Terwyl die verskuiwing na afgeleë werk en toenemende gebruik van mobiele toestelle werknemers se produktiwiteit 'n hupstoot gee en organisasies geld spaar, is gebruikerseindpunttoestelle soos skootrekenaars, selfone en tablette kwesbaar vir kuberbedreigings. Dit is omdat kubermisdadigers hierdie toestelle dikwels uitbuit om te wen ongemagtigde toegang tot korporatiewe netwerke en kompromie inligting bates.
Byvoorbeeld, kubermisdadigers kan werknemers teiken met 'n uitvissing-aanval, werknemers oorreed om 'n wanware-aanhangsel af te laai, en dan hierdie wanware-geïnfekteerde gebruiker-eindpunttoestel gebruik om die wanware oor die hele korporatiewe netwerk te versprei. Hierdie aanval kan lei tot die verlies van beskikbaarheid, integriteit of vertroulikheid van inligtingsbates.
Volgens 'n opname uitgevoer met 700 IT-professionele persone, het ongeveer 70% van organisasies in 2020 inbreuk op inligtingbates en IT-infrastruktuur ervaar as gevolg van 'n eindpuntgebruiker-toestelverwante aanval.
Beheer 8.1 spreek aan hoe organisasies onderwerpspesifieke beleid, prosedures en tegniese maatreëls kan vestig, in stand hou en implementeer om te verseker dat inligtingsbates wat op gebruikereindpunttoestelle gehuisves of verwerk word, nie gekompromitteer, verlore of gesteel word nie.
Beheer 8.1 stel organisasies in staat om die sekuriteit, vertroulikheid, integriteit en beskikbaarheid van inligtingsbates gehuisves op of toeganklik via eindpuntgebruikerstoestelle te beskerm en in stand te hou deur in plek te stel geskikte beleide, prosedures en kontroles.
Beheer 8.1 is voorkomend van aard. Dit vereis van organisasies om beleide, prosedures en tegniese maatreëls te implementeer wat van toepassing is op alle gebruikereindpunttoestelle wat inligtingbates huisves of verwerk sodat dit nie gekompromitteer, verlore of gesteel word nie.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | #Batebestuur #Inligtingbeskerming | #Beskerming |
Aangesien voldoening aan Beheer 8.1 die skepping, instandhouding van en nakoming van organisasiewye onderwerpspesifieke beleid, prosedures en tegniese maatreëls behels, het die hoof inligtingsekuriteitsbeampte moet verantwoordelikheid dra vir voldoening met die vereistes van Beheer 8.1.
Beheer 8.1 vereis van organisasies om 'n onderwerpspesifieke beleid te skep wat aanspreek hoe gebruikerseindpunttoestelle veilig gekonfigureer moet word en hoe hierdie toestelle deur gebruikers hanteer moet word.
Alle personeel moet oor hierdie Polis ingelig word en die Polis moet die volgende dek:
Verder merk die Algemene Riglyne op dat organisasies dit moet oorweeg om die berging van sensitiewe inligtingbates op gebruikereindpunttoestelle te verbied deur tegniese kontroles te implementeer.
Hierdie tegniese kontroles kan die deaktivering van plaaslike bergingsfunksies soos SD-kaarte insluit.
Om hierdie aanbevelings in die praktyk toe te pas, moet organisasies hul wend tot Konfigurasiebestuur soos uiteengesit in die Beheer 8.9 en geoutomatiseerde gereedskap gebruik.
Alle personeel moet ingelig word oor die sekuriteitsmaatreëls vir gebruikerseindpunttoestelle en prosedures waaraan hulle moet voldoen. Verder moet hulle wees bewus gemaak van hul verantwoordelikhede vir die toepassing van hierdie maatreëls en prosedures.
Organisasies moet personeel opdrag gee om aan die volgende reëls en prosedures te voldoen:
Verder word organisasies ook aangeraai om 'n spesiale prosedure in te stel vir die verlies of diefstal van gebruikerseindpunttoestelle. Hierdie prosedure moet geskep word met inagneming van wetlike, kontraktuele en sekuriteitsvereistes.
Terwyl personeel toe te laat om hul eie persoonlike toestelle vir werkverwante doeleindes te gebruik, organisasies geld bespaar, stel dit sensitiewe inligtingbates aan nuwe risiko's bloot.
Beheer 8.1 lys vyf aanbevelings wat organisasies moet oorweeg wanneer hulle werknemers toelaat om hul eie toestelle vir werkverwante take te gebruik:
Organisasies moet prosedures ontwikkel en in stand hou vir:
Wanneer gebruikerseindpunttoestelle uit die organisasie se perseel geneem word, kan inligtingsbates aan verhoogde risiko's van kompromie blootgestel word. Daarom sal organisasies dalk verskillende kontroles moet instel vir toestelle wat buite die perseel gebruik word.
Verder waarsku Control 8.1 organisasies teen verlies van inligting as gevolg van twee risiko's wat verband hou met draadlose verbindings:
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
27002:2022/8.1 vervang 27002:2013/(6.2.1 en 12.2.8)
In in teenstelling met die 2022-weergawe wat gebruikerseindpunttoestelle onder een beheer (8.1) aanspreek, het die 2013-weergawe twee afsonderlike kontroles ingesluit: Mobiele toestelbeleid in beheer 6.2.1 en onbewaakte gebruikertoerusting in beheer 11.2.8.
Verder, terwyl die Beheer 8.1 in die 2022-weergawe van toepassing is op alle gebruiker-eindpunttoestelle soos skootrekenaars, tablette en selfone, het die 2013-weergawe slegs na die mobiele toestelle verwys.
Alhoewel beide weergawes grootliks soortgelyk is in terme van die vereistes vir gebruikersverantwoordelikheid, bevat die 2022-weergawe een bykomende vereiste:
In vergelyking met die 2013-weergawe stel beheer 8.1 in die 2022-weergawe drie nuwe vereistes vir die gebruik van personeel se private toestelle (BYOD):
Soortgelyk aan die 2013-weergawe, vereis die 2022-weergawe ook van organisasies om 'n onderwerpspesifieke beleid op gebruikereindpunttoestelle aan te neem.
Die beheer 8.1 in die 2022-weergawe is egter meer omvattend aangesien dit drie nuwe elemente bevat wat ingesluit moet word:
ISMS.Online is die toonaangewende ISO 27002-bestuurstelselsagteware wat voldoening aan ISO 27002, en help maatskappye om hul sekuriteitsbeleide in lyn te bring en prosedures met die standaard.
Die wolk-gebaseerde platform bied 'n volledige stel gereedskap om organisasies te help met die opstel van 'n inligtingsekuriteitbestuurstelsel (ISMS) volgens ISO 27002.
Kontak vandag nog om bespreek 'n demo.
Bespreek 'n pasgemaakte praktiese sessie
gebaseer op jou behoeftes en doelwitte
Bespreek jou demo
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |