Aanvaarbare gebruik van inligting en geassosieerde bates

ISO 27002:2022 – Beheer 5.10 – Aanvaarbare gebruik van inligting en ander geassosieerde bates

Beheer 5.10 bepaal dat die reëls vir die aanvaarbare gebruik en prosedures vir die hantering van inligting en ander verwante bates geïdentifiseer, gedokumenteer en geïmplementeer moet word. Die doel van sulke beleide is om duidelike riglyne uiteen te sit van hoe gebruikers moet optree wanneer hulle met inligtingsbates werk, om vertroulikheid, integriteit en beskikbaarheid van die organisasie se inligtingsekuriteitsbates te verseker.

Wat is Beheer 5.10, Aanvaarbare gebruik van inligting en ander verwante bates?

Die beleid vir aanvaarbare gebruik van inligtingbates (AUA) is van toepassing op alle lede van 'n organisasie en bates wat deur die organisasie besit of bedryf word. Die AUA is van toepassing op alle gebruike van inligtingsbates vir enige doel, insluitend kommersiële.

Die volgende is voorbeelde van inligtingsbates:

hardeware: rekenaars, mobiele toestelle, fone en faksmasjiene.
sagteware: bedryfstelsels, toepassings (insluitend webgebaseerde toepassings), nutsprogramme, fermware en programmeertale.
data: gestruktureerde data in relasionele databasisse, plat lêers en NoSQL data; ongestruktureerde data soos teksdokumente, sigblaaie, beelde, video- en oudiolêers; rekords in enige formaat.
Networks: bedrade en draadlose netwerke; telekommunikasiestelsels; stem oor IP dienste.
Dienste: wolkdienste, e-posrekeninge en ander gasheerdienste.

Aanvaarbare gebruik van inligting en ander verwante bates beteken die gebruik van inligtingsbates op maniere wat nie die beskikbaarheid, betroubaarheid of integriteit van data, dienste of hulpbronne in gevaar stel nie. Dit beteken ook om hulle op maniere te gebruik wat nie wette of die organisasie se beleide oortree nie.

ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin

Eienskappe van beheer 5.10

Die nuwe ISO 27002:2022 standaard kom met kenmerktabelle wat nie in die 2013-weergawe gevind word nie. Eienskappe is 'n manier om kontroles te klassifiseer.

Hulle laat jou ook toe om jou beheerkeuse te pas by algemeen gebruikte industrieterme en spesifikasies. Die volgende kontroles is beskikbaar in kontrole 5:10.

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Vertroulikheid	#Beskerm	#Batebestuur	#Beheer en ekosisteem
	#Integriteit		#Inligtingbeskerming	#Beskerming
	#Beskikbaarheid

Wat is die doel van beheer 5.10?

Die oorkoepelende doelwit hiervan beheer is om inligting en ander verwante bates te verseker word toepaslik beskerm, gebruik en hanteer.

Beheer 5.10 is ontwerp om te verseker dat beleide, prosedures en tegniese kontroles in plek is om te verhoed dat gebruikers onbehoorlik toegang verkry, gebruik of inligtingsbates openbaar.

Hierdie beheer het ten doel om 'n raamwerk vir organisasies te verskaf om dit te verseker inligting en ander bates word toepaslik beskerm, gebruik en hanteer. Dit sluit in om te verseker dat die beleide en prosedures op alle vlakke binne die organisasie bestaan, asook om te verseker dat daardie beleide en prosedures konsekwent afgedwing word.

Implementering van beheer 5.10 as deel van jou ISMS beteken dat jy die verskillende vereistes ingestel het wat verband hou met hoe jou maatskappy IT-bates beskerm, insluitend:

Die beskerming van inligting tydens berging, verwerking en vervoer.
Die beskerming en toepaslike gebruik van IT-toerusting.
Die gebruik van toepaslike verifikasiedienste om toegang tot inligtingstelsels te beheer.
Die verwerking van inligting binne 'n organisasie slegs deur gebruikers met toepaslike magtiging.
Die toekenning van inligting-verwante verantwoordelikhede teenoor spesifieke individue of rolle.
Die opvoeding en opleiding van gebruikers rakende hul sekuriteitsverantwoordelikhede.

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo

Wat is betrokke en hoe om aan die vereistes te voldoen

Ten einde te voldoen aan die vereistes vir beheer 5.10 in ISO 27002:2022, is dit belangrik dat werknemers en eksterne partye wat die organisasie se inligting en ander verwante bates gebruik of toegang het tot die organisasie se inligting en ander verwante bates bewus is van die organisasie se inligtingsekuriteitsvereistes.

Hierdie mense moet verantwoordelik gehou word vir enige inligtingverwerkingsfasiliteite wat hulle gebruik.

Almal wat betrokke is by die gebruik of hantering van inligting en ander verwante bates moet bewus gemaak word van die organisasie se beleid oor aanvaarbare gebruik van inligting en ander verwante bates.

Almal betrokke by die gebruik of hantering van inligting en ander verwante bates moet bewus gemaak word van die organisasie se beleid oor toelaatbare gebruik van inligting en ander verwante bates. As deel van 'n onderwerpspesifieke aanvaarbare gebruiksbeleid, moet personeel presies weet wat van hulle verwag word om met inligting en ander bates te doen.

In die besonder moet onderwerpspesifieke beleid bepaal dat:

a) verwagte en onaanvaarbare gedrag van individue vanuit 'n inligtingsekuriteitsperspektief;

b) toegelate en verbode gebruik van inligting en ander verwante bates;

c) monitering van aktiwiteite wat deur die organisasie uitgevoer word.

Aanvaarbare gebruiksprosedures moet opgestel word vir die volledige inligtingslewensiklus in ooreenstemming met die klassifikasie en vasgestelde risiko's. Die volgende items moet oorweeg word:

a) toegangsbeperkings wat die beskermingsvereistes vir elke vlak van klassifikasie ondersteun;

b) instandhouding van 'n rekord van die gemagtigde gebruikers van inligting en ander verwante bates;

c) beskerming van tydelike of permanente kopieë van inligting tot 'n vlak wat ooreenstem met die
beskerming van die oorspronklike inligting;

d) berging van bates wat verband hou met inligting in ooreenstemming met vervaardigers se spesifikasies;

e) duidelike merk van alle kopieë van stoormedia (elektronies of fisies) vir die aandag van die
gemagtigde ontvanger;

f) magtiging vir die beskikking van inligting en ander verwante bates en ondersteunde skrapmetode(s).

Verskille tussen ISO 27002:2013 en ISO 27002:2022

Die nuwe 2022-hersiening van ISO 27002 is op 15 Februarie 2022 gepubliseer en is 'n opgradering van ISO 27002:2013.

Die beheer 5.10 in ISO 27002:2022 is nie 'n nuwe beheer nie, dit is eerder 'n kombinasie van kontroles 8.1.3 – aanvaarbare gebruik van bates en 8.2.3 – hantering van bates in ISO 27002:2013.

Terwyl die essensie en implementeringsriglyne van beheer 5.10 relatief dieselfde is met kontroles 8.1.3 en 8.2.3, het beheer 5.10 beide die aanvaarbare gebruik van bates en die hantering van bates in een kontrole saamgevoeg om vir verbeterde gebruikersvriendelikheid toe te laat.

Beheer 5.10 het egter ook 'n ekstra punt by beheer 8.2.3 gevoeg. Dit dek magtiging vir die beskikking van inligting en ander verwante bates en die ondersteunde skrapmetode(s).

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo

Wie is in beheer van hierdie proses?

Die aanvaarbare gebruik van inligting en ander geassosieerde bates is 'n beleid wat reëls daarstel om behoorlike gebruik van die maatskappy se inligting en ander verwante bates, insluitend rekenaars, netwerke en stelsels, e-pos, lêers en bergingsmedia te verseker. Hierdie beleid is bindend op alle werknemers en kontrakteurs.

Die doel van hierdie beleid is om:

Maak seker dat die maatskappy se inligting en ander verwante bates slegs vir wettige besigheidsdoeleindes gebruik word.
Verseker dat werknemers voldoen aan alle wette en regulasies met betrekking tot inligtingsekuriteit.
Beskerm die maatskappy se inligting en ander verwante bates teen bedreigings wat van binne of buite die maatskappy ontstaan.

Die Inligtingsekuriteitsbeampte (ISO) is verantwoordelik vir die ontwikkeling, implementering en instandhouding van die Aanvaarbare Gebruik van Inligtingsbates.

Die ISO sal verantwoordelik wees vir die bestuur van die gebruik van inligtingsbronne regdeur die organisasie om te verseker dat inligting gebruik word op 'n manier wat die sekuriteit en integriteit van data beskerm, die vertroulikheid van eiendoms- of sensitiewe inligting bewaar, teen misbruik en ongemagtigde toegang tot rekenaars beskerm. hulpbronne, en skakel onnodige blootstelling of aanspreeklikheid vir die organisasie uit.

Wat beteken hierdie veranderinge vir jou?

Die nuwe ISO 27002: 2022-standaard is nie 'n aansienlike opgradering nie. Gevolglik hoef jy dalk nie enige beduidende veranderinge aan te bring met betrekking tot voldoening aan die mees onlangse weergawe van ISO 27002 nie.

Sien egter asseblief ons gids tot ISO 27002:2022, waar jy meer kan ontdek oor hoe hierdie veranderinge om 5.10 te beheer jou besigheid sal beïnvloed.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	NUWE	Bedreigingsintelligensie
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	NUWE	IKT-gereedheid vir besigheidskontinuïteit
7.4	NUWE	Fisiese sekuriteitsmonitering
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.16	NUWE	Moniteringsaktiwiteite
8.23	NUWE	Webfiltrering
8.28	NUWE	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	NUWE	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	5.30	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	NUWE	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NUWE	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	NUWE	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	NUWE	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

Soos u weet, is ISO 27002 'n algemeen aanvaarde en goed erkende standaard vir inligtingsekuriteit.

Dit verskaf 'n model vir die vestiging, implementering, bedryf, monitering, hersiening, instandhouding en verbetering van 'n Inligtingsekuriteitbestuurstelsel (ISMS).

Omdat die ISO 27002-standaard so omvattend en gedetailleerd is, kan die implementering daarvan 'n tydrowende proses wees. Maar met ISMS.aanlyn, jy het 'n eenstopoplossing wat dinge baie eenvoudiger maak.

Ons wêreldklas inligting-sekuriteit bestuurstelsel sagteware platform maak dit baie maklik om te verstaan wat gedoen moet word en hoe om dit te doen.

Ons haal die pyn uit die bestuur van jou voldoeningsvereistes.

Met ISMS.online is ISO 27002-implementering eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.

Kontak vandag nog om bespreek 'n demo.

Ons is 'n leier in ons veld