Kontroll 5.10 anger att reglerna för acceptabel användning och rutiner för hantering av information och andra tillhörande tillgångar ska identifieras, dokumenteras och implementeras.
Målet med sådana policyer är att ange tydliga riktlinjer för hur användare ska bete sig när de arbetar med informationstillgångar, för att säkerställa konfidentialitet, integritet och tillgänglighet för organisationens informationssäkerhetstillgångar.
Policyn för acceptabel användning av informationstillgångar (AUA) gäller alla medlemmar i en organisation och tillgångar som ägs eller drivs av organisationen. AUA gäller för all användning av informationstillgångar för alla ändamål, inklusive kommersiellt.
Följande är exempel på informationstillgångar:
Acceptabel användning av information och andra tillhörande tillgångar innebär att informationstillgångar används på ett sätt som inte äventyrar tillgängligheten, tillförlitligheten eller integriteten hos data, tjänster eller resurser. Det innebär också att använda dem på ett sätt som inte bryter mot lagar eller organisationens policyer.
Den nya ISO 27002:2022 standard levereras med attributtabeller som inte finns i 2013 års version. Attribut är ett sätt att klassificera kontroller.
De låter dig också matcha ditt kontrollval med vanliga branschtermer och specifikationer. Följande kontroller är tillgängliga i kontroll 5:10.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Konfidentialitet #Integritet #Tillgänglighet | #Skydda | #Asset management #Informationsskydd | #Styrelse och ekosystem #Skydd |
Det övergripande målet med detta kontroll är att säkerställa information och andra tillhörande tillgångar skyddas, används och hanteras på lämpligt sätt.
Kontroll 5.10 har utformats för att säkerställa att policyer, procedurer och tekniska kontroller finns på plats för att förhindra användare från att olämpligt komma åt, använda eller avslöja informationstillgångar.
Denna kontroll syftar till att tillhandahålla ett ramverk för organisationer att säkerställa detta information och andra tillgångar skyddas, används och hanteras på lämpligt sätt. Detta inkluderar att säkerställa att policyerna och procedurerna finns på alla nivåer inom organisationen, samt att säkerställa att dessa policyer och procedurer efterlevs konsekvent.
Implementering av kontroll 5.10 som en del av din ISMS betyder att du har infört de olika kraven relaterade till hur ditt företag skyddar IT-tillgångar inklusive:
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
Vi började använda kalkylblad och det var en mardröm. Med ISMS.online-lösningen blev allt det hårda arbetet enkelt.
För att uppfylla kraven för kontroll 5.10 i ISO 27002:2022, är det viktigt att anställda och externa parter som använder eller har tillgång till organisationens information och andra tillhörande tillgångar är medvetna om organisationens krav på informationssäkerhet.
Dessa personer bör hållas ansvariga för all informationsbehandling som de använder.
Alla som är involverade i användningen eller hanteringen av information och andra tillhörande tillgångar bör göras medvetna om organisationens policy för acceptabel användning av information och andra relaterade tillgångar.
Alla som är involverade i användningen eller hanteringen av information och andra tillhörande tillgångar bör göras medveten om organisationens policy om tillåten användning av information och andra tillhörande tillgångar. Som en del av en ämnesspecifik policy för acceptabel användning bör personalen veta exakt vad de förväntas göra med information och andra tillgångar.
I synnerhet bör ämnesspecifik policy ange att:
a) förväntade och oacceptabla beteenden hos individer ur ett informationssäkerhetsperspektiv;
b) tillåten och förbjuden användning av information och andra tillhörande tillgångar;
c) övervakningsaktiviteter som utförs av organisationen.
Acceptabla användningsförfaranden bör utarbetas för hela informationens livscykel i enlighet med dess klassificering och fastställda risker. Följande saker bör övervägas:
a) åtkomstbegränsningar som stöder skyddskraven för varje klassificeringsnivå;
b) underhåll av ett register över de auktoriserade användarna av information och andra tillhörande tillgångar;
c) skydd av tillfälliga eller permanenta kopior av information till en nivå som överensstämmer med
skydd av den ursprungliga informationen;
d) lagring av tillgångar associerade med information i enlighet med tillverkarnas specifikationer;
e) tydlig märkning av alla kopior av lagringsmedia (elektroniska eller fysiska) för uppmärksamheten
auktoriserad mottagare;
f) auktorisering av förfogande över information och andra tillhörande tillgångar och understödda raderingsmetoder.
Den nya 2022-revideringen av ISO 27002 publicerades den 15 februari 2022 och är en uppgradering av ISO 27002:2013.
Kontroll 5.10 i ISO 27002:2022 är inte en ny kontroll, utan det är en kombination av kontroller 8.1.3 – acceptabel användning av tillgångar och 8.2.3 – hantering av tillgångar i ISO 27002:2013.
Medan kärnan och implementeringsriktlinjerna för kontroll 5.10 är relativt desamma med kontrollerna 8.1.3 och 8.2.3, slog kontroll 5.10 samman både den acceptabla användningen av tillgångar och hanteringen av tillgångar till en kontroll för att möjliggöra förbättrad användarvänlighet.
Kontroll 5.10 lade dock till en extra punkt för kontroll 8.2.3. Detta omfattar auktorisering av förfogande av information och andra tillhörande tillgångar och de raderingsmetoder som stöds.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Acceptabel användning av information och andra tillhörande tillgångar är en policy som fastställer regler för att säkerställa korrekt användning av företagets information och andra tillhörande tillgångar, inklusive datorer, nätverk och system, e-post, filer och lagringsmedia. Denna policy är bindande för alla anställda och entreprenörer.
Syftet med denna policy är att:
Information Security Officer (ISO) ansvarar för att utveckla, implementera och underhålla den godtagbara användningen av informationstillgångar.
ISO ska ansvara för att hantera användningen av informationsresurser i hela organisationen för att säkerställa att information används på ett sätt som skyddar datasäkerheten och integriteten, bevarar konfidentialiteten för proprietär eller känslig information, skyddar mot missbruk och obehörig åtkomst till datorer. resurser och eliminerar onödig exponering eller ansvar för organisationen.
Den nya ISO 27002:2022-standarden är ingen betydande uppgradering. Som ett resultat av detta behöver du kanske inte göra några betydande ändringar när det gäller överensstämmelse med den senaste versionen av ISO 27002.
Se dock vår guide till ISO 27002:2022, där du kan upptäcka mer om hur dessa ändringar för kontroll 5.10 kommer att påverka din verksamhet.
Som ni vet är ISO 27002 en allmänt antagen och välkänd standard för informationssäkerhet.
Den tillhandahåller en modell för att etablera, implementera, driva, övervaka, granska, underhålla och förbättra en Information Security Management System (ISMS).
Eftersom ISO 27002-standarden är så omfattande och detaljerad kan det vara en tidskrävande process att implementera den. Men med ISMS.online, du har en enda lösning som gör saker mycket enklare.
Vår världsklass informationssäkerhet mjukvaruplattform för ledningssystem gör det superlätt att förstå vad som behöver göras och hur man gör det.
Vi tar smärtan av att hantera dina efterlevnadskrav.
Med ISMS.online är implementeringen av ISO 27002 enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.
Hör av dig idag för att boka en demo.
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
