Tarkistetun ISO 5.9:27002:n hallinta 2022 kuvaa, kuinka tieto- ja muu siihen liittyvä omaisuus, mukaan lukien omistajat, on kehitettävä ja ylläpidettävä.
Toimintansa toteuttamiseksi organisaation on tiedettävä, mitä tietovaroja sillä on käytössään.
An tietovarojen luettelo (IA) on luettelo kaikesta, mitä organisaatio tallentaa, käsittelee tai lähettää. Se sisältää myös kunkin kohteen sijainnin ja suojaustoiminnot. Tavoitteena on tunnistaa jokainen yksittäinen tieto. Voit ajatella sitä kirjanpidon vastineena tietosuojalle.
IA:n avulla voidaan tunnistaa aukot omassasi tietoturvaohjelma ja tiedot kyberriskien arvioinneista joissa sinulla saattaa olla haavoittuvuuksia, jotka voivat johtaa rikkomiseen. Sitä voidaan käyttää myös todisteena vaatimustenmukaisuustarkastusten aikana että olet tehnyt asianmukaista huolellisuutta arkaluonteisten tietojesi tunnistamisessa, mikä auttaa sinua välttämään sakot ja rangaistukset.
- tietovarojen luettelo tulee myös sisältää tiedot siitä, kuka omistaa kunkin omaisuuden ja kuka sitä hallinnoi. Sen tulee sisältää myös tiedot kunkin varaston kohteen arvosta ja siitä, kuinka kriittistä se on organisaation liiketoiminnan menestykselle.
On tärkeää, että varastot pidetään ajan tasalla, jotta ne heijastavat organisaatiossa tapahtuvia muutoksia.
Olemme kustannustehokkaita ja nopeita
Tietoomaisuuden hallinnalla on pitkä historia liiketoiminnan jatkuvuuden suunnittelussa (BCP), katastrofipalautuksessa (DR) ja häiriötilanteiden reagointisuunnittelussa.
Ensimmäinen vaihe missä tahansa näistä prosesseista sisältää kriittisten järjestelmien, verkkojen, tietokantojen, sovellusten, tietovirtojen ja muiden suojausta tarvitsevien komponenttien tunnistamisen. Jos et tiedä mikä tarvitsee suojelua tai missä se sijaitsee, et voi suunnitella kuinka suojella sitä!
Kontrollit luokitellaan attribuuttien avulla. Näiden avulla voit nopeasti yhdistää ohjausvalintasi yleisesti käytettyihin alan termeihin ja spesifikaatioihin.
Tämä taulukko täydentää työtä, jota monet asiakkaat tekevät tällä hetkellä osana omaa toimintaansa riskinarviointi ja SOA tunnistamalla luottamuksellisuus, eheys ja saatavuus – ja muut tekijät. Ohjauksessa 5.9 määritteet ovat:
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Rehellisyys #Saatavuus | #Tunnistaa | #Vahvuuksien hallinta | #Hallinto ja ekosysteemi #suojelu |
Tämän valvonnan tarkoituksena on tunnistaa organisaation tiedot ja muu siihen liittyvä omaisuus niiden tietoturvan säilyttämiseksi ja asianmukaisen omistajuuden osoittamiseksi.
Ohjaus 5.9 kattaa ohjauksen, tarkoituksen ja toteutusohjeet tietojen ja muiden asiaan liittyvien resurssien luettelon luomiseksi ISO 27001:n määrittämän ISMS-kehyksen mukaisesti.
Valvonta edellyttää luettelon tekemistä kaikista tiedoista ja muista niihin liittyvistä varoista, luokittelemalla ne eri luokkiin, tunnistamalla niiden omistajat ja dokumentoimalla säädöt, jotka ovat tai joiden pitäisi olla käytössä.
