Die ISO 27001: 2022 Bylae A Beheer 5.9 word genoem Inventaris van inligting en ander geassosieerde bates.
Dit vereis van organisasies om die bates wat belangrik is vir hul bedrywighede en die gepaardgaande risiko's te identifiseer en te dokumenteer, en stappe te neem om dit te beskerm. Dit verseker dat bates behoorlik bestuur en gemonitor word, wat help om te verseker dat dit veilig is.
Bylae A van ISO 27001:2022 skets Beheer 5.9, wat verduidelik hoe 'n lys van inligting en verwante bates, saam met hul onderskeie eienaars, geskep en op datum gehou moet word.
Die organisasie moet erken waartoe hy toegang het om sy bedrywighede uit te voer. Dit moet bewus wees van sy inligtingsbates.
'n Omvattende IA is 'n deurslaggewende deel van enige organisasie se datasekuriteitsbeleid. Dit is 'n inventaris van elke item data wat gestoor, verwerk of versend word, sowel as die liggings en sekuriteitskontroles vir elkeen. Dit is in wese die finansiële rekeningkundige ekwivalent van die beskerming van data, wat organisasies toelaat om elke stukkie data te identifiseer.
'n IA kan gebruik word om swakhede in jou sekuriteitsprogram te identifiseer en inligting te verskaf om te assesseer kuberrisiko's wat tot 'n oortreding kan lei. Dit kan ook bewyse wees om aan te toon dat jy stappe gedoen het om sensitiewe data te identifiseer tydens voldoeningsoudits, wat jou help om boetes en strawwe te ontduik.
Die inventaris van inligtingsbates moet spesifiseer wie besit en verantwoordelik is vir elke bate, asook die waarde en belangrikheid van elke item vir die organisasie se bedrywighede.
Dit is van kardinale belang om voorraad by te hou om te verseker dat dit veranderinge binne die organisasie akkuraat weerspieël.
Inligtingsbatebestuur het 'n lang tradisie in besigheidskontinuïteitsbeplanning (BCP), rampherstel (DR) en voorbereiding van insidentreaksie.
Die identifisering van kritieke stelsels, netwerke, databasisse, toepassings, datavloei en ander komponente wat sekuriteit vereis, is die eerste stap in enige van hierdie prosesse. Sonder kennis van wat beskerm moet word, en waar dit geleë is, kan jy nie beplan hoe om dit te beskerm nie.
Versoek 'n kwotasie
Die beheer het ten doel om die organisasie s'n te erken inligting en gepaardgaande bates om inligtingsekuriteit te verseker en behoorlike eienaarskap aanwys.
Bylae A van ISO 27001:2022 skets Beheer 5.9, wat die doel en implementeringsleiding uiteensit om 'n inventaris van inligting en ander bates met betrekking tot die ISMS-raamwerk te skep.
Neem 'n inventaris van alle inligting en verwante bates, klassifiseer in kategorieë, identifiseer eienaars en dokumenteer bestaande/vereiste kontroles.
Dit is 'n noodsaaklike stap om te verseker dat alle data besittings voldoende beskerm word.
Om aan die kriteria vir ISO 27001:2022 te voldoen, moet jy die inligting en ander verwante bates binne jou organisasie identifiseer. Daarna moet jy die belangrikheid van hierdie items met betrekking tot inligtingsekuriteit assesseer. Indien nodig, hou rekords in toegewyde of bestaande voorraad.
Die grootte en kompleksiteit van 'n organisasie, bestaande beheermaatreëls en beleide, en die tipe inligting en bates wat dit gebruik, sal alles 'n uitwerking hê op die ontwikkeling van 'n voorraad.
Om te verseker dat die inventaris van inligting en ander geassosieerde bates akkuraat, bygewerk, konsekwent en in lyn met ander voorraad is, is die sleutel, soos per Beheer 5.9. Om akkuraatheid te verseker, kan 'n mens die volgende oorweeg:
Sommige organisasies sal dalk veelvuldige voorraad moet hou vir verskillende doeleindes. Hulle kan byvoorbeeld gespesialiseerde voorraad hê vir sagtewarelisensies of fisiese toestelle soos skootrekenaars en tablette.
Dit is noodsaaklik om periodiek alle fisiese voorraad te inspekteer wat netwerktoestelle soos routers en skakelaars insluit om die akkuraatheid van die voorraad vir risikobestuursdoeleindes.
Vir meer inligting oor die nakoming van beheer 5.9, moet die ISO 27001:2022-dokument geraadpleeg word.
In ISO 27001:2022 is 58 kontroles van ISO 27001:2013 hersien en 'n verdere 24 kontroles is saamgevoeg. 'n Nuwe 11 kontroles is bygevoeg, terwyl sommige uitgevee is.
Daarom sal jy nie vind nie Bylae A Beheer 5.9 – Inventaris van inligting en ander geassosieerde bates – in die 2013-weergawe, soos dit nou ’n kombinasie van is ISO 27001:2013 Bylae A 8.1.1 – Inventaris van bates - en ISO 27001:2013 Bylae A 8.1.2 – Eienaarskap van bates – in die 2022-weergawe.
Bylae A van ISO 27001:2022 skets Beheer 8.1.2, Eienaarskap van Bates. Dit verseker dat alle inligtingsbates duidelik geïdentifiseer en besit word. Om te weet wie wat besit, help om vas te stel watter bates beskerm moet word en wie aanspreeklikheid vereis.
ISO 27001:2013 en ISO 27001:2022 het albei soortgelyke kontrolesAanhangsel A Beheer 5.9 van laasgenoemde is egter uitgebrei om 'n meer reguit interpretasie te verskaf. Byvoorbeeld, die implementeringsriglyne oor bate-eienaarskap in beheer 8.1.2 bepaal dat die bate-eienaar moet:
Die eienaarskapafdeling van beheer 5.9 is uitgebrei om nege punte in te sluit, in plaas van die oorspronklike vier. Regstellings is aan spelling en grammatika gemaak, en die toon is verander na 'n professionele, vriendelike styl. Oortolligheid en herhaling is uitgeskakel en die skryfwerk is nou in 'n aktiewe styl.
Die bate-eienaar moet aanspreeklikheid aanvaar vir die gepaste toesig oor 'n bate deur sy lewensiklus, en maak seker dat:
Om hierdie twee kontroles in een saam te voeg, vergemaklik gebruikersbegrip.
In die tabel hieronder sal jy meer inligting oor elke individu vind ISO 27001:2022 Bylae A Beheer.
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Organisatoriese kontroles | Bylae A 5.1 | Bylae A 5.1.1 Bylae A 5.1.2 | Beleide vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.2 | Bylae A 6.1.1 | Rolle en verantwoordelikhede vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.3 | Bylae A 6.1.2 | Skeiding van pligte |
Organisatoriese kontroles | Bylae A 5.4 | Bylae A 7.2.1 | Bestuursverantwoordelikhede |
Organisatoriese kontroles | Bylae A 5.5 | Bylae A 6.1.3 | Kontak met owerhede |
Organisatoriese kontroles | Bylae A 5.6 | Bylae A 6.1.4 | Kontak met spesiale belangegroepe |
Organisatoriese kontroles | Bylae A 5.7 | NUWE | Bedreiging Intelligensie |
Organisatoriese kontroles | Bylae A 5.8 | Bylae A 6.1.5 Bylae A 14.1.1 | Inligtingsekuriteit in projekbestuur |
Organisatoriese kontroles | Bylae A 5.9 | Bylae A 8.1.1 Bylae A 8.1.2 | Inventaris van inligting en ander geassosieerde bates |
Organisatoriese kontroles | Bylae A 5.10 | Bylae A 8.1.3 Bylae A 8.2.3 | Aanvaarbare gebruik van inligting en ander geassosieerde bates |
Organisatoriese kontroles | Bylae A 5.11 | Bylae A 8.1.4 | Teruggawe van bates |
Organisatoriese kontroles | Bylae A 5.12 | Bylae A 8.2.1 | Klassifikasie van inligting |
Organisatoriese kontroles | Bylae A 5.13 | Bylae A 8.2.2 | Etikettering van inligting |
Organisatoriese kontroles | Bylae A 5.14 | Bylae A 13.2.1 Bylae A 13.2.2 Bylae A 13.2.3 | Inligtingsoordrag |
Organisatoriese kontroles | Bylae A 5.15 | Bylae A 9.1.1 Bylae A 9.1.2 | Toegangsbeheer |
Organisatoriese kontroles | Bylae A 5.16 | Bylae A 9.2.1 | Identiteitsbestuur |
Organisatoriese kontroles | Bylae A 5.17 | Bylae A 9.2.4 Bylae A 9.3.1 Bylae A 9.4.3 | Verifikasie inligting |
Organisatoriese kontroles | Bylae A 5.18 | Bylae A 9.2.2 Bylae A 9.2.5 Bylae A 9.2.6 | Toegangsregte |
Organisatoriese kontroles | Bylae A 5.19 | Bylae A 15.1.1 | Inligtingsekuriteit in Verskaffersverhoudings |
Organisatoriese kontroles | Bylae A 5.20 | Bylae A 15.1.2 | Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste |
Organisatoriese kontroles | Bylae A 5.21 | Bylae A 15.1.3 | Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting |
Organisatoriese kontroles | Bylae A 5.22 | Bylae A 15.2.1 Bylae A 15.2.2 | Monitering, hersiening en veranderingsbestuur van verskafferdienste |
Organisatoriese kontroles | Bylae A 5.23 | NUWE | Inligtingsekuriteit vir gebruik van wolkdienste |
Organisatoriese kontroles | Bylae A 5.24 | Bylae A 16.1.1 | Beplanning en voorbereiding van inligtingsekuriteitsinsidentbestuur |
Organisatoriese kontroles | Bylae A 5.25 | Bylae A 16.1.4 | Assessering en besluit oor inligtingsekuriteitsgebeurtenisse |
Organisatoriese kontroles | Bylae A 5.26 | Bylae A 16.1.5 | Reaksie op inligtingsekuriteitsinsidente |
Organisatoriese kontroles | Bylae A 5.27 | Bylae A 16.1.6 | Leer uit inligtingsekuriteitsinsidente |
Organisatoriese kontroles | Bylae A 5.28 | Bylae A 16.1.7 | Versameling van bewyse |
Organisatoriese kontroles | Bylae A 5.29 | Bylae A 17.1.1 Bylae A 17.1.2 Bylae A 17.1.3 | Inligtingsekuriteit tydens ontwrigting |
Organisatoriese kontroles | Bylae A 5.30 | NUWE | IKT-gereedheid vir besigheidskontinuïteit |
Organisatoriese kontroles | Bylae A 5.31 | Bylae A 18.1.1 Bylae A 18.1.5 | Wetlike, statutêre, regulatoriese en kontraktuele vereistes |
Organisatoriese kontroles | Bylae A 5.32 | Bylae A 18.1.2 | Intellektuele eiendomsregte |
Organisatoriese kontroles | Bylae A 5.33 | Bylae A 18.1.3 | Beskerming van rekords |
Organisatoriese kontroles | Bylae A 5.34 | Bylae A 18.1.4 | Privaatheid en beskerming van PII |
Organisatoriese kontroles | Bylae A 5.35 | Bylae A 18.2.1 | Onafhanklike oorsig van inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.36 | Bylae A 18.2.2 Bylae A 18.2.3 | Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit |
Organisatoriese kontroles | Bylae A 5.37 | Bylae A 12.1.1 | Gedokumenteerde bedryfsprosedures |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Mense beheer | Bylae A 6.1 | Bylae A 7.1.1 | Screening |
Mense beheer | Bylae A 6.2 | Bylae A 7.1.2 | Terme en diensvoorwaardes |
Mense beheer | Bylae A 6.3 | Bylae A 7.2.2 | Bewusmaking, onderwys en opleiding van inligtingsekuriteit |
Mense beheer | Bylae A 6.4 | Bylae A 7.2.3 | Dissiplinêre Proses |
Mense beheer | Bylae A 6.5 | Bylae A 7.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
Mense beheer | Bylae A 6.6 | Bylae A 13.2.4 | Vertroulikheid of nie-openbaarmakingsooreenkomste |
Mense beheer | Bylae A 6.7 | Bylae A 6.2.2 | Afstand werk |
Mense beheer | Bylae A 6.8 | Bylae A 16.1.2 Bylae A 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Fisiese beheer | Bylae A 7.1 | Bylae A 11.1.1 | Fisiese sekuriteitsgrense |
Fisiese beheer | Bylae A 7.2 | Bylae A 11.1.2 Bylae A 11.1.6 | Fisiese toegang |
Fisiese beheer | Bylae A 7.3 | Bylae A 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
Fisiese beheer | Bylae A 7.4 | NUWE | Fisiese sekuriteitsmonitering |
Fisiese beheer | Bylae A 7.5 | Bylae A 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
Fisiese beheer | Bylae A 7.6 | Bylae A 11.1.5 | Werk in veilige gebiede |
Fisiese beheer | Bylae A 7.7 | Bylae A 11.2.9 | Duidelike lessenaar en duidelike skerm |
Fisiese beheer | Bylae A 7.8 | Bylae A 11.2.1 | Toerustingopstelling en beskerming |
Fisiese beheer | Bylae A 7.9 | Bylae A 11.2.6 | Sekuriteit van bates buite die perseel |
Fisiese beheer | Bylae A 7.10 | Bylae A 8.3.1 Bylae A 8.3.2 Bylae A 8.3.3 Bylae A 11.2.5 | Berging media |
Fisiese beheer | Bylae A 7.11 | Bylae A 11.2.2 | Ondersteunende nutsprogramme |
Fisiese beheer | Bylae A 7.12 | Bylae A 11.2.3 | Bekabeling sekuriteit |
Fisiese beheer | Bylae A 7.13 | Bylae A 11.2.4 | Onderhoud van toerusting |
Fisiese beheer | Bylae A 7.14 | Bylae A 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Bylae A Beheertipe | ISO/IEC 27001:2022 Bylae A Identifiseerder | ISO/IEC 27001:2013 Bylae A Identifiseerder | Bylae A Naam |
---|---|---|---|
Tegnologiese kontroles | Bylae A 8.1 | Bylae A 6.2.1 Bylae A 11.2.8 | Gebruikerseindpunttoestelle |
Tegnologiese kontroles | Bylae A 8.2 | Bylae A 9.2.3 | Bevoorregte toegangsregte |
Tegnologiese kontroles | Bylae A 8.3 | Bylae A 9.4.1 | Inligtingtoegangbeperking |
Tegnologiese kontroles | Bylae A 8.4 | Bylae A 9.4.5 | Toegang tot bronkode |
Tegnologiese kontroles | Bylae A 8.5 | Bylae A 9.4.2 | Veilige verifikasie |
Tegnologiese kontroles | Bylae A 8.6 | Bylae A 12.1.3 | Kapasiteitsbestuur |
Tegnologiese kontroles | Bylae A 8.7 | Bylae A 12.2.1 | Beskerming teen wanware |
Tegnologiese kontroles | Bylae A 8.8 | Bylae A 12.6.1 Bylae A 18.2.3 | Bestuur van Tegniese Kwesbaarhede |
Tegnologiese kontroles | Bylae A 8.9 | NUWE | Konfigurasiebestuur |
Tegnologiese kontroles | Bylae A 8.10 | NUWE | Inligting skrap |
Tegnologiese kontroles | Bylae A 8.11 | NUWE | Datamaskering |
Tegnologiese kontroles | Bylae A 8.12 | NUWE | Voorkoming van datalekkasies |
Tegnologiese kontroles | Bylae A 8.13 | Bylae A 12.3.1 | Inligting rugsteun |
Tegnologiese kontroles | Bylae A 8.14 | Bylae A 17.2.1 | Oortolligheid van inligtingsverwerkingsfasiliteite |
Tegnologiese kontroles | Bylae A 8.15 | Bylae A 12.4.1 Bylae A 12.4.2 Bylae A 12.4.3 | Logging |
Tegnologiese kontroles | Bylae A 8.16 | NUWE | Moniteringsaktiwiteite |
Tegnologiese kontroles | Bylae A 8.17 | Bylae A 12.4.4 | Kloksynchronisasie |
Tegnologiese kontroles | Bylae A 8.18 | Bylae A 9.4.4 | Gebruik van bevoorregte nutsprogramme |
Tegnologiese kontroles | Bylae A 8.19 | Bylae A 12.5.1 Bylae A 12.6.2 | Installering van sagteware op bedryfstelsels |
Tegnologiese kontroles | Bylae A 8.20 | Bylae A 13.1.1 | Netwerksekuriteit |
Tegnologiese kontroles | Bylae A 8.21 | Bylae A 13.1.2 | Sekuriteit van netwerkdienste |
Tegnologiese kontroles | Bylae A 8.22 | Bylae A 13.1.3 | Skeiding van netwerke |
Tegnologiese kontroles | Bylae A 8.23 | NUWE | Webfiltrering |
Tegnologiese kontroles | Bylae A 8.24 | Bylae A 10.1.1 Bylae A 10.1.2 | Gebruik van kriptografie |
Tegnologiese kontroles | Bylae A 8.25 | Bylae A 14.2.1 | Veilige ontwikkelingslewensiklus |
Tegnologiese kontroles | Bylae A 8.26 | Bylae A 14.1.2 Bylae A 14.1.3 | Toepassingsekuriteitsvereistes |
Tegnologiese kontroles | Bylae A 8.27 | Bylae A 14.2.5 | Veilige stelselargitektuur en ingenieursbeginsels |
Tegnologiese kontroles | Bylae A 8.28 | NUWE | Veilige kodering |
Tegnologiese kontroles | Bylae A 8.29 | Bylae A 14.2.8 Bylae A 14.2.9 | Sekuriteitstoetsing in ontwikkeling en aanvaarding |
Tegnologiese kontroles | Bylae A 8.30 | Bylae A 14.2.7 | Uitgekontrakteerde Ontwikkeling |
Tegnologiese kontroles | Bylae A 8.31 | Bylae A 12.1.4 Bylae A 14.2.6 | Skeiding van ontwikkeling-, toets- en produksie-omgewings |
Tegnologiese kontroles | Bylae A 8.32 | Bylae A 12.1.2 Bylae A 14.2.2 Bylae A 14.2.3 Bylae A 14.2.4 | Veranderings bestuur |
Tegnologiese kontroles | Bylae A 8.33 | Bylae A 14.3.1 | Toets inligting |
Tegnologiese kontroles | Bylae A 8.34 | Bylae A 12.7.1 | Beskerming van inligtingstelsels tydens oudittoetsing |
Die jongste ISO 27001-veranderinge beïnvloed nie jou huidige sertifisering teen ISO 27001-standaarde nie. Slegs opgraderings na ISO 27001 kan 'n uitwerking op bestaande sertifisering hê. Akkrediteringsliggame sal saam met die sertifiseringsliggame werk om 'n oorgangstydperk te ontwerp wat organisasies met ISO 27001-sertifikate genoeg tyd om van een weergawe na die volgende te beweeg.
Hierdie stappe moet geneem word om aan die hersiene weergawe te voldoen:
Tydens die oorgang na die nuwe standaard sal ons toegang hê tot nuwe beste praktyke en kwaliteite vir kontroleseleksie, wat 'n meer effektiewe en doeltreffende keuringsproses moontlik maak.
U moet volhou met 'n risiko-gebaseerde metode om te verseker dat slegs die mees relevante en doeltreffende kontroles vir u onderneming gekies word.
ISMS.online is ideaal vir die implementering van jou ISO 27001 Inligtingsekuriteitbestuurstelsel. Dit is spesifiek ontwerp om maatskappye te help om aan die vereistes van die standaard te voldoen.
Die platform pas 'n risiko-georiënteerde metode toe in samewerking met toonaangewende bedryfspraktyke en -sjablone om jou te help om vas te stel watter risiko's jou organisasie in die gesig staar en die kontroles wat nodig is om dit te bestuur. Dit stel jou in staat om beide jou risikoblootstelling en nakomingskoste stelselmatig te verminder.
Jy kan voordeel trek uit ISMS.online om 'n ISMS te bou, 'n pasgemaakte stel beleide en prosesse te skep, aan ISO 27001-kriteria te voldoen, en hulp van ervare adviseurs te kry.
Die ISMS.online platform is gebaseer op Plan-Do-Check-Act (PDCA), 'n iteratiewe vier-fase prosedure vir voortdurende verbetering, wat voldoen aan al die vereistes van ISO 27001:2022. Dit is reguit. Kontak ons nou om reël jou demonstrasie.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo