Wat is beheer 5.4 Bestuursverantwoordelikhede
Wat is 'n inligtingsekuriteitsbeleid?
An inligtingsekuriteitsbeleid is 'n formele dokument wat bestuursrigting, doelwitte en beginsels verskaf vir die beskerming van 'n organisasie se inligting. An effektiewe inligtingsekuriteitsbeleid moet aangepas word vir die spesifieke behoeftes van 'n organisasie en ondersteun word deur senior bestuur om toepaslike toewysing van hulpbronne te verseker.
Die beleid kommunikeer die oorkoepelende beginsels oor hoe bestuur wil hê werknemers moet sensitiewe data hanteer en hoe die maatskappy sal sy inligtingsbates beskerm.
Die beleid is dikwels afgelei van wette, regulasies en beste praktyke wat deur die organisasie nagekom moet word. Inligtingsekuriteitsbeleide word gewoonlik geskep deur 'n organisasie se senior bestuur, met insette van sy IT-sekuriteitspersoneel.
Beleide moet ook 'n raamwerk vir definieer rolle en verantwoordelikhede en 'n tydlyn vir periodieke hersiening.
Eienskappe tabel
Eienskappe is 'n manier om verskillende tipes kontroles te kategoriseer. Hierdie eienskappe laat jou toe om jou kontroles in lyn te bring met industriestandaarde. In beheer 5.4 is hulle:
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid | #Identifiseer | #Beheer | #Beheer en ekosisteem |
| #Integriteit | ||||
| #Beskikbaarheid |
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Wat is die doel van beheer 5.4?
Beheer 5.4 is ontwerp om verseker dat bestuur hul verantwoordelikheid in inligtingsekuriteit verstaan en dat hulle stappe doen om te verseker dat alle werknemers bewus is van en hul inligtingsekuriteitsverpligtinge na te kom.
Beheer 5.4 Verduidelik
Inligting is 'n waardevolle bate en moet beskerm word teen verlies, skade of misbruik. Die organisasie sal verseker dat toepaslike maatreëls getref word om hierdie bate te beskerm. Om dit te laat gebeur, moet bestuur verseker dat alle personeel al die inligtingsekuriteitsbeleid, onderwerpspesifieke beleide en prosedures van die organisasie toepas.
Beheer 5.4 dek die doel en implementeringsleiding vir die definisie van bestuursverantwoordelikheid met betrekking tot inligtingsekuriteit in 'n organisasie in ooreenstemming met die raamwerk van ISO 27001.
Hierdie beheer gaan alles daaroor om seker te maak dat bestuur is aan boord van die inligtingsekuriteitsprogram en dat alle werknemers en kontrakteurs bewus is van en die organisasie se inligtingsekuriteitsbeleid volg. Niemand moet ooit vrygestel word van verpligte nakoming van die organisasie se veiligheidsbeleide, onderwerpspesifieke beleide en prosedures nie.
Wat is betrokke en hoe om aan die vereistes te voldoen
Die sleutel om aan die vereistes van hierdie beheer te voldoen, is om te verseker dat bestuur in staat is om alle relevante personeel te verplig om aan die organisasie se inligtingsekuriteitsbeleide, -standaarde en -prosedures te voldoen.
Die eerste stap is bestuursinkoop en ondersteuning. Bestuur moet sy toewyding toon deur alle beleide en prosedures wat dit in plek stel deur te volg. Byvoorbeeld, as jy van werkers vereis om jaarlikse sekuriteitsbewustheid te neem opleidingskursusse, moet bestuurders deur voorbeeld lei en eers daardie kursusse voltooi.
Vervolgens word die belangrikheid van inligtingsekuriteit aan almal in die maatskappy gekommunikeer, ongeag hul rol. Dit sluit die raad van direkteure, uitvoerende beamptes en bestuur, sowel as werknemers in. Almal moet hul rol in die handhawing van die verstaan sekuriteit van sensitiewe data soos gedek in die maatskappy se ISMS program.
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Verskille tussen ISO 27002:2013 en ISO 27002:2022
ISO 27002:2022 beheer 5.4 Bestuursverantwoordelikhede was voorheen bekend as beheer 7.2.1 Bestuursverantwoordelikhede in ISO 27002:2013. Dit is nie 'n nuwe beheer nie, maar 'n meer robuuste interpretasie van die 2013-weergawe.
Terwyl kontrole 5.4 en beheer 7.2.1 breedweg dieselfde ding dek, is daar min verskille wat organisasies en sakebestuurders moet let op. Hierdie verskille word gedek in die implementeringsleiding van die beheer.
Beheer 5.4 ISO 27002:2013-2022 Implementeringsriglyne vergelyk
In ISO 27002: 2013 dek bestuursverantwoordelikhede om te verseker dat werknemers en kontrakteurs:
a) word behoorlik ingelig oor hul inligtingsekuriteitsrolle en -verantwoordelikhede voordat toegang tot vertroulike inligting of inligtingstelsels verleen word;
b) word voorsien van riglyne om inligtingsekuriteitsverwagtinge van hul rol binne die
Organisasie;
c) gemotiveerd is om die inligtingsekuriteitsbeleide van die organisasie na te kom;
d) 'n vlak van bewustheid te bereik oor inligtingsekuriteit wat relevant is tot hul rolle en verantwoordelikhede binne die organisasie;
e) voldoen aan die diensbepalings en -voorwaardes, wat die organisasie se inligtingsekuriteitsbeleid en toepaslike werksmetodes insluit;
f) voortgaan om die toepaslike vaardighede en kwalifikasies te hê en op 'n gereelde basis opgevoed te word;
g) word voorsien van 'n anonieme rapporteringskanaal om oortredings van inligtingsekuriteitsbeleide of -prosedures (“fluitjieblaas”) aan te meld.
Bestuur moet ondersteuning van inligtingsekuriteitsbeleide, prosedures en kontroles demonstreer en as 'n rolmodel optree.
Control 5.4 is 'n meer gebruikersvriendelike weergawe en vereis dat bestuursverantwoordelikhede verseker dat werknemers en kontrakteurs:
a) Word behoorlik ingelig oor hul inligtingsekuriteitsrolle en -verantwoordelikhede voordat toegang tot die organisasie se inligting en ander verwante bates verleen word;
b) Word voorsien van riglyne wat die inligtingsekuriteitsverwagtinge van hul rol binne die organisasie aandui;
c) Opdrag is om die inligtingsekuriteitsbeleid en onderwerpspesifieke beleide van die organisasie na te kom;
d) Bereik 'n vlak van bewustheid van inligtingsekuriteit relevant tot hul rolle en verantwoordelikhede binne die organisasie;
e) Voldoening aan die bepalings en voorwaardes van diens, kontrak of ooreenkoms, insluitend die organisasie se inligtingsekuriteitsbeleid en toepaslike werksmetodes;
f) Gaan voort om die toepaslike inligtingsekuriteitsvaardighede en kwalifikasies te hê deur deurlopende professionele opleiding;
g) Waar doenlik, word voorsien van 'n vertroulike kanaal vir die rapportering van oortredings van inligtingsekuriteitsbeleid, onderwerpspesifieke beleide of prosedures vir inligtingsekuriteit ("fluitjieblaas"). Dit kan voorsiening maak vir anonieme rapportering, of voorsiening maak om te verseker dat kennis van die identiteit van die verslaggewer slegs bekend is aan diegene wat sulke verslae moet hanteer;
h) Word voorsien van voldoende hulpbronne en projekbeplanningstyd vir die implementering van die organisasie se sekuriteitsverwante prosesse en beheermaatreëls.
Soos u kan sien, vereis ISO 27002:2022 spesifiek dat om die organisasie se sekuriteitsverwante prosedures en kontroles uit te voer, werkers en kontrakteurs van die nodige hulpbronne sowel as projekbeplanningstyd voorsien word.
Die bewoordings in sommige van die implementeringsriglyne van ISO 27002:2013 vs ISO 27002:2020 is ook geraak. Waar riglyn C van die 2013-weergawe bepaal dat werknemers en kontrakteurs 'gemotiveerd' moet wees om die maatskappy se ISMS-beleide aan te neem, gebruik 2022 die woord 'mandated'
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
Wie is in beheer van hierdie proses?
Die antwoord op hierdie vraag is redelik eenvoudig: die bestuur! Dit is die verantwoordelikheid van die bestuur om te verseker dat 'n behoorlike ISMS (Inligtingsekuriteitsbestuurstelsel) geïmplementeer word.
Dit word normaalweg ondersteun deur die aanstelling van 'n toepaslik gekwalifiseerde en ervare inligtingsekuriteitsbestuurder, wat aan senior bestuur verantwoordelik sal wees vir die ontwikkeling, implementering, bestuur en voortdurende verbetering van die ISMS.
Nuwe ISO 27002-kontroles
Nuwe kontroles
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.online help
Een van die grootste uitdagings in die implementering van 'n ISO 27001-belynde ISMS hou op hoogte van jou inligtingsekuriteitskontroles. Ons stelsel maak dit maklik.
Ons verstaan die belangrikheid van die beskerming van jou organisasie se data en reputasie. Dit is hoekom ons wolk-gebaseerde platform ontwerp is om die implementering van ISO 27001 te vereenvoudig, jou te voorsien van 'n robuuste raamwerk van inligtingsekuriteitskontroles en jou te help om sertifisering met minimale hulpbronne en tyd te bereik.
Ons het 'n verskeidenheid gebruikersvriendelike ingesluit kenmerke en gereedskapstelle in ons platform om jou tyd te bespaar en te verseker dat jy 'n baie robuuste ISMS skep. Met ISMS.aanlyn, kan jy maklik ISO 27001-sertifisering verkry en dit daarna maklik bestuur.
Bespreek 'n demo vandag.
Spring na onderwerp
