ISO 27001:2022 bilaga A 5.10 – Acceptabel användning av information och andra tillhörande tillgångar

Vad är ISO 27001:2022 bilaga A 5.10, Acceptabel användning av information och andra tillhörande tillgångar?

Den godtagbara användningen av Informationstillgångar Policy (AUA) gäller för alla medlemmar i organisationen och alla tillgångar som ägs eller drivs av dem. Denna policy är tillämplig för all användning, inklusive kommersiella ändamål, av informationstillgångar.

Exempel på informationstillgångar inkluderar:

• Hårdvara omfattar datorer, Mobil enheter, telefoner och faxar.
• Programvara inkluderar operativsystem, applikationer (inklusive webbaserade), verktyg, firmware och programmeringsspråk.
• Detta avsnitt behandlar strukturerad data i relationsdatabaser, platta filer, NoSQL-data samt ostrukturerad data, till exempel textdokument, kalkylblad, bilder, video- och ljudfiler.
• Nätverk omfattar både trådbundna och trådlösa system, telekommunikation och VoIP-tjänster (Voice over Internet Protocol).
• Molntjänster, e-postkonton och andra värdtjänster.

Att använda information och andra relaterade tillgångar kräver att de tillämpas på ett sätt som inte äventyrar tillgängligheten, pålitligheten eller sundheten hos data, tjänster eller resurser. Det innebär också att använda dem på sätt som inte strider mot lagar eller företagets policyer.

Vad är syftet med ISO 27001:2022 bilaga A Kontroll 5.10?

Huvudsyftet med denna kontroll är att se till att information och relaterade tillgångar skyddas, används och hanteras korrekt.

ISO 27001:2022 bilaga A Kontroll 5.10 säkerställer att policyer, procedurer och tekniska kontroller finns på plats för att hindra användare från att felaktigt hantera informationstillgångar.

Denna kontroll syftar till att skapa en struktur för organisationer för att garantera att information och andra resurser skyddas, används och hanteras på lämpligt sätt. Det innebär att se till att lämpliga policyer och rutiner finns på alla nivåer i organisationen, samt att implementera dem regelbundet.

Genomförande av kontroll 5.10 utgör en del av ditt ISMS och säkerställer att ditt företag har de nödvändiga kraven på plats för att skydda sina IT-tillgångar, såsom:

• Säkerställande av säkerheten för data vid lagring, bearbetning och transitering är av största vikt.
• Att säkerställa och korrekt användning av IT-utrustning är avgörande. Det är viktigt att säkerställa dess säkerhet och använda den på rätt sätt.
• Lämpliga autentiseringstjänster är väsentliga för regleringen av tillgång till informationssystem.
• Behandling av information inom en organisation är begränsad till endast de med lämplig behörighet.
• Tilldelning av datarelaterade uppgifter till vissa personer eller roller.
• Det är viktigt att utbilda och utbilda användare om deras säkerhetsskyldigheter. Att se till att de förstår sina roller och ansvar bidrar till att säkerställa systemets säkerhet.

Vad är inblandat och hur man uppfyller kraven

För att uppfylla ISO 27001:2022s kontroll 5.10-behov är det absolut nödvändigt att personal, både intern och extern, som använder eller har tillgång till organisationens data och ytterligare resurser är medvetna om företagets informationssäkerhetsförutsättningar.

De ansvariga bör hållas till svars för eventuella databehandlingsresurser de använder.

All personal som är associerad med hanteringen av information och andra relaterade tillgångar bör vara medvetna om organisationens policy för lämplig användning. Det är viktigt att alla inblandade är informerade om riktlinjerna.

All personal som arbetar med information och tillhörande tillgångar bör göras medvetna om företagets policy för acceptabel användning. Som en del av den specifika användningspolicyn bör personalen förstå exakt vad som förväntas av dem när det gäller dessa resurser.

Policyn bör klargöra att:

1. Alla anställda måste följa företagets policyer och rutiner.
2. Ingen anställd får utöva någon verksamhet som strider mot företagets intressen.
3. Alla anställda som inte följer företagets policyer och procedurer kommer att bli föremål för disciplinära åtgärder.

Särskild policy som hänför sig till ämnet bör ange att all personal måste följa företagets direktiv och protokoll:

• Förväntningar och oacceptabla åtgärder kring informationssäkerhet bör klargöras för enskilda.
• Tillåten och förbjuden användning av information och andra tillgångar.
• Hålla koll på organisationens verksamhet.

Utarbeta förfaranden för acceptabel användning under hela informationens livscykel, i linje med dess kategorisering och identifierade risker. Tänk på följande:

• Åtkomstbegränsningar för att stödja skyddet av varje säkerhetsnivå måste införas.
• Föra ett register över behöriga användare av information och andra tillhörande tillgångar.
• Se till att säkerheten för tillfälliga eller permanenta kopior av information överensstämmer med kraven i sammanhanget.
• Det är ytterst viktigt att säkerställa bevarandet av de ursprungliga uppgifterna.
• Det är viktigt att lagra tillgångar relaterade till information enligt tillverkarnas standarder.
• Märk alla kopior av elektroniska eller fysiska förvarings media tydligt för mottagarens uppmärksamhet.
• Företaget godkänner förfogande av information och andra tillgångar, samt raderingsmetoder som stöds.

Skillnader mellan ISO 27001:2013 och ISO 27001:2022

Smakämnen 2022-versionen av ISO 27001 släpptes i oktober 2022; det är en förbättrad version av ISO 27001:2013.

Bilaga A 5.10 i ISO 27001:2022 är inte ny; det är en blandning av kontroller 8.1.3 och 8.2.3 från ISO 27001:2013.

Kärnan och implementeringsriktlinjerna i bilaga A 5.10 liknar dem för kontrollerna 8.1.3 och 8.2.3, men bilaga A 5.10 kombinerar både acceptabel användning av och hantering av tillgångar till en kontroll för användarvänligheten.

I bilaga A 5.10 lades ytterligare en punkt till 8.2.3, som avser godkännande av förfogande av information och eventuella relaterade tillgångar, samt den eller de rekommenderade raderingsmetoderna.

Tabell över alla ISO 27001:2022 bilaga A kontroller

I tabellen nedan hittar du mer information om varje individ ISO 27001:2022 Bilaga A Kontroll.

Vem är ansvarig för denna process?

Denna policy anger reglerna för korrekt användning av företagets information och tillhörande tillgångar, såsom datorer, nätverk och system, e-post, filer och lagringsmedia. Alla anställda och entreprenörer måste följa den.

Denna policy tjänar till att:

1. Ge alltid riktlinjer för lämpligt beteende.
2. Beskriv konsekvenserna av eventuella överträdelser.
3. Säkerställa en säker och respektfull miljö för alla.

Syftet med denna policy är att sätta upp direktiv för lämpligt beteende och att detaljera konsekvenserna av att bryta mot dem, för att skapa en säker och respektfull atmosfär för alla.

Säkerställa att företagets data och andra relaterade tillgångar endast används av giltiga affärsskäl. Se till att personalen följer alla lagar och förordningar om informationssäkerhet och försvara företagets information och andra relaterade tillgångar från risker som härrör från inom eller utanför företaget.

Smakämnen Information Security Officer (ISO) har till uppgift att utforma, utföra och upprätthålla den acceptabla användningen av informationsresurser.

ISO kommer att vara ansvarig för att övervaka användningen av informationsresurser i hela organisationen för att garantera att data används på ett sätt som säkerställer säkerhet och datanoggrannhet, bevarar konfidentialitet för privat eller känslig information, förhindrar missbruk och obehörig åtkomst till datorresurser, och eliminerar all onödig exponering eller ansvar för organisationen.

Vad betyder dessa förändringar för dig?

Den nya ISO 27001:2022-standarden är en revidering, så du behöver inte göra många ändringar för att vara kompatibel med den.

Se vår guide om ISO 27001:2022 för att lära dig mer om konsekvenserna av bilaga A 5.10 för din verksamhet och hur du visar efterlevnad.

Hur ISMS.online hjälper

ISMS.online gör ISO 27001 implementering enkel, med en omfattande steg-för-steg checklista. Den här guiden tar dig genom hela processen, från att definiera ditt ISMS-omfång till att identifiera risker och implementera kontroller.

Denna modell skapar ett ramverk för att sätta upp, använda, driva, observera, utvärdera, upprätthålla och utveckla ett Information Security Management System (ISMS).

Genomförande av ISO 27001-standard kan vara en omfattande strävan, men ISMS.online tillhandahåller en omfattande, one-stop-lösning för att göra processen mycket enklare.

Vårt förstklassiga programvara för ledningssystem för informationssäkerhet erbjuder ett okomplicerat sätt att förstå vad som måste åstadkommas och hur man ska gå vidare.

Vi gör det enkelt att hantera dina efterlevnadsbehov. Vi eliminerar besväret och stressen med att uppfylla dina krav.

Hör av dig idag för att reservera en demonstration.