5.23 is 'n nuwe kontrole wat die prosesse uiteensit wat nodig is vir die verkryging, gebruik, bestuur van en verlaat van wolkdienste, met betrekking tot die organisasie se unieke inligting sekuriteit vereistes.
Beheer 5.23 laat organisasies toe om eers te spesifiseer en dan te bestuur en inligtingsekuriteit administreer konsepte wat verband hou met wolkdienste, in hul hoedanigheid as 'n "wolkdienstekliënt".
5.23 is 'n voorkomende beheer Wat risiko handhaaf deur beleide en prosedures te spesifiseer wat inligtingsekuriteit beheer, binne die sfeer van kommersiële wolkdienste.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Verskaffersverhoudingsekuriteit | #Beheer en ekosisteem #Beskerming |
So is die verspreiding van wolkdienste oor die afgelope dekade, Beheer 5.23 bevat 'n magdom prosedures wat baie verskillende elemente van 'n organisasie se werking insluit.
Aangesien nie alle wolkdienste IKT-spesifiek is nie – alhoewel daar redelikerwys beweer kan word dat die meeste dit wel is – behoort eienaarskap van Beheer 5.22 tussen 'n organisasie se CTO or COO, afhangende van die heersende operasionele omstandighede.
Voldoening aan Beheer 5.23 behels die nakoming van wat bekend staan as 'n 'onderwerpspesifieke' benadering tot wolkdienste en inligtingsekuriteit.
Gegewe die verskeidenheid wolkdienste wat aangebied word, moedig onderwerpspesifieke benaderings organisasies aan om wolkdienstebeleide te skep wat aangepas is vir individuele besigheidsfunksies, eerder as om aan 'n kombers te voldoen beleid wat op inligtingsekuriteit van toepassing is en wolkdienste oor die hele linie.
Daar moet kennis geneem word dat ISO die nakoming van Beheer 5.23 beskou as 'n samewerkingspoging tussen die organisasie en hul wolkdiensvennoot. Beheer 5.23 moet ook nou belyn wees met Beheer 5.21 en 5.22, wat handel oor inligting bestuur in die voorsieningsketting en die bestuur van verskafferdienste onderskeidelik.
Hoe 'n organisasie ook al kies om te werk, Beheer 5.23 moet nie in isolasie geneem word nie en moet bestaande pogings aanvul om verskafferverhoudings te bestuur.
Met inligtingsekuriteit op die voorpunt, moet die organisasie definieer:
Beheer 5.23 erken dat, anders as ander verskafferverhoudings, wolkdiensooreenkomste rigiede dokumente is wat nie in die oorgrote meerderheid van gevalle gewysig kan word nie.
Met dit in gedagte, moet organisasies wolkdiensooreenkomste noukeurig ondersoek en verseker dat aan vier hoofbedryfsvereistes voldoen word:
Soos met ander verskafferskontrakte, moet wolkdiensooreenkomste voor aanvaarding a deeglike risiko-evaluering wat potensiële probleme by die bron uitlig.
Die organisasie moet op 'n minimum 'n wolkdiensooreenkoms aangaan slegs wanneer hulle tevrede is dat die volgende 10 bepalings nagekom is:
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
As jy nie ISMS.online gebruik nie, maak jy jou lewe moeiliker as wat dit moet wees!
Benewens bogenoemde leiding, stel Beheer 5.23 voor dat organisasies 'n noue werksverhouding met wolkdiensverskaffers vorm, in ooreenstemming met die belangrike diens wat hulle nie net in inligtingsekuriteitsterme lewer nie, maar oor 'n organisasie se hele kommersiële bedrywighede heen.
Organisasies moet, waar moontlik, die volgende bepalings van wolkdiensverskaffers soek om operasionele veerkragtigheid te verbeter en verbeterde vlakke van inligtingsekuriteit te geniet:
Beheer 5.23 is a nuwe beheer wat nie in enige hoedanigheid in ISO 27002:2013 verskyn nie.
ISMS.online stroomlyn die ISO 27002 implementeringsproses deur 'n gesofistikeerde wolk-gebaseerde raamwerk te verskaf vir die dokumentasie van inligtingsekuriteitbestuurstelselprosedures en kontrolelyste om voldoening aan erkende standaarde te verseker.
Wanneer jy ISMS.online gebruik, sal jy in staat wees om:
Kontak en bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie gebaseer op jou behoeftes en doelwitte.
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |