ISO 27002:2022 Control 5.33 – Best Practices for Record Protection
Records är ett oklart koncept som vissa organisationer kämpar för att klassificera och hantera, för efterlevnadsändamål.
Register, inom ramen för IKT, är en annan term för data och information som en organisation behåller och/eller använder för att utföra sina dagliga affärsaktiviteter, inklusive (men inte begränsat till):
- Enskilda händelser
- Transaktioner
- Arbetsprocesser
- Stationer & aktiviteter
- Funktioner
ISO definierar register inom ramen för deras standarder som "vilken som helst uppsättning information, oavsett dess struktur eller form", inklusive "ett dokument, en samling av data eller andra typer av information som skapas, fångas in och hanteras i verksamheten ”, inklusive en posts metadata.
Syfte med kontroll 5.33
Varje organisation har en skyldighet att se till att de uppgifter den innehar – inklusive men inte begränsat till några personer, ekonomisk information eller verksamhetsområden – förvaras säkert och säkert, och interna rutiner förblir kompatibla med alla gällande krav.
Kontroll 5.33 behandlar skyddet av affärsregister mot 5 stora händelser:
- Förlust
- Förstörelse
- Förfalskning
- Obehörig åtkomst
- Otillåten utgivning eller publicering
Attributtabell
Kontroll 5.33 är en förebyggande kontroll den där upprätthåller risken genom att skapa riktlinjer och procedurer – inklusive lagringsscheman – som uppfyller en organisations juridiska, lagstadgade, regulatoriska och kontraktuella krav avseende skydd och tillgänglighet alla register som den har.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Identifiera | #Juridik och efterlevnad | #Försvar |
| #Integritet | #Skydda | #Asset Management | ||
| #Tillgänglighet | #Informationsskydd |
ISO 27001 på ett enkelt sätt
Ett försprång på 81 % från dag ett
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om kontroll 5.33
Kontroll 5.33 bekräftar att en organisationens behov är flytande när det kommer till mängden och typen av poster som krävs för att göra affärer från en dag till en annan.
Som sådan kategoriserar Control 5.33 posthantering i fyra huvudattribut:
- Autencitet
- Pålitlighet
- Integritet
- Användbarhet
Inom ramen för dessa attribut ber Control 5.33 organisationer att:
- Utarbeta och publicera riktlinjer som handlar om fyra huvudfunktioner, tillsammans med ämnesspecifika policyer som tillgodoser den underliggande karaktären hos posterna i fråga:
a) Spela in lagring
b) Record hantering spårbarhet
c) Skivhantering
d) Förhindrar manipulation - Upprätthålla ett funktionellt schema för lagring av register som tydligt anger hur lång tid som register av olika typer bör bevaras, relaterat till deras individuella affärsfunktion.
- Skapa lagrings- och hanteringsprocedurer som tar hänsyn till:
a) alla gällande lagar som handlar om kommersiell registerföring
b) ”gemenskap och samhälleliga” förväntningar på hur en organisation ska hantera sina register - Implementera procedurer som förstör dokument på ett säkert och lämpligt sätt när de inte behövs (efter att ha lämnat lagringsperioden).
- Klassificera register för skydd (inklusive lämpliga lagringsperioder och lagringsmedia som används) baserat på deras säkerhetsrisk, och olika typer, inklusive (men inte begränsat till):
a) Bokföring
b) Affärstransaktion
c) Personalregister
d) Juridiska register - Se till att alla lagringsprocedurer tillgodoser en acceptabel tidsram för hämtning, om organisationen skulle bli ombedd att producera dem av en tredje part, eller för internt bruk.
- Om elektroniska medier används för att lagra poster, överväg och minska möjligheten att tillgång till eller hämtning av poster hindras av tekniska ändringar, inklusive lagring av kryptografisk information (se kontroll 8.24).
- Följ tillverkarens riktlinjer när du lagrar eller hanterar register på eller via elektroniska medier, inklusive tillräcklig hänsyn till den naturliga försämringen av nämnda media.
Befria dig från ett berg av kalkylblad
Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.
Ändringar och skillnader från ISO 27002:2013
27002:2022-5.33 ersätter 27002:2013-18.1.3 (Skydd av register), med olika tillägg i form av individuella vägledningspunkter och allmänna processer som behöver följas.
I 2022 års kontroll erkänner ISO vikten av att definiera vad som utgör ett affärsrekord. 27002:2022-5.33 innehåller många exempel på vad ISO anser att ett rekord är (se ovan), som saknas från 27002:2013-18.1.3.
Kontroll 5.33 fokuserar också en organisations uppmärksamhet på två huvudsakliga vägledningspunkter som inte finns i dess motsvarighet från 2013 (riktlinjerna 1 och 2 ovan), som i sin tur utgör grunden för en organisations registerpolicy – i synnerhet ett lagringsschema som dikterar hur långa register bör föras för, och eventuella mediespecifika krav.
Metadata har också gjort ett framträdande i registerhanteringen för första gången. 27002:2013-18.1.3 innehåller inget om det, medan 27002:2022-5.33 anser att det är en "väsentlig komponent".
Nya ISO 27002 kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | NYA | Hot intelligens |
| 5.23 | NYA | Informationssäkerhet för användning av molntjänster |
| 5.30 | NYA | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 8.9 | NYA | Konfigurationshantering |
| 8.10 | NYA | Radering av information |
| 8.11 | NYA | Datamaskering |
| 8.12 | NYA | Förebyggande av dataläckage |
| 8.16 | NYA | Övervakningsaktiviteter |
| 8.23 | NYA | Webbfiltrering |
| 8.28 | NYA | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | NYA | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Hur ISMS.online hjälper
Använder ISMS.online kan du:
- Implementera snabbt en Information Security Management System (ISMS).
- Lätt hantera dokumentationen för ditt ISMS.
- Effektivisera efterlevnaden av alla relevanta standarder.
- Hantera alla aspekter av informationssäkerhet, från riskhantering till utbildning i säkerhetsmedvetenhet.
- Kommunicera effektivt i hela din organisation med vår inbyggda kommunikationsfunktion.
Hör av dig idag för att boka en demo.
