ISO 27002: 2022, kontroll 5.2 — informationssäkerhetsroller och -ansvar — är en av de viktigaste kontrollerna i ISO 27002:2022. Det är en modifiering av kontroll 6.1.1 i ISO 27002:2013 och den definierar hur organisationer ska definiera och tilldela roller och ansvar för informationssäkerhet.
Organisationens chef, informationssäkerhetscheferna (CISO), IT-tjänsteledningen (ITSM), systemägarna och systemanvändarna bidrar alla till robustheten i informationssäkerheten. Detta avsnitt sammanfattar och diskuterar ansvar för dem som innehar dessa roller.
Informationssäkerhet är ditt ansvar som VD för din byrå. Dessutom fungerar du som organisationens ackrediteringsorgan.
God praxis inom säkerhetssektorn och inom styrning är vad CISO:er ansvarar för. Att ha denna position på plats garanterar det informationssäkerheten hanteras korrekt på organisationens högsta nivåer.
En ITSM är en högt uppsatt tjänsteman i företaget. Systemadministratörer arbetar tillsammans med informationssäkerhetschefen för att genomföra verkställande direktörens strategiska direktiv.
En ägare krävs för varje system. Som ett resultat åligger det varje systemägare att garantera efterlevnad av IT-styrningsregler och uppfyllande av affärsbehov.
Systemanvändare är mer benägna att följa säkerhetsregler och -procedurer om det finns en stark säkerhetskultur. Varje system har inneboende faror, och det är upp till användarna att ta ansvar för att mildra sådana faror.
Att ta itu med denna kontroll är avgörande för att säkerställa att varje anställd förstår vad de är ansvarig för när det gäller att skydda data, system och nätverk. Visserligen är detta en utmaning för många företag, särskilt små där de anställda vanligtvis bär mer än en hatt.
En attributsektion ingår nu i senaste versionen av ISO 27002. Att definiera attribut är ett sätt att klassificera kontroller. Dessa gör att du enkelt kan matcha ditt kontrollval med typisk industriterminologi. Attributen för kontroll 5.2 är:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Identifiera | #Governance | #Styrelse och ekosystem #Elasticitet |
Syftet med kontroll 5.2 är att etablera en definierad, godkänd och förstådd struktur för implementering, drift och hantering av informationssäkerhet inom organisationen. Detta är en formell organisationsstruktur som tilldelar ansvaret för informationssäkerhet i hela organisationen.
Kontroll 5.2 behandlar implementering, drift och hantering av roller och ansvar för informationssäkerhet i en organisation enligt ramverket enligt ISO 27001.
I kontrollen står det att informationssäkerhetsroller och -ansvar ska vara väl definierade och att alla inblandade ska förstå sin roll. Vanligtvis tilldelas tillgångar en utsedd ägare som tar ansvar för deras dagliga vård.
Men beroende på organisationens storlek och tillgängliga resurser kan informationssäkerhet hanteras av ett dedikerat team eller ytterligare ansvar tilldelas nuvarande anställda.
Att fördela roller och ansvar för informationssäkerhet är avgörande för att säkerställa att organisationens informationssäkerhet upprätthålls och förbättras. För att uppfylla kraven för denna kontroll bör rollfördelningen formaliseras och dokumenteras, t.ex. i tabellform eller i form av ett organisationsschema.
Avsikten här är att säkerställa att tydliga roller, ansvar och befogenheter tilldelas och förstås i hela organisationen. För att säkerställa effektiv åtskillnad av arbetsuppgifter bör rollerna och ansvaret dokumenteras, kommuniceras och tillämpas konsekvent i hela organisationen.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Som redan påpekats är kontroll 5.2 i ISO 27002:2022, Information Security Rolls and Responsibilities, ingen ny kontroll. Detta är helt enkelt en modifierad kontroll som finns i ISO 27002:2013 som kontroll 6.1.1.
Syftet med Control 5.2 har definierats och nya implementeringsinstruktioner har inkluderats i den senaste revisionen av ISO 27002. Även om kärnan i de två kontrollerna är i princip densamma, finns det små förbättringar i 2022 års version.
Till exempel anger ISO 27002:2022 att individer som antar en specifik informationssäkerhetsfunktion ska vara kompetent i kunskaper och färdigheter krävs av rollen och stöds för att hålla sig uppdaterad med framsteg kopplade till rollen och nödvändiga för att uppfylla rollens skyldigheter. Denna punkt är inte en del av 2013 års version.
Dessutom är implementeringsriktlinjerna för båda versionerna något olika. Låt oss jämföra delar av de två nedan:
ISO 27002:2013 anger de områden som individer ansvarar för ska anges. Dessa områden är:
a) tillgångarna och informationssäkerhetsprocesserna bör identifieras och definieras.
b) den enhet som är ansvarig för varje tillgång eller informationssäkerhetsprocess bör tilldelas och detaljerna om detta ansvar bör dokumenteras.
c) behörighetsnivåer bör definieras och dokumenteras.
d) för att kunna fullgöra ansvar inom informationssäkerhetsområdet bör de utsedda personerna vara kompetenta inom området och ges möjligheter att hålla sig à jour med utvecklingen;
e) samordning och tillsyn av informationssäkerhetsaspekter leverantörsrelationer bör identifieras och dokumenteras.
ISO 27002:2022 är mer förtätad. Det står helt enkelt att organisationen ska definiera och hantera ansvar för:
a) skydd av information och andra tillhörande tillgångar;
b) utföra specifika informationssäkerhetsprocesser;
c) riskhantering för informationssäkerhet aktiviteter och i synnerhet acceptans av kvarvarande risker (t.ex. för riskägare);
d) all personal som använder en organisations information och andra tillhörande tillgångar.
Båda kontrollversionerna föreslår dock att organisationer kan utse en informationssäkerhetschef som tar det övergripande ansvaret för utveckling och implementering av informationssäkerhet och för att stödja identifieringen av kontroller.
En informationssäkerhetschef utses ofta av företag för att övervaka skapandet och genomförandet av säkerhetsåtgärder och för att hjälpa till med att upptäcka potentiella hot och kontroller.
Resursföring och sätta kontrollerna på plats kommer vanligtvis att falla på enskilda chefer. En vanlig praxis är att utse en individ för varje tillgång, som sedan är ansvarig för tillgångens löpande säkerhet.
Du förväntas inte göra mycket för att uppfylla kraven för den nya ISO 27002:2022-standarden förutom uppgraderar ditt ISMS processer för att återspegla de förbättrade kontrollerna, om ditt interna team inte kan hantera detta kan ISMS.online hjälpa.
Förutom att tillhandahålla ett sofistikerat molnbaserat ramverk för att dokumentera ISMS-procedurer och checklistor för att säkerställa efterlevnad av etablerade normer, effektiviserar ISMS.online också ISO 27001-certifieringsprocessen och ISO 27002-implementeringsprocessen.
Alla dina ISMS-lösningar kan hanteras på en central plats tack vare vår molnbaserade programvara. Du kan använda vår lättanvända applikation för att hålla reda på allt som är krävs för att verifiera överensstämmelse med ISO 2K7 specifikationer.
Implementeringen av ISO 27002 förenklas med vårt intuitiva steg-för-steg-arbetsflöde och verktyg som inkluderar ramverk, policyer och kontroller, handlingsbar dokumentation och vägledning. Du kan definiera ISMS:s omfattning, identifiera risker och implementera kontroller med vår plattform – med bara några klick.
Vi har också ett internt team av IT-specialister som kommer att ge dig råd och hjälp så att du kan visa att du följer standarden och engagemang för informationssäkerhet för dina kunder.
För att lära dig mer om hur ISMS.online kan hjälpa dig att uppnå dina ISO 2K7-mål, ring oss på +44 (0)1273 041140.
Hör av dig idag för att boka en demo.
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
