5.23 är en ny kontroll som beskriver de processer som krävs för förvärv, användning, hantering av och utträde ur molntjänster, i relation till organisationens unika krav på informationssäkerhet.
Kontroll 5.23 tillåter organisationer att först specificera och sedan hantera och administrera informationssäkerhet begrepp som relaterade till molntjänster, i egenskap av ”molntjänstkund”.
5.23 är en förebyggande kontroll den där upprätthåller risken genom att specificera policyer och procedurer som styra informationssäkerheten, inom området för kommersiella molntjänster.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Konfidentialitet #Integritet #Tillgänglighet | #Skydda | #Säkerhet för leverantörsrelationer | #Styrelse och ekosystem #Skydd |
Sådan är spridningen av molntjänster under det senaste decenniet, Control 5.23 innehåller en mängd procedurer som omfattar många distinkta delar av en organisations verksamhet.
Med tanke på att inte alla molntjänster är IKT-specifika – även om det rimligen skulle kunna hävdas att de flesta är det – bör ägandet av Control 5.22 fördelas mellan en organisations CTO or KUTTRAberoende på rådande driftsförhållanden.
Överensstämmelse med kontroll 5.23 innebär att följa vad som kallas en "ämnesspecifik" tillvägagångssätt till molntjänster och informationssäkerhet.
Med tanke på mångfalden av molntjänster som erbjuds uppmuntrar ämnesspecifika tillvägagångssätt organisationer att skapa policyer för molntjänster som är skräddarsydda för individuella affärsfunktioner, snarare än att följa en filt policy som gäller för informationssäkerhet och molntjänster över hela linjen.
Det bör noteras att ISO betraktar efterlevnaden av Control 5.23 som ett samarbete mellan organisationen och deras molntjänstpartner. Kontroll 5.23 bör också vara nära anpassad till kontrollerna 5.21 och 5.22, som handlar om information ledning i försörjningskedjan och hanteringen av leverantörstjänster respektive.
Hur en organisation än väljer att verka bör kontroll 5.23 inte tas isolerat och bör komplettera befintliga ansträngningar för att hantera leverantörsrelationer.
Med informationssäkerhet i spetsen bör organisationen definiera:
Kontroll 5.23 erkänner att, till skillnad från andra leverantörsrelationer, är molntjänstavtal stela dokument som inte går att ändra i de allra flesta fall.
Med det i åtanke bör organisationer granska molntjänstavtal och se till att fyra huvudsakliga operativa krav uppfylls:
Precis som med andra leverantörskontrakt bör molntjänstavtal före godkännande genomgå en grundlig riskbedömning som belyser potentiella problem vid källan.
Som ett minimum bör organisationen ingå ett molntjänstavtal först när de är övertygade om att följande 10 bestämmelser har uppfyllts:
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
Utöver ovanstående vägledning föreslår Kontroll 5.23 att organisationer bildar ett nära samarbete med molntjänstleverantörer, i enlighet med den viktiga tjänst de tillhandahåller inte bara i informationssäkerhetshänseende, utan över en organisations hela kommersiella verksamhet.
Organisationer bör, där det är möjligt, söka efter följande krav från molntjänstleverantörer för att förbättra operativ motståndskraft och åtnjuta förbättrade nivåer av informationssäkerhet:
Kontroll 5.23 är en ny kontroll som inte finns med i ISO 27002:2013 i någon egenskap.
ISMS.online effektiviserar ISO 27002 implementeringsprocessen genom att tillhandahålla ett sofistikerat molnbaserat ramverk för att dokumentera procedurer och checklistor för informationssäkerhetshanteringssystem för att säkerställa efterlevnad av erkända standarder.
När du använder ISMS.online kommer du att kunna:
Hör av dig och boka en demo.
Boka en skräddarsydd praktisk session utifrån dina behov och mål.
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |