Slaan oor na inhoud
ISMS.aanlyn

ISO 27002:2022 – Beheer 5.14 – Inligtingoordrag

Wanneer inligting aan interne of eksterne partye oorgedra word, skep dit 'n groter risiko vir die vertroulikheid, integriteit, beskikbaarheid en sekuriteit van inligting oorgedra. Beheer 5.14 behels die vereistes waaraan organisasies moet voldoen om die sekuriteit van data te handhaaf wanneer dit intern gedeel word of wanneer dit uit die organisasie na derde partye vloei.

skrywer
Sam Peters
Opgedateer Julie 25, 2025
4/5 sterre

Doel van beheer 5.14

Beheer 5.14 is 'n voorkomende tipe beheer wat van organisasies vereis om toepaslike reëls, prosedures en/of ooreenkomste in te stel om die sekuriteit van data te handhaaf wanneer dit binne 'n organisasie gedeel word of wanneer dit aan derde partye oorgedra word.

Eienskappe van beheer 5.14

beheer Tipe Eienskappe vir inligtingsekuriteit Kuberveiligheidskonsepte Operasionele vermoëns Sekuriteitsdomeine
#Voorkomende #Vertroulikheid #Beskerm #Batebestuur #Beskerming
#Integriteit #Inligtingbeskerming
#Beskikbaarheid

Eienaarskap van beheer 5.14

Terwyl die ontwikkeling en implementering van reëls, prosedures en ooreenkomste die ondersteuning en goedkeuring van hoëvlakbestuur vereis, is die samewerking en kundigheid van verskillende belanghebbendes binne 'n organisasie, insluitend die regspan, IT-personeel en hoër bestuur, van kritieke belang .

Die regspan moet byvoorbeeld verseker dat die organisasie oordragooreenkomste met derde partye aangaan en dat hierdie ooreenkomste in lyn is met die vereistes gespesifiseer in Beheer 5.14. Net so moet die IT-span aktief deelneem aan die definisie en implementering van kontroles om die sekuriteit van data te handhaaf soos uiteengesit in 5.14.



ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

'n Voorsprong van 81% van dag een af

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin


Algemene riglyne oor beheer 5.14

Voldoening aan 5.14 behels die ontwikkeling van reëls, prosedures en ooreenkomste, insluitend 'n onderwerpspesifieke inligtingoordragbeleid, wat data in transito voorsien met 'n vlak van beskerming wat geskik is vir die klassifikasie wat aan daardie inligting toegeken is.

Met ander woorde, die vlak van beskerming moet ooreenstem met die vlak van kritiek en sensitiwiteit van inligting wat oorgedra word.

Verder spesifiseer Beheer 5.14 dat organisasies oordragooreenkomste met ontvanger derde partye moet onderteken om veilige oordrag van data te waarborg.

Kontrole 5.14 groepeer die tipes oordrag in drie kategorieë:

  • Elektroniese oordrag
  • Fisiese stoormedia-oordrag
  • Verbale oordrag

Voordat ons verder gaan om die spesifieke vereistes vir elke tipe oordrag te beskryf, lys Beheer 5.14 die elemente wat ingesluit moet word in alle reëls, prosedures en ooreenkomste vir al drie tipes oordragte in die algemeen:

  • Organisasies moet beheermaatreëls definieer geskik is vir die vlak van klassifikasie van die inligting om die inligting in transito te beskerm teen ongemagtigde toegang, wysiging, onderskepping, kopiëring, vernietiging en ontkenning-van-diens-aanvalle.
  • 'n Organisasie moet beheer hou oor die ketting van bewaring terwyl dit in transito is en moet beheermaatreëls definieer en implementeer om naspeurbaarheid van inligting te verseker.
  • Relevante partye betrokke by die oordrag van inligting moet gedefinieer word en hul kontakbesonderhede moet verskaf word. Dit kan inligtingseienaars en sekuriteitsbeamptes insluit.
  • Toekenning van aanspreeklikhede in geval 'n data-oortreding voorkom.
  • Gebruik 'n etiketteringstelsel.
  • Verseker die beskikbaarheid van die oordragdiens.
  • Die skep van onderwerpspesifieke riglyne oor die inligtingsoordragmetodes.
  • Riglyne vir die berging en verwydering van alle besigheidsrekords, insluitend boodskappe.
  • Ontleding van die impak wat enige toepaslike wette, regulasies of ander verpligtinge op die oordrag mag hê.


klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Aanvullende leiding oor elektroniese oordrag

Nadat die minimum inhoudsvereistes vir reëls, prosedures en ooreenkomste algemeen oor al drie tipes oordrag gelys is, lys Beheer 5.14 spesifieke inhoudvereistes vir elke tipe oordrag.

Reëls, ooreenkomste en prosedures moet die volgende kwessies aanspreek wanneer inligting elektronies oorgedra word:

  • Opsporing en voorkoming van malware-aanvalle.
  • Beskerming van sensitiewe inligting vervat in die aanhangsels wat oorgedra is.
  • Om te verseker dat alle kommunikasie aan die korrekte ontvangers gestuur word en die risiko om kommunikasie na verkeerde e-posadresse te stuur, adresse of telefoonnommers word uitgeskakel.
  • Verkry voorafmagtiging voordat u enige openbare kommunikasiedienste begin gebruik.
  • Die implementering van strenger verifikasiemetodes wanneer data via publieke netwerke versend word.
  • Die oplegging van beperkings op die gebruik van e-kommunikasiedienste soos die verbod op outomatiese aanstuur.
  • Adviseer personeel om nie kortboodskap- of kitsboodskapdienste te gebruik om sensitiewe data te deel nie, want hierdie inhoud kan deur ongemagtigde individue in openbare ruimtes gesien word.
  • Advisering van personeel en ander relevante partye oor die sekuriteitsrisiko's aangebied deur faksmasjiene soos die risiko van ongemagtigde toegang of herroetering van boodskappe na spesifieke nommers.

Aanvullende leiding oor oordrag van fisiese bergingsmedia

Wanneer inligting op fisiese wyse soos papiere gedeel word, moet die reëls, prosedures en ooreenkomste die volgende dek:

  • Toewysing van verantwoordelikhede vir kennisgewing van versending, versending en ontvangs.
  • Verseker korrekte adressering en vervoer van die boodskap.
  • Verpakking elimineer die risiko van skade aan die inhoud wat mag ontstaan ​​wanneer die inhoud in vervoer is. Verpakking moet byvoorbeeld goed genoeg wees om nie deur hitte of vog geraak te word nie.
  • 'n Lys van betroubare koeriers wat deur die bestuur ooreengekom en gemagtig is.
  • Beskrywing van koerier identifikasie standaarde.
  • Gebruik van peuterbestande kontroles soos sakke indien die vlak van sensitiwiteit en kritiekheid van inligting dit vereis.
  • Prosedures om ID's van koeriers te verifieer.
  • Goedgekeurde lys van derde partye wat vervoer- of koerierdienste verskaf, afhangende van die vlak van klassifikasie.
  • Hou log rekords van die tyd van aflewering, lys van gemagtigde ontvangers, beskerming toegepas, en ontvangs by die bestemming.

Aanvullende leiding oor verbale oordrag

Beheer 5.14 bepaal dat wanneer personeel inligting binne die organisasie uitruil of wanneer hulle data aan eksterne partye oordra, hulle van die volgende risiko's ingelig moet word:

  • Hulle moet vermy om vertroulike gesprekke oor onseker openbare kanale of in openbare ruimtes te voer.
  • Hulle moet nie stemboodskappe laat wat vertroulike inligting bevat nie, met inagneming van die risiko van herspeel deur ongemagtigde persone en die risiko van herroetering van die boodskap na derde partye.
  • Elke individu, hetsy werknemers of ander relevante derde partye, moet gekeur word voordat hulle toegelaat word om na gesprekke te luister.
  • Kamers, waar vertroulike gesprekke plaasvind, moet toegerus wees met toepaslike kontroles soos klankdigting.
  • Hulle moet 'n vrywaring gee voordat hulle enige sensitiewe gesprek voer.


ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Veranderinge en verskille vanaf ISO 27002:2013

27002:2022/5.14 vervang 27002:2013/(13.2.1, 13.2.2. 13.2.3).

Alhoewel die twee kontroles tot 'n mate soortgelyk is, maak twee sleutelverskille die 2022-weergawe se vereistes meer.

Spesifieke vereistes vir elektriese, fisiese en verbale oordragte

In die 2013-weergawe, afdeling 13.2.3 die spesifieke vereistes aangespreek vir die oordrag van inligting via elektroniese boodskappe.

Dit het egter nie afsonderlik die oordrag van inligting via verbale of fisiese wyse aangespreek nie.

Daarteenoor identifiseer die 2022-weergawe duidelik drie tipes inligtingoordrag en stel dan die inhoudsvereistes vir elkeen afsonderlik uiteen.

2022-weergawe stel strenger vereistes vir elektroniese oordrag

Terwyl afdeling 13.2.3 spesifieke vereistes vir die inhoud van ooreenkomste vir elektroniese boodskappe bevat het, lê die 2022-weergawe strenger verpligtinge op organisasies.

Die 2022-weergawe vereis van organisasies om nuwe beheermaatreëls in die reëls, prosedures en ooreenkomste vir elektroniese oordragte te beskryf en te implementeer.

Organisasies moet byvoorbeeld hul werknemers aanraai om nie SMS-dienste te gebruik wanneer hulle sensitiewe inligting insluit nie.

Meer gedetailleerde vereistes vir fisiese oordragte

Die 2022-weergawe stel strenger vereistes vir die oordrag van fisiese bergingsmedia. Die vereistes daarvan is byvoorbeeld meer omvattend ten opsigte van verifikasie van koeriers en die tipe skade wat voorkom moet word.

Strukturele veranderinge

In die 2013-weergawe was daar 'n uitdruklike verwysing na spesifieke vereistes vir ooreenkomste vir inligtingsoordrag. Die 'Reëls' en 'Prosedures' is egter nie spesifiek aangespreek nie.

Daarteenoor stel die 2022-weergawe die spesifieke vereistes vir elk van hierdie drie meganismes uiteen.

Nuwe ISO 27002-kontroles

Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.7 NUWE Bedreigingsintelligensie
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.30 NUWE IKT-gereedheid vir besigheidskontinuïteit
7.4 NUWE Fisiese sekuriteitsmonitering
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.16 NUWE Moniteringsaktiwiteite
8.23 NUWE Webfiltrering
8.28 NUWE Veilige kodering
Organisatoriese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.1 05.1.1, 05.1.2 Beleide vir inligtingsekuriteit
5.2 06.1.1 Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3 06.1.2 Skeiding van pligte
5.4 07.2.1 Bestuursverantwoordelikhede
5.5 06.1.3 Kontak met owerhede
5.6 06.1.4 Kontak met spesiale belangegroepe
5.7 NUWE Bedreigingsintelligensie
5.8 06.1.5, 14.1.1 Inligtingsekuriteit in projekbestuur
5.9 08.1.1, 08.1.2 Inventaris van inligting en ander verwante bates
5.10 08.1.3, 08.2.3 Aanvaarbare gebruik van inligting en ander verwante bates
5.11 08.1.4 Teruggawe van bates
5.12 08.2.1 Klassifikasie van inligting
5.13 08.2.2 Etikettering van inligting
5.14 13.2.1, 13.2.2, 13.2.3 Inligting oordrag
5.15 09.1.1, 09.1.2 Toegangsbeheer
5.16 09.2.1 Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3 Stawing inligting
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsregte
5.19 15.1.1 Inligtingsekuriteit in verskafferverhoudings
5.20 15.1.2 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21 15.1.3 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22 15.2.1, 15.2.2 Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.24 16.1.1 Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25 16.1.4 Assessering en besluit oor inligtingsekuriteitsgebeure
5.26 16.1.5 Reaksie op inligtingsekuriteitsvoorvalle
5.27 16.1.6 Leer uit inligtingsekuriteitvoorvalle
5.28 16.1.7 Insameling van bewyse
5.29 17.1.1, 17.1.2, 17.1.3 Inligtingsekuriteit tydens ontwrigting
5.30 5.30 IKT-gereedheid vir besigheidskontinuïteit
5.31 18.1.1, 18.1.5 Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32 18.1.2 Intellektuele eiendomsregte
5.33 18.1.3 Beskerming van rekords
5.34 18.1.4 Privaatheid en beskerming van PII
5.35 18.2.1 Onafhanklike hersiening van inligtingsekuriteit
5.36 18.2.2, 18.2.3 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37 12.1.1 Gedokumenteerde bedryfsprosedures
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
6.1 07.1.1 Screening
6.2 07.1.2 Terme en diensvoorwaardes
6.3 07.2.2 Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4 07.2.3 Dissiplinêre proses
6.5 07.3.1 Verantwoordelikhede na beëindiging of verandering van diens
6.6 13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7 06.2.2 Afstand werk
6.8 16.1.2, 16.1.3 Rapportering van inligtingsekuriteitsgebeurtenisse
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
7.1 11.1.1 Fisiese sekuriteit omtrek
7.2 11.1.2, 11.1.6 Fisiese toegang
7.3 11.1.3 Beveiliging van kantore, kamers en fasiliteite
7.4 NUWE Fisiese sekuriteitsmonitering
7.5 11.1.4 Beskerming teen fisiese en omgewingsbedreigings
7.6 11.1.5 Werk in veilige areas
7.7 11.2.9 Duidelike lessenaar en duidelike skerm
7.8 11.2.1 Toerusting plaas en beskerming
7.9 11.2.6 Sekuriteit van bates buite die perseel
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Berging media
7.11 11.2.2 Ondersteunende nutsprogramme
7.12 11.2.3 Bekabeling sekuriteit
7.13 11.2.4 Onderhoud van toerusting
7.14 11.2.7 Veilige wegdoening of hergebruik van toerusting
Tegnologiese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
8.1 06.2.1, 11.2.8 Gebruikerseindpunttoestelle
8.2 09.2.3 Bevoorregte toegangsregte
8.3 09.4.1 Beperking van toegang tot inligting
8.4 09.4.5 Toegang tot bronkode
8.5 09.4.2 Veilige verifikasie
8.6 12.1.3 Kapasiteitsbestuur
8.7 12.2.1 Beskerming teen wanware
8.8 12.6.1, 18.2.3 Bestuur van tegniese kwesbaarhede
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.13 12.3.1 Rugsteun van inligting
8.14 17.2.1 Oortolligheid van inligtingverwerkingsfasiliteite
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NUWE Moniteringsaktiwiteite
8.17 12.4.4 Klok sinchronisasie
8.18 09.4.4 Gebruik van bevoorregte nutsprogramme
8.19 12.5.1, 12.6.2 Installering van sagteware op bedryfstelsels
8.20 13.1.1 Netwerk sekuriteit
8.21 13.1.2 Sekuriteit van netwerkdienste
8.22 13.1.3 Segregasie van netwerke
8.23 NUWE Webfiltrering
8.24 10.1.1, 10.1.2 Gebruik van kriptografie
8.25 14.2.1 Veilige ontwikkeling lewensiklus
8.26 14.1.2, 14.1.3 Aansoek sekuriteit vereistes
8.27 14.2.5 Veilige stelselargitektuur en ingenieursbeginsels
8.28 NUWE Veilige kodering
8.29 14.2.8, 14.2.9 Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30 14.2.7 Uitgekontrakteerde ontwikkeling
8.31 12.1.4, 14.2.6 Skeiding van ontwikkeling, toets en produksie omgewings
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Veranderings bestuur
8.33 14.3.1 Toets inligting
8.34 12.7.1 Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.

Kontak vandag nog om bespreek 'n demo.

Sam Peters

Sam is hoofprodukbeampte by ISMS.online en lei die ontwikkeling van alle produkkenmerke en -funksionaliteit. Sam is 'n kenner op baie gebiede van voldoening en werk saam met kliënte aan enige maat- of grootskaalse projekte.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platformdashboard vol op kristal

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Herfs 2025
Hoëpresteerder, Klein Besigheid - Herfs 2025 VK
Streekleier - Herfs 2025 Europa
Streekleier - Herfs 2025 EMEA
Streekleier - Herfs 2025 VK
Hoë Presteerder - Herfs 2025 Europa Middelmark

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.