Die beheer 5.1 van ISO 27002:2022 dek die behoefte van organisasies om 'n inligtingsekuriteitsbeleidsdokument in plek te hê om teen inligtingsekuriteitkwessies te beskerm.
'n Inligtingsekuriteitsbeleid verskaf aan werknemers, bestuur en eksterne partye (bv. kliënte en verskaffers) 'n raamwerk vir die bestuur van elektroniese inligting, insluitend rekenaarnetwerke.
Die doel van 'n inligtingsekuriteitsbeleid is om die risiko van dataverlies of diefstal van interne en eksterne bedreigings te verminder. ’n Inligtingsekuriteitsbeleid verseker ook dat alle werknemers bewus is van hul verantwoordelikhede vir die beskerming van die data wat deur hul organisasies gehou word.
’n Inligtingsekuriteitsbeleid kan ook gebruik word om voldoening aan wette en regulasies te demonstreer, en help om aan standaarde soos ISO 27001 te voldoen.
Kubersekuriteitsbedreigings is enige moontlike kwaadwillige aanval wat poog om onwettig toegang tot data te verkry, digitale bedrywighede te ontwrig of inligting te beskadig. Kuberbedreigings kan afkomstig wees van verskeie rolspelers, insluitend korporatiewe spioene en hacktiviste, terreurgroepe, vyandige nasiestate en kriminele organisasies.
Sommige van die meer gewilde kubersekuriteit en inligtingsekuriteitbedreigings is:
Die doel van die inligtingsekuriteitsbeleid is om bestuursondersteuning te verseker vir die beskerming van jou maatskappy se sensitiewe inligting teen diefstal en ongemagtigde toegang.
Beheer 5.1 dek die beheer-, doel- en implementeringsleiding vir die daarstelling van 'n inligtingsekuriteitsbeleid in 'n organisasie volgens die raamwerk soos gedefinieer deur ISO 27001.
Beheer 5.1 bepaal dat organisasies hoë- en laevlakbeleide moet hê oor hoe hulle hul inligtingsekuriteit bestuur. Die organisasie se senior bestuur moet die beleid goedkeur, wat gereeld hersien moet word en ook indien veranderinge in die inligtingsekuriteitsomgewing plaasvind.
Die beste benadering is om gereeld ten minste een keer per maand te vergader, met bykomende vergaderings geskeduleer soos nodig. Indien veranderinge aan die beleide aangebring word, moet bestuur dit goedkeur voordat dit geïmplementeer word. Die beleide moet ook met interne en eksterne belanghebbendes gedeel word.
Eienskappe is 'n manier om kontroles te kategoriseer. Dit laat jou toe om jou beheerkeuse vinnig in lyn te bring met algemene bedryfstaal en -standaarde. In beheer 5.1 is dit.
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Identifiseer | #Beheer | #Beheer en ekosisteem # Veerkragtigheid |
Die inligtingsekuriteitsbeleid moet die basis verskaf vir, en ondersteun word deur, gedetailleerde bedryfsprosedures wat beskryf hoe inligtingsekuriteit in die praktyk bestuur sal word.
Die beleid moet deur topbestuur goedgekeur word, wat moet verseker dat dit aan personeel gekommunikeer word en aan belanghebbende partye beskikbaar gestel word.
Die beleid gee rigting aan die organisasie se benadering tot die bestuur van inligtingsekuriteit, en kan gebruik word as 'n raamwerk vir die ontwikkeling van meer gedetailleerde bedryfsprosedures.
Die beleid is 'n noodsaaklike element in die vestiging en instandhouding van 'n inligtingsekuriteitbestuurstelsel (ISMS), soos vereis deur die ISO/IEC 27000-familie van standaarde, maar selfs al is die organisasie nie van plan om formele sertifisering volgens ISO 27001 of enige ander standaard te implementeer nie. , 'n goed gedefinieerde beleid is steeds belangrik.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
In ISO 27002: 2022 is beheer 5.1 Inligtingsekuriteitsbeleide nie 'n nuwe beheer nie, dit is eerder die resultaat van die samevoeging van beheermaatreëls 5.1.1 Beleide vir inligtingsekuriteit en 5.1.2 Hersiening van beleide vir inligtingsekuriteit van ISO 27002 hersiening 2013.
In ISO 27002:2022 is beheer 5.1 opgedateer om 'n beskrywing van die doel daarvan en uitgebreide implementeringsleiding in te sluit. Dit het ook 'n kenmerktabel gehad wat gebruikers in staat stel om kontroles met industrieterminologieë te versoen.
In ISO 27002:2022 stel beheer 5.1 dat inligtingsekuriteit en onderwerpspesifieke beleide gedefinieer, deur die bestuur goedgekeur, gepubliseer, aan relevante personeel en relevante belanghebbende partye gekommunikeer en erken moet word.
Die inligtingsekuriteitsbeleid van 'n organisasie moet die organisasie se grootte, tipe en sensitiwiteit van inligtingsbates weerspieël. Dit moet ook ooreenstem met industriestandaarde en toepaslike regeringsregulasies.
Terwyl die kern van die beheer self soortgelyk is aan 5.1.1 van ISO 27002: 2013, stel weergawe 2022 spesifiek dat hierdie inligtingsekuriteitsbeleide gereeld hersien moet word en ook indien veranderinge in die inligtingsekuriteitsomgewing plaasvind. Hierdie ruiter word gedek in klousule 5.1.2 van ISO 27002:2013.
ISO 27002: 2013 en ISO 27002: 2022 bepaal dat die hoogste vlak van die organisasie 'n sekuriteitsbeleid moet definieer wat topbestuur goedkeur en wat bepaal hoe hulle toesig sal hou oor die beskerming van hul inligting. Die vereistes wat deur die beleide vir beide weergawes gedek word, verskil egter.
In ISO 27002:2013 moet inligtingsekuriteitsbeleide voldoen aan vereistes wat geskep is deur:
Die inligtingsekuriteitsbeleid moet stellings bevat oor:
Maar die vereistes vir ISO 27002:2022 is 'n bietjie meer omvattend.
Die inligtingsekuriteitsbeleid moet vereistes in ag neem wat afgelei is van:
Die inligtingsekuriteitsbeleid moet stellings bevat oor:
Terselfdertyd is onderwerpspesifieke beleide herwerk in ISO 27002:2022 om in te sluit; bestuur van inligtingsekuriteit, batebestuur, netwerksekuriteit, bestuur van inligtingsekuriteit, en veilige ontwikkeling. Sommige van die in ISO 27002:2013 is óf verwyder óf saamgevoeg om 'n meer holistiese raamwerk te vorm.
By ISMS.online, sal ons maklik-om-te gebruik, dog kragtige, wolkstelsel jou voorsien van 'n volledige stel gereedskap en hulpbronne om jou te help om jou eie ISO 27001/27002 Inligtingsekuriteitsbestuurstelsel (ISMS) te bestuur, of jy nuut is na ISO 27001/27002 of reeds gesertifiseer.
Ons intuïtiewe stap-vir-stap werkvloei, gereedskap, raamwerke, beleide en kontroles, uitvoerbare dokumentasie en leiding lei jou deur die proses van implementering van ISO 27002, wat dit vir jou maklik maak om die omvang van die ISMS te definieer, risiko's te identifiseer en beheermaatreëls te implementeer met behulp van ons algoritmes – hetsy van nuuts af of van beste praktyksjablone.
Kontak vandag nog om bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
