ISO 27002:2022, Kontroll 5.33 – Skydd av register

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002:2022 Reviderade kontroller

medarbetare,arbete,modernt,studio.produktion,chefer,team,arbetande,nytt,projekt.ungt,företag

coworkers,work,modern,studio.production,managers,team,working,new,project.young,business

Records är ett oklart koncept som vissa organisationer kämpar för att klassificera och hantera, för efterlevnadsändamål.

Register, inom ramen för IKT, är en annan term för data och information som en organisation behåller och/eller använder för att utföra sina dagliga affärsaktiviteter, inklusive (men inte begränsat till):

Enskilda händelser
Transaktioner
Arbetsprocesser
Flöde
Funktioner

ISO definierar register inom ramen för deras standarder som "vilken som helst uppsättning information, oavsett dess struktur eller form", inklusive "ett dokument, en samling av data eller andra typer av information som skapas, fångas in och hanteras i verksamheten ”, inklusive en posts metadata.

Syfte med kontroll 5.33

Varje organisation har en skyldighet att se till att de uppgifter den innehar – inklusive men inte begränsat till några personer, ekonomisk information eller verksamhetsområden – förvaras säkert och säkert, och interna rutiner förblir kompatibla med alla gällande krav.

Kontroll 5.33 behandlar skyddet av affärsregister mot 5 stora händelser:

Förlust
Förstörelse
Förfalskning
Obehörig åtkomst
Otillåten utgivning eller publicering

Attributtabell

Kontroll 5.33 är en förebyggande kontroll den där upprätthåller risken genom att skapa riktlinjer och procedurer – inklusive lagringsscheman – som uppfyller en organisations juridiska, lagstadgade, regulatoriska och kontraktuella krav avseende skydd och tillgänglighet alla register som den har.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess #Integritet #Tillgänglighet	#Identifiera #Skydda	#Juridik och efterlevnad #Asset Management #Informationsskydd	#Försvar

Hoppa till ämne

Syfte med kontroll 5.33
Kontrollattribut 5.33
Allmän vägledning om kontroll 5.33
Ändringar och skillnader från ISO 27002:2013
Hur ISMS.online hjälper

Få ett försprång på ISO 27001

Allt uppdaterat med 2022 kontrollset
Gör 81 % framsteg från den minut du loggar in
Enkel och enkel att använda

Boka din demo

Allmän vägledning om kontroll 5.33

Kontroll 5.33 bekräftar att en organisationens behov är flytande när det kommer till mängden och typen av poster som krävs för att göra affärer från en dag till en annan.

Som sådan kategoriserar Control 5.33 posthantering i fyra huvudattribut:

Äkthet
Pålitlighet
Integritet
Användbarhet

Inom ramen för dessa attribut ber Control 5.33 organisationer att:

Utarbeta och publicera riktlinjer som handlar om fyra huvudfunktioner, tillsammans med ämnesspecifika policyer som tillgodoser den underliggande karaktären hos posterna i fråga:

a) Spela in lagring
b) Record hantering spårbarhet
c) Skivhantering
d) Förhindrar manipulation

Upprätthålla ett funktionellt schema för lagring av register som tydligt anger hur lång tid som register av olika typer bör bevaras, relaterat till deras individuella affärsfunktion.

Skapa lagrings- och hanteringsprocedurer som tar hänsyn till:

a) alla gällande lagar som handlar om kommersiell registerföring
b) ”gemenskap och samhälleliga” förväntningar på hur en organisation ska hantera sina register

Implementera procedurer som förstör dokument på ett säkert och lämpligt sätt när de inte behövs (efter att ha lämnat lagringsperioden).

Klassificera register för skydd (inklusive lämpliga lagringsperioder och lagringsmedia som används) baserat på deras säkerhetsrisk, och olika typer, inklusive (men inte begränsat till):

a) Bokföring
b) Affärstransaktion
c) Personalregister
d) Juridiska register

Se till att alla lagringsprocedurer tillgodoser en acceptabel tidsram för hämtning, om organisationen skulle bli ombedd att producera dem av en tredje part, eller för internt bruk.

Om elektroniska medier används för att lagra poster, överväg och minska möjligheten att tillgång till eller hämtning av poster hindras av tekniska ändringar, inklusive lagring av kryptografisk information (se kontroll 8.24).

Följ tillverkarens riktlinjer när du lagrar eller hanterar register på eller via elektroniska medier, inklusive tillräcklig hänsyn till den naturliga försämringen av nämnda media.

Ändringar och skillnader från ISO 27002:2013

27002:2022-5.33 ersätter 27002:2013-18.1.3 (Skydd av register), med olika tillägg i form av individuella vägledningspunkter och allmänna processer som behöver följas.

I 2022 års kontroll erkänner ISO vikten av att definiera vad som utgör ett affärsrekord. 27002:2022-5.33 innehåller många exempel på vad ISO anser att ett rekord är (se ovan), som saknas från 27002:2013-18.1.3.

Kontroll 5.33 fokuserar också en organisations uppmärksamhet på två huvudsakliga vägledningspunkter som inte finns i dess motsvarighet från 2013 (riktlinjerna 1 och 2 ovan), som i sin tur utgör grunden för en organisations registerpolicy – i synnerhet ett lagringsschema som dikterar hur långa register bör föras för, och eventuella mediespecifika krav.

Metadata har också gjort ett framträdande i registerhanteringen för första gången. 27002:2013-18.1.3 innehåller inget om det, medan 27002:2022-5.33 anser att det är en "väsentlig komponent".

Hur ISMS.online hjälper

Använder ISMS.online kan du:

Implementera snabbt en Information Security Management System (ISMS).
Lätt hantera dokumentationen för ditt ISMS.
Effektivisera efterlevnaden av alla relevanta standarder.
Hantera alla aspekter av informationssäkerhet, från riskhantering till utbildning i säkerhetsmedvetenhet.
Kommunicera effektivt i hela din organisation med vår inbyggda kommunikationsfunktion.

Hör av dig idag för att boka en demo.

Få en försprång
på ISO 27002

Den enda efterlevnaden
lösning du behöver
Boka din demo

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	Nya	Hot intelligens
5.23	Nya	Informationssäkerhet för användning av molntjänster
5.30	Nya	ICT-beredskap för kontinuitet i verksamheten
7.4	Nya	Fysisk säkerhetsövervakning
8.9	Nya	Konfigurationshantering
8.10	Nya	Radering av information
8.11	Nya	Datamaskering
8.12	Nya	Förebyggande av dataläckage
8.16	Nya	Övervakningsaktiviteter
8.23	Nya	Webbfiltrering
8.28	Nya	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	Nya	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	Nya	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	Nya	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	Nya	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	Nya	Konfigurationshantering
8.10	Nya	Radering av information
8.11	Nya	Datamaskering
8.12	Nya	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	Nya	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	Nya	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	Nya	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Uppdaterad för ISO 27001 2022

81 % av arbetet gjort åt dig
Säkrade resultat Metod för certifieringsframgång
Spara tid, pengar och krångel