ISO 27002:2022, Beheer 5.37 – Gedokumenteerde bedryfsprosedures

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

jonk, vroulik, entrepreneur, vryskut, werk, gebruik 'n, skootrekenaar, in, coworking

Doel van beheer 5.37

Beheer 5.37 handel oor die konsep van inligtingsekuriteit as 'n operasionele aktiwiteit, met die samestellende elemente wat deur een of meer individue uitgevoer en/of bestuur word.

Beheer 5.37 skets 'n reeks operasionele prosedures wat verseker dat 'n organisasie se inligtingsekuriteit fasiliteit bly doeltreffend en veilig, en in lyn met hul gedokumenteerde vereistes.

Eienskappe tabel

Beheer 5.37 is a voorkomende en korrektiewe beheer dit risiko handhaaf deur die skepping van 'n bank van prosedures wat verband hou met 'n organisasie se inligtingsekuriteit aktiwiteite.

beheer TipeEienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende
#Regstellend		#Vertroulikheid
#Integriteit
#Beskikbaarheid		#Beskerm
#Herstel		#Batebestuur
#Fisiese sekuriteit
#Stelsel- en netwerksekuriteit
#Toepassingsekuriteit
# Veilige konfigurasie
# Identiteit en toegangsbestuur
#Bedreigings- en kwesbaarheidsbestuur
# Kontinuïteit
#Inligtingsekuriteitsgebeurtenisbestuur		#Beheer en ekosisteem
#Beskerming
#Verdediging

Eienaarskap van beheer 5.37

Beheer 5.37 handel oor 'n diverse stel omstandighede wat die potensiaal het om in te sluit verskeie departemente en werksrolle onder die opdrag van gedokumenteerde bedryfsprosedures. Dit gesê, daar kan veilig aanvaar word dat die meeste van die prosedures IKT-personeel, toerusting en stelsels sal raak.

Waar dit gebeur, behoort eienaarskap by 'n senior lid van die bestuurspan te wees wat verantwoordelik is vir alle IKT-verwante aktiwiteite, soos 'n IT-hoof.

Spring na Onderwerp

Ons is koste-effektief en vinnig

Ontdek hoe dit jou ROI sal verhoog
Kry jou kwotasie

Algemene riglyne oor beheer 5.37

Prosedures moet geskep word vir inligtingsekuriteitverwante aktiwiteite in ooreenstemming met 5 sleutel operasionele oorwegings:

  1. Enige geval van 'n aktiwiteit wat deur een of meer mense op dieselfde manier uitgevoer word.

  2. Wanneer 'n aktiwiteit nie gereeld uitgevoer word nie.

  3. Wanneer 'n prosedure die risiko inhou om vergeet te word.

  4. Enige nuwe aktiwiteite wat onbekend is aan personeel, en dus onderhewig is aan 'n hoër mate van risiko.

  5. Wanneer die verantwoordelikheid vir die uitvoering van 'n aktiwiteit na 'n ander werknemer of groep werknemers oorgedra word.

Waar hierdie gevalle voorkom, moet gedokumenteerde bedryfsprosedures duidelik uiteensit:

  1. Enige individue wat verantwoordelik is – beide posbekleërs en nuwe operateurs.

  2. 'n Stel riglyne wat sekuriteit handhaaf tydens die installering en daaropvolgende konfigurasie van enige verwante besigheidstelsels.

  3. Hoe inligting regdeur die aktiwiteit verwerk word.

  4. BUDR-planne en implikasies, in die geval van dataverlies of 'n groot gebeurtenis (sien Beheer 8.13).

  5. Gekoppelde afhanklikhede met enige ander stelsels, insluitend skedulering.

  6. 'n Duidelike prosedure vir die hantering van "hanteringsfoute" of diverse gebeurtenisse wat die potensiaal het om te voorkom (sien Kontrole 8.18).

  7. 'n Volledige lys van personeel wat gekontak moet word in die geval van enige ontwrigting, insluitend duidelike eskaleringsprosedures.

  8. Hoe om enige relevante bergingsmedia te bedryf wat met die aktiwiteit geassosieer word (sien Kontroles 7.10 en 7.14).

  9. Hoe om te herlaai en te herstel van 'n stelselfout.

  10. Ouditspooraantekening, insluitend alle gepaardgaande gebeurtenis- en stelsellogboeke (sien Kontroles 8.15 en 8.17).

  11. Videomoniteringstelsels wat aktiwiteite op die terrein monitor (sien Beheer 7.4).

  12. 'n Sterk stel moniteringsprosedures wat voorsiening maak vir die operasionele kapasiteit, prestasiepotensiaal en sekuriteit van genoemde aktiwiteit.

  13. Hoe die aktiwiteit gehandhaaf moet word, om op optimale prestasievlakke gehou te word.

Al die bogenoemde prosedures moet onderhewig wees aan periodieke en/of ad-hoc hersiening, soos en wanneer vereis, met alle veranderinge wat betyds deur Bestuur bekragtig word om inligtingsekuriteitsaktiwiteit regoor die organisasie te beskerm.

Ontdek ons ​​platform

Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022-5.37 vervang 27002:2013-12.1.1 (Gedokumenteerde bedryfsprosedures).

27002:2022-5.37 brei uit op 27002:2013-12.1.1 deur 'n veel breër stel omstandighede aan te bied wat die nakoming van 'n dokumentprosedure sal regverdig.

27002:2013-12.1.1 lys inligtingverwerkingsaktiwiteite soos rekenaarbegin- en -toemaakprosedures, rugsteun, instandhouding van toerusting, mediahantering, terwyl 27002:2022-5.37 die opdrag van die beheer uitbrei na algemene aktiwiteite wat nie beperk is tot spesifieke tegniese funksies.

Afgesien van 'n paar klein toevoegings – soos om die individue wat vir 'n aktiwiteit verantwoordelik is te kategoriseer – bevat 27002:2022-5.37 dieselfde algemene riglyne as 27002:2013-12.1.1

Hoe ISMS.online help

ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.

Kontak vandag nog om bespreek 'n demo.

Dit help om ons gedrag op 'n positiewe manier te dryf wat vir ons werk
& ons kultuur.

Emmie Cooney
Proses Bestuurder; Ondernemings Bestuurder; Operasionele Bestuurder, Vriend

Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind