ISO 27002, valvonta 5.5, yhteydenpito viranomaisiin

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Mitä on Control 5.5 Yhteydenpito viranomaisiin?

Kontrollit luokitellaan attribuuttien avulla. Näiden avulla voit nopeasti yhdistää ohjausvalintasi yleisesti käytettyihin alan termeihin ja spesifikaatioihin. Nämä löytyvät kontrollista 5.5.

Ohjauksen ominaisuudet 5.5

Ohjaus	Tietoturvaominaisuudet	Kyberturvallisuuden käsitteet	Toiminnalliset valmiudet	Turvallisuus Domains
#Ennaltaehkäisevä	#Luottamuksellisuus	#Tunnistaa	#Hallinto	#Puolustus
#Korjaava	#Integrity	#Suojella		#Kestävyys
	#Saatavuus	#Vastata
		#Palauta

Mikä on hallinnan tarkoitus 5.5?

Valvonta 5.5:n tarkoituksena on varmistaa tietoturvallisuuden kannalta asianmukainen tiedonkulku organisaation ja asiaankuuluvien laki-, sääntely- ja valvontaviranomaisten välillä. Yhtiön ja asiaankuuluvien laki-, sääntely- ja valvontaviranomaisten välillä tulee olla asianmukainen foorumi vuoropuhelua ja yhteistyötä varten.

Valvonta 5.5 kattaa vaatimuksen, tarkoituksen ja toteutusohjeet kuinka tunnistaa ja ilmoittaa tietoturvatapahtumista ajoissa sekä keneen ja miten ottaa yhteyttä onnettomuuden sattuessa.

Valvonnan 5.5 tavoitteena on tunnistaa, mihin sidosryhmiin (esim. lainvalvontaviranomaiset, sääntelyelimet, valvontaviranomaiset) olisi otettava yhteyttä turvallisuustapahtuman sattuessa. On tärkeää, että olet jo tunnistanut nämä sidosryhmät ennen tapauksen sattumista.

Yhteydenpito viranomaisiin tarkoittaa, että organisaation tulee luoda ja toteuttaa epävirallista viestintää viranomaisten kanssa tietoturvakysymyksistä, mukaan lukien:

Jatkuva yhteydenpito asianomaisten viranomaisten kanssa sen varmistamiseksi, että organisaatio on tietoinen nykyisistä uhkista ja haavoittuvuuksista.
Asianomaisille viranomaisille tiedottaminen organisaation tuotteissa, palveluissa tai järjestelmissä havaituista haavoittuvuuksista.
Tietojen saaminen asiaankuuluvilta viranomaisilta uhista ja haavoittuvuuksista.

Hanki 81 % etumatka

Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.

Varaa demo

Mitä se sisältää ja kuinka vaatimukset täytetään

Valvonnan 5.5 päätavoitteena on luoda organisaation suhde lainvalvontaviranomaisiin, kun se liittyy tietoturvariskien hallintaan.

Ohjauksen 5.5 vaatimusten täyttämiseksi oletetaan, että jos an tietoturvahäiriö havaitaan, organisaation tulee määrittää, milloin ja mitkä viranomaiset (kuten lainvalvontaviranomaiset, sääntelyelimet ja valvontaviranomaiset) ilmoittavat, sekä kuinka tunnistetuista tietoturvaloukkauksista tulee raportoida oikea-aikaisesti.

Tietojen vaihtoa viranomaisten kanssa tulisi käyttää myös näiden virastojen nykyisten ja tulevien odotusten (esim. sovellettavien tietoturvamääräysten) ymmärtämiseen.

Tämä vaatimus on suunniteltu varmistamaan, että organisaatiolla on johdonmukainen strategia suhteelleen lainvalvontaviranomaisiin ja että se on tunnistanut sopivimman yhteyspisteen näissä virastoissa.

Yhteydet sääntelyelimiin ovat hyödyllisiä myös ennakoitaessa ja valmistauduttaessa tuleviin organisaatioon vaikuttaviin lakeihin tai säännöksiin.

Erot ISO 27002:2013 ja ISO 27002:2022 välillä

Valvonta 5.5: Yhteydenpito viranomaisiin ei ole uusi lisäys ISO 27002:2022:ssa. Se on olemassa oleva kontrolli alkuperäisessä ISO 27002:2013 -standardissa ohjausnumerolla 6.1.3. Tämä tarkoittaa, että kontrollinumeroa muutettiin ISO 27002:n uudessa versiossa.

Kontrollinumeron muuttamisen lisäksi myös fraseologiaa muutettiin. Kun valvonnassa 5.5 todetaan, että "Organisation tulee luoda ja ylläpitää yhteyksiä asiaankuuluviin viranomaisiin." Valvontakohdassa 6.1.3 todetaan, että "asianmukaisia yhteyksiä asiaankuuluviin viranomaisiin tulee ylläpitää." Tämä fraseologian muutos on suunniteltu tekemään tästä ohjaimesta käyttäjäystävällisempi.

2022-versioon sisältyi ohjaustarkoitus. Tämä ei ole saatavilla vuoden 2013 versiossa.

Samaan aikaan, vaikka molempien säätimien olemus pysyy samana, niissä on hienovaraisia muunnelmia, jotka erottavat toisistaan.

ISO 5.5:27002:n valvonta 2022 lisää lisäksi, että yhteyksiä viranomaisiin tulee käyttää myös näiden viranomaisten tämänhetkisten ja tulevien odotusten ymmärtämisen helpottamiseksi (esim. sovellettavat tietoturvamääräykset). Tämä puuttuu vuoden 2013 versiosta.

Kuka on vastuussa tästä prosessista?

- tästä roolista vastaava henkilö on yleensä tietoturvapäällikkö.

Muut henkilöt voivat suorittaa tämän toiminnon, mutta heidän on raportoitava tietoturvapäällikölle, jotta he voivat valvoa näitä toimintoja. Tämä ylläpitää johdonmukaista viestiä ja varmistaa johdonmukaisen suhteen viranomaisiin.

Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa

ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.

Varaa demo

Mitä nämä muutokset merkitsevät sinulle?

Kun uusi sertifiointistandardi julkaistaan, tulee yleensä siirtymäaika. Suurimmalla osalla sertifiointijaksoista siirtymäaika on kahdesta kolmeen vuotta.

ISO 27002:n uusin painos on kuitenkin ehdottomasti välttämätön, jos aiot tehdä niin ottaa käyttöön ISMS:n (ja mahdollisesti jopa harkitse ISMS-sertifiointia) ja sinun on varmistettava, että turvatoimenpiteesi ovat ajan tasalla.

Suoritettaviin toimiin kuuluvat, mutta eivät rajoitu niihin, seuraavat:

Uusimman standardin ostaminen.
Tutki uutta standardia nähdäksesi, miten se on muuttunut. Standardi sisältää kartoitustaulukon, joka näyttää kuinka uusi standardi vastaa ISO 27002:2013 -standardia.
Suorita a riskianalyysi sekä kontrolliaukon analyysi.
Valitse tarvittavat säätimet ja muuta ISMS-käytännöt, standardit ja muut asiakirjat.
Tee tarvittavat muutokset omaan Ilmoitus soveltuvuudesta.
Sinun tulee tarkistaa sisäisen tarkastuksen ohjelmasi vastaamaan valitsemaasi parannettua valvontaa.

Tutustu ISO 27002:2022 -oppaaseen, josta saat lisätietoja siitä, kuinka nämä muutokset 5.5:n hallintaan vaikuttavat organisaatioosi.

Uudet ISO 27002 -säätimet

Uudet hallintalaitteet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.7	Uusi	Uhan älykkyys
5.23	Uusi	Tietoturva pilvipalvelujen käyttöön
5.30	Uusi	ICT-valmius liiketoiminnan jatkuvuuteen
7.4	Uusi	Fyysisen turvallisuuden valvonta
8.9	Uusi	Kokoonpanonhallinta
8.10	Uusi	Tietojen poistaminen
8.11	Uusi	Tietojen peittäminen
8.12	Uusi	Tietovuotojen esto
8.16	Uusi	Toimien seuranta
8.23	Uusi	Web-suodatus
8.28	Uusi	Turvallinen koodaus

Organisaation valvonta

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
5.1	05.1.1, 05.1.2	Tietoturvakäytännöt
5.2	06.1.1	Tietoturvaroolit ja -vastuut
5.3	06.1.2	Tehtävien eriyttäminen
5.4	07.2.1	Johdon vastuut
5.5	06.1.3	Yhteys viranomaisiin
5.6	06.1.4	Ota yhteyttä erityisiin eturyhmiin
5.7	Uusi	Uhan älykkyys
5.8	06.1.5, 14.1.1	Tietoturva projektinhallinnassa
5.9	08.1.1, 08.1.2	Tietojen ja muiden niihin liittyvien varojen luettelo
5.10	08.1.3, 08.2.3	Tietojen ja muiden niihin liittyvien resurssien hyväksyttävä käyttö
5.11	08.1.4	Omaisuuden palautus
5.12	08.2.1	Tietojen luokitus
5.13	08.2.2	Tietojen merkitseminen
5.14	13.2.1, 13.2.2, 13.2.3	Tietojen siirto
5.15	09.1.1, 09.1.2	Kulunvalvonta
5.16	09.2.1	Identiteettihallinta
5.17	09.2.4, 09.3.1, 09.4.3	Todennustiedot
5.18	09.2.2, 09.2.5, 09.2.6	Käyttöoikeudet
5.19	15.1.1	Tietoturva toimittajasuhteissa
5.20	15.1.2	Tietoturvan huomioiminen toimittajasopimuksissa
5.21	15.1.3	Tietoturvan hallinta ICT-toimitusketjussa
5.22	15.2.1, 15.2.2	Toimittajapalvelujen seuranta, arviointi ja muutosten hallinta
5.23	Uusi	Tietoturva pilvipalvelujen käyttöön
5.24	16.1.1	Tietoturvaloukkausten hallinnan suunnittelu ja valmistelu
5.25	16.1.4	Tietoturvatapahtumien arviointi ja päätös
5.26	16.1.5	Tietoturvahäiriöihin reagointi
5.27	16.1.6	Tietoturvahäiriöistä oppiminen
5.28	16.1.7	Todisteiden kerääminen
5.29	17.1.1, 17.1.2, 17.1.3	Tietoturva häiriön aikana
5.30	Uusi	ICT-valmius liiketoiminnan jatkuvuuteen
5.31	18.1.1, 18.1.5	Lakisääteiset, lakisääteiset, säädökset ja sopimusvaatimukset
5.32	18.1.2	Immateriaalioikeudet
5.33	18.1.3	Tietueiden suojaus
5.34	18.1.4	Yksityisyys ja henkilötietojen suoja
5.35	18.2.1	Riippumaton tietoturvatarkastus
5.36	18.2.2, 18.2.3	Tietoturvakäytäntöjen, sääntöjen ja standardien noudattaminen
5.37	12.1.1	Dokumentoidut toimintaohjeet

Ihmisten ohjaukset

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
6.1	07.1.1	Seulonta
6.2	07.1.2	Työsuhteen ehdot
6.3	07.2.2	Tietoturvatietoisuus, koulutus ja koulutus
6.4	07.2.3	Kurinpitoprosessi
6.5	07.3.1	Vastuut työsuhteen päättymisen tai muutoksen jälkeen
6.6	13.2.4	Luottamuksellisuus- tai salassapitosopimukset
6.7	06.2.2	Etätyö
6.8	16.1.2, 16.1.3	Tietoturvatapahtumaraportointi

