Wat is beheer 5.1?
'n Inligtingsekuriteitsbeleid verskaf aan werknemers, bestuur en eksterne partye (bv. kliënte en verskaffers) 'n raamwerk vir die bestuur van elektroniese inligting, insluitend rekenaarnetwerke.
Die doel van 'n inligtingsekuriteitsbeleid is om die risiko van dataverlies of diefstal van interne en eksterne bedreigings te verminder. ’n Inligtingsekuriteitsbeleid verseker ook dat alle werknemers bewus is van hul verantwoordelikhede vir die beskerming van die data wat deur hul organisasies gehou word.
’n Inligtingsekuriteitsbeleid kan ook gebruik word om voldoening aan wette en regulasies te demonstreer, en help om aan standaarde soos ISO 27001 te voldoen.
Kubersekuriteit en inligtingsekuriteitsbedreigings verduidelik
Kubersekuriteitsbedreigings is enige moontlike kwaadwillige aanval wat poog om onwettig toegang tot data te verkry, digitale bedrywighede te ontwrig of inligting te beskadig. Kuberbedreigings kan afkomstig wees van verskeie rolspelers, insluitend korporatiewe spioene en hacktiviste, terreurgroepe, vyandige nasiestate en kriminele organisasies.
Sommige van die meer gewilde kubersekuriteit en inligtingsekuriteitbedreigings is:
- malware: virusse, spyware en ander kwaadwillige programme.
- Uitvissing-e-posse: boodskappe wat blyk te wees van betroubare bronne, maar wat skakels en aanhegsels bevat wat wanware installeer.
- Ransomware: wanware wat gebruikers verhoed om toegang tot hul eie data te verkry totdat hulle 'n losprys betaal.
- Sosiale ingenieurswese: aanvallers wat mense manipuleer om sensitiewe inligting te gee, gewoonlik deur betroubaar te voorkom.
- Walvisaanvalle: phishing-e-posse wat ontwerp is om te lyk asof dit van hoëprofiel-individue binne 'n organisasie kom.
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Wat is die doel van beheer 5.1?
Die doel van die inligtingsekuriteitsbeleid is om bestuursondersteuning te verseker vir die beskerming van jou maatskappy se sensitiewe inligting teen diefstal en ongemagtigde toegang.
Beheer 5.1 dek die beheer-, doel- en implementeringsleiding vir die daarstelling van 'n inligtingsekuriteitsbeleid in 'n organisasie volgens die raamwerk soos gedefinieer deur ISO 27001.
Beheer 5.1 bepaal dat organisasies hoë- en laevlakbeleide moet hê oor hoe hulle hul inligtingsekuriteit bestuur. Die organisasie se senior bestuur moet die beleid goedkeur, wat gereeld hersien moet word en ook indien veranderinge in die inligtingsekuriteitsomgewing plaasvind.
Die beste benadering is om gereeld ten minste een keer per maand te vergader, met bykomende vergaderings geskeduleer soos nodig. Indien veranderinge aan die beleide aangebring word, moet bestuur dit goedkeur voordat dit geïmplementeer word. Die beleide moet ook met interne en eksterne belanghebbendes gedeel word.
Eienskappe van beheer 5.1
Eienskappe is 'n manier om kontroles te kategoriseer. Dit laat jou toe om jou beheerkeuse vinnig in lyn te bring met algemene bedryfstaal en -standaarde. In beheer 5.1 is dit.
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Identifiseer | #Beheer | #Beheer en ekosisteem |
| #Integriteit | # Veerkragtigheid | |||
| #Beskikbaarheid |
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Wat is betrokke en hoe om aan die vereistes te voldoen
Die inligtingsekuriteitsbeleid moet die basis verskaf vir, en ondersteun word deur, gedetailleerde bedryfsprosedures wat beskryf hoe inligtingsekuriteit in die praktyk bestuur sal word.
Die beleid moet deur topbestuur goedgekeur word, wat moet verseker dat dit aan personeel gekommunikeer word en aan belanghebbende partye beskikbaar gestel word.
Die beleid gee rigting aan die organisasie se benadering tot die bestuur van inligtingsekuriteit, en kan gebruik word as 'n raamwerk vir die ontwikkeling van meer gedetailleerde bedryfsprosedures.
Die beleid is 'n noodsaaklike element in die vestiging en instandhouding van 'n inligtingsekuriteitbestuurstelsel (ISMS), soos vereis deur die ISO/IEC 27000-familie van standaarde, maar selfs al is die organisasie nie van plan om formele sertifisering volgens ISO 27001 of enige ander standaard te implementeer nie. , 'n goed gedefinieerde beleid is steeds belangrik.
Veranderinge en verskille vanaf ISO 27002:2013
In ISO 27002: 2022 is beheer 5.1 Inligtingsekuriteitsbeleide nie 'n nuwe beheer nie, dit is eerder die resultaat van die samevoeging van beheermaatreëls 5.1.1 Beleide vir inligtingsekuriteit en 5.1.2 Hersiening van beleide vir inligtingsekuriteit van ISO 27002 hersiening 2013.
In ISO 27002:2022 is beheer 5.1 opgedateer om 'n beskrywing van die doel daarvan en uitgebreide implementeringsleiding in te sluit. Dit het ook 'n kenmerktabel gehad wat gebruikers in staat stel om kontroles met industrieterminologieë te versoen.
In ISO 27002:2022 stel beheer 5.1 dat inligtingsekuriteit en onderwerpspesifieke beleide gedefinieer, deur die bestuur goedgekeur, gepubliseer, aan relevante personeel en relevante belanghebbende partye gekommunikeer en erken moet word.
Die inligtingsekuriteitsbeleid van 'n organisasie moet die organisasie se grootte, tipe en sensitiwiteit van inligtingsbates weerspieël. Dit moet ook ooreenstem met industriestandaarde en toepaslike regeringsregulasies.
Terwyl die kern van die beheer self soortgelyk is aan 5.1.1 van ISO 27002: 2013, stel weergawe 2022 spesifiek dat hierdie inligtingsekuriteitsbeleide gereeld hersien moet word en ook indien veranderinge in die inligtingsekuriteitsomgewing plaasvind. Hierdie ruiter word gedek in klousule 5.1.2 van ISO 27002:2013.
ISO 27002: 2013 en ISO 27002: 2022 bepaal dat die hoogste vlak van die organisasie 'n sekuriteitsbeleid moet definieer wat topbestuur goedkeur en wat bepaal hoe hulle toesig sal hou oor die beskerming van hul inligting. Die vereistes wat deur die beleide vir beide weergawes gedek word, verskil egter.
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
Beheer 5.1 2013 – 2022 Implementeringsriglyne vergelyk
In ISO 27002:2013 moet inligtingsekuriteitsbeleide voldoen aan vereistes wat geskep is deur:
- Besigheidstrategieë.
- Regulasies, wetgewing en kontrakte.
- Die huidige en geprojekteerde inligtingsekuriteitsbedreigingsomgewing.
Die inligtingsekuriteitsbeleid moet stellings bevat oor:
- Definisie van inligtingsekuriteit, doelwitte en beginsels om alle aktiwiteite wat verband hou met, te rig
inligtings sekuriteit. - Toewysing van algemene en spesifieke verantwoordelikhede vir inligtingsekuriteitbestuur aan
gedefinieerde rolle. - Prosesse vir die hantering van afwykings en uitsonderings.
Maar die vereistes vir ISO 27002:2022 is 'n bietjie meer omvattend.
Die inligtingsekuriteitsbeleid moet vereistes in ag neem wat afgelei is van:
- Besigheidstrategie en vereistes.
- Regulasies, wetgewing en kontrakte.
- Die huidige en geprojekteerde inligtingsekuriteitsrisiko's en -bedreigings.
Die inligtingsekuriteitsbeleid moet stellings bevat oor:
- Definisie van inligtingsekuriteit.
- Inligtingsekuriteitsdoelwitte of die raamwerk vir die opstel van inligtingsekuriteitsdoelwitte.
- Beginsels om alle aktiwiteite met betrekking tot inligtingsekuriteit te lei.
- Toewyding om te voldoen aan toepaslike vereistes wat verband hou met inligtingsekuriteit.
- Verbintenis tot voortdurende verbetering van die inligtingsekuriteitbestuurstelsel.
- Toewysing van verantwoordelikhede vir inligtingsekuriteitbestuur aan gedefinieerde rolle.
- Prosedures vir die hantering van vrystellings en uitsonderings.
Terselfdertyd is onderwerpspesifieke beleide herwerk in ISO 27002:2022 om in te sluit; bestuur van inligtingsekuriteit, batebestuur, netwerksekuriteit, bestuur van inligtingsekuriteit, en veilige ontwikkeling. Sommige van die in ISO 27002:2013 is óf verwyder óf saamgevoeg om 'n meer holistiese raamwerk te vorm.
Nuwe ISO 27002-kontroles
Nuwe kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.Online help
By ISMS.online, sal ons maklik-om-te gebruik, dog kragtige, wolkstelsel jou voorsien van 'n volledige stel gereedskap en hulpbronne om jou te help om jou eie ISO 27001/27002 Inligtingsekuriteitsbestuurstelsel (ISMS) te bestuur, of jy nuut is na ISO 27001/27002 of reeds gesertifiseer.
Ons intuïtiewe stap-vir-stap werkvloei, gereedskap, raamwerke, beleide en kontroles, uitvoerbare dokumentasie en leiding lei jou deur die proses van implementering van ISO 27002, wat dit vir jou maklik maak om die omvang van die ISMS te definieer, risiko's te identifiseer en beheermaatreëls te implementeer met behulp van ons algoritmes – hetsy van nuuts af of van beste praktyksjablone.
Kontak vandag nog om bespreek 'n demo.
Spring na onderwerp
