Slaan oor na inhoud
Werk slimmer met ons nuwe verbeterde navigasie!
Kyk hoe IO nakoming makliker maak. Lees die blog
ISMS.aanlyn

ISO 27002:2022 – Beheer 5.1 – Beleide vir inligtingsekuriteit

Die beheer 5.1 van ISO 27002:2022 dek die behoefte van organisasies om 'n inligtingsekuriteitsbeleidsdokument in plek te hê om teen inligtingsekuriteitkwessies te beskerm.

skrywer
Sam Peters
Opgedateer Julie 25, 2025
4/5 sterre

Wat is beheer 5.1?

'n Inligtingsekuriteitsbeleid verskaf aan werknemers, bestuur en eksterne partye (bv. kliënte en verskaffers) 'n raamwerk vir die bestuur van elektroniese inligting, insluitend rekenaarnetwerke.

Die doel van 'n inligtingsekuriteitsbeleid is om die risiko van dataverlies of diefstal van interne en eksterne bedreigings te verminder. ’n Inligtingsekuriteitsbeleid verseker ook dat alle werknemers bewus is van hul verantwoordelikhede vir die beskerming van die data wat deur hul organisasies gehou word.

’n Inligtingsekuriteitsbeleid kan ook gebruik word om voldoening aan wette en regulasies te demonstreer, en help om aan standaarde soos ISO 27001 te voldoen.

Kubersekuriteit en inligtingsekuriteitsbedreigings verduidelik

Kubersekuriteitsbedreigings is enige moontlike kwaadwillige aanval wat poog om onwettig toegang tot data te verkry, digitale bedrywighede te ontwrig of inligting te beskadig. Kuberbedreigings kan afkomstig wees van verskeie rolspelers, insluitend korporatiewe spioene en hacktiviste, terreurgroepe, vyandige nasiestate en kriminele organisasies.

Sommige van die meer gewilde kubersekuriteit en inligtingsekuriteitbedreigings is:

  • malware: virusse, spyware en ander kwaadwillige programme.
  • Uitvissing-e-posse: boodskappe wat blyk te wees van betroubare bronne, maar wat skakels en aanhegsels bevat wat wanware installeer.
  • Ransomware: wanware wat gebruikers verhoed om toegang tot hul eie data te verkry totdat hulle 'n losprys betaal.
  • Sosiale ingenieurswese: aanvallers wat mense manipuleer om sensitiewe inligting te gee, gewoonlik deur betroubaar te voorkom.
  • Walvisaanvalle: phishing-e-posse wat ontwerp is om te lyk asof dit van hoëprofiel-individue binne 'n organisasie kom.


ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

'n Voorsprong van 81% van dag een af

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin


Wat is die doel van beheer 5.1?

Die doel van die inligtingsekuriteitsbeleid is om bestuursondersteuning te verseker vir die beskerming van jou maatskappy se sensitiewe inligting teen diefstal en ongemagtigde toegang.

Beheer 5.1 dek die beheer-, doel- en implementeringsleiding vir die daarstelling van 'n inligtingsekuriteitsbeleid in 'n organisasie volgens die raamwerk soos gedefinieer deur ISO 27001.

Beheer 5.1 bepaal dat organisasies hoë- en laevlakbeleide moet hê oor hoe hulle hul inligtingsekuriteit bestuur. Die organisasie se senior bestuur moet die beleid goedkeur, wat gereeld hersien moet word en ook indien veranderinge in die inligtingsekuriteitsomgewing plaasvind.

Die beste benadering is om gereeld ten minste een keer per maand te vergader, met bykomende vergaderings geskeduleer soos nodig. Indien veranderinge aan die beleide aangebring word, moet bestuur dit goedkeur voordat dit geïmplementeer word. Die beleide moet ook met interne en eksterne belanghebbendes gedeel word.

Eienskappe van beheer 5.1

Eienskappe is 'n manier om kontroles te kategoriseer. Dit laat jou toe om jou beheerkeuse vinnig in lyn te bring met algemene bedryfstaal en -standaarde. In beheer 5.1 is dit.

beheer Tipe Eienskappe vir inligtingsekuriteit Kuberveiligheidskonsepte Operasionele vermoëns Sekuriteitsdomeine
#Voorkomende #Vertroulikheid #Identifiseer #Beheer #Beheer en ekosisteem
#Integriteit # Veerkragtigheid
#Beskikbaarheid


klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Wat is betrokke en hoe om aan die vereistes te voldoen

Die inligtingsekuriteitsbeleid moet die basis verskaf vir, en ondersteun word deur, gedetailleerde bedryfsprosedures wat beskryf hoe inligtingsekuriteit in die praktyk bestuur sal word.

Die beleid moet deur topbestuur goedgekeur word, wat moet verseker dat dit aan personeel gekommunikeer word en aan belanghebbende partye beskikbaar gestel word.

Die beleid gee rigting aan die organisasie se benadering tot die bestuur van inligtingsekuriteit, en kan gebruik word as 'n raamwerk vir die ontwikkeling van meer gedetailleerde bedryfsprosedures.

Die beleid is 'n noodsaaklike element in die vestiging en instandhouding van 'n inligtingsekuriteitbestuurstelsel (ISMS), soos vereis deur die ISO/IEC 27000-familie van standaarde, maar selfs al is die organisasie nie van plan om formele sertifisering volgens ISO 27001 of enige ander standaard te implementeer nie. , 'n goed gedefinieerde beleid is steeds belangrik.

Veranderinge en verskille vanaf ISO 27002:2013

In ISO 27002: 2022 is beheer 5.1 Inligtingsekuriteitsbeleide nie 'n nuwe beheer nie, dit is eerder die resultaat van die samevoeging van beheermaatreëls 5.1.1 Beleide vir inligtingsekuriteit en 5.1.2 Hersiening van beleide vir inligtingsekuriteit van ISO 27002 hersiening 2013.

In ISO 27002:2022 is beheer 5.1 opgedateer om 'n beskrywing van die doel daarvan en uitgebreide implementeringsleiding in te sluit. Dit het ook 'n kenmerktabel gehad wat gebruikers in staat stel om kontroles met industrieterminologieë te versoen.

In ISO 27002:2022 stel beheer 5.1 dat inligtingsekuriteit en onderwerpspesifieke beleide gedefinieer, deur die bestuur goedgekeur, gepubliseer, aan relevante personeel en relevante belanghebbende partye gekommunikeer en erken moet word.

Die inligtingsekuriteitsbeleid van 'n organisasie moet die organisasie se grootte, tipe en sensitiwiteit van inligtingsbates weerspieël. Dit moet ook ooreenstem met industriestandaarde en toepaslike regeringsregulasies.

Terwyl die kern van die beheer self soortgelyk is aan 5.1.1 van ISO 27002: 2013, stel weergawe 2022 spesifiek dat hierdie inligtingsekuriteitsbeleide gereeld hersien moet word en ook indien veranderinge in die inligtingsekuriteitsomgewing plaasvind. Hierdie ruiter word gedek in klousule 5.1.2 van ISO 27002:2013.

ISO 27002: 2013 en ISO 27002: 2022 bepaal dat die hoogste vlak van die organisasie 'n sekuriteitsbeleid moet definieer wat topbestuur goedkeur en wat bepaal hoe hulle toesig sal hou oor die beskerming van hul inligting. Die vereistes wat deur die beleide vir beide weergawes gedek word, verskil egter.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Beheer 5.1 2013 – 2022 Implementeringsriglyne vergelyk

In ISO 27002:2013 moet inligtingsekuriteitsbeleide voldoen aan vereistes wat geskep is deur:

  • Besigheidstrategieë.
  • Regulasies, wetgewing en kontrakte.
  • Die huidige en geprojekteerde inligtingsekuriteitsbedreigingsomgewing.

Die inligtingsekuriteitsbeleid moet stellings bevat oor:

  • Definisie van inligtingsekuriteit, doelwitte en beginsels om alle aktiwiteite wat verband hou met, te rig
    inligtings sekuriteit.
  • Toewysing van algemene en spesifieke verantwoordelikhede vir inligtingsekuriteitbestuur aan
    gedefinieerde rolle.
  • Prosesse vir die hantering van afwykings en uitsonderings.

Maar die vereistes vir ISO 27002:2022 is 'n bietjie meer omvattend.

Die inligtingsekuriteitsbeleid moet vereistes in ag neem wat afgelei is van:

  • Besigheidstrategie en vereistes.
  • Regulasies, wetgewing en kontrakte.
  • Die huidige en geprojekteerde inligtingsekuriteitsrisiko's en -bedreigings.

Die inligtingsekuriteitsbeleid moet stellings bevat oor:

  • Definisie van inligtingsekuriteit.
  • Inligtingsekuriteitsdoelwitte of die raamwerk vir die opstel van inligtingsekuriteitsdoelwitte.
  • Beginsels om alle aktiwiteite met betrekking tot inligtingsekuriteit te lei.
  • Toewyding om te voldoen aan toepaslike vereistes wat verband hou met inligtingsekuriteit.
  • Verbintenis tot voortdurende verbetering van die inligtingsekuriteitbestuurstelsel.
  • Toewysing van verantwoordelikhede vir inligtingsekuriteitbestuur aan gedefinieerde rolle.
  • Prosedures vir die hantering van vrystellings en uitsonderings.

Terselfdertyd is onderwerpspesifieke beleide herwerk in ISO 27002:2022 om in te sluit; bestuur van inligtingsekuriteit, batebestuur, netwerksekuriteit, bestuur van inligtingsekuriteit, en veilige ontwikkeling. Sommige van die in ISO 27002:2013 is óf verwyder óf saamgevoeg om 'n meer holistiese raamwerk te vorm.

Nuwe ISO 27002-kontroles

Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.7 NUWE Bedreigingsintelligensie
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.30 NUWE IKT-gereedheid vir besigheidskontinuïteit
7.4 NUWE Fisiese sekuriteitsmonitering
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.16 NUWE Moniteringsaktiwiteite
8.23 NUWE Webfiltrering
8.28 NUWE Veilige kodering
Organisatoriese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.1 05.1.1, 05.1.2 Beleide vir inligtingsekuriteit
5.2 06.1.1 Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3 06.1.2 Skeiding van pligte
5.4 07.2.1 Bestuursverantwoordelikhede
5.5 06.1.3 Kontak met owerhede
5.6 06.1.4 Kontak met spesiale belangegroepe
5.7 NUWE Bedreigingsintelligensie
5.8 06.1.5, 14.1.1 Inligtingsekuriteit in projekbestuur
5.9 08.1.1, 08.1.2 Inventaris van inligting en ander verwante bates
5.10 08.1.3, 08.2.3 Aanvaarbare gebruik van inligting en ander verwante bates
5.11 08.1.4 Teruggawe van bates
5.12 08.2.1 Klassifikasie van inligting
5.13 08.2.2 Etikettering van inligting
5.14 13.2.1, 13.2.2, 13.2.3 Inligting oordrag
5.15 09.1.1, 09.1.2 Toegangsbeheer
5.16 09.2.1 Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3 Stawing inligting
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsregte
5.19 15.1.1 Inligtingsekuriteit in verskafferverhoudings
5.20 15.1.2 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21 15.1.3 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22 15.2.1, 15.2.2 Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.24 16.1.1 Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25 16.1.4 Assessering en besluit oor inligtingsekuriteitsgebeure
5.26 16.1.5 Reaksie op inligtingsekuriteitsvoorvalle
5.27 16.1.6 Leer uit inligtingsekuriteitvoorvalle
5.28 16.1.7 Insameling van bewyse
5.29 17.1.1, 17.1.2, 17.1.3 Inligtingsekuriteit tydens ontwrigting
5.30 5.30 IKT-gereedheid vir besigheidskontinuïteit
5.31 18.1.1, 18.1.5 Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32 18.1.2 Intellektuele eiendomsregte
5.33 18.1.3 Beskerming van rekords
5.34 18.1.4 Privaatheid en beskerming van PII
5.35 18.2.1 Onafhanklike hersiening van inligtingsekuriteit
5.36 18.2.2, 18.2.3 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37 12.1.1 Gedokumenteerde bedryfsprosedures
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
6.1 07.1.1 Screening
6.2 07.1.2 Terme en diensvoorwaardes
6.3 07.2.2 Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4 07.2.3 Dissiplinêre proses
6.5 07.3.1 Verantwoordelikhede na beëindiging of verandering van diens
6.6 13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7 06.2.2 Afstand werk
6.8 16.1.2, 16.1.3 Rapportering van inligtingsekuriteitsgebeurtenisse
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
7.1 11.1.1 Fisiese sekuriteit omtrek
7.2 11.1.2, 11.1.6 Fisiese toegang
7.3 11.1.3 Beveiliging van kantore, kamers en fasiliteite
7.4 NUWE Fisiese sekuriteitsmonitering
7.5 11.1.4 Beskerming teen fisiese en omgewingsbedreigings
7.6 11.1.5 Werk in veilige areas
7.7 11.2.9 Duidelike lessenaar en duidelike skerm
7.8 11.2.1 Toerusting plaas en beskerming
7.9 11.2.6 Sekuriteit van bates buite die perseel
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Berging media
7.11 11.2.2 Ondersteunende nutsprogramme
7.12 11.2.3 Bekabeling sekuriteit
7.13 11.2.4 Onderhoud van toerusting
7.14 11.2.7 Veilige wegdoening of hergebruik van toerusting
Tegnologiese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
8.1 06.2.1, 11.2.8 Gebruikerseindpunttoestelle
8.2 09.2.3 Bevoorregte toegangsregte
8.3 09.4.1 Beperking van toegang tot inligting
8.4 09.4.5 Toegang tot bronkode
8.5 09.4.2 Veilige verifikasie
8.6 12.1.3 Kapasiteitsbestuur
8.7 12.2.1 Beskerming teen wanware
8.8 12.6.1, 18.2.3 Bestuur van tegniese kwesbaarhede
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.13 12.3.1 Rugsteun van inligting
8.14 17.2.1 Oortolligheid van inligtingverwerkingsfasiliteite
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NUWE Moniteringsaktiwiteite
8.17 12.4.4 Klok sinchronisasie
8.18 09.4.4 Gebruik van bevoorregte nutsprogramme
8.19 12.5.1, 12.6.2 Installering van sagteware op bedryfstelsels
8.20 13.1.1 Netwerk sekuriteit
8.21 13.1.2 Sekuriteit van netwerkdienste
8.22 13.1.3 Segregasie van netwerke
8.23 NUWE Webfiltrering
8.24 10.1.1, 10.1.2 Gebruik van kriptografie
8.25 14.2.1 Veilige ontwikkeling lewensiklus
8.26 14.1.2, 14.1.3 Aansoek sekuriteit vereistes
8.27 14.2.5 Veilige stelselargitektuur en ingenieursbeginsels
8.28 NUWE Veilige kodering
8.29 14.2.8, 14.2.9 Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30 14.2.7 Uitgekontrakteerde ontwikkeling
8.31 12.1.4, 14.2.6 Skeiding van ontwikkeling, toets en produksie omgewings
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Veranderings bestuur
8.33 14.3.1 Toets inligting
8.34 12.7.1 Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.Online help

By ISMS.online, sal ons maklik-om-te gebruik, dog kragtige, wolkstelsel jou voorsien van 'n volledige stel gereedskap en hulpbronne om jou te help om jou eie ISO 27001/27002 Inligtingsekuriteitsbestuurstelsel (ISMS) te bestuur, of jy nuut is na ISO 27001/27002 of reeds gesertifiseer.

Ons intuïtiewe stap-vir-stap werkvloei, gereedskap, raamwerke, beleide en kontroles, uitvoerbare dokumentasie en leiding lei jou deur die proses van implementering van ISO 27002, wat dit vir jou maklik maak om die omvang van die ISMS te definieer, risiko's te identifiseer en beheermaatreëls te implementeer met behulp van ons algoritmes – hetsy van nuuts af of van beste praktyksjablone.

Kontak vandag nog om bespreek 'n demo.

Sam Peters

Sam is hoofprodukbeampte by ISMS.online en lei die ontwikkeling van alle produkkenmerke en -funksionaliteit. Sam is 'n kenner op baie gebiede van voldoening en werk saam met kliënte aan enige maat- of grootskaalse projekte.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Herfs 2025
Hoëpresteerder, Klein Besigheid - Herfs 2025 VK
Streekleier - Herfs 2025 Europa
Streekleier - Herfs 2025 EMEA
Streekleier - Herfs 2025 VK
Hoë Presteerder - Herfs 2025 Europa Middelmark

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.