Doel van beheer 5.37
Beheer 5.37 handel oor die konsep van inligtingsekuriteit as 'n operasionele aktiwiteit, met die samestellende elemente wat deur een of meer individue uitgevoer en/of bestuur word.
Beheer 5.37 skets 'n reeks operasionele prosedures wat verseker dat 'n organisasie se inligtingsekuriteit fasiliteit bly doeltreffend en veilig, en in lyn met hul gedokumenteerde vereistes.
Eienskappe tabel
Beheer 5.37 is a voorkomende en korrektiewe beheer dit risiko handhaaf deur die skepping van 'n bank van prosedures wat verband hou met 'n organisasie se inligtingsekuriteit aktiwiteite.
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Beskerm | #Batebestuur | #Beheer en ekosisteem |
| #Regstellend | #Integriteit | #Herstel | #Fisiese sekuriteit | #Beskerming |
| #Beskikbaarheid | #Stelsel- en netwerksekuriteit | #Verdediging | ||
| #Toepassingsekuriteit | ||||
| # Veilige konfigurasie | ||||
| # Identiteit en toegangsbestuur | ||||
| #Bedreigings- en kwesbaarheidsbestuur | ||||
| # Kontinuïteit | ||||
| #Inligtingsekuriteitsgebeurtenisbestuur |
Eienaarskap van beheer 5.37
Beheer 5.37 handel oor 'n diverse stel omstandighede wat die potensiaal het om in te sluit verskeie departemente en werksrolle onder die opdrag van gedokumenteerde bedryfsprosedures. Dit gesê, daar kan veilig aanvaar word dat die meeste van die prosedures IKT-personeel, toerusting en stelsels sal raak.
Waar dit gebeur, behoort eienaarskap by 'n senior lid van die bestuurspan te wees wat verantwoordelik is vir alle IKT-verwante aktiwiteite, soos 'n IT-hoof.
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Algemene riglyne oor beheer 5.37
Prosedures moet geskep word vir inligtingsekuriteitverwante aktiwiteite in ooreenstemming met 5 sleutel operasionele oorwegings:
- Enige geval van 'n aktiwiteit wat deur een of meer mense op dieselfde manier uitgevoer word.
- Wanneer 'n aktiwiteit nie gereeld uitgevoer word nie.
- Wanneer 'n prosedure die risiko inhou om vergeet te word.
- Enige nuwe aktiwiteite wat onbekend is aan personeel, en dus onderhewig is aan 'n hoër mate van risiko.
- Wanneer die verantwoordelikheid vir die uitvoering van 'n aktiwiteit na 'n ander werknemer of groep werknemers oorgedra word.
Waar hierdie gevalle voorkom, moet gedokumenteerde bedryfsprosedures duidelik uiteensit:
- Enige individue wat verantwoordelik is – beide posbekleërs en nuwe operateurs.
- 'n Stel riglyne wat sekuriteit handhaaf tydens die installering en daaropvolgende konfigurasie van enige verwante besigheidstelsels.
- Hoe inligting regdeur die aktiwiteit verwerk word.
- BUDR-planne en implikasies, in die geval van dataverlies of 'n groot gebeurtenis (sien Beheer 8.13).
- Gekoppelde afhanklikhede met enige ander stelsels, insluitend skedulering.
- 'n Duidelike prosedure vir die hantering van "hanteringsfoute" of diverse gebeurtenisse wat die potensiaal het om te voorkom (sien Kontrole 8.18).
- 'n Volledige lys van personeel wat gekontak moet word in die geval van enige ontwrigting, insluitend duidelike eskaleringsprosedures.
- Hoe om enige relevante bergingsmedia te bedryf wat met die aktiwiteit geassosieer word (sien Kontroles 7.10 en 7.14).
- Hoe om te herlaai en te herstel van 'n stelselfout.
- Ouditspooraantekening, insluitend alle gepaardgaande gebeurtenis- en stelsellogboeke (sien Kontroles 8.15 en 8.17).
- Videomoniteringstelsels wat aktiwiteite op die terrein monitor (sien Beheer 7.4).
- 'n Sterk stel moniteringsprosedures wat voorsiening maak vir die operasionele kapasiteit, prestasiepotensiaal en sekuriteit van genoemde aktiwiteit.
- Hoe die aktiwiteit gehandhaaf moet word, om op optimale prestasievlakke gehou te word.
Al die bogenoemde prosedures moet onderhewig wees aan periodieke en/of ad-hoc hersiening, soos en wanneer vereis, met alle veranderinge wat betyds deur Bestuur bekragtig word om inligtingsekuriteitsaktiwiteit regoor die organisasie te beskerm.
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
Veranderinge en verskille vanaf ISO 27002:2013
27002:2022-5.37 vervang 27002:2013-12.1.1 (Gedokumenteerde bedryfsprosedures).
27002:2022-5.37 brei uit op 27002:2013-12.1.1 deur 'n veel breër stel omstandighede aan te bied wat die nakoming van 'n dokumentprosedure sal regverdig.
27002:2013-12.1.1 lys inligtingverwerkingsaktiwiteite soos rekenaarbegin- en -toemaakprosedures, rugsteun, instandhouding van toerusting, mediahantering, terwyl 27002:2022-5.37 die opdrag van die beheer uitbrei na algemene aktiwiteite wat nie beperk is tot spesifieke tegniese funksies.
Afgesien van 'n paar klein toevoegings – soos om die individue wat vir 'n aktiwiteit verantwoordelik is te kategoriseer – bevat 27002:2022-5.37 dieselfde algemene riglyne as 27002:2013-12.1.1
Nuwe ISO 27002-kontroles
Nuwe kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.online help
ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.
- Gebruikers kan take voltooi en bewyse indien om voldoening aan die standaard te demonstreer.
- Dit is maklik om verantwoordelikhede te delegeer en vordering in die rigting van voldoening te monitor.
- die uitgebreide risikobepaling gereedskapstel bespaar tyd en moeite regdeur die proses.
- Ons het 'n toegewyde span konsultante byderhand om te ondersteun jou regdeur jou reis na voldoening.
Kontak vandag nog om bespreek 'n demo.
Spring na onderwerp
