Vad är kontroll 5.10, acceptabel användning av information och andra tillhörande tillgångar?
Policyn för acceptabel användning av informationstillgångar (AUA) gäller alla medlemmar i en organisation och tillgångar som ägs eller drivs av organisationen. AUA gäller för all användning av informationstillgångar för alla ändamål, inklusive kommersiellt.
Följande är exempel på informationstillgångar:
- hårdvara: datorer, mobila enheter, telefoner och faxar.
- Mjukvara: operativsystem, applikationer (inklusive webbaserade appar), verktyg, firmware och programmeringsspråk.
- Data: strukturerad data i relationsdatabaser, platta filer och NoSQL-data; ostrukturerade data såsom textdokument, kalkylblad, bilder, video- och ljudfiler; poster i valfritt format.
- Nätverk: trådbundna och trådlösa nätverk; telekommunikationssystem; röst över IP-tjänster.
- Tjänster: molntjänster, e-postkonton och andra värdtjänster.
Acceptabel användning av information och andra tillhörande tillgångar innebär att informationstillgångar används på ett sätt som inte äventyrar tillgängligheten, tillförlitligheten eller integriteten hos data, tjänster eller resurser. Det innebär också att använda dem på ett sätt som inte bryter mot lagar eller organisationens policyer.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Kontrollattribut 5.10
Den nya ISO 27002:2022 standard levereras med attributtabeller som inte finns i 2013 års version. Attribut är ett sätt att klassificera kontroller.
De låter dig också matcha ditt kontrollval med vanliga branschtermer och specifikationer. Följande kontroller är tillgängliga i kontroll 5:10.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Asset management | #Styrelse och ekosystem |
| #Integritet | #Informationsskydd | #Skydd | ||
| #Tillgänglighet |
Vad är syftet med kontroll 5.10?
Det övergripande målet med detta kontroll är att säkerställa information och andra tillhörande tillgångar skyddas, används och hanteras på lämpligt sätt.
Kontroll 5.10 har utformats för att säkerställa att policyer, procedurer och tekniska kontroller finns på plats för att förhindra användare från att olämpligt komma åt, använda eller avslöja informationstillgångar.
Denna kontroll syftar till att tillhandahålla ett ramverk för organisationer att säkerställa detta information och andra tillgångar skyddas, används och hanteras på lämpligt sätt. Detta inkluderar att säkerställa att policyerna och procedurerna finns på alla nivåer inom organisationen, samt att säkerställa att dessa policyer och procedurer efterlevs konsekvent.
Implementering av kontroll 5.10 som en del av din ISMS betyder att du har infört de olika kraven relaterade till hur ditt företag skyddar IT-tillgångar inklusive:
- Skydd av information vid lagring, bearbetning och transitering.
- Skydd och lämplig användning av IT-utrustning.
- Användning av lämpliga autentiseringstjänster för att kontrollera åtkomst till informationssystem.
- Behandling av information inom en organisation endast av användare med lämplig behörighet.
- Tilldelningen av informationsrelaterad ansvar gentemot specifika individer eller roller.
- Utbildning och träning av användare angående deras säkerhetsansvar.
Efterlevnad behöver inte vara komplicerat.
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Vad är inblandat och hur man uppfyller kraven
För att uppfylla kraven för kontroll 5.10 i ISO 27002:2022, är det viktigt att anställda och externa parter som använder eller har tillgång till organisationens information och andra tillhörande tillgångar är medvetna om organisationens krav på informationssäkerhet.
Dessa personer bör hållas ansvariga för all informationsbehandling som de använder.
Alla som är involverade i användningen eller hanteringen av information och andra tillhörande tillgångar bör göras medvetna om organisationens policy för acceptabel användning av information och andra relaterade tillgångar.
Alla som är involverade i användningen eller hanteringen av information och andra tillhörande tillgångar bör göras medveten om organisationens policy om tillåten användning av information och andra tillhörande tillgångar. Som en del av en ämnesspecifik policy för acceptabel användning bör personalen veta exakt vad de förväntas göra med information och andra tillgångar.
I synnerhet bör ämnesspecifik policy ange att:
a) förväntade och oacceptabla beteenden hos individer ur ett informationssäkerhetsperspektiv;
b) tillåten och förbjuden användning av information och andra tillhörande tillgångar;
c) övervakningsaktiviteter som utförs av organisationen.
Acceptabla användningsförfaranden bör utarbetas för hela informationens livscykel i enlighet med dess klassificering och fastställda risker. Följande saker bör övervägas:
a) åtkomstbegränsningar som stöder skyddskraven för varje klassificeringsnivå;
b) underhåll av ett register över de auktoriserade användarna av information och andra tillhörande tillgångar;
c) skydd av tillfälliga eller permanenta kopior av information till en nivå som överensstämmer med
skydd av den ursprungliga informationen;
d) lagring av tillgångar associerade med information i enlighet med tillverkarnas specifikationer;
e) tydlig märkning av alla kopior av lagringsmedia (elektroniska eller fysiska) för uppmärksamheten
auktoriserad mottagare;
f) auktorisering av förfogande över information och andra tillhörande tillgångar och understödda raderingsmetoder.
Skillnader mellan ISO 27002:2013 och ISO 27002:2022
Den nya 2022-revideringen av ISO 27002 publicerades den 15 februari 2022 och är en uppgradering av ISO 27002:2013.
Kontroll 5.10 i ISO 27002:2022 är inte en ny kontroll, utan det är en kombination av kontroller 8.1.3 – acceptabel användning av tillgångar och 8.2.3 – hantering av tillgångar i ISO 27002:2013.
Medan kärnan och implementeringsriktlinjerna för kontroll 5.10 är relativt desamma med kontrollerna 8.1.3 och 8.2.3, slog kontroll 5.10 samman både den acceptabla användningen av tillgångar och hanteringen av tillgångar till en kontroll för att möjliggöra förbättrad användarvänlighet.
Kontroll 5.10 lade dock till en extra punkt för kontroll 8.2.3. Detta omfattar auktorisering av förfogande av information och andra tillhörande tillgångar och de raderingsmetoder som stöds.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Vem är ansvarig för denna process?
Acceptabel användning av information och andra tillhörande tillgångar är en policy som fastställer regler för att säkerställa korrekt användning av företagets information och andra tillhörande tillgångar, inklusive datorer, nätverk och system, e-post, filer och lagringsmedia. Denna policy är bindande för alla anställda och entreprenörer.
Syftet med denna policy är att:
- Se till att företagets information och andra tillhörande tillgångar endast används för legitima affärsändamål.
- Se till att anställda följer alla lagar och förordningar som rör informationssäkerhet.
- Skydda företagets information och andra tillhörande tillgångar från hot som härrör från insidan eller utsidan av företaget.
Information Security Officer (ISO) ansvarar för att utveckla, implementera och underhålla den godtagbara användningen av informationstillgångar.
ISO ska ansvara för att hantera användningen av informationsresurser i hela organisationen för att säkerställa att information används på ett sätt som skyddar datasäkerheten och integriteten, bevarar konfidentialiteten för proprietär eller känslig information, skyddar mot missbruk och obehörig åtkomst till datorer. resurser och eliminerar onödig exponering eller ansvar för organisationen.
Vad betyder dessa förändringar för dig?
Den nya ISO 27002:2022-standarden är ingen betydande uppgradering. Som ett resultat av detta behöver du kanske inte göra några betydande ändringar när det gäller överensstämmelse med den senaste versionen av ISO 27002.
Se dock vår guide till ISO 27002:2022, där du kan upptäcka mer om hur dessa ändringar för kontroll 5.10 kommer att påverka din verksamhet.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
Som ni vet är ISO 27002 en allmänt antagen och välkänd standard för informationssäkerhet.
Den tillhandahåller en modell för att etablera, implementera, driva, övervaka, granska, underhålla och förbättra en Information Security Management System (ISMS).
Eftersom ISO 27002-standarden är så omfattande och detaljerad kan det vara en tidskrävande process att implementera den. Men med ISMS.online, du har en enda lösning som gör saker mycket enklare.
Vår världsklass informationssäkerhet mjukvaruplattform för ledningssystem gör det superlätt att förstå vad som behöver göras och hur man gör det.
Vi tar smärtan av att hantera dina efterlevnadskrav.
Med ISMS.online är implementeringen av ISO 27002 enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
