ISO 27002:2022, Beheer 5.14 – Inligtingoordrag

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

vroulik, spesialis, werk, op, lessenaar, rekenaar,, projek, bestuurder, staan, langsaan

Wanneer inligting aan interne of eksterne partye oorgedra word, skep dit 'n groter risiko vir die vertroulikheid, integriteit, beskikbaarheid en sekuriteit van inligting oorgedra.

Beheer 5.14 behels die vereistes waaraan organisasies moet voldoen om die sekuriteit van data te handhaaf wanneer dit intern gedeel word of wanneer dit uit die organisasie na derde partye vloei.

Doel van beheer 5.14

Beheer 5.14 is 'n voorkomende tipe beheer wat van organisasies vereis om toepaslike reëls, prosedures en/of ooreenkomste in te stel om die sekuriteit van data te handhaaf wanneer dit binne 'n organisasie gedeel word of wanneer dit aan derde partye oorgedra word.

Eienskappe tabel

beheer TipeEienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende#Vertroulikheid
#Integriteit
#Beskikbaarheid		#Beskerm#Batebestuur
#Inligtingbeskerming		#Beskerming

Eienaarskap van beheer 5.14

Terwyl die ontwikkeling en implementering van reëls, prosedures en ooreenkomste die ondersteuning en goedkeuring van hoëvlakbestuur vereis, is die samewerking en kundigheid van verskillende belanghebbendes binne 'n organisasie, insluitend die regspan, IT-personeel en hoër bestuur, van kritieke belang .

Die regspan moet byvoorbeeld verseker dat die organisasie oordragooreenkomste met derde partye aangaan en dat hierdie ooreenkomste in lyn is met die vereistes gespesifiseer in Beheer 5.14. Net so moet die IT-span aktief deelneem aan die definisie en implementering van kontroles om die sekuriteit van data te handhaaf soos uiteengesit in 5.14.

Spring na Onderwerp
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

Algemene riglyne oor beheer 5.14

Voldoening aan 5.14 behels die ontwikkeling van reëls, prosedures en ooreenkomste, insluitend 'n onderwerpspesifieke inligtingoordragbeleid, wat data in transito voorsien met 'n vlak van beskerming wat geskik is vir die klassifikasie wat aan daardie inligting toegeken is.

Met ander woorde, die vlak van beskerming moet ooreenstem met die vlak van kritiek en sensitiwiteit van inligting wat oorgedra word.

Verder spesifiseer Beheer 5.14 dat organisasies oordragooreenkomste met ontvanger derde partye moet onderteken om veilige oordrag van data te waarborg.

Kontrole 5.14 groepeer die tipes oordrag in drie kategorieë:

  • Elektroniese oordrag
  • Fisiese stoormedia-oordrag
  • Verbale oordrag

Voordat ons verder gaan om die spesifieke vereistes vir elke tipe oordrag te beskryf, lys Beheer 5.14 die elemente wat ingesluit moet word in alle reëls, prosedures en ooreenkomste vir al drie tipes oordragte in die algemeen:

  • Organisasies moet beheermaatreëls definieer geskik is vir die vlak van klassifikasie van die inligting om die inligting in transito te beskerm teen ongemagtigde toegang, wysiging, onderskepping, kopiëring, vernietiging en ontkenning-van-diens-aanvalle.

  • 'n Organisasie moet beheer hou oor die ketting van bewaring terwyl dit in transito is en moet beheermaatreëls definieer en implementeer om naspeurbaarheid van inligting te verseker.

  • Relevante partye betrokke by die oordrag van inligting moet gedefinieer word en hul kontakbesonderhede moet verskaf word. Dit kan inligtingseienaars en sekuriteitsbeamptes insluit.

  • Toekenning van aanspreeklikhede in geval 'n data-oortreding voorkom.

  • Gebruik 'n etiketteringstelsel.

  • Verseker die beskikbaarheid van die oordragdiens.

  • Die skep van onderwerpspesifieke riglyne oor die inligtingsoordragmetodes.

  • Riglyne vir die berging en verwydering van alle besigheidsrekords, insluitend boodskappe.

  • Ontleding van die impak wat enige toepaslike wette, regulasies of ander verpligtinge op die oordrag mag hê.

Aanvullende leiding oor elektroniese oordrag

Nadat die minimum inhoudsvereistes vir reëls, prosedures en ooreenkomste algemeen oor al drie tipes oordrag gelys is, lys Beheer 5.14 spesifieke inhoudvereistes vir elke tipe oordrag.

Reëls, ooreenkomste en prosedures moet die volgende kwessies aanspreek wanneer inligting elektronies oorgedra word:

  • Opsporing en voorkoming van malware-aanvalle.

  • Beskerming van sensitiewe inligting vervat in die aanhangsels wat oorgedra is.

  • Om te verseker dat alle kommunikasie aan die korrekte ontvangers gestuur word en die risiko om kommunikasie na verkeerde e-posadresse te stuur, adresse of telefoonnommers word uitgeskakel.

  • Verkry voorafmagtiging voordat u enige openbare kommunikasiedienste begin gebruik.

  • Die implementering van strenger verifikasiemetodes wanneer data via publieke netwerke versend word.

  • Die oplegging van beperkings op die gebruik van e-kommunikasiedienste soos die verbod op outomatiese aanstuur.

  • Adviseer personeel om nie kortboodskap- of kitsboodskapdienste te gebruik om sensitiewe data te deel nie, want hierdie inhoud kan deur ongemagtigde individue in openbare ruimtes gesien word.

  • Advisering van personeel en ander relevante partye oor die sekuriteitsrisiko's aangebied deur faksmasjiene soos die risiko van ongemagtigde toegang of herroetering van boodskappe na spesifieke nommers.

Is jy gereed vir
die nuwe ISO 27002

Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo

Ons is koste-effektief en vinnig

Ontdek hoe dit jou ROI sal verhoog
Kry jou kwotasie

Aanvullende leiding oor oordrag van fisiese bergingsmedia

Wanneer inligting op fisiese wyse soos papiere gedeel word, moet die reëls, prosedures en ooreenkomste die volgende dek:

  • Toewysing van verantwoordelikhede vir kennisgewing van versending, versending en ontvangs.

  • Verseker korrekte adressering en vervoer van die boodskap.

  • Verpakking elimineer die risiko van skade aan die inhoud wat mag ontstaan ​​wanneer die inhoud in vervoer is. Verpakking moet byvoorbeeld goed genoeg wees om nie deur hitte of vog geraak te word nie.

  • 'n Lys van betroubare koeriers wat deur die bestuur ooreengekom en gemagtig is.

  • Beskrywing van koerier identifikasie standaarde.

  • Gebruik van peuterbestande kontroles soos sakke indien die vlak van sensitiwiteit en kritiekheid van inligting dit vereis.

  • Prosedures om ID's van koeriers te verifieer.

  • Goedgekeurde lys van derde partye wat vervoer- of koerierdienste verskaf, afhangende van die vlak van klassifikasie.

  • Hou log rekords van die tyd van aflewering, lys van gemagtigde ontvangers, beskerming toegepas, en ontvangs by die bestemming.

Aanvullende leiding oor verbale oordrag

Beheer 5.14 bepaal dat wanneer personeel inligting binne die organisasie uitruil of wanneer hulle data aan eksterne partye oordra, hulle van die volgende risiko's ingelig moet word:

  • Hulle moet vermy om vertroulike gesprekke oor onseker openbare kanale of in openbare ruimtes te voer.

  • Hulle moet nie stemboodskappe laat wat vertroulike inligting bevat nie, met inagneming van die risiko van herspeel deur ongemagtigde persone en die risiko van herroetering van die boodskap na derde partye.

  • Elke individu, hetsy werknemers of ander relevante derde partye, moet gekeur word voordat hulle toegelaat word om na gesprekke te luister.

  • Kamers, waar vertroulike gesprekke plaasvind, moet toegerus wees met toepaslike kontroles soos klankdigting.

  • Hulle moet 'n vrywaring gee voordat hulle enige sensitiewe gesprek voer.

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/5.14 vervang 27002:2013/(13.2.1, 13.2.2. 13.2.3).

Alhoewel die twee kontroles tot 'n mate soortgelyk is, maak twee sleutelverskille die 2022-weergawe se vereistes meer.

Spesifieke vereistes vir elektriese, fisiese en verbale oordragte

In die 2013-weergawe, afdeling 13.2.3 die spesifieke vereistes aangespreek vir die oordrag van inligting via elektroniese boodskappe.

Dit het egter nie afsonderlik die oordrag van inligting via verbale of fisiese wyse aangespreek nie.

Daarteenoor identifiseer die 2022-weergawe duidelik drie tipes inligtingoordrag en stel dan die inhoudsvereistes vir elkeen afsonderlik uiteen.

2022-weergawe stel strenger vereistes vir elektroniese oordrag

Terwyl afdeling 13.2.3 spesifieke vereistes vir die inhoud van ooreenkomste vir elektroniese boodskappe bevat het, lê die 2022-weergawe strenger verpligtinge op organisasies.

Die 2022-weergawe vereis van organisasies om nuwe beheermaatreëls in die reëls, prosedures en ooreenkomste vir elektroniese oordragte te beskryf en te implementeer.

Organisasies moet byvoorbeeld hul werknemers aanraai om nie SMS-dienste te gebruik wanneer hulle sensitiewe inligting insluit nie.

Meer gedetailleerde vereistes vir fisiese oordragte

Die 2022-weergawe stel strenger vereistes vir die oordrag van fisiese bergingsmedia. Die vereistes daarvan is byvoorbeeld meer omvattend ten opsigte van verifikasie van koeriers en die tipe skade wat voorkom moet word.

Strukturele veranderinge

In die 2013-weergawe was daar 'n uitdruklike verwysing na spesifieke vereistes vir ooreenkomste vir inligtingsoordrag. Die 'Reëls' en 'Prosedures' is egter nie spesifiek aangespreek nie.

Daarteenoor stel die 2022-weergawe die spesifieke vereistes vir elk van hierdie drie meganismes uiteen.

Hoe ISMS.online help

ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.

Kontak vandag nog om bespreek 'n demo.

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind