- ISO 27002: 2022 valvonta 5.5 määrittelee, että organisaation on luotava ja ylläpidettävä prosessi yhteydenpitoa varten asianmukaisiin viranomaisiin niiden lakien, säädösten ja sopimusten vaatimusten mukaisesti, joissa organisaatio toimii.
Kontrollit luokitellaan attribuuttien avulla. Näiden avulla voit nopeasti yhdistää ohjausvalintasi yleisesti käytettyihin alan termeihin ja spesifikaatioihin. Nämä löytyvät kontrollista 5.5.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä #Korjaava | #Luottamuksellisuus #Rehellisyys #Saatavuus | #Tunnista #Suojaa #Vastaa #Palauta | #Hallinto | #Puolustus #Resilienssi |
Emme voi ajatella yhtäkään yritystä, jonka palvelu voisi pitää kynttilän ISMS.onlinelle.
Valvonta 5.5:n tarkoituksena on varmistaa tietoturvallisuuden kannalta asianmukainen tiedonkulku organisaation ja asiaankuuluvien laki-, sääntely- ja valvontaviranomaisten välillä. Yhtiön ja asiaankuuluvien laki-, sääntely- ja valvontaviranomaisten välillä tulee olla asianmukainen foorumi vuoropuhelua ja yhteistyötä varten.
Valvonta 5.5 kattaa vaatimuksen, tarkoituksen ja toteutusohjeet kuinka tunnistaa ja ilmoittaa tietoturvatapahtumista ajoissa sekä keneen ja miten ottaa yhteyttä onnettomuuden sattuessa.
Valvonnan 5.5 tavoitteena on tunnistaa, mihin sidosryhmiin (esim. lainvalvontaviranomaiset, sääntelyelimet, valvontaviranomaiset) olisi otettava yhteyttä turvallisuustapahtuman sattuessa. On tärkeää, että olet jo tunnistanut nämä sidosryhmät ennen tapauksen sattumista.
Yhteydenpito viranomaisiin tarkoittaa, että organisaation tulee luoda ja toteuttaa epävirallista viestintää viranomaisten kanssa tietoturvakysymyksistä, mukaan lukien:
Valvonnan 5.5 päätavoitteena on luoda organisaation suhde lainvalvontaviranomaisiin, kun se liittyy tietoturvariskien hallintaan.
Ohjauksen 5.5 vaatimusten täyttämiseksi oletetaan, että jos an tietoturvahäiriö havaitaan, organisaation tulee määrittää, milloin ja mitkä viranomaiset (kuten lainvalvontaviranomaiset, sääntelyelimet ja valvontaviranomaiset) ilmoittavat, sekä kuinka tunnistetuista tietoturvaloukkauksista tulee raportoida oikea-aikaisesti.
Tietojen vaihtoa viranomaisten kanssa tulisi käyttää myös näiden virastojen nykyisten ja tulevien odotusten (esim. sovellettavien tietoturvamääräysten) ymmärtämiseen.
Tämä vaatimus on suunniteltu varmistamaan, että organisaatiolla on johdonmukainen strategia suhteelleen lainvalvontaviranomaisiin ja että se on tunnistanut sopivimman yhteyspisteen näissä virastoissa.
Yhteydet sääntelyelimiin ovat hyödyllisiä myös ennakoitaessa ja valmistauduttaessa tuleviin organisaatioon vaikuttaviin lakeihin tai säännöksiin.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
Valvonta 5.5: Yhteydenpito viranomaisiin ei ole uusi lisäys ISO 27002:2022:ssa. Se on olemassa oleva kontrolli alkuperäisessä ISO 27002:2013 -standardissa ohjausnumerolla 6.1.3. Tämä tarkoittaa, että kontrollinumeroa muutettiin ISO 27002:n uudessa versiossa.
Kontrollinumeron muuttamisen lisäksi myös fraseologiaa muutettiin. Kun valvonnassa 5.5 todetaan, että "Organisation tulee luoda ja ylläpitää yhteyksiä asiaankuuluviin viranomaisiin." Valvontakohdassa 6.1.3 todetaan, että "asianmukaisia yhteyksiä asiaankuuluviin viranomaisiin tulee ylläpitää." Tämä fraseologian muutos on suunniteltu tekemään tästä ohjaimesta käyttäjäystävällisempi.
2022-versioon sisältyi ohjaustarkoitus. Tämä ei ole saatavilla vuoden 2013 versiossa.
Samaan aikaan, vaikka molempien säätimien olemus pysyy samana, niissä on hienovaraisia muunnelmia, jotka erottavat toisistaan.
ISO 5.5:27002:n valvonta 2022 lisää lisäksi, että yhteyksiä viranomaisiin tulee käyttää myös näiden viranomaisten tämänhetkisten ja tulevien odotusten ymmärtämisen helpottamiseksi (esim. sovellettavat tietoturvamääräykset). Tämä puuttuu vuoden 2013 versiosta.
- tästä roolista vastaava henkilö on yleensä tietoturvapäällikkö.
Muut henkilöt voivat suorittaa tämän toiminnon, mutta heidän on raportoitava tietoturvapäällikölle, jotta he voivat valvoa näitä toimintoja. Tämä ylläpitää johdonmukaista viestiä ja varmistaa johdonmukaisen suhteen viranomaisiin.
Se auttaa ohjaamaan käyttäytymistämme positiivisella tavalla, joka toimii meille
& kulttuuriamme.
Kun uusi sertifiointistandardi julkaistaan, tulee yleensä siirtymäaika. Suurimmalla osalla sertifiointijaksoista siirtymäaika on kahdesta kolmeen vuotta.
ISO 27002:n uusin painos on kuitenkin ehdottomasti välttämätön, jos aiot tehdä niin ottaa käyttöön ISMS:n (ja mahdollisesti jopa harkitse ISMS-sertifiointia) ja sinun on varmistettava, että turvatoimenpiteesi ovat ajan tasalla.
Suoritettaviin toimiin kuuluvat, mutta eivät rajoitu niihin, seuraavat:
Tutustu ISO 27002:2022 -oppaaseen, josta saat lisätietoja siitä, kuinka nämä muutokset 5.5:n hallintaan vaikuttavat organisaatioosi.
Tietoturvaohjaimien pitäminen kirjaa on yksi vaikeimmista osista toteutettaessa ISMS, joka on yhteensopiva ISO 27001:n kanssa. Mutta pilvipohjainen alustamme tekee tämän helpoksi.
Pilvipohjainen alustamme tarjoaa sinulle vankan kehyksen tietoturva ohjaimia, jotta voit tarkistaa ISMS-prosessisi samalla kun varmistat, että se täyttää ISO 27k:n vaatimukset. Oikein käytettynä, ISMS. online voi auttaa sinua saamaan sertifioinnin mahdollisimman vähän aikaa ja resursseja käyttäen.
Ota yhteyttä jo tänään varaa esittely.
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