Fyysiset säätimet

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
7.1	11.1.1	Fyysisen turvallisuuden rajat
7.2	11.1.2, 11.1.6	Fyysinen sisääntulo
7.3	11.1.3	Toimistojen, huoneiden ja tilojen turvaaminen
7.4	Uusi	Fyysisen turvallisuuden valvonta
7.5	11.1.4	Suojautuminen fyysisiltä ja ympäristöuhkilta
7.6	11.1.5	Työskentely turvallisilla alueilla
7.7	11.2.9	Selkeä pöytä ja selkeä näyttö
7.8	11.2.1	Laitteiden sijoitus ja suojaus
7.9	11.2.6	Omaisuuden turvallisuus muualla kuin toimitiloissa
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Tallennusvälineet
7.11	11.2.2	Apuohjelmia tukevat
7.12	11.2.3	Kaapeloinnin turvallisuus
7.13	11.2.4	Laitehuolto
7.14	11.2.7	Laitteiden turvallinen hävittäminen tai uudelleenkäyttö

Tekniset säädöt

ISO/IEC 27002:2022 Control Identifier	ISO/IEC 27002:2013 Control Identifier	Ohjausnimi
8.1	06.2.1, 11.2.8	Käyttäjän päätelaitteet
8.2	09.2.3	Etuoikeutetut käyttöoikeudet
8.3	09.4.1	Tiedon pääsyn rajoitus
8.4	09.4.5	Pääsy lähdekoodiin
8.5	09.4.2	Turvallinen todennus
8.6	12.1.3	Kapasiteetin hallinta
8.7	12.2.1	Suojaus haittaohjelmia vastaan
8.8	12.6.1, 18.2.3	Teknisten haavoittuvuuksien hallinta
8.9	Uusi	Kokoonpanonhallinta
8.10	Uusi	Tietojen poistaminen
8.11	Uusi	Tietojen peittäminen
8.12	Uusi	Tietovuotojen esto
8.13	12.3.1	Tietojen varmuuskopiointi
8.14	17.2.1	Tietojenkäsittelylaitteiden redundanssi
8.15	12.4.1, 12.4.2, 12.4.3	Hakkuu
8.16	Uusi	Toimien seuranta
8.17	12.4.4	Kellon synkronointi
8.18	09.4.4	Etuoikeutettujen apuohjelmien käyttö
8.19	12.5.1, 12.6.2	Ohjelmistojen asennus käyttöjärjestelmiin
8.20	13.1.1	Verkkojen turvallisuus
8.21	13.1.2	Verkkopalvelujen turvallisuus
8.22	13.1.3	Verkkojen erottelu
8.23	Uusi	Web-suodatus
8.24	10.1.1, 10.1.2	Salaustekniikan käyttö
8.25	14.2.1	Turvallinen kehityksen elinkaari
8.26	14.1.2, 14.1.3	Sovelluksen suojausvaatimukset
8.27	14.2.5	Turvallinen järjestelmäarkkitehtuuri ja suunnitteluperiaatteet
8.28	Uusi	Turvallinen koodaus
8.29	14.2.8, 14.2.9	Tietoturvatestausta kehitetään ja hyväksytään
8.30	14.2.7	Ulkoistettu kehitys
8.31	12.1.4, 14.2.6	Kehitys-, testi- ja tuotantoympäristöjen erottaminen toisistaan
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Muutoksen hallinta
8.33	14.3.1	Testitiedot
8.34	12.7.1	Tietojärjestelmien suojaus auditointitestauksen aikana

Miten ISMS.online auttaa

Tietoturvaohjaimien pitäminen kirjaa on yksi vaikeimmista osista toteutettaessa ISMS, joka on yhteensopiva ISO 27001:n kanssa. Mutta pilvipohjainen alustamme tekee tämän helpoksi.

Pilvipohjainen alustamme tarjoaa sinulle vankan kehyksen tietoturva ohjaimia, jotta voit tarkistaa ISMS-prosessisi samalla kun varmistat, että se täyttää ISO 27k:n vaatimukset. Oikein käytettynä, ISMS. online voi auttaa sinua saamaan sertifioinnin mahdollisimman vähän aikaa ja resursseja käyttäen.

Ota yhteyttä jo tänään varaa esittely.

ISO 27002:2022 – Valvonta 5.5 – Yhteydenpito viranomaisiin