Tämä on ratkaiseva askel sen varmistamisessa, että kaikki tietovarat ovat asianmukaisesti suojattuja.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Olemme niin tyytyväisiä, että löysimme tämän ratkaisun, sillä sen avulla kaikki sovittiin yhteen helpommin.
jotta täyttää uuden ISO 27002:2022 -standardin vaatimukset, sinun on tunnistettava organisaatiosi tiedot ja muu siihen liittyvä omaisuus. Sitten sinun tulee määrittää näiden kohteiden merkitys tietoturvan kannalta. Asiakirjat on tarvittaessa säilytettävä erityisissä tai olemassa olevissa inventaarioissa.
Inventaarion kehittämistä koskeva lähestymistapa vaihtelee organisaation koon ja monimutkaisuuden, sen olemassa olevien hallintalaitteiden ja käytäntöjen sekä sen käyttämien tietojen ja muiden siihen liittyvien resurssien tyypin mukaan.
Ohjauksen 5.9 mukaan tietojen ja muiden niihin liittyvien omaisuuserien luettelon tulee olla tarkkaa, ajan tasalla, johdonmukainen ja linjassa muiden varastojen kanssa. Vaihtoehtoja tietojen ja muiden niihin liittyvien resurssien luettelon tarkkuuden varmistamiseksi ovat:
a) suorittaa säännöllisiä tarkastuksia tunnistetuista tiedoista ja muista niihin liittyvistä varoista omaisuusluetteloon verrattuna;
b) varastopäivityksen automaattinen pakottaminen omaisuuden asennuksen, muuttamisen tai poistamisen yhteydessä.
Omaisuuserän sijainti tulee sisällyttää inventaarioon tarvittaessa.
Jotkut organisaatiot saattavat joutua ylläpitämään useita varastoja eri tarkoituksiin. Joillakin organisaatioilla on esimerkiksi omat varastot ohjelmistolisenssejä tai fyysisiä laitteita, kuten kannettavia tietokoneita ja tabletteja varten.
Toisilla voi olla yksi luettelo, joka sisältää kaikki fyysiset laitteet, mukaan lukien verkkolaitteet, kuten reitittimet ja kytkimet. On tärkeää, että kaikki tällaiset inventaariot tarkistetaan säännöllisesti sen varmistamiseksi, että ne pidetään ajan tasalla, jotta niitä voidaan käyttää apuna riskienhallinta toimintaa.
Lisätietoa ohjaus 5.9:n vaatimusten täyttämisestä löytyy uudesta ISO 27002:2022 -asiakirjasta.
ISO 27002: 2022:ssa 57 ISO 27002: 2013 -ohjausobjektia yhdistettiin 24 kontrolliksi. Joten et löydä ohjausta 5.9 tietojen ja muiden liitännäisten omaisuuserien luettelona vuoden 2013 versiosta. Pikemminkin vuoden 2022 versiossa se on yhdistelmä määräysvaltaa 8.1.1 Omaisuusluettelo ja määräysvalta 8.1.2 Omaisuuden omistus.
Valvonnan tarkoitus 8.1.1 Omaisuuden inventointi on varmistaa, että kaikki tietovarat tunnistetaan, dokumentoidaan ja tarkistetaan säännöllisesti ja että käytössä on asianmukaiset prosessit ja menettelyt sen varmistamiseksi, että tämä inventaario on turvallinen.
Valvonta 8.1.2 Omaisuuden omistus on vastuussa siitä, että kaikki heidän hallinnassaan oleva tietovarallisuus tunnistetaan ja omistetaan asianmukaisesti. Kun tiedät, kuka omistaa mitä, voit määrittää, mitä omaisuutta sinun on suojeltava ja kenelle sinun on oltava tilivelvollinen.
Vaikka molemmat säätimet standardissa ISO 27002:2013 ovat samanlaisia kuin ISO 5.9:27002:n ohjaus 2022, jälkimmäistä on laajennettu käyttäjäystävällisemmän tulkinnan mahdollistamiseksi. Esimerkiksi määräysvallassa olevien varojen omistusta koskevassa käyttöönotto-ohjeessa 8.1.2 todetaan, että omaisuuden omistajan tulee:
a) varmistaa, että omaisuus on inventoitu;
b) varmistaa, että omaisuus luokitellaan ja suojataan asianmukaisesti;
c) määritellä ja tarkistaa säännöllisesti tärkeiden omaisuuserien pääsyrajoitukset ja luokitukset ottaen huomioon sovellettavat kulunvalvontakäytännöt;
d) varmistaa asianmukainen käsittely, kun omaisuus poistetaan tai tuhotaan.
Nämä 4 pistettä on laajennettu 9 pisteeksi määräysvallan 5.9 omistajuusosassa.
- omaisuuden omistajan tulee olla vastuussa asianmukaisesta hoidosta omaisuuserän koko käyttöiän ajan varmistaen, että:
a) tiedot ja muut niihin liittyvät varat inventoidaan;
b) tiedot ja muut niihin liittyvät varat on asianmukaisesti luokiteltu ja suojattu;
c) luokitusta tarkistetaan määräajoin;
d) teknologiaomaisuutta tukevat komponentit luetellaan ja linkitetään, kuten tietokanta, tallennustila, ohjelmistokomponentit ja alikomponentit;
e) asetetaan vaatimukset tiedon ja muiden niihin liittyvien varojen (katso 5.10) hyväksyttävälle käytölle;
f) pääsyrajoitukset vastaavat luokitusta ja että ne ovat voimassa ja niitä tarkistetaan säännöllisesti;
g) tiedot ja muut niihin liittyvät varat, kun ne poistetaan tai hävitetään, niitä käsitellään turvallisesti ja poistetaan luettelosta;
h) he osallistuvat omaisuuteensa liittyvien riskien tunnistamiseen ja hallintaan;
i) he tukevat henkilöstöä, jolla on roolit ja vastuut tietojensa hallinnassa.
Näiden kahden säätimen yhdistäminen yhdeksi antaa käyttäjälle paremman käsityksen.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Siirron jälkeen olemme pystyneet vähentämään hallintoon käytettyä aikaa.
Viimeisimmät ISO 27002 -muutokset eivät vaikuta nykyiseen ISO 27001 -standardien mukaiseen sertifiointiisi. ISO 27001 -päivitykset ovat ainoita, jotka vaikuttavat olemassa oleviin sertifikaatteihin, ja akkreditointielimet tekevät yhteistyötä sertifiointielinten kanssa siirtymäsyklin kehittämiseksi, joka antaa ISO 27001 -sertifikaatin omaaville organisaatioille riittävästi aikaa siirtyä versiosta toiseen.
Seuraavia vaiheita on kuitenkin noudatettava, jotta se vastaa tarkistettua versiota:
Uuteen standardiin siirtymisen aikana on saatavilla uusia parhaita käytäntöjä ja ominaisuuksia kontrollin valintaan, mikä mahdollistaa tehokkaamman ja tehokkaamman valintaprosessin.
Tästä syystä sinun tulee jatkaa riskiperusteisen lähestymistavan käyttöä varmistaaksesi, että vain yrityksellesi valitaan osuvimmat ja tehokkaimmat hallintakeinot.
Sinä pystyt käytä ISMS.onlinea hallintaan ISO 27002 -toteutesi, koska se on suunniteltu erityisesti auttamaan yritystä ottamaan käyttöön tietoturvan hallintajärjestelmä (ISMS) ISO 27002 -standardin vaatimusten mukaisesti.
Alusta käyttää riskiin perustuvaa lähestymistapaa yhdistettynä alan johtaviin parhaisiin käytäntöihin ja malleihin, joiden avulla voit tunnistaa organisaatiosi kohtaamat riskit ja hallintakeinot, joita tarvitaan näiden riskien hallitsemiseksi. Näin voit systemaattisesti vähentää sekä riskiäsi että noudattamisesta aiheutuvia kustannuksia.
Käyttäminen ISMS.online voit:
- ISMS.online-alusta perustuu Plan-Do-Check-Act (PDCA), iteratiiviseen nelivaiheiseen jatkuvaan parantamiseen tähtäävään prosessiin, ja se täyttää kaikki ISO 27002:2022 -standardin vaatimukset. Ilmaisen kokeilutilin luominen ja tarjoamiemme vaiheiden noudattaminen on helppoa.
Ota yhteyttä jo tänään varaa esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
