ISO 27001:2022 Bylae A 5.9 – Inventaris van inligting en ander geassosieerde bates

• sien ISO 27002:2022 Beheer 5.9 vir meer inligting.
• sien ISO 27001:2013 Bylae A 8.1.1 vir meer inligting.
• sien ISO 27001:2013 Bylae A 8.1.2 vir meer inligting.

ISO 27001 Bylae A 5.9: 'n Gids vir die bestuur van inligtingsbate-voorraad

Die ISO 27001: 2022 Bylae A Beheer 5.9 word genoem Inventaris van inligting en ander geassosieerde bates.

Dit vereis van organisasies om die bates wat belangrik is vir hul bedrywighede en die gepaardgaande risiko's te identifiseer en te dokumenteer, en stappe te neem om dit te beskerm. Dit verseker dat bates behoorlik bestuur en gemonitor word, wat help om te verseker dat dit veilig is.

Bylae A van ISO 27001:2022 skets Beheer 5.9, wat verduidelik hoe 'n lys van inligting en verwante bates, saam met hul onderskeie eienaars, geskep en op datum gehou moet word.

Inventaris van inligtingsbates verduidelik

Die organisasie moet erken waartoe hy toegang het om sy bedrywighede uit te voer. Dit moet bewus wees van sy inligtingsbates.

'n Omvattende IA is 'n deurslaggewende deel van enige organisasie se datasekuriteitsbeleid. Dit is 'n inventaris van elke item data wat gestoor, verwerk of versend word, sowel as die liggings en sekuriteitskontroles vir elkeen. Dit is in wese die finansiële rekeningkundige ekwivalent van die beskerming van data, wat organisasies toelaat om elke stukkie data te identifiseer.

'n IA kan gebruik word om swakhede in jou sekuriteitsprogram te identifiseer en inligting te verskaf om te assesseer kuberrisiko's wat tot 'n oortreding kan lei. Dit kan ook bewyse wees om aan te toon dat jy stappe gedoen het om sensitiewe data te identifiseer tydens voldoeningsoudits, wat jou help om boetes en strawwe te ontduik.

Die inventaris van inligtingsbates moet spesifiseer wie besit en verantwoordelik is vir elke bate, asook die waarde en belangrikheid van elke item vir die organisasie se bedrywighede.

Dit is van kardinale belang om voorraad by te hou om te verseker dat dit veranderinge binne die organisasie akkuraat weerspieël.

Waarom het ek 'n inventaris van inligtingsbates nodig?

Inligtingsbatebestuur het 'n lang tradisie in besigheidskontinuïteitsbeplanning (BCP), rampherstel (DR) en voorbereiding van insidentreaksie.

Die identifisering van kritieke stelsels, netwerke, databasisse, toepassings, datavloei en ander komponente wat sekuriteit vereis, is die eerste stap in enige van hierdie prosesse. Sonder kennis van wat beskerm moet word, en waar dit geleë is, kan jy nie beplan hoe om dit te beskerm nie.

Wat is die doel van ISO 27001:2022 Bylae A Beheer 5.9?

Die beheer het ten doel om die organisasie s'n te erken inligting en gepaardgaande bates om inligtingsekuriteit te verseker en behoorlike eienaarskap aanwys.

Bylae A van ISO 27001:2022 skets Beheer 5.9, wat die doel en implementeringsleiding uiteensit om 'n inventaris van inligting en ander bates met betrekking tot die ISMS-raamwerk te skep.

Neem 'n inventaris van alle inligting en verwante bates, klassifiseer in kategorieë, identifiseer eienaars en dokumenteer bestaande/vereiste kontroles.

Dit is 'n noodsaaklike stap om te verseker dat alle data besittings voldoende beskerm word.

Wat is betrokke en hoe om aan die vereistes te voldoen

Om aan die kriteria vir ISO 27001:2022 te voldoen, moet jy die inligting en ander verwante bates binne jou organisasie identifiseer. Daarna moet jy die belangrikheid van hierdie items met betrekking tot inligtingsekuriteit assesseer. Indien nodig, hou rekords in toegewyde of bestaande voorraad.

Die grootte en kompleksiteit van 'n organisasie, bestaande beheermaatreëls en beleide, en die tipe inligting en bates wat dit gebruik, sal alles 'n uitwerking hê op die ontwikkeling van 'n voorraad.

Om te verseker dat die inventaris van inligting en ander geassosieerde bates akkuraat, bygewerk, konsekwent en in lyn met ander voorraad is, is die sleutel, soos per Beheer 5.9. Om akkuraatheid te verseker, kan 'n mens die volgende oorweeg:

• Voer sistematiese evaluerings van genoteerde inligting en verwante bates uit in ooreenstemming met die batekatalogus.
• Tydens die proses om 'n bate te installeer, te verander of te verwyder, sal 'n voorraadopdatering outomaties afgedwing word.
• Sluit die verblyfplek van 'n bate by die inventaris in indien nodig.

Sommige organisasies sal dalk veelvuldige voorraad moet hou vir verskillende doeleindes. Hulle kan byvoorbeeld gespesialiseerde voorraad hê vir sagtewarelisensies of fisiese toestelle soos skootrekenaars en tablette.

Dit is noodsaaklik om periodiek alle fisiese voorraad te inspekteer wat netwerktoestelle soos routers en skakelaars insluit om die akkuraatheid van die voorraad vir risikobestuursdoeleindes.

Vir meer inligting oor die nakoming van beheer 5.9, moet die ISO 27001:2022-dokument geraadpleeg word.

Verskille tussen ISO 27001:2013 en ISO 27001:2022

In ISO 27001:2022 is 58 kontroles van ISO 27001:2013 hersien en 'n verdere 24 kontroles is saamgevoeg. 'n Nuwe 11 kontroles is bygevoeg, terwyl sommige uitgevee is.

Daarom sal jy nie vind nie Bylae A Beheer 5.9 – Inventaris van inligting en ander geassosieerde bates – in die 2013-weergawe, soos dit nou ’n kombinasie van is ISO 27001:2013 Bylae A 8.1.1 – Inventaris van bates - en ISO 27001:2013 Bylae A 8.1.2 – Eienaarskap van bates – in die 2022-weergawe.

Bylae A van ISO 27001:2022 skets Beheer 8.1.2, Eienaarskap van Bates. Dit verseker dat alle inligtingsbates duidelik geïdentifiseer en besit word. Om te weet wie wat besit, help om vas te stel watter bates beskerm moet word en wie aanspreeklikheid vereis.

ISO 27001:2013 en ISO 27001:2022 het albei soortgelyke kontrolesAanhangsel A Beheer 5.9 van laasgenoemde is egter uitgebrei om 'n meer reguit interpretasie te verskaf. Byvoorbeeld, die implementeringsriglyne oor bate-eienaarskap in beheer 8.1.2 bepaal dat die bate-eienaar moet:

• Maak seker dat alle bates akkuraat in die voorraad aangeteken is.
• Verseker dat bates behoorlik geklassifiseer en beveilig word.
• Hersien periodiek en toegangsbeperkings te definieer en klassifikasies vir sleutelbates, met inagneming van toepaslike toegangsbeheerbeleide.
• Maak seker dat toepaslike stappe geneem word wanneer die bate van die hand gesit of vernietig word.

Die eienaarskapafdeling van beheer 5.9 is uitgebrei om nege punte in te sluit, in plaas van die oorspronklike vier. Regstellings is aan spelling en grammatika gemaak, en die toon is verander na 'n professionele, vriendelike styl. Oortolligheid en herhaling is uitgeskakel en die skryfwerk is nou in 'n aktiewe styl.

Die bate-eienaar moet aanspreeklikheid aanvaar vir die gepaste toesig oor 'n bate deur sy lewensiklus, en maak seker dat:

• Alle data en verwante hulpbronne word gelys en gedokumenteer.
• Maak seker dat alle data, verwante bates en ander verwante hulpbronne akkuraat geklassifiseer en beveilig is.
• Die klassifikasie word gereeld hersien om die akkuraatheid daarvan te verseker.
• Komponente wat tegnologiebates onderhou, word aangeteken en onderling verwant, insluitend databasisse, berging, sagtewarekomponente en subkomponente.
• Vereistes vir die aanvaarbare gebruik van inligting en ander verwante bates word in 5.10 uiteengesit.
• Toegangsbeperkings stem ooreen met die klassifikasie en blyk doeltreffend, periodiek hersien om deurlopende beskerming te verseker.
• Inligting en ander verwante bates word veilig hanteer wanneer dit uitgevee of weggedoen word en uit die voorraad verwyder word.
• Hulle is verantwoordelik vir die identifisering en hantering van die risiko's verbonde aan hul bate(s).
• Hulle bied ondersteuning aan personeel wat hul inligting bestuur, en neem die rolle en verantwoordelikhede wat daarmee verband hou, op.

Om hierdie twee kontroles in een saam te voeg, vergemaklik gebruikersbegrip.

Tabel van alle ISO 27001:2022 Bylae A-kontroles

In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.

Wat beteken hierdie veranderinge vir jou?

Die jongste ISO 27001-veranderinge beïnvloed nie jou huidige sertifisering teen ISO 27001-standaarde nie. Slegs opgraderings na ISO 27001 kan 'n uitwerking op bestaande sertifisering hê. Akkrediteringsliggame sal saam met die sertifiseringsliggame werk om 'n oorgangstydperk te ontwerp wat organisasies met ISO 27001-sertifikate genoeg tyd om van een weergawe na die volgende te beweeg.

Hierdie stappe moet geneem word om aan die hersiene weergawe te voldoen:

• Maak seker jou besigheid voldoen aan die jongste regulasies deur die risikoregister en risikobestuursprosedures te ondersoek.
• Die Bylae A moet gewysig word om enige veranderinge aan die Verklaring van Toepaslikheid te weerspieël.
• Maak seker dat u beleide en prosedures op datum is om by die nuwe regulasies te hou.

Tydens die oorgang na die nuwe standaard sal ons toegang hê tot nuwe beste praktyke en kwaliteite vir kontroleseleksie, wat 'n meer effektiewe en doeltreffende keuringsproses moontlik maak.

U moet volhou met 'n risiko-gebaseerde metode om te verseker dat slegs die mees relevante en doeltreffende kontroles vir u onderneming gekies word.

Hoe ISMS.online help

ISMS.online is ideaal vir die implementering van jou ISO 27001 Inligtingsekuriteitbestuurstelsel. Dit is spesifiek ontwerp om maatskappye te help om aan die vereistes van die standaard te voldoen.

Die platform pas 'n risiko-georiënteerde metode toe in samewerking met toonaangewende bedryfspraktyke en -sjablone om jou te help om vas te stel watter risiko's jou organisasie in die gesig staar en die kontroles wat nodig is om dit te bestuur. Dit stel jou in staat om beide jou risikoblootstelling en nakomingskoste stelselmatig te verminder.

ISMS.online stel jou in staat om:

1. Ontwikkel 'n Inligtingsekuriteitbestuurstelsel (ISMS).
2. Stel 'n pasgemaakte stel beleide en prosedures saam.
3. Implementeer 'n ISMS om aan ISO 27001-standaarde te voldoen.
4. Kry hulp van ervare konsultante.

Jy kan voordeel trek uit ISMS.online om 'n ISMS te bou, 'n pasgemaakte stel beleide en prosesse te skep, aan ISO 27001-kriteria te voldoen, en hulp van ervare adviseurs te kry.

Die ISMS.online platform is gebaseer op Plan-Do-Check-Act (PDCA), 'n iteratiewe vier-fase prosedure vir voortdurende verbetering, wat voldoen aan al die vereistes van ISO 27001:2022. Dit is reguit. Kontak ons ​​nou om reël jou demonstrasie.