Die ISO 27002: 2022 beheer 5.3 — Segregasie van pligte, voorheen bekend as beheer 6.1.2 in ISO 27002:2013, definieer die stelsel waardeur botsende pligte en botsende verantwoordelikheidsareas geskei word.
Elke organisasie het 'n stel beleide en prosedures (P&P's) wat sy interne werking beheer. P&P's is veronderstel om gedokumenteer te word, maar dikwels is dit nie.
As hierdie P&P's nie duidelik of goed gekommunikeer word nie, is die gevolg verwarring onder werknemers oor hul areas van verantwoordelikhede. Dit kan selfs erger word wanneer werknemers oorvleuelende verantwoordelikhede, of botsende verantwoordelikhede het.
Konflikte kan voorkom wanneer twee of meer werknemers soortgelyke of verskillende verantwoordelikhede teenoor 'n spesifieke taak het. Wanneer dit gebeur, kan die werknemers uiteindelik dieselfde ding twee keer doen, of verskillende dinge doen wat mekaar se pogings kanselleer. Dit mors korporatiewe hulpbronne en verminder produktiwiteit, wat beide die maatskappy se winspunt en moraal beïnvloed.
Om seker te maak dat jou organisasie nie onder hierdie probleem ly nie, is dit belangrik om te verstaan wat botsende areas van verantwoordelikhede is, hoekom dit gebeur en hoe jy kan verhoed dat dit in jou organisasie voorkom. Vir die grootste deel beteken dit dat pligte geskei word sodat verskillende mense verskillend hanteer rolle in die organisasie.
Kontroles word geklassifiseer volgens hul eienskappe. Eienskappe help jou om jou beheerkeuse in lyn te bring met industriestandaarde en taal. In beheer 5.3 is dit:
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Beheer #Identiteit- en toegangsbestuur | #Beheer en ekosisteem |
Die doel van beheer 5.3 Segregasie van Pligte in ISO 27002 is om die risiko van bedrog, foute en omseiling van inligtingsekuriteitskontroles te verminder deur te verseker dat botsende pligte geskei word.
Beheer 5.3 dek die implementeringsleiding vir segregasietake en -pligte in 'n organisasie in lyn met die raamwerk van ISO 27001.
Die beginsel behels die afbreek van sleuteltake in subtake en die toewysing daarvan aan verskillende mense. Dit skep 'n stelsel van kontrole en teenwigte wat die risiko van foute of bedrog kan verminder.
Die beheer is ontwerp om te verhoed dat 'n enkele persoon onbehoorlike optrede kan pleeg, verberg en regverdig, en sodoende die risiko van bedrog of foute verminder. Dit verhoed ook dat 'n enkele persoon inligtingsekuriteitskontroles kan ignoreer.
As een werknemer alle regte het wat nodig is vir 'n spesifieke taak, is daar 'n groter risiko van bedrog of foute aangesien een persoon alles kan doen sonder enige kontrole en teenwigte. As geen enkele persoon egter alle toegangsregte het wat vir 'n spesifieke taak vereis word nie, verminder dit die risiko dat 'n werknemer aansienlike skade of finansiële verlies kan veroorsaak.
Pligte en verantwoordelikhede wat nie geskei is nie, kan lei tot bedrog, misbruik, onvanpaste toegang en ander veiligheidsvoorvalle.
Daarbenewens is skeiding van pligte nodig om die risiko's wat verband hou met die potensiaal vir samespanning tussen individue te versag. Hierdie risiko's word verhoog wanneer daar onvoldoende beheermaatreëls is om samespanning te voorkom of op te spoor.
Om aan die vereistes vir beheer 5.3 in ISO 27002:2022 te voldoen, moet die organisasie bepaal watter pligte en verantwoordelikheidsareas geskei moet word en uitvoerbare segregasiekontroles ingestel moet word.
Waar sulke beheermaatreëls nie moontlik is nie, veral vir klein organisasies met minimale personeelkrag, monitering van aktiwiteite, ouditroetes en bestuurstoesig gebruik kan word. Vir groter organisasies kan outomatiese gereedskap gebruik word om rolle te identifiseer en te skei sodat botsende rolle nie aan mense toegeken word nie.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
Die kontrolenommer 5.3 Segregasie van Pligte in ISO 27002:2022 is nie 'n nuwe beheer nie. Dit is bloot 'n verbeterde weergawe van beheer 6.1.2 Skeiding van pligte gevind in ISO 27002:2013.
Die basiese beginsels van skeiding van pligte is dieselfde in beheer 5.3 ISO 27002:2022 en beheer 6.1.2 ISO 27002:2013. Die nuwe weergawe beskryf egter 'n stel aktiwiteite wat segregasie vereis wanneer hierdie beheer geïmplementeer word.
Hierdie aktiwiteite is:
a) die inisieer, goedkeuring en uitvoering van 'n verandering;
b) die versoek, goedkeuring en implementering van toegangsregte;
c) ontwerp, implementering en hersiening van kode;
d) ontwikkeling van sagteware en administrasie van produksiestelsels;
e) gebruik en administreer van toepassings;
f) gebruik van toepassings en administrasie van databasisse;
g) ontwerp, ouditering en versekering inligtingsekuriteitskontroles.
Daar is verskeie mense wat verantwoordelik is vir skeiding van pligte in ISO 27002. Eerstens moet 'n senior lid van die bestuurspan betrek word om seker te maak dat die aanvanklike risiko-assessering voltooi is.
Dan moet die prosesse wat verskillende dele van die organisasie dek, aan verskillende groepe gekwalifiseerde werknemers toegewys word. Om te verhoed dat skelm werknemers maatskappysekuriteit ondermyn, word dit gewoonlik gedoen deur take aan verskillende werkseenhede toe te wys en die IT-verwante bedrywighede en instandhoudingsaktiwiteite te departementaliseer.
Laastens kan skeiding van pligte nie korrek vasgestel word sonder 'n toepaslike IT-ouditprogram, 'n doeltreffende risikobestuurstrategie, sowel as deur 'n toepaslike beheeromgewing nie.
Die nuwe ISO 27002:2022-standaard vereis nie dat jy veel anders as gradeer jou ISMS op prosesse om die verbeterde kontroles te weerspieël. En as jou span dit nie kan regkry nie, ISMS.aanlyn kan jy help.
ISMS.online stroomlyn die ISO 27002-implementeringsproses deur 'n gesofistikeerde wolkgebaseerde raamwerk te verskaf vir die dokumentasie van inligtingsekuriteitbestuurstelselprosedures en kontrolelyste om voldoening aan erkende standaarde te verseker.
Wanneer jy ISMS.online gebruik, sal jy in staat wees om:
Danksy ons wolk-gebaseerde platform is dit nou moontlik om jou kontrolelyste sentraal te bestuur, met kollegas te kommunikeer en 'n omvattende stel gereedskap te gebruik om jou organisasie te help om 'n ISMS te skep en te bedryf in ooreenstemming met wêreldwye beste praktyke.
Kontak vandag nog om bespreek 'n demo.
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
