Kontroll 5.11 anger att personal m.fl intressenter i förekommande fall bör återlämna alla organisationens tillgångar i deras besittning vid ändring eller uppsägning av deras anställning, kontrakt eller avtal.
Det innebär att organisationen ska ha en skriftlig policy som definierar tydliga regler för återlämnande av tillgångar vid uppsägning. Organisationer måste också ha personal som bekräftar mottagandet av returnerade tillgångar, och se till att tillgångarna är korrekt inventerade och redogjorde för.
An informationstillgång är alla typer av data eller information som har värde för en organisation. Informationstillgångar kan innefatta fysiska dokument, digitala filer och databaser, program och till och med immateriella föremål som affärshemligheter och immateriella rättigheter.
Informationstillgångar kan ha värde på en mängd olika sätt. De kan innehålla personligt identifierande information (PII) om kunder, anställda eller andra intressenter som skulle kunna användas av dåliga aktörer för ekonomisk vinning eller identitetsstöld. De kan innehålla känslig information om din organisations ekonomi, forskning eller verksamhet som skulle ge dina konkurrenter en konkurrensfördel om de kunde lägga vantarna på den.
Det är därför det är viktigt att personal och entreprenörer vars verksamhet avslutas med en organisation är tvungna att lämna tillbaka alla sådana tillgångar som de har.
Den nya ISO 27002:2022 standard inkluderar attributtabeller som inte ingick i den tidigare 2013-standarden. Kontroller klassificeras utifrån deras egenskaper. Du kan också använda dessa attribut för att matcha ditt kontrollval med vanliga branschtermer och specifikationer.
Attribut för kontroll 5.11 är:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Konfidentialitet #Integritet #Tillgänglighet | #Skydda | #Asset management | #Skydd |
Kontroll 5.11 är utformad för att skydda organisationens tillgångar som en del av processen att ändra eller säga upp anställning, kontrakt eller avtal. Syftet med denna kontroll är att förhindra obehöriga personer från att behålla tillgångar (t.ex. utrustning, information, programvara etc.) som tillhör organisationen.
När anställda och entreprenörer lämnar din organisation måste du se till att de inte tar med sig några känsliga uppgifter. Det gör du genom att identifiera eventuella hot och övervaka användarens aktiviteter före avresan.
Denna kontroll ska säkerställa att den enskilde inte har tillgång till IT-systemen och nätverken när de sägs upp. Organisationer bör upprätta en formell uppsägningsprocess som säkerställer att individer inte kan få tillgång till några IT-system efter att de lämnat organisationen. Detta kan göras genom att återkalla alla behörigheter, inaktivera konton och ta bort åtkomst från byggnadslokaler.
Rutiner bör finnas på plats för att säkerställa att anställda, entreprenörer och andra relevanta parter lämnar tillbaka alla organisatoriska tillgångar som inte längre behövs för affärsändamål eller som ska ersättas. Organisationer kan också vilja utföra en sista kontroll av individens arbetsområde för att säkerställa att all känslig information har returnerats.
Till exempel:
För att uppfylla kraven för kontroll 5.11 bör ändrings- eller uppsägningsprocessen formaliseras till att omfatta återlämnande av alla tidigare utgivna fysiska och elektroniska tillgångar som ägs av eller anförtros organisationen.
Processen bör också säkerställa att alla åtkomsträttigheter, konton, digitala certifikat och lösenord tas bort. Denna formalisering är särskilt viktig i fall där en förändring eller uppsägning inträffar oväntat, såsom dödsfall eller avgång, för att förhindra obehörig åtkomst till organisationens tillgångar som skulle kunna leda till dataintrång.
Processen ska säkerställa att alla tillgångar redovisas och att de alla har återlämnats/avyttrats på ett säkert sätt.
Enligt kontroll 5.11 i ISO 27002:2022 ska organisationen tydligt identifiera och dokumentera all information och andra tillhörande tillgångar som ska returneras som kan inkludera:
a) användarens slutpunktsenheter;
b) bärbara lagringsenheter;
c) specialistutrustning;
d) autentiseringshårdvara (t.ex. mekaniska nycklar, fysiska tokens och smartkort) för informationssystem, webbplatser och fysiska arkiv;
e) fysiska kopior av information.
Detta kan uppnås genom en formell checklista som innehåller alla nödvändiga föremål som ska returneras/kasseras och fyllas i av användaren vid uppsägning, tillsammans med eventuella nödvändiga signaturer som bekräftar att tillgångarna har returnerats/kasserats framgångsrikt.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Den nya 2022-revideringen av ISO 27002 publicerades den 15 februari 2022 och är en uppgradering av ISO 27002:2013.
Kontrollen 5.11 i ISO 27002: 2022 är inte en ny kontroll, utan det är en modifiering av kontroll 8.1.4 – avkastning av tillgångar i ISO 27002:2013.
Båda kontrollerna är i huvudsak desamma med nästan liknande språk och fraser som finns i implementeringsriktlinjerna. Dock, kontroll 5.11 i ISO 27002:2022 kommer med en attributtabell som låter användare matcha kontrollen med vad de implementerar. Kontrollera också 5.11 i ISO 27002:2022 listade tillgångar som kan falla under vad som ska returneras vid slutet av anställningen eller uppsägning av kontrakt.
Dessa inkluderar:
a) användarens slutpunktsenheter;
b) bärbara lagringsenheter;
c) specialistutrustning;
d) autentiseringshårdvara (t.ex. mekaniska nycklar, fysiska tokens och smartkort) för informationssystem, webbplatser och fysiska arkiv;
e) fysiska kopior av information.
Denna lista är inte tillgänglig i 2013 års version.
Den uppdaterade ISO 27002:2022-standarden är baserad på 2013 års version. Kommittén som övervakar standarden har inte gjort några betydande uppdateringar eller modifieringar av de tidigare versionerna. Som ett resultat är alla organisationer som för närvarande följer ISO 27002:2013 redan kompatibel med den nya standarden. Om ditt företag planerar att upprätthålla överensstämmelse med ISO 27002, behöver du inte göra många betydande förändringar i dina system och processer.
Du kan dock lära dig mer om hur dessa ändringar av kontroll 5.11 kommer att påverka din organisation i vår guide till ISO 27002:2022.
ISMS.online-plattformen är ett utmärkt verktyg för att hjälpa dig att implementera och hantera en ISO 27001/27002 Informationssäkerhetshanteringssystem, oavsett din erfarenhet av standarden.
Vårt system guidar dig genom stegen för att har konfigurerat ditt ISMS framgångsrikt och hantera det framåt. Du kommer att ha tillgång till ett brett utbud av resurser, inklusive:
Hör av dig idag för att boka en demo.
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
