ISO 27002:2022, Beheer 8.20 – Netwerksekuriteit

ISO 27002:2022 Hersiene kontroles

Bespreek 'n demo

gesny, beeld, van, professionele, sakevrou, werk, by, haar, kantoor, via

Netwerksekuriteit is 'n sleutelkomponent van 'n organisasie se breër inligtingsekuriteitsbeleid.

Terwyl verskeie kontroles handel oor individuele elemente van 'n organisasie se LAN- en WAN-opstelling, is Beheer 8.20 'n reeks breë protokolle wat handel oor die konsep van netwerksekuriteit as 'n beheerbeginsel in al sy verskillende vorme, en steun op leiding van verskeie belangrike inligtingsekuriteit beheer oor ISO 27002.

Doel van beheer 8.20

Beheer 8.20 is 'n dubbeldoel voorkomende en speurbeheer Wat risiko handhaaf deur beheermaatreëls te implementeer wat 'n organisasie se IKT-netwerk van bo af beskerm, deur te verseker dat netwerkaktiwiteit voldoende aangeteken, verdeel en deur gemagtigde personeel uitgevoer word.

Eienskappe tabel

beheer TipeEienskappe vir inligtingsekuriteitKuberveiligheidskonsepteOperasionele vermoënsSekuriteitsdomeine
#Voorkomende
#Speurder 		#Vertroulikheid
#Integriteit
#Beskikbaarheid		#Beskerm
#Bespeur		#Stelsel- en netwerksekuriteit#Beskerming
Spring na Onderwerp
Kry 'n voorsprong op ISO 27001
  • Alles opgedateer met die 2022-kontrolestel
  • Maak 81% vordering vanaf die oomblik wat jy aanmeld
  • Eenvoudig en maklik om te gebruik
Bespreek jou demo
img

Eienaarskap van beheer 8.20

Beheer 8.20 handel hoofsaaklik oor die werking van back-end-netwerke, instandhouding en diagnostiese gereedskap en prosedures, maar die breë omvang daarvan behels veel meer as daaglikse instandhoudingsbedrywighede. As sodanig behoort eienaarskap by die organisasie se CISO, of ekwivalent, te wees.

Algemene riglyne oor nakoming

Beheer 8.20 het gefokus op twee sleutelaspekte van netwerksekuriteit oor al sy algemene riglyne:

  • Inligtings sekuriteit

  • Beskerming teen ongemagtigde toegang (veral in die geval van gekoppelde dienste)

Om hierdie twee doelwitte te bereik, vra Control 8.20 organisasies om die volgende te doen:

  1. Kategoriseer inligting oor 'n netwerk volgens tipe en klassifikasie, vir gemak van bestuur en instandhouding.

  2. Verseker dat netwerktoerusting onderhou word deur personeel met gedokumenteerde werksrolle en verantwoordelikhede.

  3. Handhaaf bygewerkte inligting (insluitend weergawebeheerde dokumentasie) oor LAN- en WAN-netwerkdiagramme en fermware-/konfigurasielêers van sleutelnetwerktoestelle soos routers, firewalls, toegangspunte en netwerkskakelaars.

  4. Skei verantwoordelikhede vir 'n organisasie se netwerk van standaard IKT-stelsel- en toepassingbedrywighede (sien Beheer 5.3), insluitend die skeiding van administratiewe verkeer van standaardnetwerkverkeer.

  5. Implementeer kontroles wat die veilige berging en oordrag van data oor alle relevante netwerke (insluitend derdeparty-netwerke) fasiliteer en verseker die voortgesette werking van alle gekoppelde toepassings (sien Kontroles 5.22, 8.24, 5.14 en 6.6).

  6. Teken en monitor enige en alle aksies wat inligtingsekuriteit as geheel regoor die netwerk, of binne individuele elemente, direk beïnvloed (sien Kontroles 8.16 en 8.15).

  7. Koördineer netwerkbestuurspligte om die organisasie se standaard besigheidsprosesse aan te vul.

  8. Maak seker dat alle stelsels en toepaslike toepassings verifikasie vereis voor gebruik.

  9. Filtreer verkeer wat deur die netwerk vloei via 'n reeks beperkings, riglyne vir inhoudfiltrering en datareëls.

  10. Maak seker dat alle toestelle wat aan die netwerk koppel, sigbaar, outentiek is en deur IKT-personeel bestuur kan word.

  11. Behou die vermoë om besigheidskritiese subnetwerke te isoleer in die geval van 'n sekuriteitsvoorval.

  12. Skors of deaktiveer netwerkprotokolle wat óf gekompromitteer is óf onstabiel of kwesbaar geword het.

Ondersteunende kontroles

  • 5.14
  • 5.22
  • 5.3
  • 6.6
  • 8.15
  • 8.16
  • 8.24

Kry 'n voorsprong
op ISO 27002

Die enigste voldoening
oplossing wat jy nodig het
Bespreek jou demo

Opgedateer vir ISO 27001 2022
  • 81% van die werk wat vir jou gedoen is
  • Versekerde resultate Metode vir sertifiseringsukses
  • Bespaar tyd, geld en moeite
Bespreek jou demo
img

Veranderinge en verskille vanaf ISO 27002:2013

27002:2022-8.20 vervang 27002:2013-13.1.1 (Netwerkkontroles).

27002:2022-8.20 bepleit 'n veel meer omvattende benadering tot netwerksekuriteit, en bevat 'n aantal bykomende riglyne wat handel oor verskeie sleutelelemente van netwerksekuriteit, insluitend:

  • Filtreer verkeer

  • Opskorting van protokolle

  • Kategorisering van netwerkinligting

  • Isoleer subnetwerke

  • Onderhou sigbare toestelle

  • Firmware rekords

Hoe ISMS.online help

Die ISMS.Online-platform help met alle aspekte van die implementering van ISO 27002, van die bestuur van risiko-assesseringsaktiwiteite tot die ontwikkeling van beleide, prosedures en riglyne om aan die standaard se vereistes te voldoen.

Dit bied 'n manier om jou bevindinge te dokumenteer en dit aanlyn met jou spanlede te kommunikeer. ISMS.Online laat jou ook toe om kontrolelyste te skep en te stoor vir al die take betrokke by die implementering van ISO 27002, sodat jy maklik die vordering van jou organisasie se sekuriteitsprogram kan dophou.

Met sy outomatiese gereedskapstel maak ISMS.Online dit maklik vir organisasies om voldoening aan die ISO 27002-standaard te demonstreer.

Kontak ons ​​vandag nog om beplan 'n demo.

ISMS.online maak die opstel en bestuur van jou ISMS so maklik as wat dit kan kry.

Peter Risdon
CISO, Viital

Bespreek jou demo

Nuwe kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.7NuutBedreigingsintelligensie
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
7.4NuutFisiese sekuriteitsmonitering
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.16NuutMoniteringsaktiwiteite
8.23NuutWebfiltrering
8.28NuutVeilige kodering

Organisatoriese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
5.105.1.1, 05.1.2Beleide vir inligtingsekuriteit
5.206.1.1Rolle en verantwoordelikhede vir inligtingsekuriteit
5.306.1.2Skeiding van pligte
5.407.2.1Bestuursverantwoordelikhede
5.506.1.3Kontak met owerhede
5.606.1.4Kontak met spesiale belangegroepe
5.7NuutBedreigingsintelligensie
5.806.1.5, 14.1.1Inligtingsekuriteit in projekbestuur
5.908.1.1, 08.1.2Inventaris van inligting en ander verwante bates
5.1008.1.3, 08.2.3Aanvaarbare gebruik van inligting en ander verwante bates
5.1108.1.4Teruggawe van bates
5.12 08.2.1Klassifikasie van inligting
5.1308.2.2Etikettering van inligting
5.1413.2.1, 13.2.2, 13.2.3Inligting oordrag
5.1509.1.1, 09.1.2Toegangsbeheer
5.1609.2.1Identiteitsbestuur
5.17 09.2.4, 09.3.1, 09.4.3Stawing inligting
5.1809.2.2, 09.2.5, 09.2.6Toegangsregte
5.1915.1.1Inligtingsekuriteit in verskafferverhoudings
5.2015.1.2Aanspreek van inligtingsekuriteit binne verskaffersooreenkomste
5.2115.1.3Bestuur van inligtingsekuriteit in die IKT-voorsieningsketting
5.2215.2.1, 15.2.2Monitering, hersiening en veranderingsbestuur van verskaffersdienste
5.23NuutInligtingsekuriteit vir die gebruik van wolkdienste
5.2416.1.1Beplanning en voorbereiding van inligtingsekuriteitvoorvalbestuur
5.2516.1.4Assessering en besluit oor inligtingsekuriteitsgebeure
5.2616.1.5Reaksie op inligtingsekuriteitsvoorvalle
5.2716.1.6Leer uit inligtingsekuriteitvoorvalle
5.2816.1.7Insameling van bewyse
5.2917.1.1, 17.1.2, 17.1.3Inligtingsekuriteit tydens ontwrigting
5.30NuutIKT-gereedheid vir besigheidskontinuïteit
5.3118.1.1, 18.1.5Wetlike, statutêre, regulatoriese en kontraktuele vereistes
5.3218.1.2Intellektuele eiendomsregte
5.3318.1.3Beskerming van rekords
5.3418.1.4Privaatheid en beskerming van PII
5.3518.2.1Onafhanklike hersiening van inligtingsekuriteit
5.3618.2.2, 18.2.3Voldoening aan beleide, reëls en standaarde vir inligtingsekuriteit
5.3712.1.1Gedokumenteerde bedryfsprosedures

Mense beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
6.107.1.1Screening
6.207.1.2Terme en diensvoorwaardes
6.307.2.2Bewustheid, onderwys en opleiding van inligtingsekuriteit
6.407.2.3Dissiplinêre proses
6.507.3.1Verantwoordelikhede na beëindiging of verandering van diens
6.613.2.4Vertroulikheids- of nie-openbaarmakingsooreenkomste
6.706.2.2Afstand werk
6.816.1.2, 16.1.3Rapportering van inligtingsekuriteitsgebeurtenisse

Fisiese beheer

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
7.111.1.1Fisiese sekuriteit omtrek
7.211.1.2, 11.1.6Fisiese toegang
7.311.1.3Beveiliging van kantore, kamers en fasiliteite
7.4NuutFisiese sekuriteitsmonitering
7.511.1.4Beskerming teen fisiese en omgewingsbedreigings
7.611.1.5Werk in veilige areas
7.711.2.9Duidelike lessenaar en duidelike skerm
7.811.2.1Toerusting plaas en beskerming
7.911.2.6Sekuriteit van bates buite die perseel
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Berging media
7.1111.2.2Ondersteunende nutsprogramme
7.1211.2.3Bekabeling sekuriteit
7.1311.2.4Onderhoud van toerusting
7.1411.2.7Veilige wegdoening of hergebruik van toerusting

Tegnologiese kontroles

ISO/IEC 27002:2022 BeheeridentifiseerderISO/IEC 27002:2013 BeheeridentifiseerderBeheer naam
8.106.2.1, 11.2.8Gebruikerseindpunttoestelle
8.209.2.3Bevoorregte toegangsregte
8.309.4.1Beperking van toegang tot inligting
8.409.4.5Toegang tot bronkode
8.509.4.2Veilige verifikasie
8.612.1.3Kapasiteitsbestuur
8.712.2.1Beskerming teen wanware
8.812.6.1, 18.2.3Bestuur van tegniese kwesbaarhede
8.9NuutKonfigurasiebestuur
8.10NuutInligting verwydering
8.11NuutDatamaskering
8.12NuutVoorkoming van datalekkasies
8.1312.3.1Rugsteun van inligting
8.1417.2.1Oortolligheid van inligtingverwerkingsfasiliteite
8.1512.4.1, 12.4.2, 12.4.3Logging
8.16NuutMoniteringsaktiwiteite
8.1712.4.4Klok sinchronisasie
8.1809.4.4Gebruik van bevoorregte nutsprogramme
8.1912.5.1, 12.6.2Installering van sagteware op bedryfstelsels
8.2013.1.1Netwerk sekuriteit
8.2113.1.2Sekuriteit van netwerkdienste
8.2213.1.3Segregasie van netwerke
8.23NuutWebfiltrering
8.2410.1.1, 10.1.2Gebruik van kriptografie
8.2514.2.1Veilige ontwikkeling lewensiklus
8.2614.1.2, 14.1.3Aansoek sekuriteit vereistes
8.2714.2.5Veilige stelselargitektuur en ingenieursbeginsels
8.28NuutVeilige kodering
8.2914.2.8, 14.2.9Sekuriteitstoetsing in ontwikkeling en aanvaarding
8.3014.2.7Uitgekontrakteerde ontwikkeling
8.3112.1.4, 14.2.6Skeiding van ontwikkeling, toets en produksie omgewings
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Veranderings bestuur
8.3314.3.1Toets inligting
8.3412.7.1Beskerming van inligtingstelsels tydens oudittoetsing
Vertrou deur maatskappye oral
  • Eenvoudig en maklik om te gebruik
  • Ontwerp vir ISO 27001 sukses
  • Bespaar u tyd en geld
Bespreek jou demo
img

ISMS.online ondersteun nou ISO 42001 - die wêreld se eerste KI-bestuurstelsel. Klik om meer uit te vind