Konfigurasies – of dit nou optree as 'n enkele konfigurasielêer, of 'n groep konfigurasies wat aan mekaar gekoppel is – is die onderliggende parameters wat bepaal hoe hardeware, sagteware en selfs hele netwerke bestuur word.
As 'n voorbeeld sal 'n firewall se konfigurasielêer die basislynkenmerke bevat wat die toestel gebruik om verkeer na en van 'n organisasie se netwerk te bestuur, insluitend bloklyste, poortaanstuur, virtuele LAN's en VPN-inligting.
Konfigurasiebestuur is 'n integrale deel van 'n organisasie se breër batebestuursoperasie. Konfigurasies is die sleutel om te verseker dat 'n netwerk nie net werk soos dit moet wees nie, maar ook om toestelle teen ongemagtigde veranderinge of verkeerde wysigings aan die kant van instandhoudingspersoneel en/of verskaffers te beveilig.
Beheer 8.9 is a voorkomende beheer dit risiko handhaaf deur 'n reeks beleide daar te stel wat bepaal hoe 'n organisasie die gebruik van konfigurasies oor sy hele netwerk dokumenteer, implementeer, moniteer en hersien.
Konfigurasiebestuur is slegs 'n administratiewe taak wat handel oor die instandhouding en monitering van batekant-inligting en data wat op 'n wye reeks toestelle en toepassings voorkom. As sodanig moet eienaarskap by die IT-hoof, of organisatoriese ekwivalent, berus.
beheer Tipe | Eienskappe vir inligtingsekuriteit | Kuberveiligheidskonsepte | Operasionele vermoëns | Sekuriteitsdomeine |
---|---|---|---|---|
#Voorkomende | #Vertroulikheid #Integriteit #Beskikbaarheid | #Beskerm | # Veilige konfigurasie | #Beskerming |
Oor die algemeen, organisasie se behoefte om konfigurasiebestuurbeleide op te stel en te implementeer vir beide nuwe stelsels en hardeware, en enige wat reeds in gebruik is. Interne beheermaatreëls moet besigheidskritiese elemente soos sekuriteitkonfigurasies, alle hardeware wat 'n konfigurasielêer bevat en enige relevante sagtewaretoepassings of -stelsels insluit.
Beheer 8.9 vra organisasies om alle relevante rolle en verantwoordelikhede te oorweeg wanneer 'n konfigurasiebeleid geïmplementeer word, insluitend die gedelegeerde eienaarskap van konfigurasies op 'n toestel-vir-toestel, of toepassing-vir-toepassing basis.
Waar moontlik, moet organisasies gestandaardiseerde sjablone gebruik om alle hardeware, sagteware en stelsels te beveilig. Sjablone moet:
Sekuriteit is uiters belangrik wanneer opstellingsjablone toegepas word, of bestaande sjablone in ooreenstemming met bogenoemde riglyne gewysig word.
Wanneer standaardsjablone vir gebruik regoor die organisasie oorweeg word, moet organisasies om enige inligtingsekuriteitsrisiko's tot die minimum te beperk:
'n Organisasie het 'n verantwoordelikheid om konfigurasies in stand te hou en te stoor, insluitend die hou van 'n ouditspoor van enige wysigings of nuwe installasies, in lyn met 'n gepubliseerde veranderingsbestuurproses (sien Beheer 8.32).
Logs moet inligting bevat wat uiteensit:
Organisasies moet 'n wye reeks tegnieke gebruik om die werking van konfigurasielêers oor hul netwerk te monitor, insluitend:
Organisasies moet gespesialiseerde sagteware opstel om enige veranderinge in 'n toestel se opstelling na te spoor, en toepaslike stappe te neem om die wysiging so gou moontlik aan te spreek, hetsy deur die verandering te bekragtig of die opstelling terug te keer na sy oorspronklike toestand.
Geen. Beheer 8.9 het geen presedent in ISO 27002:2013 nie, aangesien dit nuut is.
ISMS.Online is 'n volledige oplossing vir ISO 27002 implementering.
Dit is 'n webgebaseerde stelsel wat jou toelaat om te wys dat jou inligtingsekuriteitbestuurstelsel (ISMS) aan die goedgekeurde standaarde voldoen deur weldeurdagte prosesse en prosedures en kontrolelyste te gebruik.
Kontak vandag nog om bespreek 'n demo.
Ons sal jou 'n voorsprong van 81% gee
vanaf die oomblik dat jy inteken
Bespreek jou demo
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
5.7 | Nuut | Bedreigingsintelligensie |
5.23 | Nuut | Inligtingsekuriteit vir die gebruik van wolkdienste |
5.30 | Nuut | IKT-gereedheid vir besigheidskontinuïteit |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
8.9 | Nuut | Konfigurasiebestuur |
8.10 | Nuut | Inligting verwydering |
8.11 | Nuut | Datamaskering |
8.12 | Nuut | Voorkoming van datalekkasies |
8.16 | Nuut | Moniteringsaktiwiteite |
8.23 | Nuut | Webfiltrering |
8.28 | Nuut | Veilige kodering |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Terme en diensvoorwaardes |
6.3 | 07.2.2 | Bewustheid, onderwys en opleiding van inligtingsekuriteit |
6.4 | 07.2.3 | Dissiplinêre proses |
6.5 | 07.3.1 | Verantwoordelikhede na beëindiging of verandering van diens |
6.6 | 13.2.4 | Vertroulikheids- of nie-openbaarmakingsooreenkomste |
6.7 | 06.2.2 | Afstand werk |
6.8 | 16.1.2, 16.1.3 | Rapportering van inligtingsekuriteitsgebeurtenisse |
ISO/IEC 27002:2022 Beheeridentifiseerder | ISO/IEC 27002:2013 Beheeridentifiseerder | Beheer naam |
---|---|---|
7.1 | 11.1.1 | Fisiese sekuriteit omtrek |
7.2 | 11.1.2, 11.1.6 | Fisiese toegang |
7.3 | 11.1.3 | Beveiliging van kantore, kamers en fasiliteite |
7.4 | Nuut | Fisiese sekuriteitsmonitering |
7.5 | 11.1.4 | Beskerming teen fisiese en omgewingsbedreigings |
7.6 | 11.1.5 | Werk in veilige areas |
7.7 | 11.2.9 | Duidelike lessenaar en duidelike skerm |
7.8 | 11.2.1 | Toerusting plaas en beskerming |
7.9 | 11.2.6 | Sekuriteit van bates buite die perseel |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Berging media |
7.11 | 11.2.2 | Ondersteunende nutsprogramme |
7.12 | 11.2.3 | Bekabeling sekuriteit |
7.13 | 11.2.4 | Onderhoud van toerusting |
7.14 | 11.2.7 | Veilige wegdoening of hergebruik van toerusting |