ISO 27002:2022, Control 6.3. Tietoturvatietoisuus, koulutus ja koulutus kattaa organisaation työntekijöiden tarpeen saada asianmukaista tietoturvatietoisuutta, koulutusta ja koulutusta sekä säännöllisiä päivityksiä organisaation tietoturvapolitiikasta erityisesti heidän työtehtäviensä osalta.
Tietoturvatietoisuus, koulutus ja koulutus (IT-tietoturvatietoisuus) on prosessi, jossa käyttäjille tiedotetaan tietoturvan tärkeydestä ja rohkaistaan heitä parantamaan omia tietoturvatottumuksiaan.
Käyttäjien tulee olla tietoisia turvallisuudesta riskejä, jotka voivat johtua heidän toiminnastaan ja miten he voivat suojautua näiltä riskeiltä.
Tietoturvatietoisuus, koulutus ja koulutus ovat kriittisiä tekijöitä minkä tahansa organisaation menestyksessä. On tärkeää, että kaikki työntekijät ymmärtävät tietoturvan merkityksen ja sen, miten se vaikuttaa kaikkiin.
Mitä enemmän työntekijät ymmärtävät kuinka suojautua kyberuhkilta, sitä turvallisempi organisaatiosi on.
Ohjaimet voidaan ryhmitellä attribuuttien avulla. Kun tarkastelet ohjausobjektin ominaisuuksia, voit helpommin yhdistää sen vakiintuneisiin alan vaatimuksiin ja terminologiaan. Seuraavat attribuutit ohjaavat 6.3.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Henkilöstöturvallisuus | #Hallinto ja ekosysteemi |
Valvonta 6.3:n tarkoituksena on varmistaa, että henkilöstö ja asiaankuuluvat osapuolet ovat tietoisia tietoturvavelvollisuuksistaan ja ovat asianmukaisesti koulutettuja täyttämään ne.
Valvonta 6.3 kattaa joukon toimintoja, jotka auttavat varmistamaan, että ihmisillä on tiedot ja taidot, joita tarvitaan toimiakseen organisaation sisällä. tietoturva puitteet. Pääpaino tässä Valvonta kohdistuu tietoturvan tärkeyttä koskevaan tietoisuuden lisäämiseen, kannustaa hyviä käytäntöjä ja edistää asiaankuuluvien käytäntöjen ja menettelyjen noudattamista.
Tietoturvatietoisuus, koulutus ja koulutus ovat olennainen osa organisaation yleistä riskienhallintastrategiaa, ja niitä tulisi pitää kiinteänä osana organisaation turvallisuuspolitiikkaa.
Ohjaus 6.3 määrittelee, että organisaatioilla on oltava tietoturvatietoisuusohjelma, joka tarjoaa kaikille työntekijöille tarvittavat tiedot ja taidot suojata tietovarallisuutta. Se antaa ohjeita siitä, mitä tehokkaaseen tietoisuusohjelmaan tulisi sisällyttää.
Organisaatio saattaa esimerkiksi joutua järjestämään turvallisuustietoisuuskoulutuksen vähintään kerran vuodessa tai riskinarvioinnin edellyttämällä tavalla kaikille työntekijöille ja urakoitsijoille, joille on määrätty tehtäviä, joissa heillä on pääsy arkaluontoisiin tietoresursseihin tai muun tyyppiseen tietoon. järjestelmät, jotka tallentavat, käsittelevät tai siirtävät arkaluontoisia tietoja.
Valvonnan vaatimus 6.3 on, että organisaatiolla on oltava prosessi, jolla varmistetaan, että työntekijät ovat riittävästi koulutettuja suorittamaan työtehtävänsä turvallisesti ja turvallisesti siten, että ei vaaranna tietoturvaa. Tämä voidaan saavuttaa harjoitusten avulla. Se voidaan saavuttaa myös käyttämällä online-resursseja, kuten videoita tai webinaareja.
Tietoturvatietoisuus-, koulutus- ja koulutusohjelmia tulee kehittää organisaation tietoturvapolitiikan, aihekohtaisten linjausten ja asiaankuuluvien tietoturvamenettelyjen mukaisesti. Siinä tulee ottaa huomioon myös organisaation suojattavat tiedot ja niiden suojaamiseksi toteutetut tietoturvavalvontatoimenpiteet. Tämän pitäisi tapahtua säännöllisesti.
Johdantotietoisuus, koulutus ja koulutus voivat koskea uusia työntekijöitä sekä uusia tehtäviä tai tehtäviin siirtyviä vaativat merkittävästi erilaisia tietoturvan tasoja.
Tietoisuuskampanjaan tulisi sisältyä erilaisia tietoisuutta lisääviä toimintoja. Tämä sisältää kampanjat, kirjaset, julisteet, uutiskirjeet, verkkosivustot, tiedotustilaisuudet, tiedotustilaisuudet, e-oppimismoduulit ja sähköpostit.
Ohjauksen 6.3 mukaan tämän ohjelman tulisi kattaa:
ISO 27002: 2022 ei ole täysin uusi ohjaus. Tämä helmikuussa 27002 julkaistu ISO 2022 -versio on päivitys edelliseen versioon, joka julkaistiin vuonna 2013. Tästä johtuen ISO 6.3:27002:n ohjaus 2022 ei ole aivan uusi ohjaus. Se on hieman muokattu versio ohjausversiosta 7.2.2 ISO 27002:2013:ssa.
Ohjauksella 7.2.2 ISO 27002:2013:ssa ei ole attribuuttitaulukkoa tai tarkoitusta, jotka sisältyvät ISO 6.3:27002 -version ohjaukseen 2022.
Tästä huolimatta kontrollinumeron muutosta lukuun ottamatta näiden kahden kontrollin välillä ei ole muuta havaittavaa eroa. Huolimatta siitä, että näiden kahden kontrollin fraseologia eroaa, näiden kahden kontrollin sisältö ja konteksti ovat olennaisesti samat.
Control 6.3:n kieli tehtiin käyttäjäystävällisemmäksi, jotta standardia käyttävät ihmiset pystyvät paremmin samaistumaan sen sisältöön.
Vastaus tähän kysymykseen riippuu organisaatiostasi. Monissa organisaatioissa tietoturvatietoisuus-, koulutus- ja koulutusohjelmia johtaa tietoturvatiimi. Muissa organisaatioissa sen hoitaa henkilöstöosasto tai jokin muu toiminto.
Tärkeintä on varmistaa, että joku on vastuussa organisaatiosi turvallisuustietoisuusohjelman luomisesta ja toteuttamisesta. Tietoturvapäällikön tulee myös valvoa tätä henkilöä tai osastoa (jos tästä roolista vastaa eri henkilö).
Tällä henkilöllä tulee olla hyvä ymmärrys tietoturvasta ja kyettävä kommunikoimaan työntekijöiden kanssa erilaisista turvallisuuden parhaisiin käytäntöihin liittyvistä aiheista. Tämän henkilön tulisi myös pystyä kehittämään sisältöä koulutusohjelmiisi ja pitämään säännöllisiä koulutustilaisuuksia työntekijöille.
On tärkeää ymmärtää, että tietoturva ei ole vain IT:n vastuulla. Se on jokaisen vastuulla. Organisaatioilla on oltava turvallisuudesta vastuussa olevien ihmisten tiimi, mutta niiden on myös varmistettava, että kaikki ymmärtävät luottamuksellisuuden ja eheyden tärkeyden.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Olemme kustannustehokkaita ja nopeita
Sinun ei tarvitse tehdä paljon, koska ISO 27002: 2022 ei ole uusi standardi, vaan versio 2013-versiosta. Siksi odotetaan, että useimpien organisaatioiden ei tarvitse tehdä muutoksia.
Jos olet kuitenkin jo ottanut käyttöön vuoden 2013 ISO 27002 -version, sinun on arvioitava, ovatko nämä muutokset olennaisia organisaatiollesi. Sinun on myös tarkistettava tietoturvaprosessisi, jos olet ISMS-sertifioinnin suunnittelu. Tämä varmistaa, että prosessisi ovat tarkistetun standardin mukaisia.
Verkkosivustoltamme ilmaiseksi ladattavissa oleva ISO 27002:2022 -opas sisältää lisätietoja siitä, kuinka uusi ISO 27002 voi vaikuttaa tietoturvatoimintoihisi ja ISO 27001 sertifioinnin.
ISMS.Online on täydellinen ratkaisu ISO 27002 -toteutukseen. Se on verkkopohjainen järjestelmä, jonka avulla voit osoittaa, että tietoturvan hallintajärjestelmäsi (ISMS) on yhteensopiva hyväksyttyjen standardien kanssa käyttämällä hyvin harkittuja prosesseja, menettelyjä ja tarkistuslistoja.
Se ei ole vain helppokäyttöinen alusta ISO 27002 -toteutuksen hallintaan, vaan myös erinomainen työkalu henkilöstösi kouluttamiseen tietoturvan parhaista käytännöistä ja prosesseista sekä kaikkien ponnistelujesi dokumentoimiseen.
- ISMS:n käytön edut.Online:
ISMS.Online yksinkertaistaa ISO 27002:n käyttöönottoa tarjoamalla kaikki tarvittavat resurssit, tiedot ja työkalut yhdessä paikassa. Sen avulla voit tarkistaa, että ISMS täyttää standardin muutamalla hiiren napsautuksella, mikä muuten kestäisi kauan, jos se tehdään manuaalisesti.
Haluatko nähdä sen toiminnassa?
Ota yhteyttä jo tänään varaa esittely.
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
