Wetlike, statutêre, regulatoriese en kontraktuele vereistes

ISO 27002:2022 – Beheer 5.31 – Wetlike, statutêre, regulatoriese en kontraktuele vereistes

ISO 27002:2022 Beheer 5.31 beklemtoon dat organisasies alle relevante wetlike, regulatoriese en kontraktuele vereistes met betrekking tot inligtingsekuriteit moet identifiseer, dokumenteer en daaraan voldoen om risiko's te versag en nakoming te verseker. Dit verskaf leiding oor die integrasie van hierdie verpligtinge in sekuriteitsbeleide, risikobeoordelings, verskafferkontrakte en algehele sekuriteitskontroles.

Doel van beheer 5.31

Wette, regulasies en kontraktuele vereistes vorm 'n groot deel van 'n organisasie se inligtingsekuriteitsverantwoordelikhede.

Organisasies moet te eniger tyd 'n duidelike begrip van hul verpligtinge hê, en bereid wees om hul inligtingsekuriteitspraktyke aan te pas in ooreenstemming met hul rol as 'n verantwoordelike datahanteerder.

Dit is belangrik om daarop te let dat Beheer 5.31 geen spesifieke wetlike, regulatoriese of kontraktuele bepalings noem wat organisasies óf nodig het om af te dwing of daaraan voldoen te bly, en dit stel ook nie 'n prosedure vir die opstel van kontrakte uiteen nie. Beheer 5.31 fokus eerder op wat organisasies moet oorweeg vanuit 'n inligtingsekuriteit perspektief, wat verband hou met hul unieke vereistes.

Eienskappe tabel

Beheer 5.31 is a voorkomende beheer Wat risiko verander deur leiding aan te bied oor hoe om met 'n robuuste te werk inligtingsekuriteitsbeleid wat voldoening binne alle relevante wetlike en regulatoriese omgewings handhaaf.

beheer Tipe	Eienskappe vir inligtingsekuriteit	Kuberveiligheidskonsepte	Operasionele vermoëns	Sekuriteitsdomeine
#Voorkomende	#Vertroulikheid	#Identifiseer	#Reg en nakoming	#Beheer en ekosisteem
	#Integriteit			#Beskerming
	#Beskikbaarheid

ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin

Algemene riglyne oor beheer 5.31

Daar is 5 algemene riglyne om te oorweeg. Organisasies moet hul wetlike, statutêre, regulatoriese en kontraktuele vereistes in gedagte hou wanneer:

Opstel en/of wysiging van hul inligtingsekuriteitsprosedures en interne beleid dokumente.
Ontwerp, wysiging of implementering van inligtingsekuriteitskontroles.
Kategorisering van inligting wanneer hul breër inligtingsekuriteitvereistes oorweeg word, hetsy vir organisatoriese doeleindes of wat verband hou met hul verhoudings met 'n derde party (verskaffers, ens.)
ondergaan risikobeoordelings wat verband hou met inligtingsekuriteit aktiwiteite, insluitend interne rolle en verantwoordelikhede met betrekking tot 'n organisasiestruktuur.
Die vestiging van die aard van 'n verskaffersverhouding, en hul kontraktuele verpligtinge regdeur die verskaffing van produkte en dienste.

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo

Wetgewende en regulatoriese leiding

Organisasies moet interne prosesse en verantwoordelikhede "definieer en dokumenteer". wat hulle toelaat om:

Identifiseer, ontleed en verstaan hul wetgewende en regulatoriese verpligtinge met betrekking tot inligtingsekuriteit, insluitend periodieke hersiening van wetgewing en regulasies.
Verseker dat hulle voldoen aan alle wetgewende en regulatoriese omgewings in watter lande hulle ook al bedrywig is. Dit strek tot die gebruik van produkte en dienste wat buite die land ontstaan waarin hulle gewoonlik bedrywig is.

Kriptografiese leiding

In IKT is 'kriptografie' 'n metode om inligting en kommunikasie deur die gebruik van kodes te beskerm.

As sodanig behels die hele konsep van enkripsie en kriptografie gewoonlik spesifieke wetlike vereistes en 'n aansienlike hoeveelheid onderwerpspesifieke regulatoriese leiding wat nagekom moet word.

Met dit in gedagte, moet die volgende riglyne in ag geneem word:

Wette oor die invoer en/of uitvoer van hardeware of sagteware wat óf 'n toegewyde kriptografiese funksie uitvoer, óf die vermoë het om genoemde funksie uit te voer.
Wette met betrekking tot die beperking van kriptografiese funksies.
Enige toegang tot geënkripteerde inligting wat owerhede binne 'n land of streek het reg om te versoek en afdwing.
Die geldigheid en waarheid van drie sleutel digitale elemente van geïnkripteer inligting:
a) handtekeninge
b) Seals
c) sertifikate

Kontraktuele leiding

Organisasies moet hul inligtingsekuriteitsverpligtinge in ag neem wanneer hulle wetlik bindende kontrakte met kliënte, verskaffers of verskaffers opstel of onderteken (insluitend versekeringspolisse en kontrakte).

Sien Kontrole 5.20 vir verdere leiding met betrekking tot verskafferskontrakte.

Ondersteunende kontroles

5.20

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022-5.31 vervang twee kontroles vanaf 27002:2013-18.1.2 (Intellektuele eiendomsregte).

18.1.1 – Identifikasie van toepaslike wetgewing en kontraktuele vereistes
18.1.5 – Regulering van kriptografiese kontroles

Terwyl 27002:2013-18.1.1 minimale leiding bied, anders as die behoefte aan "bestuurders" om alle wetgewing te identifiseer wat hul tipe besigheid regverdig, bespreek 27002:2022-5.31 nakoming oor wetgewende, regulatoriese en kriptografiese omgewings, asook die aanbied van sommige algemene riglyne en gaan in baie meer besonderhede oor hoe om aan die regterkant van enige heersende wetgewing of regulasies te bly.

Wat enkripsie betref, voldoen 27002:2022-5.31 aan dieselfde beginsels as 27002:2013-18.1.5 en bevat dieselfde onderliggende riglyne, maar gaan 'n stap verder deur organisasies te vra om hardeware en sagteware te oorweeg wat die potensiaal het om te dra kriptografiese funksies uit.

