Wat is Beheer 5.2: Inligtingsekuriteitsrolle en -verantwoordelikhede?
Die ISO 27002: 2022, beheer 5.2 — inligtingsekuriteitsrolle en -verantwoordelikhede — is een van die belangrikste kontroles in ISO 27002:2022. Dit is 'n wysiging van beheer 6.1.1 in ISO 27002:2013 en dit definieer hoe organisasies inligtingsekuriteitsrolle en -verantwoordelikhede moet definieer en toeken.
Inligtingsekuriteitsrolle en -verantwoordelikhede verduidelik
Die organisasie se hoof, die hoofinligtingsekuriteitsbeamptes (CISO's), die IT-diensbestuur (ITSM's), die stelseleienaars en die stelselgebruikers dra almal by tot die robuustheid van inligtingsekuriteit. Hierdie afdeling som op en bespreek die verantwoordelikhede van diegene wat hierdie rolle beklee.
Die leier van die organisasie dra die grootste deel van die verantwoordelikhede
Inligtingsekerheid is jou verantwoordelikheid as die HUB van jou agentskap. Daarbenewens dien jy as die organisasie se akkrediteringsliggaam.
Inligtingsekerheid is die verantwoordelikheid van die CISO
Goeie praktyke in die sekuriteitsektor en in bestuur is waarvoor CISO's verantwoordelik is. Om hierdie posisie in plek te hê, waarborg dit inligtingsekuriteit behoorlik bestuur word op die hoogste vlakke van die organisasie.
IT-diensbestuur (ITSM) is verantwoordelik vir die implementering van sekuriteitsmaatreëls sowel as die verskaffing van kundigheid
'n ITSM is 'n hooggeplaaste amptenaar in die maatskappy. Stelseladministrateurs werk in samewerking met die hoofinligtingsekuriteitsbeampte om die hoof uitvoerende beampte se strategiese opdragte uit te voer.
Eienaars van stelsels is verantwoordelik vir die instandhouding en bedryf daarvan
'n Eienaar word vir elke stelsel vereis. Gevolglik is dit elke stelseleienaar se plig om die nakoming van IT-bestuursreëls en die vervulling van besigheidsbehoeftes te waarborg.
Stelselgebruikers beskerm stelsels deur by beleide en prosedures te hou
Stelselgebruikers is meer geneig om aan sekuriteitsreëls en -prosedures te voldoen as daar 'n sterk sekuriteitskultuur in plek is. Elke stelsel het inherente gevare, en dit is aan die gebruikers om verantwoordelikheid te neem om sulke gevare te versag.
Die aanspreek van hierdie beheer is van kritieke belang om te verseker dat elke werknemer verstaan wat hulle is verantwoordelik vir wanneer dit kom by die beskerming van data, stelsels en netwerke. Dit is weliswaar 'n uitdaging vir baie maatskappye, veral klein ondernemings waar die werknemers tipies meer as een hoed dra.
Eienskappe Tabel van beheer 5.2
'n Eienskappe-afdeling is nou ingesluit in die nuutste weergawe van ISO 27002. Om eienskappe te definieer is 'n manier om kontroles te klassifiseer. Dit laat jou toe om jou beheerkeuse maklik met tipiese bedryfsterminologie te pas. Die eienskappe vir beheer 5.2 is:
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Identifiseer | #Beheer | #Beheer en ekosisteem |
| #Integriteit | # Veerkragtigheid | |||
| #Beskikbaarheid |
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Wat is die doel van beheer 5.2?
Die doel van beheer 5.2 is om 'n gedefinieerde, goedgekeurde en verstaanbare struktuur vir die implementering, bedryf en bestuur van inligtingsekuriteit binne die organisasie daar te stel. Dit is 'n formele organisasiestruktuur wat verantwoordelikheid vir inligtingsekuriteit toeken regdeur die organisasie.
Beheer 5.2 Verduidelik
Beheer 5.2 spreek die implementering, bedryf en bestuur van rolle en verantwoordelikhede vir inligtingsekuriteit in 'n organisasie aan volgens die raamwerk soos gedefinieer deur ISO 27001.
Die kontrole bepaal dat inligtingsekuriteitsrolle en -verantwoordelikhede goed omskryf moet word en dat almal betrokke hul rol moet verstaan. Tipies word bates aan 'n aangewese eienaar toegeken wat verantwoordelikheid vir hul daaglikse sorg aanvaar.
Afhangende van die grootte van die organisasie en die beskikbare hulpbronne, kan inligtingsekuriteit egter deur 'n toegewyde span hanteer word of bykomende verantwoordelikhede wat aan huidige werknemers opgedra word.
Wat is betrokke en hoe om aan die vereistes te voldoen
Die toekenning van rolle en verantwoordelikhede vir inligtingsekuriteit is van kardinale belang om te verseker dat die organisasie se inligtingsekuriteit gehandhaaf en verbeter word. Om aan die vereistes vir hierdie beheer te voldoen, moet die toekenning van rolle geformaliseer en gedokumenteer word, bv. in 'n tabelvorm of in die vorm van 'n organisasiekaart.
- Die organisasie moet die verantwoordelikhede en aanspreeklikhede vir inligtingsekuriteit binne die organisasie definieer en toewys aan spesifieke bestuursposfunksies of -rolle.
- Hierdie beheer moet verseker dat daar duidelikheid is oor die verskillende rolle en verantwoordelikhede binne die organisasie, om te verseker dat toepaslike bestuursaandag aan inligtingsekuriteit gegee word.
- Waar toepaslik, moet verdere opleiding vir individuele terreine en inligtingverwerkingsfasiliteite verskaf word om hierdie pligte te help nakom.
Die bedoeling hier is om te verseker dat duidelike rolle, verantwoordelikhede en gesag regdeur die organisasie toegewys en verstaan word. Ten einde effektiewe skeiding van pligte te verseker, moet die rolle en verantwoordelikhede gedokumenteer, gekommunikeer en konsekwent regoor die organisasie toegepas word.
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
Verskille tussen ISO 27002:2013 en 27002:2022
Soos reeds uitgewys, is beheer 5.2 in ISO 27002:2022, Inligtingsekuriteitsrolle en -verantwoordelikhede, nie 'n nuwe beheer nie. Dit is bloot 'n gewysigde beheer wat in ISO 27002:2013 gevind word as kontrole 6.1.1.
Die doel van Beheer 5.2 is gedefinieer, en nuwe implementeringsinstruksies is ingesluit in die mees onlangse hersiening van ISO 27002. Terwyl die essensie van die twee kontroles basies dieselfde is, is daar geringe verbeterings in die 2022-weergawe.
ISO 27002:2022 bepaal byvoorbeeld dat individue wat 'n spesifieke inligtingsekuriteitsfunksie aanvaar, bekwaam in die kennis en vaardighede wat deur die rol vereis word en ondersteun word om op hoogte te bly met vooruitgang wat aan die rol gekoppel is en wat nodig is om die verpligtinge van die rol na te kom. Hierdie punt is nie deel van die 2013-weergawe nie.
Boonop verskil die implementeringsriglyne van beide weergawes effens. Kom ons vergelyk afdelings van die twee hieronder:
ISO 27002:2013 stel die gebiede waarvoor individue verantwoordelik is, vermeld moet word. Hierdie gebiede is:
a) die bates en inligtingsekuriteitsprosesse moet geïdentifiseer en gedefinieer word;
b) die entiteit verantwoordelik vir elke bate of inligtingsekuriteitsproses moet toegewys word en die besonderhede van hierdie verantwoordelikheid moet gedokumenteer word;
c) magtigingsvlakke moet gedefinieer en gedokumenteer word;
d) om verantwoordelikhede op die inligtingsekuriteitsgebied te kan nakom, moet die aangestelde individue bekwaam wees in die gebied en geleenthede gebied word om op hoogte te bly van ontwikkelings;
e) koördinering en toesig oor inligtingsekuriteitsaspekte van verskafferverhoudings moet geïdentifiseer en gedokumenteer word.
ISO 27002:2022 is meer gekondenseerd. Dit stel bloot dat die organisasie verantwoordelikhede moet definieer en bestuur vir:
a) beskerming van inligting en ander verwante bates;
b) die uitvoering van spesifieke inligtingsekuriteitsprosesse;
c) inligtingsekuriteitsrisikobestuur aktiwiteite en veral aanvaarding van oorblywende risiko's (bv. aan risiko-eienaars);
d) alle personeel wat 'n organisasie se inligting en ander verwante bates gebruik.
Beide beheerweergawes stel egter voor dat organisasies 'n inligtingsekuriteitsbestuurder kan aanstel om algehele verantwoordelikheid te neem vir die ontwikkeling en implementering van inligtingsekuriteit en om die identifisering van beheermaatreëls te ondersteun.
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Wie is in beheer van hierdie proses?
’n Inligtingsekuriteitsbestuurder word dikwels deur maatskappye aangestel om toesig te hou oor die skepping en uitvoering van sekuriteitsmaatreëls en om te help met die opsporing van potensiële bedreigings en beheermaatreëls.
Hulpbronne en beheermaatreëls in plek te stel sal tipies aan individuele bestuurders val. 'n Gereelde praktyk is om 'n individu vir elke bate aan te wys, wat dan in beheer is van die bate se deurlopende sekuriteit.
Nuwe ISO 27002-kontroles
Nuwe kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.online help
Daar word nie van jou verwag om veel te doen om aan die vereistes vir die nuwe ISO 27002:2022-standaard te voldoen nie, behalwe die opgradering van jou ISMS prosesse om die verbeterde kontroles te weerspieël, as jou interne span dit nie kan hanteer nie, kan ISMS.online help.
Benewens die verskaffing van 'n gesofistikeerde wolk-gebaseerde raamwerk vir die dokumentasie van ISMS-prosedures en kontrolelyste om voldoening aan gevestigde norme te verseker, stroomlyn ISMS.online ook die ISO 27001-sertifiseringsproses en die ISO 27002-implementeringsproses.
Al u ISMS oplossings kan op 'n gesentraliseerde plek bestuur word danksy ons wolk-gebaseerde sagteware. Jy kan ons maklik-om-te gebruik toepassing gebruik om tred te hou van enigiets wat is vereis om ooreenstemming met ISO te verifieer 2K7 spesifikasies.
Die implementering van ISO 27002 word vereenvoudig met ons intuïtiewe stap-vir-stap werkvloei en gereedskap wat raamwerke, beleide en kontroles, uitvoerbare dokumentasie en leiding insluit. Jy kan die definieer omvang van die ISMS, identifiseer risiko's en implementeer beheermaatreëls deur ons platform te gebruik – in net 'n paar kliks.
Ons het ook 'n interne span inligtingstegnologie-spesialiste wat jou van advies en bystand sal voorsien sodat jy voldoening aan standaard en toewyding aan inligtingsekuriteit aan jou kliënte kan demonstreer.
Om meer te wete te kom oor hoe ISMS.online jou kan help om jou ISO 2K7-doelwitte te bereik, skakel ons asseblief by +44 (0)1273 041140.
Kontak vandag nog om bespreek 'n demo.
Spring na onderwerp
