Ohjaus 6.7, Remote Working on tarkistetun ISO 27002:2022 -standardin ohjaus. Se suosittelee, että organisaatioilla olisi etätyöskentelypolitiikka sekä tietoturvan hallintajärjestelmä, joka sisältää menettelyt tietojärjestelmien ja -verkkojen etäkäytön turvaamiseksi.
Etätyöskentely on yleistynyt tekniikan kehittyessä ja työntekijöiden on nyt mahdollista työskennellä kotoa ilman, että tuottavuus tai tehokkuus kärsii. Se voi kuitenkin myös herättää huolta tietoturvasta.
Jos olet yrityksen omistaja, sinun kannattaa tietää, kuinka voit suojata immateriaalioikeuksiasi verkkorikollisilta ja varmistaa, että tietosi ovat turvassa hakkereilta.
Tässä on joitain etätyön tietoturvavaikutuksia:
Etätyöstä voi olla hyötyä, koska se mahdollistaa helpon pääsyn arkaluontoisiin tietoihin ja järjestelmiin. Etätyöllä on kuitenkin useita turvallisuusvaikutuksia.
Etätyöskentely voi olla alttiina tietoturvariskeille, kuten hakkeroinnille, haittaohjelmahyökkäyksille, luvattomalle käytölle, jos sitä ei hallinnoida kunnolla. Tämä pätee erityisesti silloin, kun työntekijät eivät ole fyysisesti turvallisessa ympäristössä.
Etätyö voi vaikuttaa myös yrityksen fyysiseen turvallisuuteen. Tämä johtuu siitä, että se voi tarkoittaa, että työntekijät eivät enää ole fyysisesti toimistossa tai rakennuksessa, eivätkä he siten välttämättä näe tai kuule epäilyttävää toimintaa.
Etätyöskentely voi myös aiheuttaa luottamuksellisuuteen liittyviä riskejä. Työntekijät voivat esimerkiksi päästä käsiksi luottamuksellisiin tietoihin etänä ja ilman yrityksen lupaa.
Lisäksi työntekijät pääsevät helposti käsiksi arkaluonteisiin yritystietoihin julkisessa Internetissä. Itse asiassa on jopa verkkosivustoja, joille työntekijät voivat ladata arkaluonteisia tietoja kaikkien nähtäväksi.
Etätyö voi myös vaikuttaa organisaation yksityisyyteen. Jos työntekijät esimerkiksi työskentelevät kotoa käsin, he saattavat todennäköisemmin jättää henkilökohtaiset tavaransa makaamaan.
Nämä tavarat voivat sisältää arkaluonteisia tietoja, jotka voivat vaarantaa yrityksen yksityisyyden.
Etätyö voi myös aiheuttaa riskin yrityksen tiedoille. Esimerkiksi työntekijät pääsevät etänä yrityksen tietoihin, joita voidaan tallentaa useisiin paikkoihin.
Tämä voi sisältää tietoja tietokoneista, palvelimista ja mobiililaitteista. Jos työntekijä poistuu toimistosta ja ottaa laitteen, tietojen palauttaminen voi olla vaikeampaa.
Lisäksi työntekijä voi tehdä virheen tai tehdä jotain haitallista laitteella, mikä voi vaarantaa tiedot.
Attribuutteja käytetään ohjaimien luokitteluun. Voit yhdistää ohjausvaihtoehtosi välittömästi laajalti käytettyihin alan ilmauksiin ja teknisiin tietoihin käyttämällä attribuutteja.
Ohjaustoiminnon 6.7 attribuutit näkyvät alla.
Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
---|---|---|---|---|
#Ennaltaehkäisevä | #Luottamuksellisuus #Integrity #Saatavuus | #Suojella | #Vahvuuksien hallinta #Tiedon suojaus #Fyysinen turvallisuus #Järjestelmä- ja verkkoturvallisuus | #Suojaus |
Ohjaus 6.7:n tarkoituksena on varmistaa, että etätyössä työskentelevillä henkilöillä on riittävät pääsynvalvontajärjestelmät, jotka suojaavat arkaluonteisten tai omistusoikeudellisten tietojen, prosessien ja järjestelmien luottamuksellisuutta, eheyttä ja saatavuutta luvattomalta käytöltä tai luvattomalta paljastamiselta.
Tietoturvan varmistamiseksi henkilöstön etätyöskentelyn aikana organisaatioiden tulee laatia etätyöskentelyä koskeva aihekohtainen politiikka, jossa määritellään tietoturvan olennaiset ehdot ja rajoitukset. Käytäntö tulee jakaa koko henkilöstölle ja sisältää ohjeita siitä, kuinka he voivat käyttää etäkäyttötekniikoita turvallisesti ja turvallisesti.
Tällainen aihekohtainen käytäntö kattaa todennäköisesti:
Näiden perusvaatimusten lisäksi on tärkeää myös selkeästi määritelty menettely tapaturmien ilmoittamiseen, mukaan lukien asianmukaiset yhteystiedot. Tämä voi auttaa vähentämään tietoturvaloukkausten tai muun tyyppisten tietoturvaloukkausten riskiä.
Käytännössä saattaa myös olla tarpeen käsitellä ongelmia, kuten salausta, palomuureja ja virustorjuntaohjelmistopäivityksiä sekä työntekijöiden koulutusta etäyhteyden turvallisesta käytöstä.
Ohjauksen 6.7 vaatimusten täyttämiseksi etätyötä sallivien organisaatioiden tulee laatia etätyöskentelyyn aihekohtainen politiikka, jossa määritellään asiaankuuluvat ehdot ja rajoitukset.
Käytäntöä tulee tarkistaa säännöllisesti, erityisesti silloin, kun teknologiassa tai lainsäädännössä tapahtuu muutoksia.
Käytännöstä tulee tiedottaa kaikille työntekijöille, urakoitsijoille ja muille etätyötoimintaan osallistuville osapuolille.
Käytäntö on dokumentoitava ja asetettava kaikkien asiaankuuluvien kolmansien osapuolien saataville, mukaan lukien sääntelyviranomaiset ja tilintarkastajat.
Organisaatioiden on myös varmistettava, että niillä on käytössään riittävät toimenpiteet sähköisesti lähetettyjen tai tallennettujen arkaluonteisten tai luottamuksellisten tietojen suojaamiseksi etätyön aikana.
Valvontamääräysten 6.7 mukaisesti on otettava huomioon seuraavat asiat:
Harkittavia ohjeita ja toimenpiteitä tulisi sisältää:
Annamme sinulle 81 % etumatkan
siitä hetkestä, kun kirjaudut sisään
Varaa esittelysi
Ohjaus 6.7 standardissa ISO 27002:2022 on muutettu versio standardin ISO 6.2.2:27002 ohjausversiosta 2013, eikä se ole uusi ohjausobjekti.
Vaikka näillä kahdella säätimellä on monia ominaisuuksia, ne eroavat jonkin verran nimikkeistöstä ja sanamuodoista. Esimerkiksi säätimen nimi ei ole sama. Ohjausta 6.2.2 standardissa ISO 27002:2013 kutsutaan etätyöksi. Ohjaus 6.7 viittaa siihen etätyönä. Samalla etätyö korvattiin etätyöllä standardin uudessa versiossa.
Ohjauksessa 6.7, ISO 27002:2022, standardi määrittelee, mitä etätyö on ja millaisia töitä voidaan pitää etätyönä. Tämä sisältää etätyön, joka on standardin 2013 version alkuperäinen ohjausnimi.
Toteutusohjeet ovat jokseenkin samanlaisia, vaikka kieli ja termit ovat erilaisia. Versio 2022 käytti paljon käyttäjäystävällistä kieltä varmistaakseen, että standardin käyttäjät ymmärtävät, mitä he tekevät.
Joitakin kohtia lisättiin kuitenkin kontrolliin 6.7 ja osa poistettiin kontrollista 6.2.2.
Lisäksi ISO 27002 -versio 2022 sisältää jokaiselle ohjausobjektille käyttötarkoitus- ja ominaisuustaulukot, jotka auttavat käyttäjiä ymmärtämään ja toteuttamaan säätimiä paremmin.
Vuoden 2013 versiossa ei ole näitä kahta osaa.
Päävastuu etätyöntekijöiden tietoturvapolitiikan luomisesta on organisaation tietoturvapäälliköllä. Muiden sidosryhmien tulisi kuitenkin olla mukana prosessissa.
Tämä sisältää IT-päälliköt, jotka ovat vastuussa politiikan toteuttamisesta ja ylläpitämisestä, sekä henkilöstöjohtajat, jotka ovat vastuussa siitä, että työntekijät ymmärtävät sen ja noudattavat sitä.
Jos sinulla on toimittajan hallintaohjelma, vastaus riippuu siitä, kuka on vastuussa urakoitsijoiden ja toimittajien hallinnasta yleensä. Useimmissa tapauksissa tämä henkilö olisi myös vastuussa tietoturvakäytännön luomisesta kyseisen osaston etätyöntekijöille.
ISO 27002 ei muuttunut merkittävästi, joten sinun ei tarvitse tehdä paljon muuta kuin tarkistaa, että tietoturvaprosessisi ovat päivityksen mukaisia.
Suurin muutos oli joidenkin ohjainten muuttaminen ja joidenkin vaatimusten selkeyttäminen. Päävaikutus 6.7:n hallinnan osalta on, että jos ulkoistat jonkin toiminnoistasi kolmannelle osapuolelle tai joudut työskentelemään etänä, sinun on varmistettava, että heillä on asianmukainen suojaustaso.
Jos sinulla on jo ISO 27001 -sertifikaatti, nykyinen tietoturvan hallintaprosessisi täyttää uudet vaatimukset.
Tämä tarkoittaa, että jos aiot uusia nykyisen ISO 27001 -sertifikaattisi, sinun ei tarvitse tehdä mitään. Sinun on vain varmistettava, että prosessisi ovat edelleen uuden standardin mukaisia.
Jos kuitenkin aloitat tyhjästä, sinun on pohdittava, kuinka yrityksesi voi valmistautua kyberhyökkäuksiin ja muihin tietovaroihin kohdistuviin uhkiin.
Pääasia on, että kyberriskejä on suhtauduttava riittävän vakavasti, jotta niitä hallitaan osana kokonaisliiketoimintastrategiaasi sen sijaan, että IT- tai turvallisuusosastot käsittelisivät niitä erillisenä asiana.
ISMS.Online-alusta auttaa kaikissa ISO 27002:n käyttöönoton asioissa riskinarviointitoimintojen hallinnasta standardin vaatimusten noudattamista koskevien käytäntöjen, menettelyjen ja ohjeiden kehittämiseen.
Se tarjoaa tavan dokumentoida löydösi ja viestiä niistä tiimisi jäsenten kanssa verkossa. ISMS.Onlinen avulla voit myös luoda ja tallentaa tarkistuslistoja kaikille ISO 27002:n käyttöönottoon liittyville tehtäville, jotta voit helposti seurata organisaatiosi suojausohjelman edistymistä.
ISMS.Onlinen automatisoidun työkalusarjan ansiosta organisaatioiden on helppo osoittaa noudattavansa ISO 27002 -standardia.
Ota yhteyttä jo tänään aikataulun esittely.
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
Varaa räätälöity käytännönläheinen istunto
tarpeidesi ja tavoitteidesi perusteella
Varaa esittelysi
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
5.7 | Uusi | Uhan älykkyys |
5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
8.9 | Uusi | Kokoonpanonhallinta |
8.10 | Uusi | Tietojen poistaminen |
8.11 | Uusi | Tietojen peittäminen |
8.12 | Uusi | Tietovuotojen esto |
8.16 | Uusi | Toimien seuranta |
8.23 | Uusi | Web-suodatus |
8.28 | Uusi | Turvallinen koodaus |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
6.1 | 07.1.1 | Seulonta |
6.2 | 07.1.2 | Työsuhteen ehdot |
6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
6.4 | 07.2.3 | Kurinpitoprosessi |
6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
6.7 | 06.2.2 | Etätyö |
6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
---|---|---|
7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
7.4 | Uusi | Fyysisen turvallisuuden valvonta |
7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
7.11 | 11.2.2 | Apuohjelmia tukevat |
7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
7.13 | 11.2.4 | Laitehuolto |
7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |