ISO 27002:2022, Kontroll 5.14 – Informationsöverföring

ISO 27002:2022 Reviderade kontroller

Boka en demo

hona,specialist,jobbar,på,skrivbord,dator,,projekt,chef,ställer,bredvid

När information överförs till interna eller externa parter skapar det en ökad risk för konfidentialitet, integritet, tillgänglighet och informationssäkerhet sändas.

Kontroll 5.14 innebär de krav som organisationer måste uppfylla för att upprätthålla säkerheten för data när den delas internt eller när den strömmar ut ur organisationen till tredje part.

Syfte med kontroll 5.14

Kontroll 5.14 är en förebyggande typ av kontroll som kräver att organisationer inför lämpliga regler, procedurer och/eller avtal för att upprätthålla säkerheten för data när den delas inom en organisation eller när den överförs till tredje part.

Attributtabell

Kontroll typInformationssäkerhetsegenskaperCybersäkerhetskonceptOperativa förmågorSäkerhetsdomäner
#Förebyggande#Sekretess
#Integritet
#Tillgänglighet		#Skydda#Asset Management
#Informationsskydd		#Skydd

Äganderätt till kontroll 5.14

Även om utvecklingen och implementeringen av regler, förfaranden och avtal kräver stöd och godkännande från högnivåledning, är samarbetet och expertisen mellan olika intressenter inom en organisation, inklusive det juridiska teamet, IT-personalen och den högsta ledningen, av avgörande betydelse. .

Till exempel bör det juridiska teamet säkerställa att organisationen ingår överföringsavtal med tredje part och att dessa avtal är i linje med kraven som specificeras i Kontroll 5.14. Likaså bör IT-teamet ta en aktiv del i att definiera och implementera kontroller för att upprätthålla datasäkerheten enligt 5.14.

Hoppa till ämne
Få ett försprång på ISO 27001
  • Allt uppdaterat med 2022 kontrollset
  • Gör 81 % framsteg från den minut du loggar in
  • Enkel och enkel att använda
Boka din demo
img

Allmän vägledning om kontroll 5.14

Överensstämmelse med 5.14 innebär utveckling av regler, förfaranden och avtal, inklusive en ämnesspecifik policy för informationsöverföring, som ger data under överföring en skyddsnivå som är lämplig för den klassificering som tilldelas den informationen.

Med andra ord bör skyddsnivån överensstämma med nivån av kritik och känslighet för information som överförs.

Dessutom specificerar Control 5.14 att organisationer måste underteckna överföringsavtal med mottagande tredje part för att garantera säker överföring av data.

Kontroll 5.14 grupperar typerna av överföring i tre kategorier:

  • Elektronisk överföring
  • Fysisk lagringsmediaöverföring
  • Verbal överföring

Innan vi går vidare med att beskriva de specifika kraven för varje typ av överföring, listar Control 5.14 de element som måste inkluderas i alla regler, procedurer och avtal för alla tre typer av överföringar i allmänhet:

  • Organisationer måste definiera kontroller lämplig för klassificeringsnivån av informationen för att skydda informationen under överföring från obehörig åtkomst, modifiering, avlyssning, kopiering, förstörelse och överbelastningsattacker.

  • En organisation måste ha kontroll över spårbarhetskedjan medan den är i transit och måste definiera och implementera kontroller för att säkerställa spårbarhet av information.

  • Relevanta parter som är involverade i överföringen av information bör definieras och deras kontaktuppgifter bör tillhandahållas. Detta kan omfatta informationsägare och säkerhetsansvariga.

  • Tilldelning av ansvar vid dataintrång inträffar.

  • Använda ett märkningssystem.

  • Säkerställa tillgängligheten för överföringstjänsten.

  • Skapa ämnesspecifika riktlinjer för metoderna för informationsöverföring.

  • Riktlinjer för lagring och radering av alla affärsuppgifter, inklusive meddelanden.

  • Analys av vilken inverkan eventuella tillämpliga lagar, förordningar eller andra skyldigheter kan ha på överföringen.

Kompletterande vägledning om elektronisk överföring

Efter att ha listat de minsta innehållskraven för regler, procedurer och avtal som är gemensamma för alla tre typerna av överföringar, listar Control 5.14 specifika innehållskrav för varje typ av överföring.

Regler, avtal och procedurer bör ta itu med följande frågor när information överförs elektroniskt:

  • Upptäckt och förebyggande av attacker med skadlig programvara.

  • Skydda känslig information som finns i de överförda bilagorna.

  • Se till att all kommunikation skickas till rätt mottagare och risk för att skicka kommunikation till felaktiga e-postadresser, adresser eller telefonnummer elimineras.

  • Skaffa förhandstillstånd innan du börjar använda några offentliga kommunikationstjänster.

  • Införande av striktare autentiseringsmetoder när data överförs via offentliga nätverk.

  • Att införa begränsningar för användningen av e-kommunikationstjänster som att förbjuda automatisk vidarebefordran.

  • Ge personalen råd om att inte använda tjänster för kortmeddelanden eller snabbmeddelanden för att dela känslig data eftersom detta innehåll kan ses av obehöriga personer i offentliga utrymmen.

  • Rådgivning till personal och andra relevanta parter om säkerhetsrisker presenteras av faxmaskiner såsom risken för obehörig åtkomst eller omdirigering av meddelanden till specifika nummer.

Är du redo för
den nya ISO 27002

Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo

Vi är kostnadseffektiva och snabba

Upptäck hur det kommer att öka din ROI
Få din offert

Kompletterande vägledning om överföring av fysisk lagringsmedia

När information delas via fysiska medel som papper, bör reglerna, procedurerna och avtalen omfatta följande:

  • Tilldelning av ansvar för meddelande om sändning, avsändning och mottagande.

  • Säkerställa korrekt adressering och transport av meddelandet.

  • Förpackningar eliminerar risken för skador på innehållet som kan uppstå när innehållet är under transport. Till exempel bör förpackningar vara tillräckligt bra för att inte påverkas av värme eller fukt.

  • En lista över pålitliga kurirer som godkänts och godkänts av ledningen.

  • Beskrivning av kuriridentifieringsstandarder.

  • Användning av manipuleringssäkra kontroller som väskor om informationens känslighet och kriticitet kräver det.

  • Rutiner för att verifiera ID:n för kurirer.

  • Godkänd lista över tredje parter som tillhandahåller transport- eller budtjänster beroende på klassificeringsnivån.

  • Föra loggregister över leveranstidpunkt, lista över auktoriserade mottagare, tillämpade skydd och kvitto på destinationen.

Kompletterande vägledning om verbal överföring

Kontroll 5.14 säger att när personal utbyter information inom organisationen eller när de överför data till externa parter ska de informeras om följande risker:

  • De bör undvika att ha konfidentiella samtal över osäkra offentliga kanaler eller i offentliga utrymmen.

  • De bör inte lämna röstmeddelanden som innehåller konfidentiell information med tanke på risken för uppspelning av obehöriga personer och risken för omdirigering av meddelandet till utomstående.

  • Varje individ, oavsett om det är anställda eller andra relevanta tredje parter, bör screenas innan de släpps in för att lyssna på konversationer.

  • Rum, där konfidentiella samtal äger rum, bör vara utrustade med lämpliga kontroller såsom ljudisolering.

  • De bör ge en ansvarsfriskrivning innan de har någon känslig konversation.

Ändringar och skillnader från ISO 27002:2013

27002:2022/5.14 ersätter 27002:2013/(13.2.1, 13.2.2. 13.2.3).

Även om de två kontrollerna i viss mån liknar varandra, gör två viktiga skillnader 2022-versionens krav mer svåra.

Specifika krav för elektriska, fysiska och verbala överföringar

I 2013 års version, avsnitt 13.2.3 behandlade de specifika kraven för överföring av information via elektroniska meddelanden.

Den behandlade dock inte separat överföring av information via verbalt eller fysiskt sätt.

Däremot identifierar 2022-versionen tydligt tre typer av informationsöverföring och anger sedan innehållskraven för var och en av dem separat.

2022-versionen ställer strängare krav för elektronisk överföring

Medan avsnitt 13.2.3 innehöll specifika krav på innehållet i avtal för elektroniska meddelanden, ställer 2022 års version hårdare skyldigheter på organisationer.

2022-versionen kräver att organisationer beskriver och implementerar nya kontroller i reglerna, procedurerna och avtalen för elektroniska överföringar.

Till exempel bör organisationer råda sina anställda att inte använda SMS-tjänster när de innehåller känslig information.

Mer detaljerade krav för fysiska överföringar

2022-versionen ställer strängare krav på den fysiska lagringsmedieöverföringen. Dess krav är till exempel mer omfattande när det gäller autentisering av kurirer och vilka typer av skador som bör förhindras.

Strukturella förändringar

I 2013 års version fanns en uttrycklig hänvisning till specifika krav på avtal för informationsöverföring. Men "Reglerna" och "Procedurerna" behandlades inte specifikt.

Däremot anger 2022-versionen de specifika kraven för var och en av dessa tre mekanismer.

Hur ISMS.online hjälper

ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.

Hör av dig idag för att boka en demo.

Få en försprång
på ISO 27002

Den enda efterlevnaden
lösning du behöver
Boka din demo

Nya kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.7NyaHot intelligens
5.23NyaInformationssäkerhet för användning av molntjänster
5.30NyaICT-beredskap för kontinuitet i verksamheten
7.4NyaFysisk säkerhetsövervakning
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.16NyaÖvervakningsaktiviteter
8.23NyaWebbfiltrering
8.28NyaSäker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
5.105.1.1, 05.1.2Policyer för informationssäkerhet
5.206.1.1Informationssäkerhetsroller och ansvar
5.306.1.2Uppdelning av arbetsuppgifter
5.407.2.1Ledningsansvar
5.506.1.3Kontakt med myndigheter
5.606.1.4Kontakt med intressegrupper
5.7NyaHot intelligens
5.806.1.5, 14.1.1Informationssäkerhet i projektledning
5.908.1.1, 08.1.2Inventering av information och andra tillhörande tillgångar
5.1008.1.3, 08.2.3Acceptabel användning av information och andra tillhörande tillgångar
5.1108.1.4Återlämnande av tillgångar
5.12 08.2.1Klassificering av information
5.1308.2.2Märkning av information
5.1413.2.1, 13.2.2, 13.2.3Informationsöverföring
5.1509.1.1, 09.1.2Åtkomstkontroll
5.1609.2.1Identitetshantering
5.17 09.2.4, 09.3.1, 09.4.3Autentiseringsinformation
5.1809.2.2, 09.2.5, 09.2.6Tillträdesrättigheter
5.1915.1.1Informationssäkerhet i leverantörsrelationer
5.2015.1.2Adressering av informationssäkerhet inom leverantörsavtal
5.2115.1.3Hantera informationssäkerhet i IKT-försörjningskedjan
5.2215.2.1, 15.2.2Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23NyaInformationssäkerhet för användning av molntjänster
5.2416.1.1Informationssäkerhet incidenthantering planering och förberedelse
5.2516.1.4Bedömning och beslut om informationssäkerhetshändelser
5.2616.1.5Respons på informationssäkerhetsincidenter
5.2716.1.6Lär av informationssäkerhetsincidenter
5.2816.1.7Insamling av bevis
5.2917.1.1, 17.1.2, 17.1.3Informationssäkerhet vid avbrott
5.30NyaICT-beredskap för kontinuitet i verksamheten
5.3118.1.1, 18.1.5Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.3218.1.2Immateriella rättigheter
5.3318.1.3Skydd av register
5.3418.1.4Integritet och skydd av PII
5.3518.2.1Oberoende granskning av informationssäkerhet
5.3618.2.2, 18.2.3Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.3712.1.1Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
6.107.1.1Screening
6.207.1.2Anställningsvillkor
6.307.2.2Informationssäkerhetsmedvetenhet, utbildning och träning
6.407.2.3Disciplinär process
6.507.3.1Ansvar efter uppsägning eller byte av anställning
6.613.2.4Sekretess- eller sekretessavtal
6.706.2.2Fjärrbearbetning
6.816.1.2, 16.1.3Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
7.111.1.1Fysiska säkerhetsområden
7.211.1.2, 11.1.6Fysiskt inträde
7.311.1.3Säkra kontor, rum och lokaler
7.4NyaFysisk säkerhetsövervakning
7.511.1.4Skydd mot fysiska och miljömässiga hot
7.611.1.5Arbeta i säkra områden
7.711.2.9Tydligt skrivbord och tydlig skärm
7.811.2.1Utrustningsplacering och skydd
7.911.2.6Säkerhet av tillgångar utanför lokaler
7.1008.3.1, 08.3.2, 08.3.3, 11.2.5Lagringsmedia
7.1111.2.2Stöd till verktyg
7.1211.2.3Kabelsäkerhet
7.1311.2.4Utrustningsunderhåll
7.1411.2.7Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 KontrollidentifierareISO/IEC 27002:2013 KontrollidentifierareKontrollnamn
8.106.2.1, 11.2.8Användarslutpunktsenheter
8.209.2.3Privilegerade åtkomsträttigheter
8.309.4.1Begränsning av informationsåtkomst
8.409.4.5Tillgång till källkod
8.509.4.2Säker autentisering
8.612.1.3Kapacitetshantering
8.712.2.1Skydd mot skadlig programvara
8.812.6.1, 18.2.3Hantering av tekniska sårbarheter
8.9NyaKonfigurationshantering
8.10NyaRadering av information
8.11NyaDatamaskering
8.12NyaFörebyggande av dataläckage
8.1312.3.1Säkerhetskopiering av information
8.1417.2.1Redundans av informationsbehandlingsanläggningar
8.1512.4.1, 12.4.2, 12.4.3Loggning
8.16NyaÖvervakningsaktiviteter
8.1712.4.4Klocksynkronisering
8.1809.4.4Användning av privilegierade verktygsprogram
8.1912.5.1, 12.6.2Installation av programvara på operativsystem
8.2013.1.1Nätverkssäkerhet
8.2113.1.2Säkerhet för nätverkstjänster
8.2213.1.3Segregation av nätverk
8.23NyaWebbfiltrering
8.2410.1.1, 10.1.2Användning av kryptografi
8.2514.2.1Säker utvecklingslivscykel
8.2614.1.2, 14.1.3Säkerhetskrav för applikationer
8.2714.2.5Säker systemarkitektur och tekniska principer
8.28NyaSäker kodning
8.2914.2.8, 14.2.9Säkerhetstestning i utveckling och acceptans
8.3014.2.7Outsourcade utveckling
8.3112.1.4, 14.2.6Separation av utvecklings-, test- och produktionsmiljöer
8.3212.1.2, 14.2.2, 14.2.3, 14.2.4Ändra hanteringen
8.3314.3.1Testinformation
8.3412.7.1Skydd av informationssystem under revisionstestning
Uppdaterad för ISO 27001 2022
  • 81 % av arbetet gjort åt dig
  • Säkrade resultat Metod för certifieringsframgång
  • Spara tid, pengar och krångel
Boka din demo
img

ISMS.online stöder nu ISO 42001 - världens första AI Management System. Klicka för att ta reda på mer