Wanneer inligting aan interne of eksterne partye oorgedra word, skep dit 'n groter risiko vir die vertroulikheid, integriteit, beskikbaarheid en sekuriteit van inligting oorgedra.
Beheer 5.14 behels die vereistes waaraan organisasies moet voldoen om die sekuriteit van data te handhaaf wanneer dit intern gedeel word of wanneer dit uit die organisasie na derde partye vloei.
Beheer 5.14 is 'n voorkomende tipe beheer wat van organisasies vereis om toepaslike reëls, prosedures en/of ooreenkomste in te stel om die sekuriteit van data te handhaaf wanneer dit binne 'n organisasie gedeel word of wanneer dit aan derde partye oorgedra word.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Batebestuur #Inligtingbeskerming | #Beskerming |
Terwyl die ontwikkeling en implementering van reëls, prosedures en ooreenkomste die ondersteuning en goedkeuring van hoëvlakbestuur vereis, is die samewerking en kundigheid van verskillende belanghebbendes binne 'n organisasie, insluitend die regspan, IT-personeel en hoër bestuur, van kritieke belang .
Die regspan moet byvoorbeeld verseker dat die organisasie oordragooreenkomste met derde partye aangaan en dat hierdie ooreenkomste in lyn is met die vereistes gespesifiseer in Beheer 5.14. Net so moet die IT-span aktief deelneem aan die definisie en implementering van kontroles om die sekuriteit van data te handhaaf soos uiteengesit in 5.14.
Voldoening aan 5.14 behels die ontwikkeling van reëls, prosedures en ooreenkomste, insluitend 'n onderwerpspesifieke inligtingoordragbeleid, wat data in transito voorsien met 'n vlak van beskerming wat geskik is vir die klassifikasie wat aan daardie inligting toegeken is.
Met ander woorde, die vlak van beskerming moet ooreenstem met die vlak van kritiek en sensitiwiteit van inligting wat oorgedra word.
Verder spesifiseer Beheer 5.14 dat organisasies oordragooreenkomste met ontvanger derde partye moet onderteken om veilige oordrag van data te waarborg.
Kontrole 5.14 groepeer die tipes oordrag in drie kategorieë:
Voordat ons verder gaan om die spesifieke vereistes vir elke tipe oordrag te beskryf, lys Beheer 5.14 die elemente wat ingesluit moet word in alle reëls, prosedures en ooreenkomste vir al drie tipes oordragte in die algemeen:
Nadat die minimum inhoudsvereistes vir reëls, prosedures en ooreenkomste algemeen oor al drie tipes oordrag gelys is, lys Beheer 5.14 spesifieke inhoudvereistes vir elke tipe oordrag.
Reëls, ooreenkomste en prosedures moet die volgende kwessies aanspreek wanneer inligting elektronies oorgedra word:
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
Wanneer inligting op fisiese wyse soos papiere gedeel word, moet die reëls, prosedures en ooreenkomste die volgende dek:
Beheer 5.14 bepaal dat wanneer personeel inligting binne die organisasie uitruil of wanneer hulle data aan eksterne partye oordra, hulle van die volgende risiko's ingelig moet word:
27002:2022/5.14 vervang 27002:2013/(13.2.1, 13.2.2. 13.2.3).
Alhoewel die twee kontroles tot 'n mate soortgelyk is, maak twee sleutelverskille die 2022-weergawe se vereistes meer.
In die 2013-weergawe, afdeling 13.2.3 die spesifieke vereistes aangespreek vir die oordrag van inligting via elektroniese boodskappe.
Dit het egter nie afsonderlik die oordrag van inligting via verbale of fisiese wyse aangespreek nie.
Daarteenoor identifiseer die 2022-weergawe duidelik drie tipes inligtingoordrag en stel dan die inhoudsvereistes vir elkeen afsonderlik uiteen.
Terwyl afdeling 13.2.3 spesifieke vereistes vir die inhoud van ooreenkomste vir elektroniese boodskappe bevat het, lê die 2022-weergawe strenger verpligtinge op organisasies.
Die 2022-weergawe vereis van organisasies om nuwe beheermaatreëls in die reëls, prosedures en ooreenkomste vir elektroniese oordragte te beskryf en te implementeer.
Organisasies moet byvoorbeeld hul werknemers aanraai om nie SMS-dienste te gebruik wanneer hulle sensitiewe inligting insluit nie.
Die 2022-weergawe stel strenger vereistes vir die oordrag van fisiese bergingsmedia. Die vereistes daarvan is byvoorbeeld meer omvattend ten opsigte van verifikasie van koeriers en die tipe skade wat voorkom moet word.
In die 2013-weergawe was daar 'n uitdruklike verwysing na spesifieke vereistes vir ooreenkomste vir inligtingsoordrag. Die 'Reëls' en 'Prosedures' is egter nie spesifiek aangespreek nie.
Daarteenoor stel die 2022-weergawe die spesifieke vereistes vir elk van hierdie drie meganismes uiteen.
ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.
Kontak vandag nog om bespreek 'n demo.
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |