ISO 27002:2022 – Kontroll 5.1 – Policies för informationssäkerhet

Vad är Control 5.1?

En informationssäkerhetspolicy ger anställda, ledning och externa parter (t.ex. kunder och leverantörer) ett ramverk för hantering av elektronisk information, inklusive datornätverk.

Syftet med en informationssäkerhetspolicy är att minska risken för dataförlust eller stöld från interna och externa hot. En informationssäkerhetspolicy säkerställer också att alla anställda är medvetna om sitt ansvar för att skydda de uppgifter som finns i deras organisationer.

En informationssäkerhetspolicy kan också användas för att visa efterlevnad av lagar och förordningar, och hjälper till att uppfylla standarder som ISO 27001.

Cybersäkerhet och informationssäkerhetshot förklaras

Cybersäkerhetshot är alla möjliga skadliga attacker som syftar till att olagligt komma åt data, störa digital verksamhet eller skada information. Cyberhot kan härröra från olika aktörer, inklusive företagsspioner och hacktivister, terroristgrupper, fientliga nationalstater och kriminella organisationer.

Några av de mer populära hoten mot cybersäkerhet och informationssäkerhet är:

• malware: virus, spionprogram och andra skadliga program.
• Phishing-e-postmeddelanden: meddelanden som verkar komma från pålitliga källor men innehåller länkar och bilagor som installerar skadlig programvara.
• Ransomware: skadlig programvara som hindrar användare från att komma åt sin egen data tills de betalar en lösensumma.
• Social ingenjörskonst: angripare som manipulerar människor till att ge känslig information, vanligtvis genom att framstå som pålitlig.
• Valfångsattacker: nätfiske-e-postmeddelanden utformade för att se ut som om de kommer från högprofilerade individer inom en organisation.

Vad är syftet med kontroll 5.1?

Syftet med informationssäkerhetspolicyn är att säkerställa ledningsstöd för att skydda ditt företags känsliga information från stöld och obehörig åtkomst.

Kontroll 5.1 omfattar styrning, syfte och implementeringsvägledning för att upprätta en informationssäkerhetspolicy i en organisation enligt ramverket enligt ISO 27001.

Kontroll 5.1 säger att organisationer måste ha hög- och lågnivåpolicyer för hur de hanterar sin informationssäkerhet. Organisationens högsta ledning behöver godkänna policyerna, som bör ses över regelbundet och även om förändringar i informationssäkerhetsmiljön inträffar.

Det bästa sättet är att träffas regelbundet minst en gång i månaden, med ytterligare möten planerade efter behov. Om ändringar görs i policyerna måste ledningen godkänna dem innan de implementeras. Policyerna bör också delas med interna och externa intressenter.

Kontrollattribut 5.1

Attribut är ett sätt att kategorisera kontroller. Dessa gör att du snabbt kan anpassa ditt kontrollval till vanliga branschspråk och standarder. I kontroll 5.1 är dessa.

Vad är inblandat och hur man uppfyller kraven

Informationssäkerhetspolicyn bör ligga till grund för och stödjas av detaljerade verksamhetsrutiner som beskriver hur informationssäkerheten ska hanteras i praktiken.

Policyn bör godkännas av högsta ledningen, som ska se till att den kommuniceras till personalen och görs tillgänglig för intresserade parter.

Policyn ger vägledning om organisationens sätt att hantera informationssäkerhet och kan användas som ett ramverk för att utveckla mer detaljerade verksamhetsrutiner.

Policyn är en viktig del för att etablera och underhålla ett ledningssystem för informationssäkerhet (ISMS), som krävs av ISO/IEC 27000-familjen av standarder, men även om organisationen inte har för avsikt att implementera formell certifiering enligt ISO 27001 eller någon annan standard , är en väldefinierad policy fortfarande viktig.

Ändringar och skillnader från ISO 27002:2013

I ISO 27002:2022 är kontroll 5.1 Informationssäkerhetspolicyer inte en ny kontroll, utan snarare resultatet av sammanslagningen av kontroller 5.1.1 Policyer för informationssäkerhet och 5.1.2 Granskning av policyer för informationssäkerhet från ISO 27002 revision 2013.

I ISO 27002:2022 har kontroll 5.1 uppdaterats för att inkludera en beskrivning av dess syfte och utökade implementeringsvägledning. Den kom också med en attributtabell som låter användare stämma av kontroller med branschterminologier.

I ISO 27002:2022 anger kontroll 5.1 att informationssäkerhet och ämnesspecifika policyer ska definieras, godkännas av ledningen, publiceras, kommuniceras till och bekräftas av relevant personal och relevanta intressenter.

En organisations informationssäkerhetspolicy bör återspegla organisationens storlek, typ och känslighet för informationstillgångar. Det bör också överensstämma med branschstandarder och tillämpliga myndighetsföreskrifter.

Även om kärnan i själva kontrollen liknar 5.1.1 i ISO 27002: 2013, anger version 2022 specifikt att dessa informationssäkerhetspolicyer bör ses över regelbundet och även om förändringar i informationssäkerhetsmiljön inträffar. Denna förare omfattas av paragraf 5.1.2 i ISO 27002:2013.

ISO 27002: 2013 och ISO 27002: 2022 säger att den högsta nivån i organisationen bör definiera en säkerhetspolicy som högsta ledningen godkänner och som anger hur de ska övervaka skyddet av sin information. Kraven som täcks av policyerna för båda versionerna är dock olika.

Kontroll 5.1 2013 – 2022 Implementeringsriktlinjer Jämfört

I ISO 27002:2013 bör informationssäkerhetspolicyer hantera krav som skapats av:

• Affärsstrategi.
• Föreskrifter, lagstiftning och avtal.
• Den nuvarande och förväntade hotmiljön för informationssäkerhet.

Informationssäkerhetspolicyn bör innehålla uttalanden om:

• Definition av informationssäkerhet, mål och principer för att styra all verksamhet som rör
  informationssäkerhet.
• Tilldelning av generella och specifika ansvarsområden för informationssäkerhetshantering till
  definierade roller.
• Processer för hantering av avvikelser och undantag.

Men kraven för ISO 27002:2022 är lite mer omfattande.

Informationssäkerhetspolicyn bör ta hänsyn till krav som härrör från:

• Affärsstrategi och krav.
• Föreskrifter, lagstiftning och avtal.
• Aktuella och beräknade risker och hot mot informationssäkerhet.

Informationssäkerhetspolicyn bör innehålla uttalanden om:

• Definition av informationssäkerhet.
• Informationssäkerhetsmål eller ramverket för att sätta informationssäkerhetsmål.
• Principer för att styra all verksamhet som rör informationssäkerhet.
• Åtagande att uppfylla tillämpliga krav relaterade till informationssäkerhet.
• Engagemang för ständig förbättring av ledningssystemet för informationssäkerhet.
• Tilldelning av ansvar för informationssäkerhetshantering till definierade roller.
• Rutiner för hantering av undantag och undantag.

Samtidigt omarbetades ämnesspecifika policyer i ISO 27002:2022 för att inkludera; informationssäkerhetsincidenthantering, tillgångshantering, nätverkssäkerhet, informationssäkerhetsincidenthantering och säker utveckling. Några av dem i ISO 27002:2013 togs antingen bort eller slogs samman för att bilda en mer holistisk ram.

Nya ISO 27002 kontroller

Hur ISMS.Online hjälper

På ISMS.online kommer vårt lättanvända men kraftfulla molnsystem att förse dig med en komplett uppsättning verktyg och resurser som hjälper dig att hantera ditt eget ISO 27001/27002 Information Security Management System (ISMS), oavsett om du är ny enligt ISO 27001/27002 eller redan certifierad.

Vårt intuitiva steg-för-steg arbetsflöde, verktyg, ramverk, policyer och kontroller, handlingsbar dokumentation och vägledning leder dig genom processen för att implementera ISO 27002, vilket gör det enkelt för dig att definiera omfattningen av ISMS, identifiera risker och implementera kontroller med hjälp av våra algoritmer – antingen från grunden eller från mallar för bästa praxis.

Hör av dig idag för att boka en demo.