Slaan oor na inhoud
Werk slimmer met ons nuwe verbeterde navigasie!
Kyk hoe IO nakoming makliker maak. Lees die blog
ISMS.aanlyn

ISO 27002:2022 – Beheer 5.23 – Inligtingsekuriteit vir die gebruik van wolkdienste

ISO 27002:2022 Beheer 5.23 verskaf leiding oor die bestuur van inligtingsekuriteitsrisiko's in wolkdienste, wat verkryging, gebruik, verskafferkeuse, sekuriteitsversekering en voorvalbestuur dek om voldoening en risikoversagting te verseker.

skrywer
Sam Peters
Opgedateer Julie 25, 2025
4/5 sterre

Doel van beheer 5.23

5.23 is 'n nuwe kontrole wat die prosesse uiteensit wat nodig is vir die verkryging, gebruik, bestuur van en verlaat van wolkdienste, met betrekking tot die organisasie se unieke inligting sekuriteit vereistes.

Beheer 5.23 laat organisasies toe om eers te spesifiseer en dan te bestuur en inligtingsekuriteit administreer konsepte wat verband hou met wolkdienste, in hul hoedanigheid as 'n "wolkdienstekliënt".

5.23 is 'n voorkomende beheer Wat risiko handhaaf deur beleide en prosedures te spesifiseer wat inligtingsekuriteit beheer, binne die sfeer van kommersiële wolkdienste.

Eienskappe van beheer 5.23

beheer Tipe Eienskappe vir inligtingsekuriteit Kuberveiligheidskonsepte Operasionele vermoëns Sekuriteitsdomeine
#Voorkomende #Vertroulikheid #Beskerm #Verskaffersverhoudingsekuriteit #Beheer en ekosisteem
#Integriteit #Beskerming
#Beskikbaarheid

Eienaarskap van beheer 5.23

So is die verspreiding van wolkdienste oor die afgelope dekade, Beheer 5.23 bevat 'n magdom prosedures wat baie verskillende elemente van 'n organisasie se werking insluit.

Aangesien nie alle wolkdienste IKT-spesifiek is nie – alhoewel daar redelikerwys beweer kan word dat die meeste dit wel is – behoort eienaarskap van Beheer 5.22 tussen 'n organisasie se CTO or COO, afhangende van die heersende operasionele omstandighede.



ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

'n Voorsprong van 81% van dag een af

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin


Riglyne oor beheer 5.23 – Organisatoriese verpligtinge

Voldoening aan Beheer 5.23 behels die nakoming van wat bekend staan ​​as 'n 'onderwerpspesifieke' benadering tot wolkdienste en inligtingsekuriteit.

Gegewe die verskeidenheid wolkdienste wat aangebied word, moedig onderwerpspesifieke benaderings organisasies aan om wolkdienstebeleide te skep wat aangepas is vir individuele besigheidsfunksies, eerder as om aan 'n kombers te voldoen beleid wat op inligtingsekuriteit van toepassing is en wolkdienste oor die hele linie.

Daar moet kennis geneem word dat ISO die nakoming van Beheer 5.23 beskou as 'n samewerkingspoging tussen die organisasie en hul wolkdiensvennoot. Beheer 5.23 moet ook nou belyn wees met Beheer 5.21 en 5.22, wat handel oor inligting bestuur in die voorsieningsketting en die bestuur van verskafferdienste onderskeidelik.

Hoe 'n organisasie ook al kies om te werk, Beheer 5.23 moet nie in isolasie geneem word nie en moet bestaande pogings aanvul om verskafferverhoudings te bestuur.

Met inligtingsekuriteit op die voorpunt, moet die organisasie definieer:

  1. Enige relevante sekuriteitsvereistes of bekommernisse betrokke by die gebruik van 'n wolkplatform.
  2. Die kriteria betrokke by die keuse van 'n wolkdiensverskaffer, en hoe hul dienste gebruik moet word.
  3. Granulêre beskrywing van rolle en relevante verantwoordelikhede wat bepaal hoe wolkdienste regoor die organisasie gebruik moet word.
  4. Presies watter inligtingsekuriteitsareas word deur die wolkdiensverskaffer beheer, en dié wat onder die bevoegdheid van die organisasie self val.
  5. Die beste maniere om eers te versamel, gebruik dan enige inligtingsekuriteitverwante dienskomponente wat deur die wolkdiensplatform verskaf word.
  6. Hoe om kategoriese versekering te verkry oor enige inligtingsekuriteitverwante kontroles wat deur die wolkdiensverskaffer ingestel is.
  7. Die stappe wat geneem moet word om veranderinge, kommunikasie en kontroles oor verskeie afsonderlike wolkplatforms te bestuur, en nie altyd van dieselfde verskaffer nie.
  8. Voorvalbestuursprosedures wat uitsluitlik gemoeid is met die verskaffing van wolkdienste.
  9. Hoe die organisasie verwag om sy deurlopende gebruik en/of groothandelaanneming van wolkplatforms te bestuur, in lyn met hul breër inligtingsekuriteit verpligtinge.
  10. 'n Strategie vir die staking of wysiging van wolkdienste, hetsy op 'n verskaffer-vir-verskaffer-basis, of deur die proses van wolk-na-plaaslike migrasie.


klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Riglyne oor beheer 5.23 – Wolkdienste-ooreenkomste

Beheer 5.23 erken dat, anders as ander verskafferverhoudings, wolkdiensooreenkomste rigiede dokumente is wat nie in die oorgrote meerderheid van gevalle gewysig kan word nie.

Met dit in gedagte, moet organisasies wolkdiensooreenkomste noukeurig ondersoek en verseker dat aan vier hoofbedryfsvereistes voldoen word:

  1. Vertroulikheid
  2. Sekuriteit/data-integriteit
  3. Diensbeskikbaarheid
  4. Inligtinghantering

Soos met ander verskafferskontrakte, moet wolkdiensooreenkomste voor aanvaarding a deeglike risiko-evaluering wat potensiële probleme by die bron uitlig.

Die organisasie moet op 'n minimum 'n wolkdiensooreenkoms aangaan slegs wanneer hulle tevrede is dat die volgende 10 bepalings nagekom is:

  1. Wolkdienste word voorsien en geïmplementeer op grond van die organisasie se unieke vereistes met betrekking tot hul bedryfsgebied, insluitend industrie-aanvaarde standaarde en praktyke vir wolk-gebaseerde argitektuur en gasheer infrastruktuur.
  2. Toegang tot enige wolkplatforms voldoen aan die grensinligtingsekuriteitsvereistes van die organisasie.
  3. Voldoende oorweging word gegee aan antimalware- en antivirusdienste, insluitend proaktiewe monitering en bedreigingsbeskerming.
  4. Die wolkverskaffer voldoen aan 'n voorafbepaalde stel databerging- en verwerkingsbepalings, wat verband hou met een of meer afsonderlike globale streke en regulatoriese omgewings.
  5. Proaktiewe ondersteuning word aan die organisasie verskaf, sou die wolkplatform 'n katastrofiese mislukking of inligtingsekuriteitverwante voorval ondervind.
  6. Indien die behoefte ontstaan ​​om enige element van die wolkplatform te subkontrakteer of andersins uit te kontrakteer, bly die verskaffer se inligtingsekuriteitsvereistes 'n konstante oorweging.
  7. Indien die organisasie enige hulp benodig om digitale inligting vir enige relevante doel (wetstoepassing, regulatoriese belyning, kommersiële doeleindes) te versamel, sal die wolkdiensverskaffer die organisasie so ver moontlik ondersteun.
  8. Aan die einde van die verhouding moet die wolkdiensverskaffer redelike ondersteuning en toepaslike beskikbaarheid verskaf tydens die oorgangs- of uitskakelingstydperk.
  9. Die wolkdiensverskaffer moet werk met 'n robuuste BUDR-plan wat daarop gefokus is om voldoende rugsteun van die organisasie se data uit te voer.
  10. Die oordrag van alle relevante aanvullende data vanaf die wolkdiensverskaffer na die organisasie, insluitend konfigurasie-inligting en kode waarop die organisasie aanspraak het.

Aanvullende inligting oor beheer 5.23

Benewens bogenoemde leiding, stel Beheer 5.23 voor dat organisasies 'n noue werksverhouding met wolkdiensverskaffers vorm, in ooreenstemming met die belangrike diens wat hulle nie net in inligtingsekuriteitsterme lewer nie, maar oor 'n organisasie se hele kommersiële bedrywighede heen.

Organisasies moet, waar moontlik, die volgende bepalings van wolkdiensverskaffers soek om operasionele veerkragtigheid te verbeter en verbeterde vlakke van inligtingsekuriteit te geniet:

  1. Alle infrastruktuurwysigings moet vooraf gekommunikeer word om die organisasie se eie stel inligtingsekuriteitstandaarde in te lig.
  2. Die organisasie benodig op hoogte gehou te word van enige veranderinge aan databergingsprosedures wat die migreer van data na 'n ander jurisdiksie of globale streek behels.
  3. Enige voorneme aan die kant van die wolkdiensverskaffer om "ewekniewolk"-verskaffers te gebruik, of areas van hul bedrywighede aan subkontrakteurs uit te kontrakteer wat inligtingsekuriteitsimplikasies vir die organisasie kan hê.

Ondersteunende kontroles

  • 5.21
  • 5.22


ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Veranderinge vanaf ISO 27002:2013

Beheer 5.23 is a nuwe beheer wat nie in enige hoedanigheid in ISO 27002:2013 verskyn nie.

Nuwe ISO 27002-kontroles

Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.7 NUWE Bedreigingsintelligensie
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.30 NUWE IKT-gereedheid vir besigheidskontinuïteit
7.4 NUWE Fisiese sekuriteitsmonitering
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.16 NUWE Moniteringsaktiwiteite
8.23 NUWE Webfiltrering
8.28 NUWE Veilige kodering
Organisatoriese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.1 05.1.1, 05.1.2 Beleide vir inligtingsekuriteit
5.2 06.1.1 Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3 06.1.2 Skeiding van pligte
5.4 07.2.1 Bestuursverantwoordelikhede
5.5 06.1.3 Kontak met owerhede
5.6 06.1.4 Kontak met spesiale belangegroepe
5.7 NUWE Bedreigingsintelligensie
5.8 06.1.5, 14.1.1 Inligtingsekuriteit in projekbestuur
5.9 08.1.1, 08.1.2 Inventaris van inligting en ander verwante bates
5.10 08.1.3, 08.2.3 Aanvaarbare gebruik van inligting en ander verwante bates
5.11 08.1.4 Teruggawe van bates
5.12 08.2.1 Klassifikasie van inligting
5.13 08.2.2 Etikettering van inligting
5.14 13.2.1, 13.2.2, 13.2.3 Inligting oordrag
5.15 09.1.1, 09.1.2 Toegangsbeheer
5.16 09.2.1 Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3 Stawing inligting
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsregte
5.19 15.1.1 Inligtingsekuriteit in verskafferverhoudings
5.20 15.1.2 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21 15.1.3 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22 15.2.1, 15.2.2 Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.24 16.1.1 Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25 16.1.4 Assessering en besluit oor inligtingsekuriteitsgebeure
5.26 16.1.5 Reaksie op inligtingsekuriteitsvoorvalle
5.27 16.1.6 Leer uit inligtingsekuriteitvoorvalle
5.28 16.1.7 Insameling van bewyse
5.29 17.1.1, 17.1.2, 17.1.3 Inligtingsekuriteit tydens ontwrigting
5.30 5.30 IKT-gereedheid vir besigheidskontinuïteit
5.31 18.1.1, 18.1.5 Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32 18.1.2 Intellektuele eiendomsregte
5.33 18.1.3 Beskerming van rekords
5.34 18.1.4 Privaatheid en beskerming van PII
5.35 18.2.1 Onafhanklike hersiening van inligtingsekuriteit
5.36 18.2.2, 18.2.3 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37 12.1.1 Gedokumenteerde bedryfsprosedures
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
6.1 07.1.1 Screening
6.2 07.1.2 Terme en diensvoorwaardes
6.3 07.2.2 Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4 07.2.3 Dissiplinêre proses
6.5 07.3.1 Verantwoordelikhede na beëindiging of verandering van diens
6.6 13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7 06.2.2 Afstand werk
6.8 16.1.2, 16.1.3 Rapportering van inligtingsekuriteitsgebeurtenisse
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
7.1 11.1.1 Fisiese sekuriteit omtrek
7.2 11.1.2, 11.1.6 Fisiese toegang
7.3 11.1.3 Beveiliging van kantore, kamers en fasiliteite
7.4 NUWE Fisiese sekuriteitsmonitering
7.5 11.1.4 Beskerming teen fisiese en omgewingsbedreigings
7.6 11.1.5 Werk in veilige areas
7.7 11.2.9 Duidelike lessenaar en duidelike skerm
7.8 11.2.1 Toerusting plaas en beskerming
7.9 11.2.6 Sekuriteit van bates buite die perseel
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Berging media
7.11 11.2.2 Ondersteunende nutsprogramme
7.12 11.2.3 Bekabeling sekuriteit
7.13 11.2.4 Onderhoud van toerusting
7.14 11.2.7 Veilige wegdoening of hergebruik van toerusting
Tegnologiese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
8.1 06.2.1, 11.2.8 Gebruikerseindpunttoestelle
8.2 09.2.3 Bevoorregte toegangsregte
8.3 09.4.1 Beperking van toegang tot inligting
8.4 09.4.5 Toegang tot bronkode
8.5 09.4.2 Veilige verifikasie
8.6 12.1.3 Kapasiteitsbestuur
8.7 12.2.1 Beskerming teen wanware
8.8 12.6.1, 18.2.3 Bestuur van tegniese kwesbaarhede
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.13 12.3.1 Rugsteun van inligting
8.14 17.2.1 Oortolligheid van inligtingverwerkingsfasiliteite
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NUWE Moniteringsaktiwiteite
8.17 12.4.4 Klok sinchronisasie
8.18 09.4.4 Gebruik van bevoorregte nutsprogramme
8.19 12.5.1, 12.6.2 Installering van sagteware op bedryfstelsels
8.20 13.1.1 Netwerk sekuriteit
8.21 13.1.2 Sekuriteit van netwerkdienste
8.22 13.1.3 Segregasie van netwerke
8.23 NUWE Webfiltrering
8.24 10.1.1, 10.1.2 Gebruik van kriptografie
8.25 14.2.1 Veilige ontwikkeling lewensiklus
8.26 14.1.2, 14.1.3 Aansoek sekuriteit vereistes
8.27 14.2.5 Veilige stelselargitektuur en ingenieursbeginsels
8.28 NUWE Veilige kodering
8.29 14.2.8, 14.2.9 Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30 14.2.7 Uitgekontrakteerde ontwikkeling
8.31 12.1.4, 14.2.6 Skeiding van ontwikkeling, toets en produksie omgewings
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Veranderings bestuur
8.33 14.3.1 Toets inligting
8.34 12.7.1 Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISMS.online stroomlyn die ISO 27002 implementeringsproses deur 'n gesofistikeerde wolk-gebaseerde raamwerk te verskaf vir die dokumentasie van inligtingsekuriteitbestuurstelselprosedures en kontrolelyste om voldoening aan erkende standaarde te verseker.

Wanneer jy ISMS.online gebruik, sal jy in staat wees om:

  • Skep 'n ISMS wat versoenbaar is met ISO 27001 standaarde.
  • Voer take uit en lewer bewyse in om aan te dui dat hulle aan die vereistes van die standaard voldoen het.
  • Ken take toe en volg vordering met die nakoming van die wet.
  • Kry toegang tot 'n gespesialiseerde span adviseurs wat jou deur jou pad na voldoening sal bystaan.

Kontak en bespreek 'n demo.

Sam Peters

Sam is hoofprodukbeampte by ISMS.online en lei die ontwikkeling van alle produkkenmerke en -funksionaliteit. Sam is 'n kenner op baie gebiede van voldoening en werk saam met kliënte aan enige maat- of grootskaalse projekte.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platform-dashboard volledig op nuut

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Winter 2026
Streekleier - Winter 2026 VK
Streeksleier - Winter 2026 EU
Streekleier - Winter 2026 Middelmark EU
Streekleier - Winter 2026 EMEA
Streekleier - Winter 2026 Middelmark EMEA

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.