Beheer 5.9 in die hersiene ISO 27002:2022 beskryf hoe 'n inventaris van inligting en ander verwante bates, insluitend eienaars, ontwikkel en in stand gehou moet word.
Om sy aktiwiteite uit te voer, moet die organisasie weet watter inligtingsbates hy tot sy beskikking het.
An inventaris van inligtingsbates (IA) is 'n lys van alles wat 'n organisasie stoor, verwerk of versend. Dit sluit ook die ligging en sekuriteitskontroles vir elke item in. Die doel is om elke enkele stukkie data te identifiseer. Jy kan daaraan dink as die finansiële rekeningkundige ekwivalent vir databeskerming.
'n IA kan gebruik word om leemtes in jou sekuriteitsprogram en lig kuberrisikobeoordelings in waar jy dalk kwesbaarhede het wat tot 'n oortreding kan lei. Dit kan ook as bewyse gebruik word tydens voldoeningsoudits dat jy omsigtigheid gedoen het om jou sensitiewe data te identifiseer, wat jou help om boetes en strawwe te vermy.
Die inventaris van inligtingsbates moet ook besonderhede insluit van wie elke bate besit en wie dit bestuur. Dit moet ook inligting insluit oor die waarde van elke item in die voorraad en hoe krities dit is vir die sukses van die organisasie se sakebedrywighede.
Dit is belangrik dat voorraad op datum gehou word sodat dit veranderinge binne die organisasie weerspieël.
Inligtingsbatebestuur het 'n lang geskiedenis in besigheidskontinuïteitsbeplanning (BCP), rampherstel (DR) en insidentreaksiebeplanning.
Die eerste stap in enige van daardie prosesse behels die identifisering van kritieke stelsels, netwerke, databasisse, toepassings, datavloei en ander komponente wat beskerming benodig. As jy nie weet wat beskerm moet word of waar dit woon nie, dan kan jy nie beplan hoe om dit te beskerm nie!
Kontroles word geklassifiseer met behulp van eienskappe. Deur dit te gebruik, kan jy vinnig jou beheerkeuse pas by algemeen gebruikte industrieterme en -spesifikasies.
Hierdie tabel komplementeer werk wat baie kliënte tans doen as deel van hul risikobepaling en SOA deur die vertroulikheid te identifiseer, integriteit en beskikbaarheid – en ander faktore. In beheer 5.9 is die eienskappe:
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Identifiseer | #Batebestuur | #Beheer en ekosisteem #Beskerming |
Die doel van hierdie beheer is om die organisasie se inligting en ander verwante bates te identifiseer ten einde hul inligtingsekuriteit te bewaar en toepaslike eienaarskap toe te ken.
Beheer 5.9 dek die beheer-, doel- en implementeringsleiding vir die skep van 'n inventaris van inligting en ander verwante bates in ooreenstemming met die ISMS-raamwerk soos gedefinieer deur ISO 27001.
Die beheer vereis dat 'n inventaris van alle inligting en ander geassosieerde bates geneem word, dit in verskillende kategorieë geklassifiseer word, hul eienaars identifiseer en die kontroles wat in plek is of behoort te wees, te dokumenteer.
Dit is 'n belangrike stap om te verseker dat alle inligtingsbates voldoende beskerm word.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
Ons is so bly dat ons hierdie oplossing gevind het, dit het alles makliker inmekaar laat pas.
om voldoen aan die vereistes vir die nuwe ISO 27002:2022, moet jy die inligting en ander verwante bates binne jou organisasie identifiseer. Dan moet jy die belangrikheid van hierdie items in terme van inligtingsekuriteit bepaal. Indien toepaslik, moet dokumentasie in toegewyde of bestaande voorraad gehou word.
Die benadering tot die ontwikkeling van 'n voorraad sal wissel na gelang van 'n organisasie se grootte en kompleksiteit, sy bestaande kontroles en beleide, en die tipe inligting en ander verwante bates wat dit gebruik.
Volgens beheer 5.9 moet die inventaris van inligting en ander verwante bates akkuraat, op datum, konsekwent en in lyn wees met ander voorraad. Opsies om akkuraatheid van 'n inventaris van inligting en ander verwante bates te verseker, sluit in:
a) gereelde hersiening van geïdentifiseerde inligting en ander verwante bates teen die bate-inventaris uit te voer;
b) outomaties afdwing van 'n voorraadopdatering in die proses om 'n bate te installeer, te verander of te verwyder.
Die ligging van 'n bate moet, soos toepaslik, by die voorraad ingesluit word.
Sommige organisasies moet dalk verskeie voorraad vir verskillende doeleindes in stand hou. Sommige organisasies het byvoorbeeld toegewyde voorraad vir sagtewarelisensies of vir fisiese toerusting soos skootrekenaars en tablette.
Ander kan 'n enkele voorraad hê wat alle fisiese toerusting insluit, insluitend netwerktoestelle soos routers en skakelaars. Dit is belangrik dat enige sodanige inventarisse gereeld hersien word om te verseker dat dit op datum gehou word sodat dit gebruik kan word om te help met risiko bestuur aktiwiteite.
Meer inligting oor die voldoening aan die vereistes vir beheer 5.9 kan gevind word in die nuwe ISO 27002:2022-dokument.
In ISO 27002: 2022 is 57 kontroles van ISO 27002: 2013 saamgevoeg in 24 kontroles. So jy sal nie beheer 5.9 as Inventaris van Inligting en Ander Geassosieerde Bates in die 2013-weergawe vind nie. Eerder in die 2022-weergawe is dit 'n kombinasie van beheer 8.1.1 Inventaris van bates en beheer 8.1.2 Eienaarskap van bates.
Die bedoeling van beheer 8.1.1 Inventaris van bates is om te verseker dat alle inligtingsbates geïdentifiseer, gedokumenteer en gereeld hersien word, en toepaslike prosesse en prosedures in plek is om seker te maak dat hierdie inventaris veilig is.
Beheer 8.1.2 Eienaarskap van bates is verantwoordelik om te verseker dat alle inligtingsbates onder hul beheer behoorlik geïdentifiseer en besit word. Om te weet wie wat besit, kan jou help om te bepaal watter bates jy moet beskerm, en aan wie jy aanspreeklik moet hou.
Alhoewel beide kontroles in ISO 27002:2013 soortgelyk is aan kontrole 5.9 in ISO 27002:2022, is laasgenoemde verbreed om 'n meer gebruikersvriendelike interpretasie moontlik te maak. Byvoorbeeld, die implementeringsriglyne vir eienaarskap van bates in beheer 8.1.2 bepaal dat die bate-eienaar moet:
a) verseker dat bates inventariseer word;
b) verseker dat bates toepaslik geklassifiseer en beskerm word;
c) toegangsbeperkings en klassifikasies tot belangrike bates te definieer en periodiek te hersien, met inagneming van toepaslike toegangsbeheerbeleide;
d) verseker behoorlike hantering wanneer die bate geskrap of vernietig word.
Hierdie 4 punte is uitgebrei na 9 punte in die eienaarskapafdeling van beheer 5.9.
Die bate-eienaar moet verantwoordelik wees vir die behoorlike bestuur van 'n bate oor die hele bate-lewensiklus, om te verseker dat:
a) inligting en ander gepaardgaande bates word inventariseer;
b) inligting en ander verwante bates toepaslik geklassifiseer en beskerm word;
c) die klassifikasie word periodiek hersien;
d) komponente wat tegnologiebates ondersteun, word gelys en gekoppel, soos databasis, berging, sagtewarekomponente en subkomponente;
e) vereistes vir die aanvaarbare gebruik van inligting en ander verwante bates (sien 5.10) vasgestel word;
f) toegangsbeperkings ooreenstem met die klassifikasie en dat dit effektief is en periodiek hersien word;
g) inligting en ander geassosieerde bates, wanneer dit uitgevee of weggedoen word, op 'n veilige wyse hanteer en uit die voorraad verwyder word;
h) hulle is betrokke by die identifisering en bestuur van risiko's wat met hul bate(s) verband hou;
i) hulle ondersteun personeel wat die rolle en verantwoordelikhede van die bestuur van hul inligting.
Deur hierdie twee kontroles saam te voeg om een te vorm, kan die gebruiker beter verstaan.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Sedert ons migreer kon ons die tyd wat aan administrasie bestee word, verminder.
Die jongste ISO 27002-wysigings het geen effek op jou huidige sertifisering teen ISO 27001-standaarde nie. ISO 27001-opgraderings is die enigste wat 'n invloed op bestaande sertifisering het, en akkrediteringsliggame sal met die sertifiseringsliggame saamwerk om 'n oorgangsiklus te ontwikkel wat organisasies met ISO 27001-sertifikate voldoende tyd sal gee om van een weergawe na 'n ander oor te dra.
Dit gesê, die volgende stappe moet gevolg word om aan die hersiene weergawe te voldoen:
Nuwe beste praktyke en kwaliteite vir kontroleseleksie sal tydens die oorgangstyd na die nuwe standaard beskikbaar wees, wat 'n meer effektiewe en doeltreffende seleksieproses sal toelaat.
As gevolg hiervan, moet jy voortgaan om 'n risiko-gebaseerde benadering te gebruik om te verseker dat slegs die mees relevante en doeltreffende beheermaatreëls word vir jou besigheid gekies.
Jy kan gebruik ISMS.online om te bestuur jou ISO 27002-implementering, aangesien dit spesifiek ontwerp is om 'n maatskappy te help met die implementering van hul inligtingsekuriteitbestuurstelsel (ISMS) om aan die vereistes van ISO 27002 te voldoen.
Die platform gebruik 'n risiko-gebaseerde benadering gekombineer met toonaangewende beste praktyke en sjablone om jou te help om die risiko's te identifiseer wat jou organisasie in die gesig staar en die kontroles wat nodig is om daardie risiko's te bestuur. Dit laat jou toe om beide jou risikoblootstelling en jou nakomingskoste stelselmatig te verminder.
Die gebruik van ISMS.aanlyn kan jy:
Die ISMS.aanlyn platform is gebaseer op Plan-Do-Check-Act (PDCA), 'n iteratiewe vier-stap proses vir voortdurende verbetering, en dit spreek al die vereistes van ISO 27002:2022 aan. Dit is 'n eenvoudige saak om 'n gratis proefrekening te skep en die stappe te volg wat ons verskaf.
Kontak vandag nog om bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
