Kontroll 5.1, policyer för informationssäkerhet

Vad är Control 5.1?

En informationssäkerhetspolicy ger anställda, ledning och externa parter (t.ex. kunder och leverantörer) ett ramverk för hantering av elektronisk information, inklusive datornätverk.

Syftet med en informationssäkerhetspolicy är att minska risken för dataförlust eller stöld från interna och externa hot. En informationssäkerhetspolicy säkerställer också att alla anställda är medvetna om sitt ansvar för att skydda de uppgifter som finns i deras organisationer.

En informationssäkerhetspolicy kan också användas för att visa efterlevnad av lagar och förordningar, och hjälper till att uppfylla standarder som ISO 27001.

Cybersäkerhet och informationssäkerhetshot förklaras

Cybersäkerhetshot är alla möjliga skadliga attacker som syftar till att olagligt komma åt data, störa digital verksamhet eller skada information. Cyberhot kan härröra från olika aktörer, inklusive företagsspioner och hacktivister, terroristgrupper, fientliga nationalstater och kriminella organisationer.

Några av de mer populära hoten mot cybersäkerhet och informationssäkerhet är:

malware: virus, spionprogram och andra skadliga program.
Phishing-e-postmeddelanden: meddelanden som verkar komma från pålitliga källor men innehåller länkar och bilagor som installerar skadlig programvara.
Ransomware: skadlig programvara som hindrar användare från att komma åt sin egen data tills de betalar en lösensumma.
Social ingenjörskonst: angripare som manipulerar människor till att ge känslig information, vanligtvis genom att framstå som pålitlig.
Valfångsattacker: nätfiske-e-postmeddelanden utformade för att se ut som om de kommer från högprofilerade individer inom en organisation.

ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG

Vad är syftet med kontroll 5.1?

Syftet med informationssäkerhetspolicyn är att säkerställa ledningsstöd för att skydda ditt företags känsliga information från stöld och obehörig åtkomst.

Kontroll 5.1 omfattar styrning, syfte och implementeringsvägledning för att upprätta en informationssäkerhetspolicy i en organisation enligt ramverket enligt ISO 27001.

Kontroll 5.1 säger att organisationer måste ha hög- och lågnivåpolicyer för hur de hanterar sin informationssäkerhet. Organisationens högsta ledning behöver godkänna policyerna, som bör ses över regelbundet och även om förändringar i informationssäkerhetsmiljön inträffar.

Det bästa sättet är att träffas regelbundet minst en gång i månaden, med ytterligare möten planerade efter behov. Om ändringar görs i policyerna måste ledningen godkänna dem innan de implementeras. Policyerna bör också delas med interna och externa intressenter.

Kontrollattribut 5.1

Attribut är ett sätt att kategorisera kontroller. Dessa gör att du snabbt kan anpassa ditt kontrollval till vanliga branschspråk och standarder. I kontroll 5.1 är dessa.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Identifiera	#Governance	#Styrelse och ekosystem
	#Integritet			#Elasticitet
	#Tillgänglighet

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo

Vad är inblandat och hur man uppfyller kraven

Informationssäkerhetspolicyn bör ligga till grund för och stödjas av detaljerade verksamhetsrutiner som beskriver hur informationssäkerheten ska hanteras i praktiken.

Policyn bör godkännas av högsta ledningen, som ska se till att den kommuniceras till personalen och görs tillgänglig för intresserade parter.

Policyn ger vägledning om organisationens sätt att hantera informationssäkerhet och kan användas som ett ramverk för att utveckla mer detaljerade verksamhetsrutiner.

Policyn är en viktig del för att etablera och underhålla ett ledningssystem för informationssäkerhet (ISMS), som krävs av ISO/IEC 27000-familjen av standarder, men även om organisationen inte har för avsikt att implementera formell certifiering enligt ISO 27001 eller någon annan standard , är en väldefinierad policy fortfarande viktig.

Ändringar och skillnader från ISO 27002:2013

I ISO 27002:2022 är kontroll 5.1 Informationssäkerhetspolicyer inte en ny kontroll, utan snarare resultatet av sammanslagningen av kontroller 5.1.1 Policyer för informationssäkerhet och 5.1.2 Granskning av policyer för informationssäkerhet från ISO 27002 revision 2013.

I ISO 27002:2022 har kontroll 5.1 uppdaterats för att inkludera en beskrivning av dess syfte och utökade implementeringsvägledning. Den kom också med en attributtabell som låter användare stämma av kontroller med branschterminologier.

I ISO 27002:2022 anger kontroll 5.1 att informationssäkerhet och ämnesspecifika policyer ska definieras, godkännas av ledningen, publiceras, kommuniceras till och bekräftas av relevant personal och relevanta intressenter.

En organisations informationssäkerhetspolicy bör återspegla organisationens storlek, typ och känslighet för informationstillgångar. Det bör också överensstämma med branschstandarder och tillämpliga myndighetsföreskrifter.

Även om kärnan i själva kontrollen liknar 5.1.1 i ISO 27002: 2013, anger version 2022 specifikt att dessa informationssäkerhetspolicyer bör ses över regelbundet och även om förändringar i informationssäkerhetsmiljön inträffar. Denna förare omfattas av paragraf 5.1.2 i ISO 27002:2013.

ISO 27002: 2013 och ISO 27002: 2022 säger att den högsta nivån i organisationen bör definiera en säkerhetspolicy som högsta ledningen godkänner och som anger hur de ska övervaka skyddet av sin information. Kraven som täcks av policyerna för båda versionerna är dock olika.

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo

Kontroll 5.1 2013 – 2022 Implementeringsriktlinjer Jämfört

I ISO 27002:2013 bör informationssäkerhetspolicyer hantera krav som skapats av:

Affärsstrategi.
Föreskrifter, lagstiftning och avtal.
Den nuvarande och förväntade hotmiljön för informationssäkerhet.

Informationssäkerhetspolicyn bör innehålla uttalanden om:

Definition av informationssäkerhet, mål och principer för att styra all verksamhet som rör
informationssäkerhet.
Tilldelning av generella och specifika ansvarsområden för informationssäkerhetshantering till
definierade roller.
Processer för hantering av avvikelser och undantag.

Men kraven för ISO 27002:2022 är lite mer omfattande.

Informationssäkerhetspolicyn bör ta hänsyn till krav som härrör från:

Affärsstrategi och krav.
Föreskrifter, lagstiftning och avtal.
Aktuella och beräknade risker och hot mot informationssäkerhet.

Informationssäkerhetspolicyn bör innehålla uttalanden om:

Definition av informationssäkerhet.
Informationssäkerhetsmål eller ramverket för att sätta informationssäkerhetsmål.
Principer för att styra all verksamhet som rör informationssäkerhet.
Åtagande att uppfylla tillämpliga krav relaterade till informationssäkerhet.
Engagemang för ständig förbättring av ledningssystemet för informationssäkerhet.
Tilldelning av ansvar för informationssäkerhetshantering till definierade roller.
Rutiner för hantering av undantag och undantag.

Samtidigt omarbetades ämnesspecifika policyer i ISO 27002:2022 för att inkludera; informationssäkerhetsincidenthantering, tillgångshantering, nätverkssäkerhet, informationssäkerhetsincidenthantering och säker utveckling. Några av dem i ISO 27002:2013 togs antingen bort eller slogs samman för att bilda en mer holistisk ram.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	NYA	Hot intelligens
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.30	NYA	ICT-beredskap för kontinuitet i verksamheten
7.4	NYA	Fysisk säkerhetsövervakning
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.16	NYA	Övervakningsaktiviteter
8.23	NYA	Webbfiltrering
8.28	NYA	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	NYA	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	5.30	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	NYA	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	NYA	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	NYA	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	NYA	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.Online hjälper

På ISMS.online kommer vårt lättanvända men kraftfulla molnsystem att förse dig med en komplett uppsättning verktyg och resurser som hjälper dig att hantera ditt eget ISO 27001/27002 Information Security Management System (ISMS), oavsett om du är ny enligt ISO 27001/27002 eller redan certifierad.

Vårt intuitiva steg-för-steg arbetsflöde, verktyg, ramverk, policyer och kontroller, handlingsbar dokumentation och vägledning leder dig genom processen för att implementera ISO 27002, vilket gör det enkelt för dig att definiera omfattningen av ISMS, identifiera risker och implementera kontroller med hjälp av våra algoritmer – antingen från grunden eller från mallar för bästa praxis.

Hör av dig idag för att boka en demo.

Vi är ledande inom vårt område