Records är ett oklart koncept som vissa organisationer kämpar för att klassificera och hantera, för efterlevnadsändamål.
Register, inom ramen för IKT, är en annan term för data och information som en organisation behåller och/eller använder för att utföra sina dagliga affärsaktiviteter, inklusive (men inte begränsat till):
ISO definierar register inom ramen för deras standarder som "vilken som helst uppsättning information, oavsett dess struktur eller form", inklusive "ett dokument, en samling av data eller andra typer av information som skapas, fångas in och hanteras i verksamheten ”, inklusive en posts metadata.
Varje organisation har en skyldighet att se till att de uppgifter den innehar – inklusive men inte begränsat till några personer, ekonomisk information eller verksamhetsområden – förvaras säkert och säkert, och interna rutiner förblir kompatibla med alla gällande krav.
Kontroll 5.33 behandlar skyddet av affärsregister mot 5 stora händelser:
Kontroll 5.33 är en förebyggande kontroll den där upprätthåller risken genom att skapa riktlinjer och procedurer – inklusive lagringsscheman – som uppfyller en organisations juridiska, lagstadgade, regulatoriska och kontraktuella krav avseende skydd och tillgänglighet alla register som den har.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Identifiera #Skydda | #Juridik och efterlevnad #Asset Management #Informationsskydd | #Försvar |
Kontroll 5.33 bekräftar att en organisationens behov är flytande när det kommer till mängden och typen av poster som krävs för att göra affärer från en dag till en annan.
Som sådan kategoriserar Control 5.33 posthantering i fyra huvudattribut:
Inom ramen för dessa attribut ber Control 5.33 organisationer att:
27002:2022-5.33 ersätter 27002:2013-18.1.3 (Skydd av register), med olika tillägg i form av individuella vägledningspunkter och allmänna processer som behöver följas.
I 2022 års kontroll erkänner ISO vikten av att definiera vad som utgör ett affärsrekord. 27002:2022-5.33 innehåller många exempel på vad ISO anser att ett rekord är (se ovan), som saknas från 27002:2013-18.1.3.
Kontroll 5.33 fokuserar också en organisations uppmärksamhet på två huvudsakliga vägledningspunkter som inte finns i dess motsvarighet från 2013 (riktlinjerna 1 och 2 ovan), som i sin tur utgör grunden för en organisations registerpolicy – i synnerhet ett lagringsschema som dikterar hur långa register bör föras för, och eventuella mediespecifika krav.
Metadata har också gjort ett framträdande i registerhanteringen för första gången. 27002:2013-18.1.3 innehåller inget om det, medan 27002:2022-5.33 anser att det är en "väsentlig komponent".
Använder ISMS.online kan du:
Hör av dig idag för att boka en demo.
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |