ISO 27002:2022, Beheer 5.11 – Teruggawe van bates

Wat is die doel van beheer 5.11?

Beheer 5.11 is ontwerp om die organisasie se bates te beskerm as deel van die proses om diens, kontrak of ooreenkoms te verander of te beëindig. Die bedoeling van hierdie beheer is om te verhoed dat ongemagtigde individue bates (bv. toerusting, inligting, sagteware, ens.) wat aan die organisasie behoort, behou.

Wanneer werknemers en kontrakteurs jou organisasie verlaat, moet jy seker maak dat hulle geen sensitiewe data saamneem nie. Jy doen dit deur enige potensiële bedreigings te identifiseer en die gebruiker se aktiwiteite voor hul vertrek te monitor.

Hierdie beheer is om te verseker dat die individu nie toegang tot die IT-stelsels en netwerke het wanneer hulle beëindig word nie. Organisasies moet 'n formele beëindigingsproses daarstel wat verseker dat individue nie toegang tot enige IT-stelsels kan verkry na hul vertrek uit die organisasie nie. Dit kan gedoen word deur alle toestemmings te herroep, rekeninge te deaktiveer en toegang van geboupersele te verwyder.

Prosedures moet in plek wees om te verseker dat werknemers, kontrakteurs en ander relevante partye alle organisatoriese bates teruggee wat nie meer vir besigheidsdoeleindes benodig word nie of wat vervang moet word. Organisasies sal dalk ook 'n finale kontrole van die individu se werkarea wil uitvoer om te verseker dat alle sensitiewe inligting teruggestuur is.

Byvoorbeeld:

• By skeiding word toerusting wat deur die organisasie besit word, versamel (bv. verwyderbare media, skootrekenaars).
• Kontrakteurs gee toerusting en inligting aan die einde van hul kontrak terug.

Wat is betrokke en hoe om aan die vereistes te voldoen

Ten einde aan die vereistes vir beheer 5.11 te voldoen, moet die verandering of beëindigingsproses geformaliseer word om die teruggawe van alle voorheen uitgereikte fisiese en elektroniese bates wat deur die organisasie besit word of aan die organisasie toevertrou is, in te sluit.

Die proses moet ook verseker dat enige en alle toegangsregte, rekeninge, digitale sertifikate en wagwoorde verwyder word. Hierdie formalisering is veral belangrik in gevalle waar 'n verandering of beëindiging onverwags plaasvind, soos dood of bedanking, om ongemagtigde toegang tot organisasiebates te voorkom wat lei tot 'n data-oortreding.

Die proses moet verseker dat alle bates verantwoord word, en dat hulle almal op 'n veilige wyse terugbesorg/vervreem is.

Volgens beheer 5.11 van ISO 27002:2022 moet die organisasie duidelik identifiseer en dokumenteer alle inligting en ander verwante bates wat teruggestuur moet word, wat kan insluit:

a) gebruiker eindpunt toestelle;

b) draagbare bergingstoestelle;

c) spesialis toerusting;

d) stawing hardeware (bv. meganiese sleutels, fisiese tekens en slimkaarte) vir inligtingstelsels, werwe en fisiese argiewe;

e) fisiese kopieë van inligting.

Dit kan bereik word deur middel van 'n formele kontrolelys wat alle nodige items bevat wat terugbesorg/weggedoen moet word en deur die gebruiker voltooi moet word by beëindiging, tesame met enige nodige handtekeninge wat bevestig dat die bates suksesvol terugbesorg/verdryf is.

Verskille tussen ISO 27002:2013 en ISO 27002:2022

Die nuwe 2022-hersiening van ISO 27002 is op 15 Februarie 2022 gepubliseer en is 'n opgradering van ISO 27002:2013.

Die beheer 5.11 in ISO 27002: 2022 is nie 'n nuwe beheer nie, dit is eerder 'n wysiging van beheer 8.1.4 – opbrengs van bates in ISO 27002:2013.

Beide kontroles is in wese dieselfde met byna soortgelyke taal en fraseologie vervat in die implementeringsriglyne. Maar beheer 5.11 in ISO 27002:2022 kom met 'n kenmerktabel wat gebruikers toelaat om die beheer te pas by wat hulle implementeer. Beheer ook 5.11 in ISO 27002:2022 gelyste bates wat kan val onder wat teruggestuur moet word aan die einde van diens of beëindiging van kontrak.

Dit sluit die volgende in:

a) gebruiker eindpunt toestelle;

b) draagbare bergingstoestelle;

c) spesialis toerusting;

d) stawing hardeware (bv. meganiese sleutels, fisiese tekens en slimkaarte) vir inligtingstelsels, werwe en fisiese argiewe;

e) fisiese kopieë van inligting.

Hierdie lys is nie in die 2013-weergawe beskikbaar nie.

Wat beteken hierdie veranderinge vir jou?

Die bygewerkte ISO 27002:2022-standaard is gebaseer op die 2013-weergawe. Die komitee wat toesig hou oor die standaard het geen noemenswaardige opdaterings of wysigings aan die vorige weergawes aangebring nie. Gevolglik voldoen enige organisasie wat tans aan ISO 27002:2013 voldoen reeds aan die nuwe standaard. As jou maatskappy beplan om voldoening aan ISO 27002 te handhaaf, hoef jy nie baie beduidende veranderinge aan jou stelsels en prosesse aan te bring nie.

Jy kan egter meer leer oor hoe hierdie wysigings om 5.11 te beheer jou organisasie sal beïnvloed in ons gids tot ISO 27002:2022.

Hoe ISMS.online help

Die ISMS.online platform is 'n wonderlike hulpmiddel om jou te help implementeer en bestuur 'n ISO 27001/27002 Bestuurstelsel vir inligtingsekuriteit, ongeag jou ervaring met die Standard.

Ons stelsel sal jou lei deur die stappe om u ISMS suksesvol opgestel en bestuur dit vorentoe. Jy sal toegang hê tot 'n wye verskeidenheid hulpbronne, insluitend:

• 'n Interaktiewe ISMS.aanlyn-handleiding wat 'n stap-vir-stap gids verskaf vir die implementering van ISO 27001/27002 in enige organisasie.
• A risiko-assesseringsinstrument wat jou lei deur die proses om jou risiko's te identifiseer en te assesseer.
• 'N Aanlyn polispakket dit is maklik om aan te pas volgens u behoeftes.
• 'n Dokumentbeheerstelsel wat jou help om elke enkele dokument en rekord wat as deel van jou ISMS geskep is, te bestuur.
• Outomatiese verslagdoening vir beter besluitneming.
• 'n Kontrolelys wat jy kan gebruik om te verifieer dat jou prosesse in lyn is met die ISO 27002-raamwerk. Op die ou end het ons wolkgebaseerde platform alles wat jy nodig het om bewys van voldoening aan die ISO-raamwerk te dokumenteer.

Kontak vandag nog om bespreek 'n demo.