Nuwe ISO 27002-kontroles

Nuwe kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.7	NUWE	Bedreigingsintelligensie
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.30	NUWE	IKT-gereedheid vir besigheidskontinuïteit
7.4	NUWE	Fisiese sekuriteitsmonitering
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.16	NUWE	Moniteringsaktiwiteite
8.23	NUWE	Webfiltrering
8.28	NUWE	Veilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
5.1	05.1.1, 05.1.2	Beleide vir inligtingsekuriteit
5.2	06.1.1	Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3	06.1.2	Skeiding van pligte
5.4	07.2.1	Bestuursverantwoordelikhede
5.5	06.1.3	Kontak met owerhede
5.6	06.1.4	Kontak met spesiale belangegroepe
5.7	NUWE	Bedreigingsintelligensie
5.8	06.1.5, 14.1.1	Inligtingsekuriteit in projekbestuur
5.9	08.1.1, 08.1.2	Inventaris van inligting en ander verwante bates
5.10	08.1.3, 08.2.3	Aanvaarbare gebruik van inligting en ander verwante bates
5.11	08.1.4	Teruggawe van bates
5.12	08.2.1	Klassifikasie van inligting
5.13	08.2.2	Etikettering van inligting
5.14	13.2.1, 13.2.2, 13.2.3	Inligting oordrag
5.15	09.1.1, 09.1.2	Toegangsbeheer
5.16	09.2.1	Identiteitsbestuur
5.17	09.2.4, 09.3.1, 09.4.3	Stawing inligting
5.18	09.2.2, 09.2.5, 09.2.6	Toegangsregte
5.19	15.1.1	Inligtingsekuriteit in verskafferverhoudings
5.20	15.1.2	Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21	15.1.3	Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22	15.2.1, 15.2.2	Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23	NUWE	Inligtingsekuriteit vir die gebruik van wolkdienste
5.24	16.1.1	Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25	16.1.4	Assessering en besluit oor inligtingsekuriteitsgebeure
5.26	16.1.5	Reaksie op inligtingsekuriteitsvoorvalle
5.27	16.1.6	Leer uit inligtingsekuriteitvoorvalle
5.28	16.1.7	Insameling van bewyse
5.29	17.1.1, 17.1.2, 17.1.3	Inligtingsekuriteit tydens ontwrigting
5.30	5.30	IKT-gereedheid vir besigheidskontinuïteit
5.31	18.1.1, 18.1.5	Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32	18.1.2	Intellektuele eiendomsregte
5.33	18.1.3	Beskerming van rekords
5.34	18.1.4	Privaatheid en beskerming van PII
5.35	18.2.1	Onafhanklike hersiening van inligtingsekuriteit
5.36	18.2.2, 18.2.3	Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37	12.1.1	Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
6.1	07.1.1	Screening
6.2	07.1.2	Terme en diensvoorwaardes
6.3	07.2.2	Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4	07.2.3	Dissiplinêre proses
6.5	07.3.1	Verantwoordelikhede na beëindiging of verandering van diens
6.6	13.2.4	Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7	06.2.2	Afstand werk
6.8	16.1.2, 16.1.3	Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
7.1	11.1.1	Fisiese sekuriteit omtrek
7.2	11.1.2, 11.1.6	Fisiese toegang
7.3	11.1.3	Beveiliging van kantore, kamers en fasiliteite
7.4	NUWE	Fisiese sekuriteitsmonitering
7.5	11.1.4	Beskerming teen fisiese en omgewingsbedreigings
7.6	11.1.5	Werk in veilige areas
7.7	11.2.9	Duidelike lessenaar en duidelike skerm
7.8	11.2.1	Toerusting plaas en beskerming
7.9	11.2.6	Sekuriteit van bates buite die perseel
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Berging media
7.11	11.2.2	Ondersteunende nutsprogramme
7.12	11.2.3	Bekabeling sekuriteit
7.13	11.2.4	Onderhoud van toerusting
7.14	11.2.7	Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 Beheeridentifiseerder	ISO/IEC 27002:2013 Beheeridentifiseerder	Beheer naam
8.1	06.2.1, 11.2.8	Gebruikerseindpunttoestelle
8.2	09.2.3	Bevoorregte toegangsregte
8.3	09.4.1	Beperking van toegang tot inligting
8.4	09.4.5	Toegang tot bronkode
8.5	09.4.2	Veilige verifikasie
8.6	12.1.3	Kapasiteitsbestuur
8.7	12.2.1	Beskerming teen wanware
8.8	12.6.1, 18.2.3	Bestuur van tegniese kwesbaarhede
8.9	NUWE	Konfigurasiebestuur
8.10	NUWE	Inligting verwydering
8.11	NUWE	Datamaskering
8.12	NUWE	Voorkoming van datalekkasies
8.13	12.3.1	Rugsteun van inligting
8.14	17.2.1	Oortolligheid van inligtingverwerkingsfasiliteite
8.15	12.4.1, 12.4.2, 12.4.3	Logging
8.16	NUWE	Moniteringsaktiwiteite
8.17	12.4.4	Klok sinchronisasie
8.18	09.4.4	Gebruik van bevoorregte nutsprogramme
8.19	12.5.1, 12.6.2	Installering van sagteware op bedryfstelsels
8.20	13.1.1	Netwerk sekuriteit
8.21	13.1.2	Sekuriteit van netwerkdienste
8.22	13.1.3	Segregasie van netwerke
8.23	NUWE	Webfiltrering
8.24	10.1.1, 10.1.2	Gebruik van kriptografie
8.25	14.2.1	Veilige ontwikkeling lewensiklus
8.26	14.1.2, 14.1.3	Aansoek sekuriteit vereistes
8.27	14.2.5	Veilige stelselargitektuur en ingenieursbeginsels
8.28	NUWE	Veilige kodering
8.29	14.2.8, 14.2.9	Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30	14.2.7	Uitgekontrakteerde ontwikkeling
8.31	12.1.4, 14.2.6	Skeiding van ontwikkeling, toets en produksie omgewings
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Veranderings bestuur
8.33	14.3.1	Toets inligting
8.34	12.7.1	Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.

Kontak vandag nog om bespreek 'n demo.

Ons is 'n leier in ons veld