Kontroll 5.1 i ISO 27002:2022 täcker organisationers behov av att ha ett policydokument för informationssäkerhet på plats för att skydda mot informationssäkerhetsfrågor.
En informationssäkerhetspolicy ger anställda, ledning och externa parter (t.ex. kunder och leverantörer) ett ramverk för hantering av elektronisk information, inklusive datornätverk.
Syftet med en informationssäkerhetspolicy är att minska risken för dataförlust eller stöld från interna och externa hot. En informationssäkerhetspolicy säkerställer också att alla anställda är medvetna om sitt ansvar för att skydda de uppgifter som finns i deras organisationer.
En informationssäkerhetspolicy kan också användas för att visa efterlevnad av lagar och förordningar, och hjälper till att uppfylla standarder som ISO 27001.
Cybersäkerhetshot är alla möjliga skadliga attacker som syftar till att olagligt komma åt data, störa digital verksamhet eller skada information. Cyberhot kan härröra från olika aktörer, inklusive företagsspioner och hacktivister, terroristgrupper, fientliga nationalstater och kriminella organisationer.
Några av de mer populära hoten mot cybersäkerhet och informationssäkerhet är:
Syftet med informationssäkerhetspolicyn är att säkerställa ledningsstöd för att skydda ditt företags känsliga information från stöld och obehörig åtkomst.
Kontroll 5.1 omfattar styrning, syfte och implementeringsvägledning för att upprätta en informationssäkerhetspolicy i en organisation enligt ramverket enligt ISO 27001.
Kontroll 5.1 säger att organisationer måste ha hög- och lågnivåpolicyer för hur de hanterar sin informationssäkerhet. Organisationens högsta ledning behöver godkänna policyerna, som bör ses över regelbundet och även om förändringar i informationssäkerhetsmiljön inträffar.
Det bästa sättet är att träffas regelbundet minst en gång i månaden, med ytterligare möten planerade efter behov. Om ändringar görs i policyerna måste ledningen godkänna dem innan de implementeras. Policyerna bör också delas med interna och externa intressenter.
Attribut är ett sätt att kategorisera kontroller. Dessa gör att du snabbt kan anpassa ditt kontrollval till vanliga branschspråk och standarder. I kontroll 5.1 är dessa.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Identifiera | #Governance | #Styrelse och ekosystem #Elasticitet |
Informationssäkerhetspolicyn bör ligga till grund för och stödjas av detaljerade verksamhetsrutiner som beskriver hur informationssäkerheten ska hanteras i praktiken.
Policyn bör godkännas av högsta ledningen, som ska se till att den kommuniceras till personalen och görs tillgänglig för intresserade parter.
Policyn ger vägledning om organisationens sätt att hantera informationssäkerhet och kan användas som ett ramverk för att utveckla mer detaljerade verksamhetsrutiner.
Policyn är en viktig del för att etablera och underhålla ett ledningssystem för informationssäkerhet (ISMS), som krävs av ISO/IEC 27000-familjen av standarder, men även om organisationen inte har för avsikt att implementera formell certifiering enligt ISO 27001 eller någon annan standard , är en väldefinierad policy fortfarande viktig.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
I ISO 27002:2022 är kontroll 5.1 Informationssäkerhetspolicyer inte en ny kontroll, utan snarare resultatet av sammanslagningen av kontroller 5.1.1 Policyer för informationssäkerhet och 5.1.2 Granskning av policyer för informationssäkerhet från ISO 27002 revision 2013.
I ISO 27002:2022 har kontroll 5.1 uppdaterats för att inkludera en beskrivning av dess syfte och utökade implementeringsvägledning. Den kom också med en attributtabell som låter användare stämma av kontroller med branschterminologier.
I ISO 27002:2022 anger kontroll 5.1 att informationssäkerhet och ämnesspecifika policyer ska definieras, godkännas av ledningen, publiceras, kommuniceras till och bekräftas av relevant personal och relevanta intressenter.
En organisations informationssäkerhetspolicy bör återspegla organisationens storlek, typ och känslighet för informationstillgångar. Det bör också överensstämma med branschstandarder och tillämpliga myndighetsföreskrifter.
Även om kärnan i själva kontrollen liknar 5.1.1 i ISO 27002: 2013, anger version 2022 specifikt att dessa informationssäkerhetspolicyer bör ses över regelbundet och även om förändringar i informationssäkerhetsmiljön inträffar. Denna förare omfattas av paragraf 5.1.2 i ISO 27002:2013.
ISO 27002: 2013 och ISO 27002: 2022 säger att den högsta nivån i organisationen bör definiera en säkerhetspolicy som högsta ledningen godkänner och som anger hur de ska övervaka skyddet av sin information. Kraven som täcks av policyerna för båda versionerna är dock olika.
I ISO 27002:2013 bör informationssäkerhetspolicyer hantera krav som skapats av:
Informationssäkerhetspolicyn bör innehålla uttalanden om:
Men kraven för ISO 27002:2022 är lite mer omfattande.
Informationssäkerhetspolicyn bör ta hänsyn till krav som härrör från:
Informationssäkerhetspolicyn bör innehålla uttalanden om:
Samtidigt omarbetades ämnesspecifika policyer i ISO 27002:2022 för att inkludera; informationssäkerhetsincidenthantering, tillgångshantering, nätverkssäkerhet, informationssäkerhetsincidenthantering och säker utveckling. Några av dem i ISO 27002:2013 togs antingen bort eller slogs samman för att bilda en mer holistisk ram.
På ISMS.online kommer vårt lättanvända men kraftfulla molnsystem att förse dig med en komplett uppsättning verktyg och resurser som hjälper dig att hantera ditt eget ISO 27001/27002 Information Security Management System (ISMS), oavsett om du är ny enligt ISO 27001/27002 eller redan certifierad.
Vårt intuitiva steg-för-steg arbetsflöde, verktyg, ramverk, policyer och kontroller, handlingsbar dokumentation och vägledning leder dig genom processen för att implementera ISO 27002, vilket gör det enkelt för dig att definiera omfattningen av ISMS, identifiera risker och implementera kontroller med hjälp av våra algoritmer – antingen från grunden eller från mallar för bästa praxis.
Hör av dig idag för att boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
