Mikä on Control 6.3?
ISO 27002:2022, Control 6.3. Tietoturvatietoisuus, koulutus ja koulutus kattaa organisaation työntekijöiden tarpeen saada asianmukaista tietoturvatietoisuutta, koulutusta ja koulutusta sekä säännöllisiä päivityksiä organisaation tietoturvapolitiikasta erityisesti heidän työtehtäviensä osalta.
Tietoturvatietoisuus, koulutus ja koulutus selitetty
Tietoturvatietoisuus, koulutus ja koulutus (IT-tietoturvatietoisuus) on prosessi, jossa käyttäjille tiedotetaan tietoturvan tärkeydestä ja rohkaistaan heitä parantamaan omia tietoturvatottumuksiaan.
Käyttäjien tulee olla tietoisia turvallisuudesta riskejä, jotka voivat johtua heidän toiminnastaan ja miten he voivat suojautua näiltä riskeiltä.
Tietoturvatietoisuus, koulutus ja koulutus ovat kriittisiä tekijöitä minkä tahansa organisaation menestyksessä. On tärkeää, että kaikki työntekijät ymmärtävät tietoturvan merkityksen ja sen, miten se vaikuttaa kaikkiin.
Mitä enemmän työntekijät ymmärtävät kuinka suojautua kyberuhkilta, sitä turvallisempi organisaatiosi on.
Attribuuttien ohjaustaulukko 6.3
Ohjaimet voidaan ryhmitellä attribuuttien avulla. Kun tarkastelet ohjausobjektin ominaisuuksia, voit helpommin yhdistää sen vakiintuneisiin alan vaatimuksiin ja terminologiaan. Seuraavat attribuutit ohjaavat 6.3.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Henkilöstöturvallisuus | #Hallinto ja ekosysteemi |
| #Integrity | ||||
| #Saatavuus |
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Mikä on hallinnan tarkoitus 6.3?
Valvonta 6.3:n tarkoituksena on varmistaa, että henkilöstö ja asiaankuuluvat osapuolet ovat tietoisia tietoturvavelvollisuuksistaan ja ovat asianmukaisesti koulutettuja täyttämään ne.
Valvonta 6.3 kattaa joukon toimintoja, jotka auttavat varmistamaan, että ihmisillä on tiedot ja taidot, joita tarvitaan toimiakseen organisaation sisällä. tietoturva puitteet. Pääpaino tässä Valvonta kohdistuu tietoturvan tärkeyttä koskevaan tietoisuuden lisäämiseen, kannustaa hyviä käytäntöjä ja edistää asiaankuuluvien käytäntöjen ja menettelyjen noudattamista.
Ohjaus 6.3 Selitetty
Tietoturvatietoisuus, koulutus ja koulutus ovat olennainen osa organisaation yleistä riskienhallintastrategiaa, ja niitä tulisi pitää kiinteänä osana organisaation turvallisuuspolitiikkaa.
Ohjaus 6.3 määrittelee, että organisaatioilla on oltava tietoturvatietoisuusohjelma, joka tarjoaa kaikille työntekijöille tarvittavat tiedot ja taidot suojata tietovarallisuutta. Se antaa ohjeita siitä, mitä tehokkaaseen tietoisuusohjelmaan tulisi sisällyttää.
Organisaatio saattaa esimerkiksi joutua järjestämään turvallisuustietoisuuskoulutuksen vähintään kerran vuodessa tai riskinarvioinnin edellyttämällä tavalla kaikille työntekijöille ja urakoitsijoille, joille on määrätty tehtäviä, joissa heillä on pääsy arkaluontoisiin tietoresursseihin tai muun tyyppiseen tietoon. järjestelmät, jotka tallentavat, käsittelevät tai siirtävät arkaluontoisia tietoja.
Mitä se sisältää ja kuinka vaatimukset täytetään
Valvonnan vaatimus 6.3 on, että organisaatiolla on oltava prosessi, jolla varmistetaan, että työntekijät ovat riittävästi koulutettuja suorittamaan työtehtävänsä turvallisesti ja turvallisesti siten, että ei vaaranna tietoturvaa. Tämä voidaan saavuttaa harjoitusten avulla. Se voidaan saavuttaa myös käyttämällä online-resursseja, kuten videoita tai webinaareja.
Tietoturvatietoisuus-, koulutus- ja koulutusohjelmia tulee kehittää organisaation tietoturvapolitiikan, aihekohtaisten linjausten ja asiaankuuluvien tietoturvamenettelyjen mukaisesti. Siinä tulee ottaa huomioon myös organisaation suojattavat tiedot ja niiden suojaamiseksi toteutetut tietoturvavalvontatoimenpiteet. Tämän pitäisi tapahtua säännöllisesti.
Johdantotietoisuus, koulutus ja koulutus voivat koskea uusia työntekijöitä sekä uusia tehtäviä tai tehtäviin siirtyviä vaativat merkittävästi erilaisia tietoturvan tasoja.
Tietoisuuskampanjaan tulisi sisältyä erilaisia tietoisuutta lisääviä toimintoja. Tämä sisältää kampanjat, kirjaset, julisteet, uutiskirjeet, verkkosivustot, tiedotustilaisuudet, tiedotustilaisuudet, e-oppimismoduulit ja sähköpostit.
Ohjauksen 6.3 mukaan tämän ohjelman tulisi kattaa:
- Johdon sitoutuminen tietoturvaan koko organisaatiossa;
- Sovellettavien tietoturvasääntöjen ja -velvoitteiden tuntemus ja noudattaminen, mukaan lukien tietoturvapolitiikka ja aihekohtaiset käytännöt, standardit, lait, säädökset, määräykset, sopimukset ja sopimukset;
- Henkilökohtainen vastuu omista teoistaan ja toimimattomuudestaan, yleistä vastuuta organisaatiolle kuuluvien tietojen turvaamisesta tai suojaamisesta ja asianomaiset osapuolet;
- Perus tietoturvamenettelyt [esim. tietoturvatapahtumien raportointi (6.8)] sekä perusohjaukset [esimerkiksi salasanasuojaus];
- Muita yhteyspisteitä ja resursseja lisätietoihin ja tietoturvaan liittyviin neuvoihin asioita, mukaan lukien muut tietoturvatietoisuusmateriaalit.
Vaatimustenmukaisuuden ei tarvitse olla monimutkaista.
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Muutokset ja erot standardista ISO 27002:2013
ISO 27002: 2022 ei ole täysin uusi ohjaus. Tämä helmikuussa 27002 julkaistu ISO 2022 -versio on päivitys edelliseen versioon, joka julkaistiin vuonna 2013. Tästä johtuen ISO 6.3:27002:n ohjaus 2022 ei ole aivan uusi ohjaus. Se on hieman muokattu versio ohjausversiosta 7.2.2 ISO 27002:2013:ssa.
Ohjauksella 7.2.2 ISO 27002:2013:ssa ei ole attribuuttitaulukkoa tai tarkoitusta, jotka sisältyvät ISO 6.3:27002 -version ohjaukseen 2022.
Tästä huolimatta kontrollinumeron muutosta lukuun ottamatta näiden kahden kontrollin välillä ei ole muuta havaittavaa eroa. Huolimatta siitä, että näiden kahden kontrollin fraseologia eroaa, näiden kahden kontrollin sisältö ja konteksti ovat olennaisesti samat.
Control 6.3:n kieli tehtiin käyttäjäystävällisemmäksi, jotta standardia käyttävät ihmiset pystyvät paremmin samaistumaan sen sisältöön.
Kuka on vastuussa tästä prosessista?
Vastaus tähän kysymykseen riippuu organisaatiostasi. Monissa organisaatioissa tietoturvatietoisuus-, koulutus- ja koulutusohjelmia johtaa tietoturvatiimi. Muissa organisaatioissa sen hoitaa henkilöstöosasto tai jokin muu toiminto.
