Slaan oor na inhoud
ISMS.aanlyn

ISO 27002:2022 – Beheer 5.37 – Gedokumenteerde bedryfsprosedures

ISO 27002:2022 Beheer 5.37 beklemtoon die behoefte aan gedokumenteerde bedryfsprosedures om konsekwente en veilige inligtingsekuriteitsaktiwiteite te verseker. Dit vervang ISO 27001:2013 Bylae A 12.1.1, wat die omvang daarvan verbreed om verskeie operasionele sekuriteitstake te dek.

skrywer
Sam Peters
Opgedateer Julie 25, 2025
4/5 sterre

Doel van beheer 5.37

Beheer 5.37 handel oor die konsep van inligtingsekuriteit as 'n operasionele aktiwiteit, met die samestellende elemente wat deur een of meer individue uitgevoer en/of bestuur word.

Beheer 5.37 skets 'n reeks operasionele prosedures wat verseker dat 'n organisasie se inligtingsekuriteit fasiliteit bly doeltreffend en veilig, en in lyn met hul gedokumenteerde vereistes.

Eienskappe tabel

Beheer 5.37 is a voorkomende en korrektiewe beheer dit risiko handhaaf deur die skepping van 'n bank van prosedures wat verband hou met 'n organisasie se inligtingsekuriteit aktiwiteite.

beheer Tipe Eienskappe vir inligtingsekuriteit Kuberveiligheidskonsepte Operasionele vermoëns Sekuriteitsdomeine
#Voorkomende #Vertroulikheid #Beskerm #Batebestuur #Beheer en ekosisteem
#Regstellend #Integriteit #Herstel #Fisiese sekuriteit #Beskerming
#Beskikbaarheid #Stelsel- en netwerksekuriteit #Verdediging
#Toepassingsekuriteit
# Veilige konfigurasie
# Identiteit en toegangsbestuur
#Bedreigings- en kwesbaarheidsbestuur
# Kontinuïteit
#Inligtingsekuriteitsgebeurtenisbestuur

Eienaarskap van beheer 5.37

Beheer 5.37 handel oor 'n diverse stel omstandighede wat die potensiaal het om in te sluit verskeie departemente en werksrolle onder die opdrag van gedokumenteerde bedryfsprosedures. Dit gesê, daar kan veilig aanvaar word dat die meeste van die prosedures IKT-personeel, toerusting en stelsels sal raak.

Waar dit gebeur, behoort eienaarskap by 'n senior lid van die bestuurspan te wees wat verantwoordelik is vir alle IKT-verwante aktiwiteite, soos 'n IT-hoof.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Algemene riglyne oor beheer 5.37

Prosedures moet geskep word vir inligtingsekuriteitverwante aktiwiteite in ooreenstemming met 5 sleutel operasionele oorwegings:

  1. Enige geval van 'n aktiwiteit wat deur een of meer mense op dieselfde manier uitgevoer word.
  2. Wanneer 'n aktiwiteit nie gereeld uitgevoer word nie.
  3. Wanneer 'n prosedure die risiko inhou om vergeet te word.
  4. Enige nuwe aktiwiteite wat onbekend is aan personeel, en dus onderhewig is aan 'n hoër mate van risiko.
  5. Wanneer die verantwoordelikheid vir die uitvoering van 'n aktiwiteit na 'n ander werknemer of groep werknemers oorgedra word.

Waar hierdie gevalle voorkom, moet gedokumenteerde bedryfsprosedures duidelik uiteensit:

  1. Enige individue wat verantwoordelik is – beide posbekleërs en nuwe operateurs.
  2. 'n Stel riglyne wat sekuriteit handhaaf tydens die installering en daaropvolgende konfigurasie van enige verwante besigheidstelsels.
  3. Hoe inligting regdeur die aktiwiteit verwerk word.
  4. BUDR-planne en implikasies, in die geval van dataverlies of 'n groot gebeurtenis (sien Beheer 8.13).
  5. Gekoppelde afhanklikhede met enige ander stelsels, insluitend skedulering.
  6. 'n Duidelike prosedure vir die hantering van "hanteringsfoute" of diverse gebeurtenisse wat die potensiaal het om te voorkom (sien Kontrole 8.18).
  7. 'n Volledige lys van personeel wat gekontak moet word in die geval van enige ontwrigting, insluitend duidelike eskaleringsprosedures.
  8. Hoe om enige relevante bergingsmedia te bedryf wat met die aktiwiteit geassosieer word (sien Kontroles 7.10 en 7.14).
  9. Hoe om te herlaai en te herstel van 'n stelselfout.
  10. Ouditspooraantekening, insluitend alle gepaardgaande gebeurtenis- en stelsellogboeke (sien Kontroles 8.15 en 8.17).
  11. Videomoniteringstelsels wat aktiwiteite op die terrein monitor (sien Beheer 7.4).
  12. 'n Sterk stel moniteringsprosedures wat voorsiening maak vir die operasionele kapasiteit, prestasiepotensiaal en sekuriteit van genoemde aktiwiteit.
  13. Hoe die aktiwiteit gehandhaaf moet word, om op optimale prestasievlakke gehou te word.

Al die bogenoemde prosedures moet onderhewig wees aan periodieke en/of ad-hoc hersiening, soos en wanneer vereis, met alle veranderinge wat betyds deur Bestuur bekragtig word om inligtingsekuriteitsaktiwiteit regoor die organisasie te beskerm.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Veranderinge en verskille vanaf ISO 27002:2013

27002:2022-5.37 vervang 27002:2013-12.1.1 (Gedokumenteerde bedryfsprosedures).

27002:2022-5.37 brei uit op 27002:2013-12.1.1 deur 'n veel breër stel omstandighede aan te bied wat die nakoming van 'n dokumentprosedure sal regverdig.

27002:2013-12.1.1 lys inligtingverwerkingsaktiwiteite soos rekenaarbegin- en -toemaakprosedures, rugsteun, instandhouding van toerusting, mediahantering, terwyl 27002:2022-5.37 die opdrag van die beheer uitbrei na algemene aktiwiteite wat nie beperk is tot spesifieke tegniese funksies.

Afgesien van 'n paar klein toevoegings – soos om die individue wat vir 'n aktiwiteit verantwoordelik is te kategoriseer – bevat 27002:2022-5.37 dieselfde algemene riglyne as 27002:2013-12.1.1

Nuwe ISO 27002-kontroles

Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.7 NUWE Bedreigingsintelligensie
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.30 NUWE IKT-gereedheid vir besigheidskontinuïteit
7.4 NUWE Fisiese sekuriteitsmonitering
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.16 NUWE Moniteringsaktiwiteite
8.23 NUWE Webfiltrering
8.28 NUWE Veilige kodering
Organisatoriese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.1 05.1.1, 05.1.2 Beleide vir inligtingsekuriteit
5.2 06.1.1 Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3 06.1.2 Skeiding van pligte
5.4 07.2.1 Bestuursverantwoordelikhede
5.5 06.1.3 Kontak met owerhede
5.6 06.1.4 Kontak met spesiale belangegroepe
5.7 NUWE Bedreigingsintelligensie
5.8 06.1.5, 14.1.1 Inligtingsekuriteit in projekbestuur
5.9 08.1.1, 08.1.2 Inventaris van inligting en ander verwante bates
5.10 08.1.3, 08.2.3 Aanvaarbare gebruik van inligting en ander verwante bates
5.11 08.1.4 Teruggawe van bates
5.12 08.2.1 Klassifikasie van inligting
5.13 08.2.2 Etikettering van inligting
5.14 13.2.1, 13.2.2, 13.2.3 Inligting oordrag
5.15 09.1.1, 09.1.2 Toegangsbeheer
5.16 09.2.1 Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3 Stawing inligting
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsregte
5.19 15.1.1 Inligtingsekuriteit in verskafferverhoudings
5.20 15.1.2 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21 15.1.3 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22 15.2.1, 15.2.2 Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.24 16.1.1 Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25 16.1.4 Assessering en besluit oor inligtingsekuriteitsgebeure
5.26 16.1.5 Reaksie op inligtingsekuriteitsvoorvalle
5.27 16.1.6 Leer uit inligtingsekuriteitvoorvalle
5.28 16.1.7 Insameling van bewyse
5.29 17.1.1, 17.1.2, 17.1.3 Inligtingsekuriteit tydens ontwrigting
5.30 5.30 IKT-gereedheid vir besigheidskontinuïteit
5.31 18.1.1, 18.1.5 Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32 18.1.2 Intellektuele eiendomsregte
5.33 18.1.3 Beskerming van rekords
5.34 18.1.4 Privaatheid en beskerming van PII
5.35 18.2.1 Onafhanklike hersiening van inligtingsekuriteit
5.36 18.2.2, 18.2.3 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37 12.1.1 Gedokumenteerde bedryfsprosedures
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
6.1 07.1.1 Screening
6.2 07.1.2 Terme en diensvoorwaardes
6.3 07.2.2 Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4 07.2.3 Dissiplinêre proses
6.5 07.3.1 Verantwoordelikhede na beëindiging of verandering van diens
6.6 13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7 06.2.2 Afstand werk
6.8 16.1.2, 16.1.3 Rapportering van inligtingsekuriteitsgebeurtenisse
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
7.1 11.1.1 Fisiese sekuriteit omtrek
7.2 11.1.2, 11.1.6 Fisiese toegang
7.3 11.1.3 Beveiliging van kantore, kamers en fasiliteite
7.4 NUWE Fisiese sekuriteitsmonitering
7.5 11.1.4 Beskerming teen fisiese en omgewingsbedreigings
7.6 11.1.5 Werk in veilige areas
7.7 11.2.9 Duidelike lessenaar en duidelike skerm
7.8 11.2.1 Toerusting plaas en beskerming
7.9 11.2.6 Sekuriteit van bates buite die perseel
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Berging media
7.11 11.2.2 Ondersteunende nutsprogramme
7.12 11.2.3 Bekabeling sekuriteit
7.13 11.2.4 Onderhoud van toerusting
7.14 11.2.7 Veilige wegdoening of hergebruik van toerusting
Tegnologiese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
8.1 06.2.1, 11.2.8 Gebruikerseindpunttoestelle
8.2 09.2.3 Bevoorregte toegangsregte
8.3 09.4.1 Beperking van toegang tot inligting
8.4 09.4.5 Toegang tot bronkode
8.5 09.4.2 Veilige verifikasie
8.6 12.1.3 Kapasiteitsbestuur
8.7 12.2.1 Beskerming teen wanware
8.8 12.6.1, 18.2.3 Bestuur van tegniese kwesbaarhede
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.13 12.3.1 Rugsteun van inligting
8.14 17.2.1 Oortolligheid van inligtingverwerkingsfasiliteite
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NUWE Moniteringsaktiwiteite
8.17 12.4.4 Klok sinchronisasie
8.18 09.4.4 Gebruik van bevoorregte nutsprogramme
8.19 12.5.1, 12.6.2 Installering van sagteware op bedryfstelsels
8.20 13.1.1 Netwerk sekuriteit
8.21 13.1.2 Sekuriteit van netwerkdienste
8.22 13.1.3 Segregasie van netwerke
8.23 NUWE Webfiltrering
8.24 10.1.1, 10.1.2 Gebruik van kriptografie
8.25 14.2.1 Veilige ontwikkeling lewensiklus
8.26 14.1.2, 14.1.3 Aansoek sekuriteit vereistes
8.27 14.2.5 Veilige stelselargitektuur en ingenieursbeginsels
8.28 NUWE Veilige kodering
8.29 14.2.8, 14.2.9 Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30 14.2.7 Uitgekontrakteerde ontwikkeling
8.31 12.1.4, 14.2.6 Skeiding van ontwikkeling, toets en produksie omgewings
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Veranderings bestuur
8.33 14.3.1 Toets inligting
8.34 12.7.1 Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

ISO 27002 implementering is eenvoudiger met ons stap-vir-stap kontrolelys wat jou deur die hele proses lei, van die definisie van die omvang van jou ISMS tot risiko-identifikasie en beheer-implementering.

Kontak vandag nog om bespreek 'n demo.

Sam Peters

Sam is hoofprodukbeampte by ISMS.online en lei die ontwikkeling van alle produkkenmerke en -funksionaliteit. Sam is 'n kenner op baie gebiede van voldoening en werk saam met kliënte aan enige maat- of grootskaalse projekte.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platformdashboard vol op kristal

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Herfs 2025
Hoëpresteerder, Klein Besigheid - Herfs 2025 VK
Streekleier - Herfs 2025 Europa
Streekleier - Herfs 2025 EMEA
Streekleier - Herfs 2025 VK
Hoë Presteerder - Herfs 2025 Europa Middelmark

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.