När information överförs till interna eller externa parter skapar det en ökad risk för konfidentialitet, integritet, tillgänglighet och informationssäkerhet sändas.
Kontroll 5.14 innebär de krav som organisationer måste uppfylla för att upprätthålla säkerheten för data när den delas internt eller när den strömmar ut ur organisationen till tredje part.
Kontroll 5.14 är en förebyggande typ av kontroll som kräver att organisationer inför lämpliga regler, procedurer och/eller avtal för att upprätthålla säkerheten för data när den delas inom en organisation eller när den överförs till tredje part.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Asset Management #Informationsskydd | #Skydd |
Även om utvecklingen och implementeringen av regler, förfaranden och avtal kräver stöd och godkännande från högnivåledning, är samarbetet och expertisen mellan olika intressenter inom en organisation, inklusive det juridiska teamet, IT-personalen och den högsta ledningen, av avgörande betydelse. .
Till exempel bör det juridiska teamet säkerställa att organisationen ingår överföringsavtal med tredje part och att dessa avtal är i linje med kraven som specificeras i Kontroll 5.14. Likaså bör IT-teamet ta en aktiv del i att definiera och implementera kontroller för att upprätthålla datasäkerheten enligt 5.14.
Överensstämmelse med 5.14 innebär utveckling av regler, förfaranden och avtal, inklusive en ämnesspecifik policy för informationsöverföring, som ger data under överföring en skyddsnivå som är lämplig för den klassificering som tilldelas den informationen.
Med andra ord bör skyddsnivån överensstämma med nivån av kritik och känslighet för information som överförs.
Dessutom specificerar Control 5.14 att organisationer måste underteckna överföringsavtal med mottagande tredje part för att garantera säker överföring av data.
Kontroll 5.14 grupperar typerna av överföring i tre kategorier:
Innan vi går vidare med att beskriva de specifika kraven för varje typ av överföring, listar Control 5.14 de element som måste inkluderas i alla regler, procedurer och avtal för alla tre typer av överföringar i allmänhet:
Efter att ha listat de minsta innehållskraven för regler, procedurer och avtal som är gemensamma för alla tre typerna av överföringar, listar Control 5.14 specifika innehållskrav för varje typ av överföring.
Regler, avtal och procedurer bör ta itu med följande frågor när information överförs elektroniskt:
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
När information delas via fysiska medel som papper, bör reglerna, procedurerna och avtalen omfatta följande:
Kontroll 5.14 säger att när personal utbyter information inom organisationen eller när de överför data till externa parter ska de informeras om följande risker:
27002:2022/5.14 ersätter 27002:2013/(13.2.1, 13.2.2. 13.2.3).
Även om de två kontrollerna i viss mån liknar varandra, gör två viktiga skillnader 2022-versionens krav mer svåra.
I 2013 års version, avsnitt 13.2.3 behandlade de specifika kraven för överföring av information via elektroniska meddelanden.
Den behandlade dock inte separat överföring av information via verbalt eller fysiskt sätt.
Däremot identifierar 2022-versionen tydligt tre typer av informationsöverföring och anger sedan innehållskraven för var och en av dem separat.
Medan avsnitt 13.2.3 innehöll specifika krav på innehållet i avtal för elektroniska meddelanden, ställer 2022 års version hårdare skyldigheter på organisationer.
2022-versionen kräver att organisationer beskriver och implementerar nya kontroller i reglerna, procedurerna och avtalen för elektroniska överföringar.
Till exempel bör organisationer råda sina anställda att inte använda SMS-tjänster när de innehåller känslig information.
2022-versionen ställer strängare krav på den fysiska lagringsmedieöverföringen. Dess krav är till exempel mer omfattande när det gäller autentisering av kurirer och vilka typer av skador som bör förhindras.
I 2013 års version fanns en uttrycklig hänvisning till specifika krav på avtal för informationsöverföring. Men "Reglerna" och "Procedurerna" behandlades inte specifikt.
Däremot anger 2022-versionen de specifika kraven för var och en av dessa tre mekanismer.
ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.
Hör av dig idag för att boka en demo.
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |