Doel van ISO 27001:2022 Bylae A 5.23
Die ISO 27001: 2022 Aanhangsel A 5.23 is 'n nuwe kontrole wat die prosesse uiteensit wat benodig word vir die verkryging, gebruik, bestuur van en verlaat van wolkdienste, in verhouding tot die organisasie se unieke inligtingsekuriteitvereistes.
Bylae A Beheer 5.23 laat organisasies toe om eers te spesifiseer en dan te bestuur en te administreer inligting sekuriteit konsepte wat verband hou met wolkdienste, in hul hoedanigheid as 'n "wolkdienstekliënt".
Bylae A 5.23 is a voorkomende beheer Wat risiko handhaaf deur te spesifiseer beleide en prosedures wat inligtingsekuriteit beheer, binne die sfeer van kommersiële wolkdienste.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Eienaarskap van Bylae A 5.23
So is die verspreiding van wolkdienste die afgelope dekade, ISO 27001 2022 Bylae A Beheer 5.23 bevat 'n magdom prosedures wat baie afsonderlike elemente van 'n organisasie se werking insluit.
Aangesien nie alle wolkdienste IKT-spesifiek is nie – alhoewel daar redelikerwys beweer kan word dat die meeste dit wel is – behoort eienaarskap van Bylae A Beheer 5.23 versprei te word tussen 'n organisasie se CTO or COO, afhangende van die heersende operasionele omstandighede.
Riglyne oor ISO 27001:2022 Bylae A Beheer 5.23 – Organisatoriese verpligtinge
Voldoening aan Beheer 5.23 behels die nakoming van wat bekend staan as 'n 'onderwerpspesifieke' benadering tot wolkdienste en inligtingsekuriteit.
Gegewe die verskeidenheid wolkdienste wat aangebied word, moedig onderwerpspesifieke benaderings organisasies aan om wolkdienstebeleide te skep wat aangepas is vir individuele besigheidsfunksies, eerder as om te voldoen aan 'n algemene beleid wat van toepassing is op inligtingsekuriteit en wolkdienste oor die hele linie.
Daar moet kennis geneem word dat ISO die nakoming van Bylae A Beheer 5.23 beskou as 'n samewerkingspoging tussen die organisasie en hul wolkdiensvennoot. Bylae A Beheer 5.23 moet ook nou belyn wees met Beheer 5.21 en 5.22, wat handel oor inligtingbestuur in die voorsieningsketting en die bestuur van verskaffersdienste onderskeidelik.
Hoe 'n organisasie ook al kies om te werk, moet aanhangsel A Beheer 5.23 nie in isolasie geneem word nie en moet bestaande pogings om verskafferverhoudings te bestuur aanvul.
Met inligtingsekuriteit op die voorpunt, moet die organisasie definieer:
- Enige relevante sekuriteitsvereistes of bekommernisse betrokke by die gebruik van 'n wolkplatform.
- Die kriteria betrokke by die keuse van 'n wolkdiensverskaffer, en hoe hul dienste gebruik moet word.
- Granulêre beskrywing van rolle en relevante verantwoordelikhede wat bepaal hoe wolkdienste regoor die organisasie gebruik moet word.
- Presies watter inligtingsekuriteitsareas word deur die wolkdiensverskaffer beheer, en dié wat onder die bevoegdheid van die organisasie self val.
- Die beste maniere om eers te versamel, gebruik dan enige inligtingsekuriteitverwante dienskomponente wat deur die wolkdiensplatform verskaf word.
- Hoe om kategoriese versekering te verkry oor enige inligtingsekuriteitverwante kontroles wat deur die wolkdiensverskaffer ingestel is.
- Die stappe wat geneem moet word om veranderinge, kommunikasie en kontroles oor verskeie afsonderlike wolkplatforms te bestuur, en nie altyd van dieselfde verskaffer nie.
- Incident Management prosedures wat uitsluitlik gemoeid is met die verskaffing van wolkdienste.
- Hoe die organisasie verwag om sy deurlopende gebruik en/of groothandelaanneming van wolkplatforms te bestuur, in lyn met hul breër inligtingsekuriteitsverpligtinge.
- 'n Strategie vir die staking of wysiging van wolkdienste, hetsy op 'n verskaffer-vir-verskaffer-basis, of deur die proses van wolk-na-plaaslike migrasie.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Riglyne oor Bylae A Beheer 5.23 – Wolkdiensteooreenkomste
Bylae A Beheer 5.23 erken dat, anders as ander verskaffersverhoudings, wolkdiensooreenkomste rigiede dokumente is wat nie in die oorgrote meerderheid van gevalle gewysig kan word nie.
Met dit in gedagte, moet organisasies wolkdiensooreenkomste noukeurig ondersoek en verseker dat aan vier hoofbedryfsvereistes voldoen word:
- Vertroulikheid.
- Sekuriteit/data-integriteit.
- Diens beskikbaarheid.
- Inligtinghantering.
Soos met ander verskafferskontrakte, moet wolkdiensooreenkomste voor aanvaarding 'n deeglike risikobeoordeling ondergaan wat potensiële probleme by die bron uitlig.
Die organisasie moet op 'n minimum 'n wolkdiensooreenkoms aangaan slegs wanneer hulle tevrede is dat die volgende 10 bepalings nagekom is:
- Wolkdienste word voorsien en geïmplementeer op grond van die organisasie se unieke vereistes met betrekking tot hul bedryfsgebied, insluitend industrie-aanvaarde standaarde en praktyke vir wolk-gebaseerde argitektuur en gasheer infrastruktuur.
- Toegang tot enige wolkplatforms voldoen aan die grensinligtingsekuriteitsvereistes van die organisasie.
- Voldoende oorweging word gegee aan antimalware- en antivirusdienste, insluitend proaktiewe monitering en bedreigingsbeskerming.
- Die wolkverskaffer voldoen aan 'n voorafbepaalde stel databerging- en verwerkingsbepalings, wat verband hou met een of meer afsonderlike globale streke en regulatoriese omgewings.
- Proaktiewe ondersteuning word aan die organisasie verskaf, sou die wolkplatform 'n katastrofiese mislukking of inligtingsekuriteitverwante voorval ondervind.
- Indien die behoefte ontstaan om enige element van die wolkplatform te subkontrakteer of andersins uit te kontrakteer, bly die verskaffer se inligtingsekuriteitsvereistes 'n konstante oorweging.
- Indien die organisasie enige hulp benodig om digitale inligting vir enige relevante doel (wetstoepassing, regulatoriese belyning, kommersiële doeleindes) te versamel, sal die wolkdiensverskaffer die organisasie so ver moontlik ondersteun.
- Aan die einde van die verhouding moet die wolkdiensverskaffer redelike ondersteuning en toepaslike beskikbaarheid verskaf tydens die oorgangs- of uitskakelingstydperk.
- Die wolkdiensverskaffer moet werk met 'n robuuste BUDR-plan wat daarop gefokus is om voldoende rugsteun van die organisasie se data uit te voer.
- Die oordrag van alle relevante aanvullende data vanaf die wolkdiensverskaffer na die organisasie, insluitend konfigurasie-inligting en kode waarop die organisasie aanspraak het.
Aanvullende inligting oor Bylae A Beheer 5.23
Benewens bogenoemde riglyne, stel Bylae A Beheer 5.23 voor dat organisasies 'n noue werksverhouding met wolkdiensverskaffers vorm, in ooreenstemming met die belangrike diens wat hulle nie net in inligtingsekuriteitsterme lewer nie, maar oor 'n organisasie se hele kommersiële bedrywighede heen.
Organisasies moet, waar moontlik, die volgende bepalings van wolkdiensverskaffers soek om operasionele veerkragtigheid te verbeter en verbeterde vlakke van inligtingsekuriteit te geniet:
- Alle infrastruktuurwysigings moet vooraf gekommunikeer word om die organisasie se eie stel inligtingsekuriteitstandaarde in te lig.
- Die organisasie moet op hoogte gehou word van enige veranderinge aan databergingsprosedures wat die migrasie van data na 'n ander jurisdiksie of globale streek behels.
- Enige voorneme aan die kant van die wolkdiensverskaffer om "ewekniewolk"-verskaffers te gebruik, of areas van hul bedrywighede aan subkontrakteurs uit te kontrakteer wat inligtingsekuriteitsimplikasies vir die organisasie kan hê.
Ondersteunende Bylae A-kontroles
- ISO 27001:2022 Bylae A 5.21
- ISO 27001:2022 Bylae A 5.22
Bestuur al u nakoming, alles op een plek
ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.
Wat is die veranderinge en verskille vanaf ISO 27001:2013?
Bylae A Beheer 5.23 is a nuwe beheer wat nie in enige hoedanigheid in ISO 27001:2013 verskyn nie.
Tabel van alle ISO 27001:2022 Bylae A-kontroles
In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 |
Bylae A 5.1.1 Bylae A 5.1.2 |
Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 |
Bylae A 6.1.5 Bylae A 14.1.1 |
Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 |
Bylae A 8.1.1 Bylae A 8.1.2 |
Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 |
Bylae A 8.1.3 Bylae A 8.2.3 |
Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 |
Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 |
Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 |
Bylae A 9.1.1 Bylae A 9.1.2 |
Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 |
Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 |
Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 |
Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 |
Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 |
Bylae A 15.2.1 Bylae A 15.2.2 |
Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 |
Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 |
Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 |
Bylae A 18.1.1 Bylae A 18.1.5 |
Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 |
Bylae A 18.2.2 Bylae A 18.2.3 |
Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 |
Bylae A 16.1.2 Bylae A 16.1.3 |
Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 |
Bylae A 11.1.2 Bylae A 11.1.6 |
Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 |
Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 |
Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 |
Bylae A 6.2.1 Bylae A 11.2.8 |
Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 |
Bylae A 12.6.1 Bylae A 18.2.3 |
Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 |
Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 |
Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van Bevoorregte Nutsdiensteprogramme Toegangsregte |
| Tegnologiese kontroles | Bylae A 8.19 |
Bylae A 12.5.1 Bylae A 12.6.2 |
Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 |
Bylae A 10.1.1 Bylae A 10.1.2 |
Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 |
Bylae A 14.1.2 Bylae A 14.1.3 |
Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige Stelselargitektuur en IngenieursbeginselsLeer uit Inligtingsekuriteitsvoorvalle |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 |
Bylae A 14.2.8 Bylae A 14.2.9 |
Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 |
Bylae A 12.1.4 Bylae A 14.2.6 |
Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 |
Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 |
Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
[case_study_slider ids=”88859,101932,92016″ outospeel=”waar” outospeelspoed=”5000″]
Hoe ISMS.online help
ISMS.online stroomlyn die ISO 27001-implementeringsproses deur 'n gesofistikeerde wolkgebaseerde raamwerk te verskaf vir die dokumentasie van inligtingsekuriteitbestuurstelselprosedures en kontrolelyste om voldoening aan erkende standaarde te verseker.
Wanneer jy ISMS.online gebruik, sal jy in staat wees om:
- Skep 'n ISMS wat versoenbaar is met ISO 27001-standaarde.
- Voer take uit en lewer bewyse in om aan te dui dat hulle aan die vereistes van die standaard voldoen het.
- Ken take toe en volg vordering met die nakoming van die wet.
- Kry toegang tot 'n gespesialiseerde span adviseurs wat jou deur jou pad na voldoening sal bystaan.
Kontak en bespreek 'n demo.
