ISO 27002:2022 – Kontroll 5.14 – Informationsöverföring

När information överförs till interna eller externa parter skapar det en ökad risk för konfidentialitet, integritet, tillgänglighet och informationssäkerhet överförs. Kontroll 5.14 innebär de krav som organisationer måste uppfylla för att upprätthålla säkerheten för data när den delas internt eller när den strömmar ut ur organisationen till tredje part.

Boka en demo
Författare
Max Edwards
Uppdaterad 7 februari 2025
LinkedIn Twitter Twitter

Syfte med kontroll 5.14

Kontroll 5.14 är en förebyggande typ av kontroll som kräver att organisationer inför lämpliga regler, procedurer och/eller avtal för att upprätthålla säkerheten för data när den delas inom en organisation eller när den överförs till tredje part.

Kontrollattribut 5.14

Kontroll typInformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande#Sekretess#Skydda#Asset Management#Skydd
#Integritet#Informationsskydd
#Tillgänglighet

Äganderätt till kontroll 5.14

Även om utvecklingen och implementeringen av regler, förfaranden och avtal kräver stöd och godkännande från högnivåledning, är samarbetet och expertisen mellan olika intressenter inom en organisation, inklusive det juridiska teamet, IT-personalen och den högsta ledningen, av avgörande betydelse. .

Till exempel bör det juridiska teamet säkerställa att organisationen ingår överföringsavtal med tredje part och att dessa avtal är i linje med kraven som specificeras i Kontroll 5.14. Likaså bör IT-teamet ta en aktiv del i att definiera och implementera kontroller för att upprätthålla datasäkerheten enligt 5.14.



Få ett försprång på 81 %

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo


Allmän vägledning om kontroll 5.14

Överensstämmelse med 5.14 innebär utveckling av regler, förfaranden och avtal, inklusive en ämnesspecifik policy för informationsöverföring, som ger data under överföring en skyddsnivå som är lämplig för den klassificering som tilldelas den informationen.

Med andra ord bör skyddsnivån överensstämma med nivån av kritik och känslighet för information som överförs.

Dessutom specificerar Control 5.14 att organisationer måste underteckna överföringsavtal med mottagande tredje part för att garantera säker överföring av data.

Kontroll 5.14 grupperar typerna av överföring i tre kategorier:

  • Elektronisk överföring
  • Fysisk lagringsmediaöverföring
  • Verbal överföring

Innan vi går vidare med att beskriva de specifika kraven för varje typ av överföring, listar Control 5.14 de element som måste inkluderas i alla regler, procedurer och avtal för alla tre typer av överföringar i allmänhet:

  • Organisationer måste definiera kontroller lämplig för klassificeringsnivån av informationen för att skydda informationen under överföring från obehörig åtkomst, modifiering, avlyssning, kopiering, förstörelse och överbelastningsattacker.
  • En organisation måste ha kontroll över spårbarhetskedjan medan den är i transit och måste definiera och implementera kontroller för att säkerställa spårbarhet av information.
  • Relevanta parter som är involverade i överföringen av information bör definieras och deras kontaktuppgifter bör tillhandahållas. Detta kan omfatta informationsägare och säkerhetsansvariga.
  • Tilldelning av ansvar vid dataintrång inträffar.
  • Använda ett märkningssystem.
  • Säkerställa tillgängligheten för överföringstjänsten.
  • Skapa ämnesspecifika riktlinjer för metoderna för informationsöverföring.
  • Riktlinjer för lagring och radering av alla affärsuppgifter, inklusive meddelanden.
  • Analys av vilken inverkan eventuella tillämpliga lagar, förordningar eller andra skyldigheter kan ha på överföringen.


Efterlevnad behöver inte vara komplicerat.

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.

Boka en demo


Kompletterande vägledning om elektronisk överföring

Efter att ha listat de minsta innehållskraven för regler, procedurer och avtal som är gemensamma för alla tre typerna av överföringar, listar Control 5.14 specifika innehållskrav för varje typ av överföring.

Regler, avtal och procedurer bör ta itu med följande frågor när information överförs elektroniskt:

  • Upptäckt och förebyggande av attacker med skadlig programvara.
  • Skydda känslig information som finns i de överförda bilagorna.
  • Se till att all kommunikation skickas till rätt mottagare och risk för att skicka kommunikation till felaktiga e-postadresser, adresser eller telefonnummer elimineras.
  • Skaffa förhandstillstånd innan du börjar använda några offentliga kommunikationstjänster.
  • Införande av striktare autentiseringsmetoder när data överförs via offentliga nätverk.
  • Att införa begränsningar för användningen av e-kommunikationstjänster som att förbjuda automatisk vidarebefordran.
  • Ge personalen råd om att inte använda tjänster för kortmeddelanden eller snabbmeddelanden för att dela känslig data eftersom detta innehåll kan ses av obehöriga personer i offentliga utrymmen.
  • Rådgivning till personal och andra relevanta parter om säkerhetsrisker presenteras av faxmaskiner såsom risken för obehörig åtkomst eller omdirigering av meddelanden till specifika nummer.

Kompletterande vägledning om överföring av fysisk lagringsmedia

När information delas via fysiska medel som papper, bör reglerna, procedurerna och avtalen omfatta följande:

  • Tilldelning av ansvar för meddelande om sändning, avsändning och mottagande.
  • Säkerställa korrekt adressering och transport av meddelandet.
  • Förpackningar eliminerar risken för skador på innehållet som kan uppstå när innehållet är under transport. Till exempel bör förpackningar vara tillräckligt bra för att inte påverkas av värme eller fukt.
  • En lista över pålitliga kurirer som godkänts och godkänts av ledningen.
  • Beskrivning av kuriridentifieringsstandarder.
  • Användning av manipuleringssäkra kontroller som väskor om informationens känslighet och kriticitet kräver det.
  • Rutiner för att verifiera ID:n för kurirer.
  • Godkänd lista över tredje parter som tillhandahåller transport- eller budtjänster beroende på klassificeringsnivån.
  • Föra loggregister över leveranstidpunkt, lista över auktoriserade mottagare, tillämpade skydd och kvitto på destinationen.

Kompletterande vägledning om verbal överföring

Kontroll 5.14 säger att när personal utbyter information inom organisationen eller när de överför data till externa parter ska de informeras om följande risker:

  • De bör undvika att ha konfidentiella samtal över osäkra offentliga kanaler eller i offentliga utrymmen.
  • De bör inte lämna röstmeddelanden som innehåller konfidentiell information med tanke på risken för uppspelning av obehöriga personer och risken för omdirigering av meddelandet till utomstående.
  • Varje individ, oavsett om det är anställda eller andra relevanta tredje parter, bör screenas innan de släpps in för att lyssna på konversationer.
  • Rum, där konfidentiella samtal äger rum, bör vara utrustade med lämpliga kontroller såsom ljudisolering.
  • De bör ge en ansvarsfriskrivning innan de har någon känslig konversation.


Hantera all efterlevnad på ett ställe

ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.

Boka en demo


Ändringar och skillnader från ISO 27002:2013

27002:2022/5.14 ersätter 27002:2013/(13.2.1, 13.2.2. 13.2.3).

Även om de två kontrollerna i viss mån liknar varandra, gör två viktiga skillnader 2022-versionens krav mer svåra.

Specifika krav för elektriska, fysiska och verbala överföringar

I 2013 års version, avsnitt 13.2.3 behandlade de specifika kraven för överföring av information via elektroniska meddelanden.

Den behandlade dock inte separat överföring av information via verbalt eller fysiskt sätt.

Däremot identifierar 2022-versionen tydligt tre typer av informationsöverföring och anger sedan innehållskraven för var och en av dem separat.

2022-versionen ställer strängare krav för elektronisk överföring

Medan avsnitt 13.2.3 innehöll specifika krav på innehållet i avtal för elektroniska meddelanden, ställer 2022 års version hårdare skyldigheter på organisationer.

2022-versionen kräver att organisationer beskriver och implementerar nya kontroller i reglerna, procedurerna och avtalen för elektroniska överföringar.

Till exempel bör organisationer råda sina anställda att inte använda SMS-tjänster när de innehåller känslig information.

Mer detaljerade krav för fysiska överföringar

2022-versionen ställer strängare krav på den fysiska lagringsmedieöverföringen. Dess krav är till exempel mer omfattande när det gäller autentisering av kurirer och vilka typer av skador som bör förhindras.

Strukturella förändringar

I 2013 års version fanns en uttrycklig hänvisning till specifika krav på avtal för informationsöverföring. Men "Reglerna" och "Procedurerna" behandlades inte specifikt.

Däremot anger 2022-versionen de specifika kraven för var och en av dessa tre mekanismer.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyttHot intelligens
5.23NyttInformationssäkerhet för användning av molntjänster
5.30NyttICT-beredskap för kontinuitet i verksamheten
7.4NyttFysisk säkerhetsövervakning
8.9NyttKonfigurationshantering
8.10NyttRadering av information
8.11NyttDatamaskering
8.12NyttFörebyggande av dataläckage
8.16NyttÖvervakningsaktiviteter
8.23NyttWebbfiltrering
8.28NyttSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyttHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.1208.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.1709.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyttInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyttICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyttFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyttKonfigurationshantering
8.10NyttRadering av information
8.11NyttDatamaskering
8.12NyttFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyttÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyttWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyttSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.

Hör av dig idag för att boka en demo.

Hoppa till ämnet

Max Edwards

Max arbetar som en del av ISMS.online-marknadsföringsteamet och ser till att vår webbplats uppdateras med användbart innehåll och information om allt som rör ISO 27001, 27002 och efterlevnad.

ISMS-plattformstur

Intresserad av en ISMS.online-plattformsturné?

Starta din gratis 2-minuters interaktiva demo nu och upplev magin med ISMS.online i aktion!

Prova det gratis

Vi är ledande inom vårt område

Användare älskar oss
Grid Leader – våren 2025
Momentum Leader – våren 2025
Regional ledare - våren 2025 Storbritannien
Regional ledare - EU våren 2025
Bästa Est. ROI Enterprise – våren 2025
Kommer troligtvis att rekommendera företag – våren 2025

"ISMS.Online, enastående verktyg för regelefterlevnad"

-Jim M.

"Gör externa revisioner till en lek och länkar ihop alla aspekter av ditt ISMS sömlöst"

-Karen C.

"Innovativ lösning för att hantera ISO och andra ackrediteringar"

- Ben H.

SOC 2 är här! Stärk din säkerhet och bygg kundernas förtroende med vår kraftfulla efterlevnadslösning idag!