- sien ISO 27002:2022 Beheer 5.5 vir meer inligting.
- sien ISO 27001:2013 Bylae A 6.1.3 vir meer inligting.
Jou Gids tot ISO 27001 Bylae A 5.5: Kontak regeringsowerhede doeltreffend
ISO 27001:2022 beheer Bylae A 5.5 spesifiseer dat 'n organisasie 'n proses moet handhaaf om die toepaslike owerhede te kontak volgens sy wetlike, regulatoriese en kontraktuele verpligtinge.
Jy moet toepaslike kontak met die owerhede behou. Wanneer u hierdie Bylae A-kontrole aanpas, moet u bewus wees van u wetlike verantwoordelikhede wanneer u owerhede kontak, soos die polisie, die Inligtingskommissaris se kantoor of ander regulerende liggame, soos in BBP.
Oorweeg wie sal kontak maak, onder watter omstandighede, en watter tipe inligting gedeel sal word.
Hoe werk ISO 27001:2022 Bylae A 5.5?
Kontrole 5.5 in Bylae A verseker dat inligting sekuriteit inligting vloei behoorlik tussen die organisasie en die toepaslike owerhede met betrekking tot wetlike, regulatoriese en toesighoudende aangeleenthede. 'n Geskikte forum moet gevestig word om dialoog en samewerking tussen die Maatskappy en die relevante regulatoriese, toesighoudende en regsowerhede te fasiliteer.
Dit gee 'n uiteensetting van die vereistes, doel en implementeringsinstruksies vir die vinnige identifisering en inligtingsekuriteitsgebeure aan te meld. Dit skets ook wie om te kontak in die geval van 'n voorval.
In Bylae A, kontrole 5.5, identifiseer jy wie gekontak sal moet word, byvoorbeeld wetstoepassing, regulerende liggame en toesighoudende owerhede. U moet hierdie belanghebbendes identifiseer voordat 'n voorval plaasvind.
om inligtingsekuriteit aan te spreek kwessies, moet die organisasie informele kommunikasie met die toepaslike owerhede vestig en handhaaf, insluitend:
- Die organisasie kommunikeer gereeld met relevante owerhede oor huidige bedreigings en kwesbaarhede.
- Produk-, diens- of stelselkwesbaarhede moet by die betrokke owerhede aangemeld word.
- Bedreigings- en kwesbaarheidsinligting van relevante owerhede.
ISO 27001 maklik gemaak
'n Voorsprong van 81% van dag een af
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.
Aan die gang en voldoen aan die vereistes van Bylae A 5.5
Inligtingsekuriteitsrisiko's word bestuur deur Bylae A beheer 5.5, wat die organisasie se verhouding met wetstoepassingsagentskappe vestig.
Beheer 5.5 van Bylae A vereis dat indien 'n inligting-sekuriteit voorval ontdek word, moet die organisasie spesifiseer wanneer en deur wie owerhede (soos wetstoepassing, regulerende liggame en toesighoudende owerhede) in kennis gestel moet word en hoe om geïdentifiseerde voorvalle so gou moontlik aan te meld.
Benewens die begrip van die agentskappe se huidige en toekomstige verwagtinge (bv. toepaslike regulasies vir inligtingsekuriteit), is dit ook belangrik om inligting met hulle uit te ruil.
Om aan hierdie vereiste te voldoen, moet die organisasie 'n samehangende strategie vir sy verhouding met wetstoepassingsagentskappe hê.
Die organisasie kan ook baat by die handhawing van kontak met regulerende liggame om opkomende veranderinge in relevante wette of regulasies te antisipeer en voor te berei.
Wat is die veranderinge en verskille vanaf ISO 27001:2013?
Kontak met owerhede is nie 'n nuut bygevoegde beheer in ISO 27001:2022 nie. Dit was reeds in ISO 27001:2013 ingesluit onder beheernommer 6.1.3. Daarom is die Bylae A-kontrolenommer bygewerk.
Benewens die verandering van die kontrolenommer, is die fraseologie ook verander. Bylae A beheer 5.5 lui: "Die organisasie moet kontak met relevante owerhede bewerkstellig en behou." Bylae A-kontrole 6.1.3 lui: "Toepaslike kontakte met relevante owerhede moet behou word." Die doel daarvan is om hierdie beheer meer gebruikersvriendelik te maak deur die fraseologie daarvan te hersien.
In die 2022-weergawe is 'n beheerdoel bekendgestel. Dit is nie in die 2013-weergawe ingesluit nie.
Alhoewel daar subtiele verskille tussen die twee Bylae A-kontroles is, bly die essensie daarvan dieselfde.
In ISO 27001:2022 Bylae A Beheer 5.5, kontakte met owerhede moet ook gebruik word om hierdie owerhede se huidige en komende verwagtinge te verstaan (bv. toepaslike inligtingsekuriteitsregulasies). Dit ontbreek by Die ISO 27001: 2013.
Tabel van alle ISO 27001:2022 Bylae A-kontroles
In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Organisatoriese kontroles | Bylae A 5.1 |
Bylae A 5.1.1 Bylae A 5.1.2 |
Beleide vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
| Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
| Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
| Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
| Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
| Organisatoriese kontroles | Bylae A 5.8 |
Bylae A 6.1.5 Bylae A 14.1.1 |
Inligtingsekuriteit in projekbestuur |
| Organisatoriese kontroles | Bylae A 5.9 |
Bylae A 8.1.1 Bylae A 8.1.2 |
Inventaris van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.10 |
Bylae A 8.1.3 Bylae A 8.2.3 |
Aanvaarbare gebruik van inligting en ander geassosieerde bates |
| Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
| Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
| Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
| Organisatoriese kontroles | Bylae A 5.14 |
Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 |
Inligtingsoordrag |
| Organisatoriese kontroles | Bylae A 5.15 |
Bylae A 9.1.1 Bylae A 9.1.2 |
Toegangsbeheer |
| Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
| Organisatoriese kontroles | Bylae A 5.17 |
Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 |
Verifikasie inligting |
| Organisatoriese kontroles | Bylae A 5.18 |
Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 |
Toegangsregte |
| Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
| Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
| Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
| Organisatoriese kontroles | Bylae A 5.22 |
Bylae A 15.2.1 Bylae A 15.2.2 |
Monitering, hersiening en veranderingsbestuur van verskafferdienste |
| Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
| Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
| Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
| Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
| Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
| Organisatoriese kontroles | Bylae A 5.29 |
Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 |
Inligtingsekuriteit tydens ontwrigting |
| Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
| Organisatoriese kontroles | Bylae A 5.31 |
Bylae A 18.1.1 Bylae A 18.1.5 |
Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
| Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
| Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
| Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
| Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.36 |
Bylae A 18.2.2 Bylae A 18.2.3 |
Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
| Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
| Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
| Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
| Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
| Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
| Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
| Mense beheer | Bylae A 6.8 |
Bylae A 16.1.2 Bylae A 16.1.3 |
Rapportering van inligtingsekuriteitsgebeurtenisse |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
| Fisiese beheer | Bylae A 7.2 |
Bylae A 11.1.2 Bylae A 11.1.6 |
Fisiese toegang |
| Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
| Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
| Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
| Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
| Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
| Fisiese beheer | Bylae A 7.10 |
Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 |
Berging media |
| Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
| Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
| Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
| Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
| Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
|---|---|---|---|
| Tegnologiese kontroles | Bylae A 8.1 |
Bylae A 6.2.1 Bylae A 11.2.8 |
Gebruikerseindpunttoestelle |
| Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
| Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
| Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
| Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
| Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
| Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
| Tegnologiese kontroles | Bylae A 8.8 |
Bylae A 12.6.1 Bylae A 18.2.3 |
Bestuur van Tegniese Kwesbaarhede |
| Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
| Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
| Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
| Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
| Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
| Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
| Tegnologiese kontroles | Bylae A 8.15 |
Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 |
Logging |
| Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
| Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
| Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van Bevoorregte Nutsdiensteprogramme Toegangsregte |
| Tegnologiese kontroles | Bylae A 8.19 |
Bylae A 12.5.1 Bylae A 12.6.2 |
Installering van sagteware op bedryfstelsels |
| Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
| Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
| Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
| Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
| Tegnologiese kontroles | Bylae A 8.24 |
Bylae A 10.1.1 Bylae A 10.1.2 |
Gebruik van kriptografie |
| Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
| Tegnologiese kontroles | Bylae A 8.26 |
Bylae A 14.1.2 Bylae A 14.1.3 |
Toepassingsekuriteitsvereistes |
| Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige Stelselargitektuur en IngenieursbeginselsLeer uit Inligtingsekuriteitsvoorvalle |
| Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
| Tegnologiese kontroles | Bylae A 8.29 |
Bylae A 14.2.8 Bylae A 14.2.9 |
Sekuriteitstoetsing in ontwikkeling en aanvaarding |
| Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
| Tegnologiese kontroles | Bylae A 8.31 |
Bylae A 12.1.4 Bylae A 14.2.6 |
Skeiding van ontwikkeling-, toets- en produksie-omgewings |
| Tegnologiese kontroles | Bylae A 8.32 |
Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 |
Veranderings bestuur |
| Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
| Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Wie het eienaarskap van aanhangsel A 5.5?
Bestuurders van inligtingsekuriteit is tipies verantwoordelik vir hierdie rol.
Ander individue kan hierdie funksie verrig solank hulle aan die Inligtingsekuriteitsbestuurder rapporteer vir toesig. Dit verseker dat 'n konsekwente boodskap gekommunikeer word en dat owerhede konsekwente inligting ontvang.
Hoe raak dit jou?
In die meeste sertifiseringsiklusse is 'n oorgangstydperk van twee tot drie jaar wanneer 'n hersiene standaard gepubliseer word.
Jy moet verseker dat jou sekuriteitsmaatreëls op datum is as jy beplan om 'n ISMS (en moontlik selfs ISMS-sertifisering verkry).
Die volgende aktiwiteite sal onder andere uitgevoer word:
- Dit is noodsaaklik om die nuutste standaard te koop.
- Ontleed die beheergapings sowel as die risiko's.
- Identifiseer en verander relevante Bylae A-kontroles in jou ISMS-beleide, -standaarde en ander dokumentasie.
- Die Verklaring van toepaslikheid moet opgedateer word soos nodig.
- jou interne Oudit program moet hersien word om die verbeterde Bylae A-kontroles wat jy gekies het, te weerspieël.
Jy kan meer inligting kry oor hoe hierdie veranderinge jou organisasie sal raak in ons gids tot ISO 27001:2022.
Bevry jouself van 'n berg sigblaaie
Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.
Hoe ISMS.online help
Om jou inligtingsekuriteitskontroles op te spoor is een van die mees uitdagende aspekte van die implementering van 'n ISO 27001-voldoende ISMS.
Met ons wolkgebaseerde platform kan jy jou ISMS-proses nagaan vir voldoening aan ISO 27k-vereistes deur 'n robuuste raamwerk van inligtingsekuriteitskontroles te gebruik. Met die regte tyd en hulpbronne kan ISMS.online help jou om sertifisering vinnig en doeltreffend te behaal.
Sowel as beleide vir Bylae A 5.5, sluit ISMS.online inligtingsekuriteitbestuurnutsmiddels in.
In bykomend tot DPIA en ander verwante persoonlike data assesserings, bv. Legitieme Interest Assessments (LIA's), ISMS.online verskaf eenvoudige, praktiese raamwerke en sjablone vir inligtingsekuriteit in projekbestuur.
Kontak vandag nog om bespreek 'n demo.
