.9	Selkeä pöytä ja selkeä näyttö
7.8	11.2.1	Laitteiden sijoitus ja suojaus
7.9	11.2.6	Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Tallennusvälineet
7.11	11.2.2	Apuohjelmia tukevat
7.12	11.2.3	Kaapeloinnin turvallisuus
7.13	11.2.4	Laitehuolto
7.14	11.2.7	Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
8.1	06.2.1, 11.2.8	Käyttäjän päätelaitteet
8.2	09.2.3	Etuoikeutetut käyttöoikeudet
8.3	09.4.1	Tiedon pääsyn rajoitus
8.4	09.4.5	Pääsy lähdekoodiin
8.5	09.4.2	Turvallinen todennus
8.6	12.1.3	Kapasiteetin hallinta
8.7	12.2.1	Suojaus haittaohjelmia vastaan
8.8	12.6.1, 18.2.3	Teknisten haavoittuvuuksien hallinta
8.9	UUSI	Kokoonpanonhallinta
8.10	UUSI	Tietojen poistaminen
8.11	UUSI	Tietojen peittäminen
8.12	UUSI	Tietovuotojen esto
8.13	12.3.1	Tietojen varmuuskopiointi
8.14	17.2.1	Tietojenkäsittelylaitteiden redundanssi
8.15	12.4.1, 12.4.2, 12.4.3	Hakkuu
8.16	UUSI	Toimien seuranta
8.17	12.4.4	Kellon synkronointi
8.18	09.4.4	Etuoikeutettujen apuohjelmien käyttö
8.19	12.5.1, 12.6.2	Ohjelmistojen asennus käyttöjärjestelmiin
8.20	13.1.1	Verkkojen turvallisuus
8.21	13.1.2	Verkkopalvelujen turvallisuus
8.22	13.1.3	Verkkojen erottelu
8.23	UUSI	Web-suodatus
8.24	10.1.1, 10.1.2	Salaustekniikan käyttö
8.25	14.2.1	Turvallinen kehityksen elinkaari
8.26	14.1.2, 14.1.3	Sovelluksen suojausvaatimukset
8.27	14.2.5	Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28	UUSI	Turvallinen koodaus
8.29	14.2.8, 14.2.9	Tietoturvatestausta kehitetään ja hyväksytään
8.30	14.2.7	Ulkoistettu kehitys
8.31	12.1.4, 14.2.6	Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Muutoksen hallinta
8.33	14.3.1	Testitiedot
8.34	12.7.1	Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

Yksi suurimmista haasteista toteutettaessa ISO 27001 mukautettu ISMS pitää yllä tietoturvatoimiasi. Järjestelmämme tekee tämän helpoksi.

Ymmärrämme sen tärkeyden organisaatiosi tietojen suojaamiseen ja maine. Siksi pilvipohjainen alustamme on suunniteltu yksinkertaistamaan ISO 27001:n käyttöönottoa, tarjoamaan sinulle vankan tietoturvan valvontakehyksen ja auttamaan sinua saavuttamaan sertifioinnin minimaalisilla resursseilla ja ajallaan.

Olemme sisällyttäneet erilaisia käyttäjäystävällisiä ominaisuuksia ja työkalusarjoja alustaamme säästääksesi aikaa ja varmistaaksesi, että luot todella vankan ISMS:n. Kanssa ISMS.online, voit helposti hankkia ISO 27001 -sertifikaatin ja hallita sitä myöhemmin helposti.

Varaa demo tänään.

Olemme alamme johtaja