Slaan oor na inhoud
ISMS.aanlyn

ISO 27002:2022 – Beheer 5.9 – Inventaris van inligting en ander geassosieerde bates

ISO 27002:2022 Beheer 5.9, wat van organisasies vereis om 'n inventaris van inligtingsbates te skep en in stand te hou, eienaarskap toe te ken en sekuriteitskontroles te implementeer om behoorlike bestuur en beskerming te verseker.

skrywer
Sam Peters
Opgedateer Julie 25, 2025
4/5 sterre

Wat is Beheer 5.9 Inventaris van inligting en ander verwante bates?

Beheer 5.9 in die hersiene ISO 27002:2022 beskryf hoe 'n inventaris van inligting en ander verwante bates, insluitend eienaars, ontwikkel en in stand gehou moet word.

Inventaris van inligtingsbates verduidelik

Om sy aktiwiteite uit te voer, moet die organisasie weet watter inligtingsbates hy tot sy beskikking het.

An inventaris van inligtingsbates (IA) is 'n lys van alles wat 'n organisasie stoor, verwerk of versend. Dit sluit ook die ligging en sekuriteitskontroles vir elke item in. Die doel is om elke enkele stukkie data te identifiseer. Jy kan daaraan dink as die finansiële rekeningkundige ekwivalent vir databeskerming.

'n IA kan gebruik word om leemtes in jou sekuriteitsprogram en lig kuberrisikobeoordelings in waar jy dalk kwesbaarhede het wat tot 'n oortreding kan lei. Dit kan ook as bewyse gebruik word tydens voldoeningsoudits dat jy omsigtigheid gedoen het om jou sensitiewe data te identifiseer, wat jou help om boetes en strawwe te vermy.

Die inventaris van inligtingsbates moet ook besonderhede insluit van wie elke bate besit en wie dit bestuur. Dit moet ook inligting insluit oor die waarde van elke item in die voorraad en hoe krities dit is vir die sukses van die organisasie se sakebedrywighede.

Dit is belangrik dat voorraad op datum gehou word sodat dit veranderinge binne die organisasie weerspieël.

Waarom het ek 'n inventaris van inligtingsbates nodig?

Inligtingsbatebestuur het 'n lang geskiedenis in besigheidskontinuïteitsbeplanning (BCP), rampherstel (DR) en insidentreaksiebeplanning.

Die eerste stap in enige van daardie prosesse behels die identifisering van kritieke stelsels, netwerke, databasisse, toepassings, datavloei en ander komponente wat beskerming benodig. As jy nie weet wat beskerm moet word of waar dit woon nie, dan kan jy nie beplan hoe om dit te beskerm nie!



ISMS.online gee jou 'n 81% voorsprong vanaf die oomblik dat jy aanmeld

ISO 27001 maklik gemaak

'n Voorsprong van 81% van dag een af

Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld. Al wat jy hoef te doen is om die spasies in te vul.

Aan die begin


Eienskappe Tabel van beheer 5.9

Kontroles word geklassifiseer met behulp van eienskappe. Deur dit te gebruik, kan jy vinnig jou beheerkeuse pas by algemeen gebruikte industrieterme en -spesifikasies.

Hierdie tabel komplementeer werk wat baie kliënte tans doen as deel van hul risikobepaling en SOA deur die vertroulikheid te identifiseer, integriteit en beskikbaarheid – en ander faktore. In beheer 5.9 is die eienskappe:

beheer Tipe Eienskappe vir inligtingsekuriteit Kuberveiligheidskonsepte Operasionele vermoëns Sekuriteitsdomeine
#Voorkomende #Vertroulikheid #Identifiseer #Batebestuur #Beheer en ekosisteem
#Integriteit #Beskerming
#Beskikbaarheid

Wat is die doel van beheer 5.9?

Die doel van hierdie beheer is om die organisasie se inligting en ander verwante bates te identifiseer ten einde hul inligtingsekuriteit te bewaar en toepaslike eienaarskap toe te ken.

Beheer 5.9 dek die beheer-, doel- en implementeringsleiding vir die skep van 'n inventaris van inligting en ander verwante bates in ooreenstemming met die ISMS-raamwerk soos gedefinieer deur ISO 27001.

Die beheer vereis dat 'n inventaris van alle inligting en ander geassosieerde bates geneem word, dit in verskillende kategorieë geklassifiseer word, hul eienaars identifiseer en die kontroles wat in plek is of behoort te wees, te dokumenteer.

Dit is 'n belangrike stap om te verseker dat alle inligtingsbates voldoende beskerm word.

Wat is betrokke en hoe om aan die vereistes te voldoen

om voldoen aan die vereistes vir die nuwe ISO 27002:2022, moet jy die inligting en ander verwante bates binne jou organisasie identifiseer. Dan moet jy die belangrikheid van hierdie items in terme van inligtingsekuriteit bepaal. Indien toepaslik, moet dokumentasie in toegewyde of bestaande voorraad gehou word.

Die benadering tot die ontwikkeling van 'n voorraad sal wissel na gelang van 'n organisasie se grootte en kompleksiteit, sy bestaande kontroles en beleide, en die tipe inligting en ander verwante bates wat dit gebruik.

Volgens beheer 5.9 moet die inventaris van inligting en ander verwante bates akkuraat, op datum, konsekwent en in lyn wees met ander voorraad. Opsies om akkuraatheid van 'n inventaris van inligting en ander verwante bates te verseker, sluit in:

a) gereelde hersiening van geïdentifiseerde inligting en ander verwante bates teen die bate-inventaris uit te voer;

b) outomaties afdwing van 'n voorraadopdatering in die proses om 'n bate te installeer, te verander of te verwyder.

Die ligging van 'n bate moet, soos toepaslik, by die voorraad ingesluit word.

Sommige organisasies moet dalk verskeie voorraad vir verskillende doeleindes in stand hou. Sommige organisasies het byvoorbeeld toegewyde voorraad vir sagtewarelisensies of vir fisiese toerusting soos skootrekenaars en tablette.

Ander kan 'n enkele voorraad hê wat alle fisiese toerusting insluit, insluitend netwerktoestelle soos routers en skakelaars. Dit is belangrik dat enige sodanige inventarisse gereeld hersien word om te verseker dat dit op datum gehou word sodat dit gebruik kan word om te help met risiko bestuur aktiwiteite.

Meer inligting oor die voldoening aan die vereistes vir beheer 5.9 kan gevind word in die nuwe ISO 27002:2022-dokument.



ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bestuur al u nakoming, alles op een plek

ISMS.online ondersteun meer as 100 standaarde en regulasies, wat jou 'n enkele platform bied vir al jou voldoeningsbehoeftes.

Bespreek jou demo


Verskille tussen ISO 27002:2013 en ISO 27002:2022

In ISO 27002: 2022 is 57 kontroles van ISO 27002: 2013 saamgevoeg in 24 kontroles. So jy sal nie beheer 5.9 as Inventaris van Inligting en Ander Geassosieerde Bates in die 2013-weergawe vind nie. Eerder in die 2022-weergawe is dit 'n kombinasie van beheer 8.1.1 Inventaris van bates en beheer 8.1.2 Eienaarskap van bates.

Die bedoeling van beheer 8.1.1 Inventaris van bates is om te verseker dat alle inligtingsbates geïdentifiseer, gedokumenteer en gereeld hersien word, en toepaslike prosesse en prosedures in plek is om seker te maak dat hierdie inventaris veilig is.

Beheer 8.1.2 Eienaarskap van bates is verantwoordelik om te verseker dat alle inligtingsbates onder hul beheer behoorlik geïdentifiseer en besit word. Om te weet wie wat besit, kan jou help om te bepaal watter bates jy moet beskerm, en aan wie jy aanspreeklik moet hou.

Alhoewel beide kontroles in ISO 27002:2013 soortgelyk is aan kontrole 5.9 in ISO 27002:2022, is laasgenoemde verbreed om 'n meer gebruikersvriendelike interpretasie moontlik te maak. Byvoorbeeld, die implementeringsriglyne vir eienaarskap van bates in beheer 8.1.2 bepaal dat die bate-eienaar moet:

a) verseker dat bates inventariseer word;

b) verseker dat bates toepaslik geklassifiseer en beskerm word;

c) toegangsbeperkings en klassifikasies tot belangrike bates te definieer en periodiek te hersien, met inagneming van toepaslike toegangsbeheerbeleide;

d) verseker behoorlike hantering wanneer die bate geskrap of vernietig word.

Hierdie 4 punte is uitgebrei na 9 punte in die eienaarskapafdeling van beheer 5.9.

Die bate-eienaar moet verantwoordelik wees vir die behoorlike bestuur van 'n bate oor die hele bate-lewensiklus, om te verseker dat:

a) inligting en ander gepaardgaande bates word inventariseer;

b) inligting en ander verwante bates toepaslik geklassifiseer en beskerm word;

c) die klassifikasie word periodiek hersien;

d) komponente wat tegnologiebates ondersteun, word gelys en gekoppel, soos databasis, berging, sagtewarekomponente en subkomponente;

e) vereistes vir die aanvaarbare gebruik van inligting en ander verwante bates (sien 5.10) vasgestel word;

f) toegangsbeperkings ooreenstem met die klassifikasie en dat dit effektief is en periodiek hersien word;

g) inligting en ander geassosieerde bates, wanneer dit uitgevee of weggedoen word, op 'n veilige wyse hanteer en uit die voorraad verwyder word;

h) hulle is betrokke by die identifisering en bestuur van risiko's wat met hul bate(s) verband hou;

i) hulle ondersteun personeel wat die rolle en verantwoordelikhede van die bestuur van hul inligting.

Deur hierdie twee kontroles saam te voeg om een ​​te vorm, kan die gebruiker beter verstaan.



klim

Bevry jouself van 'n berg sigblaaie

Integreer, brei uit en skaal jou nakoming, sonder die gemors. IO gee jou die veerkragtigheid en vertroue om veilig te groei.

Bespreek jou demo


Wat beteken hierdie veranderinge vir jou?

Die jongste ISO 27002-wysigings het geen effek op jou huidige sertifisering teen ISO 27001-standaarde nie. ISO 27001-opgraderings is die enigste wat 'n invloed op bestaande sertifisering het, en akkrediteringsliggame sal met die sertifiseringsliggame saamwerk om 'n oorgangsiklus te ontwikkel wat organisasies met ISO 27001-sertifikate voldoende tyd sal gee om van een weergawe na 'n ander oor te dra.

Dit gesê, die volgende stappe moet gevolg word om aan die hersiene weergawe te voldoen:

  • Maak seker dat jou maatskappy aan die nuwe vereiste voldoen deur jou risikoregister en jou risikobestuur oefen.
  • SoA moet hersien word om veranderinge aan die Aanhangsel A.
  • Jou beleide en prosesse moet opgedateer word om aan die nuwe regulasies te voldoen.

Nuwe beste praktyke en kwaliteite vir kontroleseleksie sal tydens die oorgangstyd na die nuwe standaard beskikbaar wees, wat 'n meer effektiewe en doeltreffende seleksieproses sal toelaat.

As gevolg hiervan, moet jy voortgaan om 'n risiko-gebaseerde benadering te gebruik om te verseker dat slegs die mees relevante en doeltreffende beheermaatreëls word vir jou besigheid gekies.

Nuwe ISO 27002-kontroles

Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.7 NUWE Bedreigingsintelligensie
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.30 NUWE IKT-gereedheid vir besigheidskontinuïteit
7.4 NUWE Fisiese sekuriteitsmonitering
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.16 NUWE Moniteringsaktiwiteite
8.23 NUWE Webfiltrering
8.28 NUWE Veilige kodering
Organisatoriese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
5.1 05.1.1, 05.1.2 Beleide vir inligtingsekuriteit
5.2 06.1.1 Rolle en verantwoordelikhede vir inligtingsekuriteit
5.3 06.1.2 Skeiding van pligte
5.4 07.2.1 Bestuursverantwoordelikhede
5.5 06.1.3 Kontak met owerhede
5.6 06.1.4 Kontak met spesiale belangegroepe
5.7 NUWE Bedreigingsintelligensie
5.8 06.1.5, 14.1.1 Inligtingsekuriteit in projekbestuur
5.9 08.1.1, 08.1.2 Inventaris van inligting en ander verwante bates
5.10 08.1.3, 08.2.3 Aanvaarbare gebruik van inligting en ander verwante bates
5.11 08.1.4 Teruggawe van bates
5.12 08.2.1 Klassifikasie van inligting
5.13 08.2.2 Etikettering van inligting
5.14 13.2.1, 13.2.2, 13.2.3 Inligting oordrag
5.15 09.1.1, 09.1.2 Toegangsbeheer
5.16 09.2.1 Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3 Stawing inligting
5.18 09.2.2, 09.2.5, 09.2.6 Toegangsregte
5.19 15.1.1 Inligtingsekuriteit in verskafferverhoudings
5.20 15.1.2 Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.21 15.1.3 Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.22 15.2.1, 15.2.2 Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23 NUWE Inligtingsekuriteit vir die gebruik van wolkdienste
5.24 16.1.1 Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.25 16.1.4 Assessering en besluit oor inligtingsekuriteitsgebeure
5.26 16.1.5 Reaksie op inligtingsekuriteitsvoorvalle
5.27 16.1.6 Leer uit inligtingsekuriteitvoorvalle
5.28 16.1.7 Insameling van bewyse
5.29 17.1.1, 17.1.2, 17.1.3 Inligtingsekuriteit tydens ontwrigting
5.30 5.30 IKT-gereedheid vir besigheidskontinuïteit
5.31 18.1.1, 18.1.5 Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.32 18.1.2 Intellektuele eiendomsregte
5.33 18.1.3 Beskerming van rekords
5.34 18.1.4 Privaatheid en beskerming van PII
5.35 18.2.1 Onafhanklike hersiening van inligtingsekuriteit
5.36 18.2.2, 18.2.3 Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.37 12.1.1 Gedokumenteerde bedryfsprosedures
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
6.1 07.1.1 Screening
6.2 07.1.2 Terme en diensvoorwaardes
6.3 07.2.2 Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.4 07.2.3 Dissiplinêre proses
6.5 07.3.1 Verantwoordelikhede na beëindiging of verandering van diens
6.6 13.2.4 Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.7 06.2.2 Afstand werk
6.8 16.1.2, 16.1.3 Rapportering van inligtingsekuriteitsgebeurtenisse
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
7.1 11.1.1 Fisiese sekuriteit omtrek
7.2 11.1.2, 11.1.6 Fisiese toegang
7.3 11.1.3 Beveiliging van kantore, kamers en fasiliteite
7.4 NUWE Fisiese sekuriteitsmonitering
7.5 11.1.4 Beskerming teen fisiese en omgewingsbedreigings
7.6 11.1.5 Werk in veilige areas
7.7 11.2.9 Duidelike lessenaar en duidelike skerm
7.8 11.2.1 Toerusting plaas en beskerming
7.9 11.2.6 Sekuriteit van bates buite die perseel
7.10 08.3.1, 08.3.2, 08.3.3, 11.2.5 Berging media
7.11 11.2.2 Ondersteunende nutsprogramme
7.12 11.2.3 Bekabeling sekuriteit
7.13 11.2.4 Onderhoud van toerusting
7.14 11.2.7 Veilige wegdoening of hergebruik van toerusting
Tegnologiese kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder ISO/IEC 27002:2013 Beheeridentifiseerder Beheer naam
8.1 06.2.1, 11.2.8 Gebruikerseindpunttoestelle
8.2 09.2.3 Bevoorregte toegangsregte
8.3 09.4.1 Beperking van toegang tot inligting
8.4 09.4.5 Toegang tot bronkode
8.5 09.4.2 Veilige verifikasie
8.6 12.1.3 Kapasiteitsbestuur
8.7 12.2.1 Beskerming teen wanware
8.8 12.6.1, 18.2.3 Bestuur van tegniese kwesbaarhede
8.9 NUWE Konfigurasiebestuur
8.10 NUWE Inligting verwydering
8.11 NUWE Datamaskering
8.12 NUWE Voorkoming van datalekkasies
8.13 12.3.1 Rugsteun van inligting
8.14 17.2.1 Oortolligheid van inligtingverwerkingsfasiliteite
8.15 12.4.1, 12.4.2, 12.4.3 Logging
8.16 NUWE Moniteringsaktiwiteite
8.17 12.4.4 Klok sinchronisasie
8.18 09.4.4 Gebruik van bevoorregte nutsprogramme
8.19 12.5.1, 12.6.2 Installering van sagteware op bedryfstelsels
8.20 13.1.1 Netwerk sekuriteit
8.21 13.1.2 Sekuriteit van netwerkdienste
8.22 13.1.3 Segregasie van netwerke
8.23 NUWE Webfiltrering
8.24 10.1.1, 10.1.2 Gebruik van kriptografie
8.25 14.2.1 Veilige ontwikkeling lewensiklus
8.26 14.1.2, 14.1.3 Aansoek sekuriteit vereistes
8.27 14.2.5 Veilige stelselargitektuur en ingenieursbeginsels
8.28 NUWE Veilige kodering
8.29 14.2.8, 14.2.9 Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.30 14.2.7 Uitgekontrakteerde ontwikkeling
8.31 12.1.4, 14.2.6 Skeiding van ontwikkeling, toets en produksie omgewings
8.32 12.1.2, 14.2.2, 14.2.3, 14.2.4 Veranderings bestuur
8.33 14.3.1 Toets inligting
8.34 12.7.1 Beskerming van inligtingstelsels tydens oudittoetsing

Hoe ISMS.online help

Jy kan gebruik ISMS.online om te bestuur jou ISO 27002-implementering, aangesien dit spesifiek ontwerp is om 'n maatskappy te help met die implementering van hul inligtingsekuriteitbestuurstelsel (ISMS) om aan die vereistes van ISO 27002 te voldoen.

Die platform gebruik 'n risiko-gebaseerde benadering gekombineer met toonaangewende beste praktyke en sjablone om jou te help om die risiko's te identifiseer wat jou organisasie in die gesig staar en die kontroles wat nodig is om daardie risiko's te bestuur. Dit laat jou toe om beide jou risikoblootstelling en jou nakomingskoste stelselmatig te verminder.

Die gebruik van ISMS.aanlyn kan jy:

  • Implementeer vinnig 'n inligtingsekuriteitbestuurstelsel (ISMS).
  • Bestuur die dokumentasie van jou ISMS maklik.
  • Stroomlyn voldoening aan alle relevante standaarde.
  • Bestuur alle aspekte van inligtingsekuriteit, van risikobestuur tot sekuriteitsbewusmakingsopleiding.
  • Kommunikeer effektief regdeur jou organisasie deur ons ingeboude kommunikasiefunksies te gebruik.

Die ISMS.aanlyn platform is gebaseer op Plan-Do-Check-Act (PDCA), 'n iteratiewe vier-stap proses vir voortdurende verbetering, en dit spreek al die vereistes van ISO 27002:2022 aan. Dit is 'n eenvoudige saak om 'n gratis proefrekening te skep en die stappe te volg wat ons verskaf.

Kontak vandag nog om bespreek 'n demo.

Sam Peters

Sam is hoofprodukbeampte by ISMS.online en lei die ontwikkeling van alle produkkenmerke en -funksionaliteit. Sam is 'n kenner op baie gebiede van voldoening en werk saam met kliënte aan enige maat- of grootskaalse projekte.

Neem 'n virtuele toer

Begin nou jou gratis 2-minuut interaktiewe demonstrasie en kyk
ISMS.aanlyn in aksie!

Probeer dit nou
platformdashboard vol op kristal

Ons is 'n leier in ons veld

4/5 sterre
Gebruikers is lief vir ons
Leier - Herfs 2025
Hoëpresteerder, Klein Besigheid - Herfs 2025 VK
Streekleier - Herfs 2025 Europa
Streekleier - Herfs 2025 EMEA
Streekleier - Herfs 2025 VK
Hoë Presteerder - Herfs 2025 Europa Middelmark

"ISMS.Aanlyn, uitstekende hulpmiddel vir regulatoriese nakoming"

— Jim M.

"Maak eksterne oudits 'n briesie en koppel alle aspekte van jou ISMS naatloos saam"

— Karen C.

"Innoverende oplossing vir die bestuur van ISO en ander akkreditasies"

— Ben H.