Vad är Control 5.11, Return of Assets?
An informationstillgång är alla typer av data eller information som har värde för en organisation. Informationstillgångar kan innefatta fysiska dokument, digitala filer och databaser, program och till och med immateriella föremål som affärshemligheter och immateriella rättigheter.
Informationstillgångar kan ha värde på en mängd olika sätt. De kan innehålla personligt identifierande information (PII) om kunder, anställda eller andra intressenter som skulle kunna användas av dåliga aktörer för ekonomisk vinning eller identitetsstöld. De kan innehålla känslig information om din organisations ekonomi, forskning eller verksamhet som skulle ge dina konkurrenter en konkurrensfördel om de kunde lägga vantarna på den.
Det är därför det är viktigt att personal och entreprenörer vars verksamhet avslutas med en organisation är tvungna att lämna tillbaka alla sådana tillgångar som de har.
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Kontrollattribut 5.11
Den nya ISO 27002:2022 standard inkluderar attributtabeller som inte ingick i den tidigare 2013-standarden. Kontroller klassificeras utifrån deras egenskaper. Du kan också använda dessa attribut för att matcha ditt kontrollval med vanliga branschtermer och specifikationer.
Attribut för kontroll 5.11 är:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Skydda | #Asset management | #Skydd |
| #Integritet | ||||
| #Tillgänglighet |
Vad är syftet med kontroll 5.11?
Kontroll 5.11 är utformad för att skydda organisationens tillgångar som en del av processen att ändra eller säga upp anställning, kontrakt eller avtal. Syftet med denna kontroll är att förhindra obehöriga personer från att behålla tillgångar (t.ex. utrustning, information, programvara etc.) som tillhör organisationen.
När anställda och entreprenörer lämnar din organisation måste du se till att de inte tar med sig några känsliga uppgifter. Det gör du genom att identifiera eventuella hot och övervaka användarens aktiviteter före avresan.
Denna kontroll ska säkerställa att den enskilde inte har tillgång till IT-systemen och nätverken när de sägs upp. Organisationer bör upprätta en formell uppsägningsprocess som säkerställer att individer inte kan få tillgång till några IT-system efter att de lämnat organisationen. Detta kan göras genom att återkalla alla behörigheter, inaktivera konton och ta bort åtkomst från byggnadslokaler.
Rutiner bör finnas på plats för att säkerställa att anställda, entreprenörer och andra relevanta parter lämnar tillbaka alla organisatoriska tillgångar som inte längre behövs för affärsändamål eller som ska ersättas. Organisationer kan också vilja utföra en sista kontroll av individens arbetsområde för att säkerställa att all känslig information har returnerats.
Till exempel:
- Vid separation samlas organisationsägd utrustning in (t.ex. flyttbara media, bärbara datorer).
- Entreprenörer returnerar utrustning och information i slutet av sitt kontrakt.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Vad är inblandat och hur man uppfyller kraven
För att uppfylla kraven för kontroll 5.11 bör ändrings- eller uppsägningsprocessen formaliseras till att omfatta återlämnande av alla tidigare utgivna fysiska och elektroniska tillgångar som ägs av eller anförtros organisationen.
Processen bör också säkerställa att alla åtkomsträttigheter, konton, digitala certifikat och lösenord tas bort. Denna formalisering är särskilt viktig i fall där en förändring eller uppsägning inträffar oväntat, såsom dödsfall eller avgång, för att förhindra obehörig åtkomst till organisationens tillgångar som skulle kunna leda till dataintrång.
Processen ska säkerställa att alla tillgångar redovisas och att de alla har återlämnats/avyttrats på ett säkert sätt.
Enligt kontroll 5.11 i ISO 27002:2022 ska organisationen tydligt identifiera och dokumentera all information och andra tillhörande tillgångar som ska returneras som kan inkludera:
a) användarens slutpunktsenheter;
b) bärbara lagringsenheter;
c) specialistutrustning;
d) autentiseringshårdvara (t.ex. mekaniska nycklar, fysiska tokens och smartkort) för informationssystem, webbplatser och fysiska arkiv;
e) fysiska kopior av information.
Detta kan uppnås genom en formell checklista som innehåller alla nödvändiga föremål som ska returneras/kasseras och fyllas i av användaren vid uppsägning, tillsammans med eventuella nödvändiga signaturer som bekräftar att tillgångarna har returnerats/kasserats framgångsrikt.
Skillnader mellan ISO 27002:2013 och ISO 27002:2022
Den nya 2022-revideringen av ISO 27002 publicerades den 15 februari 2022 och är en uppgradering av ISO 27002:2013.
Kontrollen 5.11 i ISO 27002: 2022 är inte en ny kontroll, utan det är en modifiering av kontroll 8.1.4 – avkastning av tillgångar i ISO 27002:2013.
Båda kontrollerna är i huvudsak desamma med nästan liknande språk och fraser som finns i implementeringsriktlinjerna. Dock, kontroll 5.11 i ISO 27002:2022 kommer med en attributtabell som låter användare matcha kontrollen med vad de implementerar. Kontrollera också 5.11 i ISO 27002:2022 listade tillgångar som kan falla under vad som ska returneras vid slutet av anställningen eller uppsägning av kontrakt.
Dessa inkluderar:
a) användarens slutpunktsenheter;
b) bärbara lagringsenheter;
c) specialistutrustning;
d) autentiseringshårdvara (t.ex. mekaniska nycklar, fysiska tokens och smartkort) för informationssystem, webbplatser och fysiska arkiv;
e) fysiska kopior av information.
Denna lista är inte tillgänglig i 2013 års version.
Hantera all din efterlevnad, allt på ett ställe
ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.
Vad betyder dessa förändringar för dig?
Den uppdaterade ISO 27002:2022-standarden är baserad på 2013 års version. Kommittén som övervakar standarden har inte gjort några betydande uppdateringar eller modifieringar av de tidigare versionerna. Som ett resultat är alla organisationer som för närvarande följer ISO 27002:2013 redan kompatibel med den nya standarden. Om ditt företag planerar att upprätthålla överensstämmelse med ISO 27002, behöver du inte göra många betydande förändringar i dina system och processer.
Du kan dock lära dig mer om hur dessa ändringar av kontroll 5.11 kommer att påverka din organisation i vår guide till ISO 27002:2022.
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Hur ISMS.online hjälper
ISMS.online-plattformen är ett utmärkt verktyg för att hjälpa dig att implementera och hantera en ISO 27001/27002 Informationssäkerhetshanteringssystem, oavsett din erfarenhet av standarden.
Vårt system guidar dig genom stegen för att har konfigurerat ditt ISMS framgångsrikt och hantera det framåt. Du kommer att ha tillgång till ett brett utbud av resurser, inklusive:
- En interaktiv ISMS.online-manual som ger en steg-för-steg-guide för att implementera ISO 27001/27002 i alla organisationer.
- A riskbedömningsverktyg som guidar dig genom processen att identifiera och bedöma dina risker.
- En online policypaket som är lätt att anpassa utifrån dina behov.
- Ett dokumentkontrollsystem som hjälper dig att hantera varje enskilt dokument och post som skapas som en del av ditt ISMS.
- Automatisk rapportering för bättre beslutsfattande.
- En checklista som du kan använda för att verifiera att dina processer är i linje med ISO 27002-ramverket. I slutändan har vår molnbaserade plattform allt du behöver för att dokumentera bevis på överensstämmelse med ISO-ramverket.
Hör av dig idag för att boka en demo.
