ISO 27002, Beheer 5.14, Inligtingoordrag

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

Doel van beheer 5.14

Beheer 5.14 is 'n voorkomende tipe beheer wat van organisasies vereis om toepaslike reëls, prosedures en/of ooreenkomste in te stel om die sekuriteit van data te handhaaf wanneer dit binne 'n organisasie gedeel word of wanneer dit aan derde partye oorgedra word.

Eienskappe van beheer 5.14

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Vertroulikheid	#Beskerm	#Batebestuur	#Beskerming
	#Integriteit		#Inligtingbeskerming
	#Beskikbaarheid

Eienaarskap van beheer 5.14

Terwyl die ontwikkeling en implementering van reëls, prosedures en ooreenkomste die ondersteuning en goedkeuring van hoëvlakbestuur vereis, is die samewerking en kundigheid van verskillende belanghebbendes binne 'n organisasie, insluitend die regspan, IT-personeel en hoër bestuur, van kritieke belang .

Die regspan moet byvoorbeeld verseker dat die organisasie oordragooreenkomste met derde partye aangaan en dat hierdie ooreenkomste in lyn is met die vereistes gespesifiseer in Beheer 5.14. Net so moet die IT-span aktief deelneem aan die definisie en implementering van kontroles om die sekuriteit van data te handhaaf soos uiteengesit in 5.14.

Kry 'n voorsprong van 81%.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo

Algemene riglyne oor beheer 5.14

Voldoening aan 5.14 behels die ontwikkeling van reëls, prosedures en ooreenkomste, insluitend 'n onderwerpspesifieke inligtingoordragbeleid, wat data in transito voorsien met 'n vlak van beskerming wat geskik is vir die klassifikasie wat aan daardie inligting toegeken is.

Met ander woorde, die vlak van beskerming moet ooreenstem met die vlak van kritiek en sensitiwiteit van inligting wat oorgedra word.

Verder spesifiseer Beheer 5.14 dat organisasies oordragooreenkomste met ontvanger derde partye moet onderteken om veilige oordrag van data te waarborg.

Kontrole 5.14 groepeer die tipes oordrag in drie kategorieë:

Elektroniese oordrag
Fisiese stoormedia-oordrag
Verbale oordrag

Voordat ons verder gaan om die spesifieke vereistes vir elke tipe oordrag te beskryf, lys Beheer 5.14 die elemente wat ingesluit moet word in alle reëls, prosedures en ooreenkomste vir al drie tipes oordragte in die algemeen:

Organisasies moet beheermaatreëls definieer geskik is vir die vlak van klassifikasie van die inligting om die inligting in transito te beskerm teen ongemagtigde toegang, wysiging, onderskepping, kopiëring, vernietiging en ontkenning-van-diens-aanvalle.
'n Organisasie moet beheer hou oor die ketting van bewaring terwyl dit in transito is en moet beheermaatreëls definieer en implementeer om naspeurbaarheid van inligting te verseker.
Relevante partye betrokke by die oordrag van inligting moet gedefinieer word en hul kontakbesonderhede moet verskaf word. Dit kan inligtingseienaars en sekuriteitsbeamptes insluit.
Toekenning van aanspreeklikhede in geval 'n data-oortreding voorkom.
Gebruik 'n etiketteringstelsel.
Verseker die beskikbaarheid van die oordragdiens.
Die skep van onderwerpspesifieke riglyne oor die inligtingsoordragmetodes.
Riglyne vir die berging en verwydering van alle besigheidsrekords, insluitend boodskappe.
Ontleding van die impak wat enige toepaslike wette, regulasies of ander verpligtinge op die oordrag mag hê.

Nakoming hoef nie ingewikkeld te wees nie.

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.

Bespreek 'n demo

Aanvullende leiding oor elektroniese oordrag

Nadat die minimum inhoudsvereistes vir reëls, prosedures en ooreenkomste algemeen oor al drie tipes oordrag gelys is, lys Beheer 5.14 spesifieke inhoudvereistes vir elke tipe oordrag.

Reëls, ooreenkomste en prosedures moet die volgende kwessies aanspreek wanneer inligting elektronies oorgedra word:

Opsporing en voorkoming van malware-aanvalle.
Beskerming van sensitiewe inligting vervat in die aanhangsels wat oorgedra is.
Om te verseker dat alle kommunikasie aan die korrekte ontvangers gestuur word en die risiko om kommunikasie na verkeerde e-posadresse te stuur, adresse of telefoonnommers word uitgeskakel.
Verkry voorafmagtiging voordat u enige openbare kommunikasiedienste begin gebruik.
Die implementering van strenger verifikasiemetodes wanneer data via publieke netwerke versend word.
Die oplegging van beperkings op die gebruik van e-kommunikasiedienste soos die verbod op outomatiese aanstuur.
Adviseer personeel om nie kortboodskap- of kitsboodskapdienste te gebruik om sensitiewe data te deel nie, want hierdie inhoud kan deur ongemagtigde individue in openbare ruimtes gesien word.
Advisering van personeel en ander relevante partye oor die sekuriteitsrisiko's aangebied deur faksmasjiene soos die risiko van ongemagtigde toegang of herroetering van boodskappe na spesifieke nommers.

Aanvullende leiding oor oordrag van fisiese bergingsmedia

Wanneer inligting op fisiese wyse soos papiere gedeel word, moet die reëls, prosedures en ooreenkomste die volgende dek:

Toewysing van verantwoordelikhede vir kennisgewing van versending, versending en ontvangs.
Verseker korrekte adressering en vervoer van die boodskap.
Verpakking elimineer die risiko van skade aan die inhoud wat mag ontstaan wanneer die inhoud in vervoer is. Verpakking moet byvoorbeeld goed genoeg wees om nie deur hitte of vog geraak te word nie.
'n Lys van betroubare koeriers wat deur die bestuur ooreengekom en gemagtig is.
Beskrywing van koerier identifikasie standaarde.
Gebruik van peuterbestande kontroles soos sakke indien die vlak van sensitiwiteit en kritiekheid van inligting dit vereis.
Prosedures om ID's van koeriers te verifieer.
Goedgekeurde lys van derde partye wat vervoer- of koerierdienste verskaf, afhangende van die vlak van klassifikasie.
Hou log rekords van die tyd van aflewering, lys van gemagtigde ontvangers, beskerming toegepas, en ontvangs by die bestemming.

Aanvullende leiding oor verbale oordrag

Beheer 5.14 bepaal dat wanneer personeel inligting binne die organisasie uitruil of wanneer hulle data aan eksterne partye oordra, hulle van die volgende risiko's ingelig moet word:

Hulle moet vermy om vertroulike gesprekke oor onseker openbare kanale of in openbare ruimtes te voer.
Hulle moet nie stemboodskappe laat wat vertroulike inligting bevat nie, met inagneming van die risiko van herspeel deur ongemagtigde persone en die risiko van herroetering van die boodskap na derde partye.
Elke individu, hetsy werknemers of ander relevante derde partye, moet gekeur word voordat hulle toegelaat word om na gesprekke te luister.
Kamers, waar vertroulike gesprekke plaasvind, moet toegerus wees met toepaslike kontroles soos klankdigting.
Hulle moet 'n vrywaring gee voordat hulle enige sensitiewe gesprek voer.

Bestuur al jou nakoming op een plek

ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.

Bespreek 'n demo

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/5.14 vervang 27002:2013/(13.2.1, 13.2.2. 13.2.3).

Alhoewel die twee kontroles tot 'n mate soortgelyk is, maak twee sleutelverskille die 2022-weergawe se vereistes meer.

Spesifieke vereistes vir elektriese, fisiese en verbale oordragte

In die 2013-weergawe, afdeling 13.2.3 die spesifieke vereistes aangespreek vir die oordrag van inligting via elektroniese boodskappe.

Dit het egter nie afsonderlik die oordrag van inligting via verbale of fisiese wyse aangespreek nie.

Daarteenoor identifiseer die 2022-weergawe duidelik drie tipes inligtingoordrag en stel dan die inhoudsvereistes vir elkeen afsonderlik uiteen.

2022-weergawe stel strenger vereistes vir elektroniese oordrag

Terwyl afdeling 13.2.3 spesifieke vereistes vir die inhoud van ooreenkomste vir elektroniese boodskappe bevat het, lê die 2022-weergawe strenger verpligtinge op organisasies.

Die 2022-weergawe vereis van organisasies om nuwe beheermaatreëls in die reëls, prosedures en ooreenkomste vir elektroniese oordragte te beskryf en te implementeer.

Organisasies moet byvoorbeeld hul werknemers aanraai om nie SMS-dienste te gebruik wanneer hulle sensitiewe inligting insluit nie.

Meer gedetailleerde vereistes vir fisiese oordragte

Die 2022-weergawe stel strenger vereistes vir die oordrag van fisiese bergingsmedia. Die vereistes daarvan is byvoorbeeld meer omvattend ten opsigte van verifikasie van koeriers en die tipe skade wat voorkom moet word.

Strukturele veranderinge

In die 2013-weergawe was daar 'n uitdruklike verwysing na spesifieke vereistes vir ooreenkomste vir inligtingsoordrag. Die 'Reëls' en 'Prosedures' is egter nie spesifiek aangespreek nie.

Daarteenoor stel die 2022-weergawe die spesifieke vereistes vir elk van hierdie drie meganismes uiteen.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	Nuut	Bedreigingsintelligensie
5.23	Nuut	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	Nuut	IKT-gereedheid vir besigheidskontinuïteit
7.4	Nuut	Fisiese sekuriteitsmonitering
8.9	Nuut	Konfigurasiebestuur
8.10	Nuut	Inligting verwydering
8.11	Nuut	Datamaskering
8.12	Nuut	Voorkoming van datalekkasies
8.16	Nuut	Moniteringsaktiwiteite
8.23	Nuut	Webfiltrering
8.28	Nuut	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	Nuut	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	Nuut	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	Nuut	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	Nuut	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	Nuut	Konfigurasiebestuur
8.10	Nuut	Inligting verwydering
8.11	Nuut	Datamaskering
8.12	Nuut	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	Nuut	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	Nuut	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	Nuut	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.

Kontak vandag nog om bespreek 'n demo.

ISO 27002:2022 – Beheer 5.14 – Inligtingoordrag

Doel van beheer 5.14

Eienskappe van beheer 5.14

Eienaarskap van beheer 5.14

Kry 'n voorsprong van 81%.

Algemene riglyne oor beheer 5.14

Nakoming hoef nie ingewikkeld te wees nie.

Aanvullende leiding oor elektroniese oordrag

Aanvullende leiding oor oordrag van fisiese bergingsmedia

Aanvullende leiding oor verbale oordrag

Bestuur al jou nakoming op een plek

Veranderinge en verskille vanaf ISO 27002:2013

Spesifieke vereistes vir elektriese, fisiese en verbale oordragte

2022-weergawe stel strenger vereistes vir elektroniese oordrag

Meer gedetailleerde vereistes vir fisiese oordragte

Strukturele veranderinge

Nuwe ISO 27002-kontroles

Nuwe kontroles

Organisatoriese kontroles

Mense beheer

Fisiese beheer

Tegnologiese kontroles

Hoe ISMS.online help

Spring na onderwerp

Word tot 5 x vinniger gesertifiseer

Max Edwards

Stel jy belang in 'n ISMS.online platform toer?

Ons is 'n leier in ons veld