Valvonnan tarkoitus 8.21
Tietojenkäsittelyssä "verkkopalvelua" voidaan kuvata laajasti "verkkosovelluskerroksessa" toimivaksi järjestelmäksi, kuten esim. sähköposti, tulostus, Tai tiedostopalvelin. Verkkopalveluihin kuuluvat myös hallitut sovellukset ja tietoturvaratkaisut, kuten palomuurit tai yhdyskäytävä virustorjuntaalustoille, tunkeutumisen havaitsemisjärjestelmät ja yhteyspalvelut.
Verkkopalvelut edustavat usein verkon tärkeimpiä toiminnallisia osia ja ovat kriittisiä nykyaikaisen kaupallisen ICT-verkon päivittäiselle toiminnalle. Turvallisuus on siksi ensiarvoisen tärkeää, ja verkkopalvelujen käyttöä on seurattava tarkasti ja hallittava suoraan siihen liittyvän epäonnistumisen, tunkeutumisen ja liiketoiminnan häiriöiden riskin minimoimiseksi.
Attribuuttien ohjaustaulukko 8.21
Ohjaus 8.21 on a ennaltaehkäisevä valvonta että ylläpitää riskiä luomalla joukko sääntöjä, jotka säätelevät sekä verkkopalvelujen että yhdistyksen kautta itse isäntäverkon käyttöä.
| Ohjaus | Tietoturvaominaisuudet | Kyberturvallisuuden käsitteet | Toiminnalliset valmiudet | Turvallisuus Domains |
|---|---|---|---|---|
| #Ennaltaehkäisevä | #Luottamuksellisuus | #Suojella | #Järjestelmä- ja verkkoturvallisuus | #Suojaus |
| #Integrity | ||||
| #Saatavuus |
Määräysvallan omistus 8.21
Ohjaus 8.21 käsittelee teknisiä käsitteitä, jotka liittyvät organisaation ICT-verkon useiden keskeisten komponenttien ylläpitoon ja hallintaan. Sellaisenaan omistusoikeuden tulisi olla IT-päälliköllä tai vastaavalla organisaatiolla.
Hanki 81 % etumatka
Olemme tehneet kovan työn puolestasi ja antavat sinulle 81 % etumatkan kirjautuessasi sisään.
Sinun tarvitsee vain täyttää tyhjät kohdat.
Yleiset noudattamisohjeet
Ohjaus 8.21 tunnistaa kolme pääasiallista suojaustyyppiä, kun käsitellään laajempaa verkkopalvelun turvallisuuden käsitettä:
- Suojausominaisuudet
- Palvelutasot
- Palveluvaatimukset
Kaikkien sisäisten ja ulkoisten verkkopalvelujen tarjoajien tulee ottaa nämä kolme toimenpidettä huomioon, ja organisaation tulee ryhtyä toimiin varmistaakseen, että palveluntarjoajat täyttävät velvollisuutensa aina.
Organisaatioiden tulee arvioida verkkopalveluntarjoaja sen perusteella, kuinka he pystyvät hallitsemaan palveluja yksiselitteisten SLA-sopimusten mukaisesti, ja valvomaan noudattamista parhaan kykynsä mukaan.
Osa tästä toiminnallisesta arvioinnista tulee sisältää luotettavista lähteistä saatuja viitteitä, jotka osoittavat verkkopalveluntarjoajan kyvyn hallita palveluita turvallisesti ja tehokkaasti.
Verkkoturvallisuussääntöjen tulee sisältää:
- Kaikki verkkopalvelut ja niihin liittyvät verkot, joihin pääsy on sallittu.
- Todennusvaatimukset mainittuihin verkkopalveluihin pääsylle, mukaan lukien kuka on valtuutettu käyttämään niitä, mistä ja milloin he voivat tehdä niin.
- Miten henkilöstö saa ennakkoluvan käyttää verkkopalveluja, mukaan lukien lopullinen kirjautuminen ja liiketoimintatapausanalyysi.
- Vankka joukko verkonhallintaohjaimia, jotka suojaavat verkkopalveluita väärinkäytöltä ja luvattomalta käytöltä.
- Miten henkilöstöllä on pääsy verkkopalveluihin (eli etänä tai yksinomaan paikan päällä).
- Lokimenettelyt, jotka sisältävät yksityiskohtaisesti tärkeimmät tiedot verkkopalvelujen pääsystä ja niitä käyttävistä henkilöistä – esim. aika, sijainti ja laitetiedot.
- Verkkopalvelujen käytön seuranta.
Ohjeet – Verkkopalvelun suojaus
Ohjaus 8.21 sisältää myös ohjeita siitä, kuinka parantaa kaikkien verkkopalvelujen turvallisuutta, mukaan lukien taustatoiminnot ja käyttäjän toiminta.
- Organisaatioiden tulee ottaa huomioon turvaominaisuudet, kuten autentikointi, salaus ja yhteyden säätimet.
- On määritettävä jäykät parametrit, jotka sanelevat yhteyden verkkopalveluihin.
- Käyttäjien tulisi voida valita verkkopalvelun välimuistiin tallentaman (väliaikaisesti tallennetun) tiedon määrä sekä parantaakseen yleistä suorituskykyä että varmistaakseen, että tietoja ei tallenneta liikaa niin, että siitä muodostuisi konkreettinen turvallisuusriski.
- Verkkopalveluihin pääsyn rajoittaminen.
Hallitse kaikkea vaatimustenmukaisuuttasi yhdessä paikassa
ISMS.online tukee yli 100 standardia
ja määräykset, mikä antaa sinulle yhden
alusta kaikkiin vaatimustenmukaisuustarpeisiisi.
Muutokset ja erot standardista ISO 27002:2013
ISO 27002:2022-8.21 korvaa standardin ISO 27002:2003-13.1.2 (Verkkopalveluiden turvallisuus).
27002:2022-8.21 sisältää useita merkittäviä lisäyksiä vuoden 2013 vastineeseensa, joista jälkimmäinen keskittyy kokonaan verkkopalvelun turvallisuuteen (joka sisältää samat ohjeistukset) ja jättää pois minkäänlaisia yleisiä ohjeita verkkosäännöistä (katso edellä kohdat 1-7 "Yleiset ohjeet").
Uudet ISO 27002 -säätimet
Uudet hallintalaitteet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 5.7 | Uusi | Uhan älykkyys |
| 5.23 | Uusi | Tietoturva pilvipalvelujen käyttöön |
| 5.30 | Uusi | ICT-valmius liiketoiminnan jatkuvuuteen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 8.9 | Uusi | Kokoonpanonhallinta |
| 8.10 | Uusi | Tietojen poistaminen |
| 8.11 | Uusi | Tietojen peittäminen |
| 8.12 | Uusi | Tietovuotojen esto |
| 8.16 | Uusi | Toimien seuranta |
| 8.23 | Uusi | Web-suodatus |
| 8.28 | Uusi | Turvallinen koodaus |
Organisaation valvonta
Ihmisten ohjaukset
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 6.1 | 07.1.1 | Seulonta |
| 6.2 | 07.1.2 | Työsuhteen ehdot |
| 6.3 | 07.2.2 | Tietoturvatietoisuus, koulutus ja koulutus |
| 6.4 | 07.2.3 | Kurinpitoprosessi |
| 6.5 | 07.3.1 | Vastuut työsuhteen päättymisen tai muutoksen jälkeen |
| 6.6 | 13.2.4 | Luottamuksellisuus- tai salassapitosopimukset |
| 6.7 | 06.2.2 | Etätyö |
| 6.8 | 16.1.2, 16.1.3 | Tietoturvatapahtumaraportointi |
Fyysiset säätimet
| ISO/IEC 27002:2022 Control Identifier | ISO/IEC 27002:2013 Control Identifier | Ohjausnimi |
|---|---|---|
| 7.1 | 11.1.1 | Fyysisen turvallisuuden rajat |
| 7.2 | 11.1.2, 11.1.6 | Fyysinen sisääntulo |
| 7.3 | 11.1.3 | Toimistojen, huoneiden ja tilojen turvaaminen |
| 7.4 | Uusi | Fyysisen turvallisuuden valvonta |
| 7.5 | 11.1.4 | Suojautuminen fyysisiltä ja ympäristöuhkilta |
| 7.6 | 11.1.5 | Työskentely turvallisilla alueilla |
| 7.7 | 11.2.9 | Selkeä pöytä ja selkeä näyttö |
| 7.8 | 11.2.1 | Laitteiden sijoitus ja suojaus |
| 7.9 | 11.2.6 | Omaisuuden turvallisuus muualla kuin toimitiloissa |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Tallennusvälineet |
| 7.11 | 11.2.2 | Apuohjelmia tukevat |
| 7.12 | 11.2.3 | Kaapeloinnin turvallisuus |
| 7.13 | 11.2.4 | Laitehuolto |
| 7.14 | 11.2.7 | Laitteiden turvallinen hävittäminen tai uudelleenkäyttö |
Tekniset säädöt
Miten ISMS.online auttaa
ISO 27002 -standardi on joukko ohjeita, jotka auttavat organisaatioita suojaamaan tietoresurssejaan. Se soveltuu kaikentyyppisiin organisaatioihin niiden koosta, rakenteesta tai toimialasta riippumatta.
ISMS.online on pilvipohjainen alusta, joka tarjoaa apua ISO 27002 -standardin tehokkaassa ja kustannustehokkaassa käyttöönotossa.
Se tarjoaa organisaatioille helpon pääsyn ajantasaisiin tietoihin vaatimustenmukaisuuden tilasta aina käyttäjäystävällisen kojelautaliittymänsä kautta, jonka avulla johtajat voivat seurata edistymistään vaatimustenmukaisuuden saavuttamisessa nopeasti ja helposti.
Ota yhteyttä jo tänään aikataulun esittely.
Hyppää aiheeseen
