ISO 27001:2022 Bylae A Beheer 5.14

Inligtingsoordrag

Bespreek 'n demo

groep,gelukkige,medewerkers,gesprek,in,konferensie,kamer

Die doel van ISO 27001:2022 Bylae A 5.14 is om die sekuriteit van alle gebruikerstoestelle te verseker.

Dit beteken dat maatreëls getref moet word om die toestelle teen kwaadwillige sagteware en ander bedreigings te beskerm, asook om die vertroulikheid, integriteit en beskikbaarheid van die data wat daarop gestoor is, te handhaaf.

Die ISO 27001: 2022 Aanhangsel A Beheer 5.14 beveel organisasies om die nodige reëls, prosedures of kontrakte te installeer om datasekuriteit te handhaaf wanneer dit intern gedeel word of aan eksterne partye gestuur word.

Eienaarskap van ISO 27001:2022 Bylae A Beheer 5.14

Die ondersteuning en aanvaarding van senior bestuur is noodsaaklik vir die vorming en uitvoering van regulasies, protokolle en kontrakte.

Dit is egter noodsaaklik om die samewerking en spesialiskennis van verskeie rolspelers binne die organisasie te hê, soos die regspersoneel, IT-personeel en topkopers.

Die regspan moet verseker dat die organisasie oordragooreenkomste aangaan wat voldoen aan ISO 27001:2022 Bylae A Beheer 5.14. Daarbenewens moet die IT-span aktief betrokke wees by die spesifikasie en uitvoering van kontroles vir die beveiliging van data, soos aangedui in 5.14.

Spring na Onderwerp

100% van ons gebruikers behaal die eerste keer ISO 27001-sertifisering

Begin vandag jou reis
Bespreek jou demo

Algemene riglyne oor ISO 27001:2022 Bylae A 5.14

Om voldoening aan 5.14 te verseker, vereis die skepping van reëls, prosedures en ooreenkomste, insluitend 'n data-oordragbeleid wat spesifiek vir die onderwerp is, en gee data in transito 'n toepaslike beskermingsvlak volgens die klassifikasie wat dit toegeken is.

Die vlak van sekuriteit moet eweredig wees aan die belangrikheid en sensitiwiteit van die data wat gestuur word. ISO 27001:2022 Bylae A 5.14 vereis ook van organisasies om oordragooreenkomste met ontvanger derde partye aan te gaan om veilige oordrag van data te verseker.

ISO 27001:2022 Bylae A Beheer 5.14 kategoriseer oordragtipes in drie groepe:

  • Elektroniese oordrag.

  • Fisiese bergingsmedia oordra.

  • Verbale oordrag.

Voordat u verder gaan met die spesifieke vereistes van elke tipe oordrag, Die ISO 27001: 2022 Bylae A Beheer 5.14 gee 'n uiteensetting van die elemente wat teenwoordig moet wees in alle regulasies, prosedures en kontrakte met betrekking tot al drie oordragte in die algemeen:

  • Organisasies moet toepaslike beheermaatreëls bepaal op grond van die klassifikasievlak van inligting om dit te beskerm terwyl dit in vervoer is teen ongemagtigde toegang, verandering, onderskepping, duplisering, vernietiging en diensweieraanrandings.

  • Organisasies moet tred hou met die ketting van bewaring terwyl hulle in transito is en kontroles daarstel en uitvoer om die naspeurbaarheid van data te waarborg.

  • Spesifiseer wie by die data-oordrag betrokke is en gee hul kontakinligting, soos die data-eienaars en die sekuriteitspersoneel.

  • In die geval van 'n data-oortreding, sal aanspreeklikhede toegeken word.

  • Implementeer 'n etiketteringstelsel om tred te hou met items.

  • Verseker dat die oordragdiens beskikbaar is.

  • Riglyne met betrekking tot die metodes van inligting oordrag moet ontwikkel word volgens spesifieke onderwerpe.

  • Riglyne vir die berging en weggooi van alle besigheidsdokumente, insluitend boodskappe, moet gevolg word.

  • Ondersoek die impak wat enige toepaslike wette, regulasies of ander verpligtinge op die oordrag kan hê.

Aanvullende leiding oor elektroniese oordrag

ISO 27001:2022 Bylae A Beheer 5.14 gee besonderhede oor die spesifieke inhoudsvereistes vir reëls, prosedures en ooreenkomste wat verband hou met die drie tipes oordragte. Die minimum inhoudvereistes moet oor al drie nagekom word.

Reëls, ooreenkomste en prosedures moet die volgende oorwegings aanspreek wanneer inligting elektronies oorgedra word:

  • Die identifisering en voorkoming van wanware-aanrandings is uiters belangrik. Dit is noodsaaklik dat jy die nuutste tegnologie gebruik om aanvalle van kwaadwillige sagteware op te spoor en te voorkom.

  • Verseker die sekuriteit van vertroulike inligting gevind in die aanhangsels wat gestuur is.

  • Maak seker dat kommunikasie aan die toepaslike ontvangers gestuur word deur die risiko te vermy om na die verkeerde e-posadres, adres of telefoonnommer te stuur.

  • Kry toestemming voordat u enige openbare kommunikasiedienste begin gebruik.

  • Strenger verifikasiemetodes moet gebruik word wanneer data via publieke netwerke gestuur word.

  • Die oplegging van beperkings op die gebruik van e-kommunikasiedienste, bv. die verbod op outomatiese aanstuur.

  • Adviseer personeel om te vermy om kortboodskap- of kitsboodskapdienste te gebruik om sensitiewe data te deel, aangesien die inhoud deur ongemagtigde individue in openbare areas bekyk kan word.

  • Adviseer personeel en ander belangstellendes oor die beskermingsrisiko's wat faksmasjiene kan inhou, soos ongemagtigde toegang of verkeerde boodskappe na sekere nommers.

Aanvullende leiding oor oordrag van fisiese bergingsmedia

Wanneer inligting fisies gedeel word, moet reëls, prosedures en ooreenkomste die volgende insluit:

  • Partye is verantwoordelik om mekaar in kennis te stel van die oordrag, versending en ontvangs van inligting.

  • Verseker dat die boodskap korrek aangespreek en toepaslik gestuur word.

  • Goeie verpakking skakel die kans van skade aan die inhoud tydens vervoer uit. Die verpakking moet byvoorbeeld bestand wees teen hitte en vog.

  • 'n Betroubare, gemagtigde koerierlys is deur die bestuur ooreengekom.

  • 'n Oorsig van koerier-identifikasiestandaarde.

  • Vir sensitiewe en kritieke inligting moet peuterbestande sakke gebruik word.

  • Dit is belangrik om die identiteite van koeriers te verifieer.

  • Hierdie lys van derde partye, geklassifiseer volgens hul vlak van diens, verskaf vervoer- of koerierdienste en is goedgekeur.

  • Teken die tyd van aflewering, gemagtigde ontvanger, veiligheidsmaatreëls getref en bevestiging van ontvangs by die bestemming in 'n log aan.

Aanvullende leiding oor verbale oordrag

Personeel moet bewus gemaak word van die risiko's verbonde aan die uitruil van inligting binne die organisasie of die oordrag van data aan eksterne partye, in ooreenstemming met ISO 27001:2022 Bylae A Beheer 5.14. Hierdie risiko's sluit in:

  • Hulle moet hulle daarvan weerhou om vertroulike aangeleenthede in onseker openbare kanale of in openbare areas te bespreek.

  • Mens moenie stemboodskappe met vertroulike inligting laat nie weens die gevaar van herhaling deur diegene wat nie gemagtig is nie, sowel as die risiko om na derde partye te herlei.

  • Individue, beide personeel en ander toepaslike derde partye, moet gekeur word voordat toegang tot gesprekke verleen word.

  • Kamers wat vir vertroulike gesprekke gebruik word, moet toegerus wees met die nodige klankdigting.

  • Voordat enige sensitiewe dialoog aangegaan word, moet 'n vrywaring uitgereik word.

Veranderinge en verskille vanaf ISO 27001:2013?

ISO 27001:2022 Bylae A 5.14 vervang ISO 27001:2013 Bylae A 13.2.1, 13.2.2 en 13.2.3.

Die twee kontroles het 'n mate van ooreenkoms, maar twee groot onderskeidings maak die vereistes van 2022 meer lastig.

Spesifieke vereistes vir elektriese, fisiese en verbale oordragte

Afdeling 13.2.3 in die 2013-weergawe het die besondere eise vir die oordrag van data deur elektroniese boodskappe gedek.

Dit het egter nie spesifiek die oordrag van inligting deur verbale of fisiese wyse aangespreek nie.

In vergelyking, die 2022-weergawe is presies in sy identifikasie van drie tipes inligting-oordrag, en skets die nodige inhoud vir elk van hulle individueel.

ISO 27001:2022 Stel strenger vereistes vir elektroniese oordrag

Afdeling 13.2.3 van die 2022-weergawe stel strenger vereistes vir die inhoud van elektroniese boodskapooreenkomste.

Organisasies moet nuwe regulasies vir digitale oordragte uiteensit en uitvoer in die vorm van reëls, prosedures en kontrakte vir ISO 27001:2022.

Organisasies moet byvoorbeeld hul personeel waarsku teen die gebruik van SMS-dienste wanneer hulle sensitiewe inligting oordra.

Gedetailleerde vereistes vir fisiese oordragte

Die 2022-weergawe stel strenger regulasies op die fisiese oordrag van bergingsmedia. Dit is byvoorbeeld meer deeglik in sy verifikasie van koeriers en beskerming teen verskillende vorme van skade.

Strukturele veranderinge

In die 2013-weergawe is daar uitdruklik verwys na die nodige vereistes van inligtingsoordragooreenkomste. Die 'Reëls' en 'Prosedures' is egter nie in besonderhede uiteengesit nie.

Vir ISO 27001:2022 word spesifieke kriteria vir elk van die drie benaderings uiteengesit.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individuele ISO 27001:2022 Bylae A Beheer vind.

ISO 27001:2022 Organisatoriese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Organisatoriese kontrolesBylae A 5.1Bylae A 5.1.1
Bylae A 5.1.2		Beleide vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.2Bylae A 6.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.3Bylae A 6.1.2Skeiding van pligte
Organisatoriese kontrolesBylae A 5.4Bylae A 7.2.1Bestuursverantwoordelikhede
Organisatoriese kontrolesBylae A 5.5Bylae A 6.1.3Kontak met owerhede
Organisatoriese kontrolesBylae A 5.6Bylae A 6.1.4Kontak met spesiale belangegroepe
Organisatoriese kontrolesBylae A 5.7NUWEBedreiging Intelligensie
Organisatoriese kontrolesBylae A 5.8Bylae A 6.1.5
Bylae A 14.1.1		Inligtingsekuriteit in projekbestuur
Organisatoriese kontrolesBylae A 5.9Bylae A 8.1.1
Bylae A 8.1.2		Inventaris van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.10Bylae A 8.1.3
Bylae A 8.2.3		Aanvaarbare gebruik van inligting en ander geassosieerde bates
Organisatoriese kontrolesBylae A 5.11Bylae A 8.1.4Teruggawe van bates
Organisatoriese kontrolesBylae A 5.12Bylae A 8.2.1Klassifikasie van inligting
Organisatoriese kontrolesBylae A 5.13Bylae A 8.2.2Etikettering van inligting
Organisatoriese kontrolesBylae A 5.14Bylae A 13.2.1
Bylae A 13.2.2
Bylae A 13.2.3		Inligtingsoordrag
Organisatoriese kontrolesBylae A 5.15Bylae A 9.1.1
Bylae A 9.1.2		Toegangsbeheer
Organisatoriese kontrolesBylae A 5.16Bylae A 9.2.1Identiteitsbestuur
Organisatoriese kontrolesBylae A 5.17Bylae A 9.2.4
Bylae A 9.3.1
Bylae A 9.4.3		Verifikasie inligting
Organisatoriese kontrolesBylae A 5.18Bylae A 9.2.2
Bylae A 9.2.5
Bylae A 9.2.6		Toegangsregte
Organisatoriese kontrolesBylae A 5.19Bylae A 15.1.1Inligtingsekuriteit in Verskaffersverhoudings
Organisatoriese kontrolesBylae A 5.20Bylae A 15.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
Organisatoriese kontrolesBylae A 5.21Bylae A 15.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
Organisatoriese kontrolesBylae A 5.22Bylae A 15.2.1
Bylae A 15.2.2		Monitering, hersiening en veranderingsbestuur van verskafferdienste
Organisatoriese kontrolesBylae A 5.23NUWEInligtingsekuriteit vir gebruik van wolkdienste
Organisatoriese kontrolesBylae A 5.24Bylae A 16.1.1Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur
Organisatoriese kontrolesBylae A 5.25Bylae A 16.1.4Assessering en besluit oor inligtingsekuriteitsgebeurtenisse
Organisatoriese kontrolesBylae A 5.26Bylae A 16.1.5Reaksie op inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.27Bylae A 16.1.6Leer uit inligtingsekuriteitsinsidente
Organisatoriese kontrolesBylae A 5.28Bylae A 16.1.7Versameling van bewyse
Organisatoriese kontrolesBylae A 5.29Bylae A 17.1.1
Bylae A 17.1.2
Bylae A 17.1.3		Inligtingsekuriteit tydens ontwrigting
Organisatoriese kontrolesBylae A 5.30NUWEIKT-gereedheid vir besigheidskontinuïteit
Organisatoriese kontrolesBylae A 5.31Bylae A 18.1.1
Bylae A 18.1.5		Wetlike, statutêre, regulatoriese en kontraktuele vereistes
Organisatoriese kontrolesBylae A 5.32Bylae A 18.1.2Intellektuele eiendomsregte
Organisatoriese kontrolesBylae A 5.33Bylae A 18.1.3Beskerming van rekords
Organisatoriese kontrolesBylae A 5.34 Bylae A 18.1.4Privaatheid en beskerming van PII
Organisatoriese kontrolesBylae A 5.35Bylae A 18.2.1Onafhanklike oorsig van inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.36Bylae A 18.2.2
Bylae A 18.2.3		Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
Organisatoriese kontrolesBylae A 5.37Bylae A 12.1.1Gedokumenteerde bedryfsprosedures

ISO 27001:2022 Mensekontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Mense beheerBylae A 6.1Bylae A 7.1.1Screening
Mense beheerBylae A 6.2Bylae A 7.1.2Terme en diensvoorwaardes
Mense beheerBylae A 6.3Bylae A 7.2.2Bewusmaking, onderwys en opleiding van inligtingsekuriteit
Mense beheerBylae A 6.4Bylae A 7.2.3Dissiplinêre Proses
Mense beheerBylae A 6.5Bylae A 7.3.1Verantwoordelikhede na beëindiging of verandering van diens
Mense beheerBylae A 6.6Bylae A 13.2.4Vertroulikheid of nie-openbaarmakingsooreenkomste
Mense beheerBylae A 6.7Bylae A 6.2.2Afstand werk
Mense beheerBylae A 6.8Bylae A 16.1.2
Bylae A 16.1.3		Rapportering van inligtingsekuriteitsgebeurtenisse

ISO 27001:2022 Fisiese kontroles

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Fisiese beheerBylae A 7.1Bylae A 11.1.1Fisiese sekuriteitsgrense
Fisiese beheerBylae A 7.2Bylae A 11.1.2
Bylae A 11.1.6		Fisiese toegang
Fisiese beheerBylae A 7.3Bylae A 11.1.3Beveiliging van kantore, kamers en fasiliteite
Fisiese beheerBylae A 7.4NUWEFisiese sekuriteitsmonitering
Fisiese beheerBylae A 7.5Bylae A 11.1.4Beskerming teen fisiese en omgewingsbedreigings
Fisiese beheerBylae A 7.6Bylae A 11.1.5Werk in veilige gebiede
Fisiese beheerBylae A 7.7Bylae A 11.2.9Duidelike lessenaar en duidelike skerm
Fisiese beheerBylae A 7.8Bylae A 11.2.1Toerustingopstelling en beskerming
Fisiese beheerBylae A 7.9Bylae A 11.2.6Sekuriteit van bates buite die perseel
Fisiese beheerBylae A 7.10Bylae A 8.3.1
Bylae A 8.3.2
Bylae A 8.3.3
 Bylae A 11.2.5		Berging media
Fisiese beheerBylae A 7.11Bylae A 11.2.2Ondersteunende nutsprogramme
Fisiese beheerBylae A 7.12Bylae A 11.2.3Bekabeling sekuriteit
Fisiese beheerBylae A 7.13Bylae A 11.2.4Onderhoud van toerusting
Fisiese beheerBylae A 7.14Bylae A 11.2.7Veilige wegdoening of hergebruik van toerusting

ISO 27001:2022 Tegnologiese beheermaatreëls

Bylae A BeheertipeISO/IEC 27001:2022 Bylae A IdentifiseerderISO/IEC 27001:2013 Bylae A IdentifiseerderBylae A Naam
Tegnologiese kontrolesBylae A 8.1Bylae A 6.2.1
Bylae A 11.2.8		Gebruikerseindpunttoestelle
Tegnologiese kontrolesBylae A 8.2Bylae A 9.2.3Bevoorregte toegangsregte
Tegnologiese kontrolesBylae A 8.3Bylae A 9.4.1Inligtingtoegangbeperking
Tegnologiese kontrolesBylae A 8.4Bylae A 9.4.5Toegang tot bronkode
Tegnologiese kontrolesBylae A 8.5Bylae A 9.4.2Veilige verifikasie
Tegnologiese kontrolesBylae A 8.6Bylae A 12.1.3Kapasiteitsbestuur
Tegnologiese kontrolesBylae A 8.7Bylae A 12.2.1Beskerming teen wanware
Tegnologiese kontrolesBylae A 8.8Bylae A 12.6.1
Bylae A 18.2.3		Bestuur van Tegniese Kwesbaarhede
Tegnologiese kontrolesBylae A 8.9NUWEKonfigurasiebestuur
Tegnologiese kontrolesBylae A 8.10NUWEInligting skrap
Tegnologiese kontrolesBylae A 8.11NUWEDatamaskering
Tegnologiese kontrolesBylae A 8.12NUWEVoorkoming van datalekkasies
Tegnologiese kontrolesBylae A 8.13Bylae A 12.3.1Inligting rugsteun
Tegnologiese kontrolesBylae A 8.14Bylae A 17.2.1Oortolligheid van inligtingsverwerkingsfasiliteite
Tegnologiese kontrolesBylae A 8.15Bylae A 12.4.1
Bylae A 12.4.2
Bylae A 12.4.3		Logging
Tegnologiese kontrolesBylae A 8.16NUWEMoniteringsaktiwiteite
Tegnologiese kontrolesBylae A 8.17Bylae A 12.4.4Kloksynchronisasie
Tegnologiese kontrolesBylae A 8.18Bylae A 9.4.4Gebruik van bevoorregte nutsprogramme
Tegnologiese kontrolesBylae A 8.19Bylae A 12.5.1
Bylae A 12.6.2		Installering van sagteware op bedryfstelsels
Tegnologiese kontrolesBylae A 8.20Bylae A 13.1.1Netwerksekuriteit
Tegnologiese kontrolesBylae A 8.21Bylae A 13.1.2Sekuriteit van netwerkdienste
Tegnologiese kontrolesBylae A 8.22Bylae A 13.1.3Skeiding van netwerke
Tegnologiese kontrolesBylae A 8.23NUWEWebfiltrering
Tegnologiese kontrolesBylae A 8.24Bylae A 10.1.1
Bylae A 10.1.2		Gebruik van kriptografie
Tegnologiese kontrolesBylae A 8.25Bylae A 14.2.1Veilige ontwikkelingslewensiklus
Tegnologiese kontrolesBylae A 8.26Bylae A 14.1.2
Bylae A 14.1.3		Toepassingsekuriteitsvereistes
Tegnologiese kontrolesBylae A 8.27Bylae A 14.2.5Veilige stelselargitektuur en ingenieursbeginsels
Tegnologiese kontrolesBylae A 8.28NUWEVeilige kodering
Tegnologiese kontrolesBylae A 8.29Bylae A 14.2.8
Bylae A 14.2.9		Sekuriteitstoetsing in ontwikkeling en aanvaarding
Tegnologiese kontrolesBylae A 8.30Bylae A 14.2.7Uitgekontrakteerde Ontwikkeling
Tegnologiese kontrolesBylae A 8.31Bylae A 12.1.4
Bylae A 14.2.6		Skeiding van ontwikkeling-, toets- en produksie-omgewings
Tegnologiese kontrolesBylae A 8.32Bylae A 12.1.2
Bylae A 14.2.2
Bylae A 14.2.3
Bylae A 14.2.4		Veranderings bestuur
Tegnologiese kontrolesBylae A 8.33Bylae A 14.3.1Toets inligting
Tegnologiese kontrolesBylae A 8.34Bylae A 12.7.1Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

Implementering van ISO 27001:2022 kan eenvoudiger gemaak word met ons stap-vir-stap kontrolelys. Dit sal jou deur die hele proses lei van die definisie van die omvang van jou ISMS tot risiko's te identifiseer en die implementering van beheermaatreëls.

Bespreek vandag nog jou demonstrasie. Afsprake is sewe dae per week beskikbaar, so skeduleer joune by 'n tyd wat vir jou werk.

Sien ISMS.online
in aksie

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind