Wat is Beheer 6.3?
ISO 27002:2022, Beheer 6.3. Inligtingsekuriteitsbewustheid, onderwys en opleiding dek die behoefte vir werknemers van 'n organisasie om toepaslike inligtingsekuriteitbewustheid, opvoeding en opleiding te ontvang, plus gereelde opdaterings van die organisasie se inligtingsekuriteitsbeleid, veral as dit van toepassing is op hul werkfunksie.
Inligtingsekuriteitsbewustheid, onderwys en opleiding verduidelik
Bewustheid van inligtingsekuriteit, onderwys en opleiding (IT-sekuriteitbewustheid) is die proses om gebruikers in te lig oor die belangrikheid van inligtingsekuriteit en hulle aan te moedig om hul eie rekenaarsekuriteitsgewoontes te verbeter.
Gebruikers moet bewus gemaak word van die sekuriteit risiko's wat uit hul aktiwiteite kan kom en hoe hulle hulself teen hierdie risiko's kan beskerm.
Bewustheid van inligtingsekuriteit, opvoeding en opleiding is kritieke komponente van enige organisasie se sukses. Dit is van kritieke belang dat alle werknemers die belangrikheid van inligtingsekuriteit verstaan en hoe dit almal raak.
Hoe meer werknemers verstaan hoe om hulself teen kuberbedreigings te beskerm, hoe veiliger sal jou organisasie wees.
Eienskappe Tabel van beheer 6.3
Kontroles kan gegroepeer word met behulp van eienskappe. As jy na die kontrole se eienskappe kyk, kan jy dit makliker in verband bring met gevestigde bedryfsvereistes en terminologie. Die volgende eienskappe is in beheer 6.3.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid | #Beskerm | #Menslikehulpbronsekuriteit | #Beheer en ekosisteem |
#Integriteit | ||||
#Beskikbaarheid |
Kry 'n voorsprong van 81%.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Wat is die doel van beheer 6.3?
Die doel van Beheer 6.3 is om te verseker dat personeel en relevante belanghebbende partye bewus is van en behoorlik opgelei is om hul inligtingsekuriteitsverantwoordelikhede na te kom.
Beheer 6.3 dek 'n reeks aktiwiteite wat help verseker dat mense die kennis en vaardighede het wat nodig is om binne 'n organisasie se inligting-sekuriteit raamwerk. Die hooffokus hiervan beheer is op bewusmakingsaktiwiteite oor die belangrikheid van inligtingsekuriteit, die aanmoediging van goeie praktyk, en die bevordering van voldoening aan relevante beleide en prosedures.
Beheer 6.3 Verduidelik
Inligtingsekuriteitsbewustheid, onderwys en opleiding is 'n kritieke komponent van 'n organisasie se algehele risikobestuurstrategie en moet as 'n integrale deel van die organisasie se sekuriteitsbeleid beskou word.
Beheer 6.3 definieer die behoefte vir organisasies om 'n inligtingsekuriteitbewustheidsprogram te hê wat aan alle werknemers die nodige kennis en vaardighede verskaf om inligtingsbates te beskerm. Dit verskaf leiding oor wat in 'n effektiewe bewusmakingsprogram ingesluit moet word.
Byvoorbeeld, die organisasie moet dalk ten minste jaarliks sekuriteitsbewusmakingsopleiding in plek stel, of soos vereis deur die risiko-assessering, vir alle werknemers en kontrakteurs aan wie rolle toegeken is waarin hulle toegang het tot sensitiewe inligtingbates of ander tipe inligting. stelsels wat sensitiewe data stoor, verwerk of oordra.
Wat is betrokke en hoe om aan die vereistes te voldoen
Die vereiste vir beheer 6.3 is dat 'n organisasie 'n proses moet hê om te verseker dat werknemers voldoende opgelei is oor hoe om hul werkspligte veilig en veilig uit te voer op 'n wyse wat inligtingsekuriteit benadeel nie. Dit kan bereik word deur opleidingsessies. Dit kan ook bereik word met behulp van aanlynbronne soos video's of webinars.
Die inligtingsekuriteitbewustheid, -opvoeding en -opleidingsprogramme moet ontwikkel word in ooreenstemming met die organisasie se inligtingsekuriteitsbeleid, onderwerpspesifieke beleide en toepaslike inligtingsekuriteitsprosedures. Dit moet ook die organisasie se inligting wat beskerm moet word en die inligtingsekuriteitskontroles wat geïmplementeer is om dit te beskerm, in ag neem. Dit moet periodiek gebeur.
Inleidende bewustheid, opvoeding en opleiding kan van toepassing wees op nuwe werknemers sowel as diegene wat oorskakel na nuwe posisies of take wat vereis aansienlik verskillende vlakke van inligtingsekuriteit.
Die bewusmakingsveldtog moet 'n verskeidenheid aktiwiteite insluit om bewusmaking te verhoog. Dit sluit veldtogte, boekies, plakkate, nuusbriewe, webwerwe, inligtingsessies, inligtingsessies, e-leermodules en e-posse in.
Volgens kontrole 6.3 moet hierdie program die volgende dek:
- Bestuur se verbintenis tot inligtingsekuriteit regdeur die organisasie;
- Vertroudheid met en nakoming van toepaslike inligtingsekuriteitsreëls en -verpligtinge, insluitend inligtingsekuriteitsbeleid en onderwerpspesifieke beleide, standaarde, wette, statute, regulasies, kontrakte en ooreenkomste;
- Persoonlike aanspreeklikheid vir eie optrede en gebrek aan optrede, algemeen verantwoordelikhede ten opsigte van die beveiliging of beskerming van inligting wat aan die organisasie behoort en belanghebbende partye;
- Basiese inligtingsekuriteitsprosedures [bv. inligtingsekuriteitsgebeurtenisverslagdoening (6.8)] sowel as basislynkontroles [byvoorbeeld wagwoordsekuriteit];
- Bykomende kontakpunte en hulpbronne vir bykomende inligting en advies oor inligtingsekuriteit sake, insluitend verdere inligtingsekuriteitbewustheidsmateriaal.
Nakoming hoef nie ingewikkeld te wees nie.
Ons het die harde werk vir jou gedoen, wat jou 'n voorsprong van 81% gee vanaf die oomblik dat jy aanmeld.
Al wat jy hoef te doen is om die spasies in te vul.
Veranderinge en verskille vanaf ISO 27002:2013
Die ISO 27002: 2022 is nie 'n heeltemal nuwe beheer nie. Hierdie weergawe van ISO 27002, wat in Februarie 2022 gepubliseer is, is 'n opdatering van die vorige weergawe, wat in 2013 gepubliseer is. Gevolglik is beheer 6.3 in ISO 27002:2022 nie 'n splinternuwe beheer nie. Dit is 'n effens gewysigde weergawe van beheer 7.2.2 in ISO 27002:2013.
Beheer 7.2.2 in ISO 27002:2013 het nie 'n kenmerktabel of 'n doelstelling wat in beheer 6.3 van die ISO 27002:2022-weergawe ingesluit is nie.
Met dit gesê, behalwe die verandering in kontrolenommer, is daar geen ander waarneembare verskil tussen die twee kontroles nie. Ten spyte van die feit dat die fraseologie van die twee kontroles verskil, is die inhoud en konteks van die twee kontroles in wese dieselfde.
Die taal in beheer 6.3 is gemaak om meer gebruikersvriendelik te wees, sodat mense wat die standaard gaan gebruik beter in staat sal wees om met die inhoud daarvan verband te hou.
Wie is in beheer van hierdie proses?
Die antwoord op hierdie vraag hang van jou organisasie af. In baie organisasies word die inligtingsekuriteitbewustheid, opvoeding en opleidingsprogramme deur die sekuriteitspan bestuur. In ander organisasies word dit deur die MH-afdeling of 'n ander funksie hanteer.
Die belangrike ding is om seker te maak dat iemand verantwoordelik is vir die skep en implementering van jou organisasie se sekuriteitsbewusmakingsprogram. Hierdie individu of departement moet ook onder toesig wees van die inligtingsekuriteitsbestuurder (indien 'n ander persoon in beheer van hierdie rol is).
Hierdie persoon moet 'n goeie begrip van inligtingsekuriteit hê en in staat wees om met werknemers te kommunikeer oor verskeie onderwerpe wat met sekuriteit se beste praktyke verband hou. Hierdie persoon behoort ook in staat te wees om inhoud vir jou opleidingsprogramme te ontwikkel en gereelde opleidingsessies vir werknemers te hou.
Dit is belangrik om te verstaan dat inligtingsekuriteit nie net die verantwoordelikheid van IT is nie. Dit is almal se verantwoordelikheid. Organisasies moet 'n span mense hê wat verantwoordelik is vir sekuriteit, maar hulle moet ook seker maak dat almal die belangrikheid van vertroulikheid en integriteit verstaan.
Bestuur al jou nakoming op een plek
ISMS.online ondersteun meer as 100 standaarde
en regulasies, gee jou 'n enkele
platform vir al jou voldoeningsbehoeftes.
Wat beteken hierdie veranderinge vir jou?
Jy hoef nie veel te doen nie, want ISO 27002: 2022 is nie 'n nuwe standaard nie, maar 'n hersiening van die 2013-weergawe. Daar word dus verwag dat die meeste organisasies nie veranderings hoef aan te bring nie.
As jy egter reeds die 2013-weergawe van ISO 27002 geïmplementeer het, sal jy moet evalueer of hierdie veranderinge relevant is vir jou organisasie. Jy sal ook jou sekuriteitsprosesse moet hersien as jy dit is beplanning vir ISMS-sertifisering. Dit sal verseker dat jou prosesse aan die hersiene standaard voldoen.
Ons ISO 27002:2022-gids, beskikbaar vir gratis aflaai op ons webwerf, het verdere inligting oor hoe die nuwe ISO 27002 jou inligtingsekuriteitsbedrywighede kan beïnvloed en ISO 27001 sertifisering.
Nuwe ISO 27002-kontroles
Nuwe kontroles
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
Organisatoriese kontroles
Mense beheer
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
Fisiese beheer
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
Tegnologiese kontroles
Hoe ISMS.Online help
ISMS.Online is 'n volledige oplossing vir ISO 27002 implementering. Dit is 'n web-gebaseerde stelsel wat jou toelaat om wys dat jou inligtingsekuriteitbestuurstelsel (ISMS) voldoen met die goedgekeurde standaarde met behulp van weldeurdagte prosesse, prosedures en kontrolelyste.
Dit is nie net 'n maklik-om-te gebruik platform vir die bestuur van jou ISO 27002 implementering nie, maar ook 'n uitstekende hulpmiddel om jou personeel op te lei oor inligtingsekuriteit beste praktyke en prosesse, sowel as om al jou pogings te dokumenteer.
Die Voordele van die gebruik van ISMS.Aanlyn:
- Maklik om te gebruik aanlyn platform wat vanaf enige toestel verkry kan word.
- Dit is heeltemal aanpasbaar om aan u behoeftes te voldoen.
- Aanpasbare werkvloeie en prosesse om by jou besigheidsbehoeftes te pas.
- Opleidingsinstrumente om nuwe werknemers te help om vinniger aan die gang te kom.
- 'n Biblioteek van sjablone vir dokumente soos beleide, prosedures, planne en kontrolelyste.
ISMS.Online vereenvoudig die proses van implementering van ISO 27002 deur al die nodige hulpbronne, inligting en gereedskap op een plek te verskaf. Dit laat jou toe om te kyk of jou ISMS aan die standaard voldoen met net 'n paar kliks van jou muis, wat andersins lank sou neem as dit met die hand gedoen word.
Wil jy dit in aksie sien?
Kontak vandag nog om bespreek 'n demo.