Tärkeintä on varmistaa, että joku on vastuussa organisaatiosi turvallisuustietoisuusohjelman luomisesta ja toteuttamisesta. Tietoturvapäällikön tulee myös valvoa tätä henkilöä tai osastoa (jos tästä roolista vastaa eri henkilö).
Tällä henkilöllä tulee olla hyvä ymmärrys tietoturvasta ja kyettävä kommunikoimaan työntekijöiden kanssa erilaisista turvallisuuden parhaisiin käytäntöihin liittyvistä aiheista. Tämän henkilön tulisi myös pystyä kehittämään sisältöä koulutusohjelmiisi ja pitämään säännöllisiä koulutustilaisuuksia työntekijöille.
On tärkeää ymmärtää, että tietoturva ei ole vain IT:n vastuulla. Se on jokaisen vastuulla. Organisaatioilla on oltava turvallisuudesta vastuussa olevien ihmisten tiimi, mutta niiden on myös varmistettava, että kaikki ymmärtävät luottamuksellisuuden ja eheyden tärkeyden.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Mitä nämä muutokset merkitsevät sinulle?
Sinun ei tarvitse tehdä paljon, koska ISO 27002: 2022 ei ole uusi standardi, vaan versio 2013-versiosta. Siksi odotetaan, että useimpien organisaatioiden ei tarvitse tehdä muutoksia.
Jos olet kuitenkin jo ottanut käyttöön vuoden 2013 ISO 27002 -version, sinun on arvioitava, ovatko nämä muutokset olennaisia organisaatiollesi. Sinun on myös tarkistettava tietoturvaprosessisi, jos olet ISMS-sertifioinnin suunnittelu. Tämä varmistaa, että prosessisi ovat tarkistetun standardin mukaisia.
Verkkosivustoltamme ilmaiseksi ladattavissa oleva ISO 27002:2022 -opas sisältää lisätietoja siitä, kuinka uusi ISO 27002 voi vaikuttaa tietoturvatoimintoihisi ja ISO 27001 sertifioinnin.
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.Online auttaa
ISMS.Online on täydellinen ratkaisu ISO 27002 -toteutukseen. Se on verkkopohjainen järjestelmä, jonka avulla voit osoittaa, että tietoturvan hallintajärjestelmäsi (ISMS) on yhteensopiva hyväksyttyjen standardien kanssa käyttämällä hyvin harkittuja prosesseja, menettelyjä ja tarkistuslistoja.
Se ei ole vain helppokäyttöinen alusta ISO 27002 -toteutuksen hallintaan, vaan myös erinomainen työkalu henkilöstösi kouluttamiseen tietoturvan parhaista käytännöistä ja prosesseista sekä kaikkien ponnistelujesi dokumentoimiseen.
- ISMS:n käytön edut.Online:
- Helppokäyttöinen verkkoalusta, jota voi käyttää miltä tahansa laitteelta.
- Se on täysin muokattavissa tarpeidesi mukaan.
- Mukautettavat työnkulut ja prosessit yrityksesi tarpeiden mukaan.
- Koulutustyökalut, joiden avulla uudet työntekijät pääsevät vauhtiin nopeammin.
- Kirjasto malleja asiakirjoille, kuten käytännöille, menettelyille, suunnitelmille ja tarkistuslistoille.
ISMS.Online yksinkertaistaa ISO 27002:n käyttöönottoa tarjoamalla kaikki tarvittavat resurssit, tiedot ja työkalut yhdessä paikassa. Sen avulla voit tarkistaa, että ISMS täyttää standardin muutamalla hiiren napsautuksella, mikä muuten kestäisi kauan, jos se tehdään manuaalisesti.
Haluatko nähdä sen toiminnassa?
Ota yhteyttä jo tänään varaa esittely.
Hyppää aiheeseen
