Beheer 6.7, Remote Working is 'n beheer in die hersiene ISO 27002:2022. Dit beveel aan dat organisasies 'n beleid oor afstandwerk moet hê sowel as 'n inligtingsekuriteitbestuurstelsel wat prosedures insluit vir die beveiliging van afstandtoegang tot inligtingstelsels en -netwerke.
Afstandswerk het meer algemeen geword namate tegnologie ontwikkel het en dit is nou moontlik vir werknemers om van die huis af te werk sonder om produktiwiteit of doeltreffendheid te benadeel. Dit kan egter ook kommer wek oor datasekuriteit.
As jy 'n besigheidseienaar is, sal jy wil weet hoe om jou intellektuele eiendom teen kubermisdadigers te beskerm en te verseker dat jou data veilig is teen kuberkrakers.
Hier is 'n paar inligtingsekuriteitsimplikasies van afstandwerk:
Afstandswerk kan voordelig wees aangesien dit makliker toegang tot sensitiewe inligting en stelsels moontlik maak. Afstandwerk het egter verskeie sekuriteitsimplikasies.
Afstandswerk, as dit nie behoorlik bestuur word nie, kan vatbaar wees vir sekuriteitsrisiko's soos inbraak, wanware-aanvalle, ongemagtigde toegang en ander. Dit is veral waar wanneer werknemers nie fisies in 'n veilige omgewing is nie.
Afstandswerk kan ook die fisiese sekuriteit van 'n besigheid beïnvloed. Dit is omdat dit kan beteken dat werknemers nie meer fisies in 'n kantoor of gebou geleë is nie en dus nie so geneig is om verdagte aktiwiteite te sien of te hoor nie.
Afstandwerk kan ook sekere risiko's met betrekking tot vertroulikheid inhou. Werknemers kan byvoorbeeld op afstand toegang tot vertroulike inligting verkry en dit sonder die toestemming van die maatskappy.
Werknemers kan ook maklik toegang tot sensitiewe maatskappyinligting op die openbare internet kry. Trouens, daar is selfs webwerwe waar werknemers sensitiewe inligting kan oplaai sodat almal dit kan sien.
Afstandwerk kan ook die privaatheid van 'n organisasie beïnvloed. Byvoorbeeld, as werknemers van die huis af werk, is hulle meer geneig om hul persoonlike besittings te laat rondlê.
Hierdie besittings kan sensitiewe inligting bevat wat die privaatheid van 'n maatskappy kan benadeel.
Afstandswerk kan ook 'n risiko vir die data van 'n besigheid inhou. Werknemers kan byvoorbeeld op afstand toegang tot maatskappydata verkry, wat op 'n verskeidenheid plekke gestoor kan word.
Dit kan data op rekenaars, bedieners en mobiele toestelle insluit. As die werknemer die kantoor verlaat en die toestel neem, kan dit moeiliker wees om die data te herwin.
Die werknemer kan ook 'n fout maak of iets kwaadwillig met die toestel doen, wat die data kan kompromitteer.
Eienskappe word gebruik om kontroles te kategoriseer. U kan onmiddellik u beheeropsie pas by wydgebruikte industriefrases en spesifikasies deur eienskappe te gebruik.
Eienskappe vir beheer 6.7 is soos hieronder gesien.
| beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
|---|---|---|---|---|
| #Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Batebestuur #Inligtingbeskerming #Fisiese sekuriteit #Stelsel- en netwerksekuriteit | #Beskerming |
Die doel van Beheer 6.7 is om te verseker dat personeel wat op afstand werk, voldoende toegangskontroles in plek het om die vertroulikheid, integriteit en beskikbaarheid van sensitiewe of eie inligting, prosesse en stelsels te beskerm teen ongemagtigde toegang of openbaarmaking deur ongemagtigde individue.
Om die sekuriteit van inligting te verseker wanneer personeel op afstand werk, moet organisasies 'n onderwerpspesifieke beleid oor afstandwerk uitreik wat die relevante voorwaardes en beperkings vir inligtingsekuriteit definieer. Die beleid moet aan alle personeel versprei word en leiding insluit oor hoe hulle afstandtoegangstegnologie veilig en veilig kan gebruik.
'n Onderwerpspesifieke beleid soos hierdie sal waarskynlik dek:
Benewens hierdie basiese vereistes, is dit ook belangrik om 'n duidelik gedefinieerde prosedure te hê om insidente aan te meld, insluitend die toepaslike kontakbesonderhede. Dit kan help om die risiko te verminder dat oortredings of ander soorte sekuriteitsinsidente in die eerste plek plaasvind.
Die beleid moet dalk ook kwessies soos enkripsie, brandmure en antivirussagteware-opdaterings aanspreek, asook opleiding van werknemers oor hoe om afstandverbindings veilig te gebruik.
Om aan die vereistes vir beheer 6.7 te voldoen, moet organisasies wat afstandwerkaktiwiteite toelaat, 'n onderwerpspesifieke beleid oor afstandwerk uitreik wat die relevante voorwaardes en beperkings definieer.
Die beleid moet gereeld hersien word, veral wanneer daar enige verandering in tegnologie of wetgewing is.
Die beleid moet aan alle werknemers, kontrakteurs en ander partye wat by afstandwerkaktiwiteite betrokke is, gekommunikeer word.
Die beleid moet gedokumenteer word en beskikbaar gestel word aan enige relevante derde party, insluitend reguleerders en ouditeure.
Organisasies moet ook verseker dat hulle voldoende maatreëls in plek het om sensitiewe of vertroulike inligting wat tydens afgeleë werkaktiwiteite versend of gestoor word, te beskerm.
In ooreenstemming met die bepalings van beheer 6.7, moet die volgende aangeleenthede oorweeg word:
Die riglyne en maatreëls wat oorweeg moet word, moet die volgende insluit:
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
Beheer 6.7 in ISO 27002:2022 is 'n gewysigde weergawe van beheer 6.2.2 in ISO 27002:2013 en is nie 'n nuwe beheer nie.
Alhoewel hierdie twee kontroles baie kenmerke het, verskil hulle ietwat in nomenklatuur en bewoording. Die beheernaam is byvoorbeeld nie dieselfde nie. Daar word na beheer 6.2.2 in ISO 27002:2013 verwys as telewerk. Beheer 6.7 verwys daarna as afstandwerk. Terselfdertyd is telewerk vervang deur afstandwerk in die nuwe weergawe van die standaard.
In beheer 6.7, ISO 27002:2022, definieer die standaard wat afstandwerk is, en die tipes werk wat as afstandwerk kan kwalifiseer. Dit sluit telewerk in, wat die oorspronklike beheernaam in die 2013-weergawe van die standaard is.
Die implementeringsriglyne stem ietwat ooreen, al verskil die taal en terme. Weergawe 2022 het baie gebruikersvriendelike taal gebruik om te verseker dat die gebruikers van die standaard kan verstaan wat hulle doen.
Dit gesê, sommige punte is bygevoeg in kontrole 6.7 en sommige verwyder uit kontrole 6.2.2.
Verder verskaf die ISO 27002 weergawe 2022 stellings van doel en kenmerktabelle vir elke kontrole, wat gebruikers help om die kontroles beter te verstaan en te implementeer.
Die 2013-weergawe het nie hierdie twee dele nie.
Die primêre verantwoordelikheid vir die skep van 'n inligtingsekuriteitsbeleid vir afgeleë werkers lê by die organisasie se inligtingsekuriteitsbeampte. Ander belanghebbendes moet egter ook by die proses betrek word.
Dit sluit IT-bestuurders in, wat verantwoordelik is vir die implementering en instandhouding van die beleid, asook HR-bestuurders, wat verantwoordelik is om seker te maak dat werknemers dit verstaan en daarby hou.
As jy 'n verskafferbestuursprogram het, sal die antwoord afhang van wie verantwoordelik is vir die bestuur van kontrakteurs en verskaffers in die algemeen. In die meeste gevalle sal hierdie persoon ook verantwoordelik wees vir die skep van 'n inligtingsekuriteitsbeleid vir afgeleë werkers in daardie departement.
Die ISO 27002 is nie aansienlik verander nie, so jy hoef nie veel te doen nie, behalwe om seker te maak dat jou inligtingsekuriteitsprosesse in lyn is met die opgradering.
Die belangrikste verandering was om sommige van die kontroles te wysig en om sommige van die vereistes uit te klaar. Die hoofeffek met betrekking tot beheer 6.7 is dat as jy enige van jou bedrywighede aan 'n derde party uitkontrakteer of mense op afstand werk, jy sal moet verseker dat hulle 'n toepaslike vlak van sekuriteitskontroles in plek het.
As jy 'n bestaande ISO 27001-sertifisering het, sal jou huidige proses vir die bestuur van inligtingsekuriteit aan die nuwe vereistes voldoen.
Dit beteken dat as jy jou huidige ISO 27001-sertifisering wil hernu, jy glad nie hoef te doen nie. Jy moet net seker maak dat jou prosesse steeds met die nuwe standaard ooreenstem.
As jy egter van voor af begin, sal jy moet dink oor hoe jou maatskappy voorbereid kan wees op kuberaanvalle en ander bedreigings vir sy inligtingsbates.
Die belangrikste ding is dat dit belangrik is om kuberrisiko's ernstig genoeg te behandel sodat dit as deel van jou algehele besigheidstrategie bestuur word eerder as om as 'n aparte kwessie deur IT- of sekuriteitsdepartemente alleen hanteer te word.
Die ISMS.Online-platform help met alle aspekte van die implementering van ISO 27002, van die bestuur van risiko-assesseringsaktiwiteite tot die ontwikkeling van beleide, prosedures en riglyne om aan die standaard se vereistes te voldoen.
Dit bied 'n manier om jou bevindinge te dokumenteer en dit aanlyn met jou spanlede te kommunikeer. ISMS.Online laat jou ook toe om kontrolelyste te skep en te stoor vir al die take betrokke by die implementering van ISO 27002, sodat jy maklik die vordering van jou organisasie se sekuriteitsprogram kan dophou.
Met sy outomatiese gereedskapstel maak ISMS.Online dit maklik vir organisasies om voldoening aan die ISO 27002-standaard te demonstreer.
Kontak ons vandag nog om beplan 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 5.7 | Nuut | Bedreigingsintelligensie |
| 5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
| 5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 8.9 | Nuut | Konfigurasiebestuur |
| 8.10 | Nuut | Inligting verwydering |
| 8.11 | Nuut | Datamaskering |
| 8.12 | Nuut | Voorkoming van datalekkasies |
| 8.16 | Nuut | Moniteringsaktiwiteite |
| 8.23 | Nuut | Webfiltrering |
| 8.28 | Nuut | Veilige kodering |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Terme en diensvoorwaardes |
| 6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
| 6.4 | 07.2.3 | Dissiplinêre proses |
| 6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
| 6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
| 6.7 | 06.2.2 | Afstand werk |
| 6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
| ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
|---|---|---|
| 7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
| 7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
| 7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
| 7.4 | Nuut | Fisiese sekuriteitsmonitering |
| 7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
| 7.6 | 11.1.5 | Werk in veilige areas |
| 7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
| 7.8 | 11.2.1 | Toerusting plaas en beskerming |
| 7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
| 7.11 | 11.2.2 | Ondersteunende nutsprogramme |
| 7.12 | 11.2.3 | Bekabeling sekuriteit |
| 7.13 | 11.2.4 | Onderhoud van toerusting |
| 7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |
