ISO 27002:2022, Kontroll 5.36 – Efterlevnad av policyer, regler och standarder för informationssäkerhet

Name: ISMS.online
Telephone: +441273041140
Price range: ££
Location: ISMS.online

ISO 27002:2022 Reviderade kontroller

uppnå,bästa,resultat.,två,säker,unga,män,kikar på,bärbar dator

achieving,best,results.,two,confident,young,men,looking,at,laptop

Syfte med kontroll 5.36

En viktig del av att arbeta med en robust, säker uppsättning informationssäkerhetsmetoder är behovet av att förbli kompatibel med alla publicerade policyer och procedurer.

Kontroll 5.36 kräver att organisationer får en top-down syn på informationssäkerhet efterlevnad, relaterade till dess olika policyer (både singular och ämnesspecifika), regler och standarder.

Attributtabell

Kontroll 5.36 är en förebyggande och korrigerande kontrollera det ändrar risken genom att bibehålla följsamhet med redan existerande policyer och rutiner inom ramen för informationssäkerhet.

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess #Integritet #Tillgänglighet	#Identifiera #Skydda	#Juridik och efterlevnad #Informationssäkerhetssäkring	#Styrelse och ekosystem

Äganderätt till kontroll 5.36

Kontroll 5.36 behandlar i första hand operativa frågor. Som sådan bör ägandet ligga hos COO eller CISO (om sådan finns).

Hoppa till ämne

Syfte med kontroll 5.36
Kontrollattribut 5.36
Äganderätt till kontroll 5.36
Allmän vägledning om kontroll 5.36
Ändringar och skillnader från ISO 27002:2013
Hur ISMS.online hjälper

Uppdaterad för ISO 27001 2022

81 % av arbetet gjort åt dig
Säkrade resultat Metod för certifieringsframgång
Spara tid, pengar och krångel

Boka din demo

Allmän vägledning om kontroll 5.36

Chefer och informationsägare (inklusive tjänste- och produktägare) bör kunna granska efterlevnaden i en organisations hela bank av policyer, regler och standarder för informationssäkerhet.

Chefer bör implementera verksamhetsspecifika metoder för rapportering (inkluderande eventuella tekniska verktyg som krävs) om efterlevnad av informationssäkerhet, med det övergripande syftet att genomföra periodiska granskningar – som är noggrant registrerade, lagrade och rapporterade – som lyfter fram områden för förbättringar.

Om problem upptäcks och fall av bristande efterlevnad hittas, bör chefer kunna göra följande:

Fastställ den bakomliggande orsaken till den bristande efterlevnaden.

Avgöra huruvida korrigerande åtgärder krävs.

Om nödvändigt, planera och implementera nämnda korrigerande åtgärd för att säkerställa kontinuerlig efterlevnad.

När de har antagits, granska eventuella korrigerande åtgärder som vidtagits för att undersöka dess effektivitet och lyfta fram områden för vidare utveckling.

Korrigerande åtgärder bör vidtas "i tid" och helst vid nästa granskning. Om åtgärderna inte är slutförda när nästa granskning kommer, bör chefer åtminstone kunna bevisa framsteg.

Stödkontroller

5.35
8.15
8.16
8.17

Ändringar och skillnader från ISO 27002:2013

27002:2022-5.36 ersätter två kontroller från 27002:2013, nämligen:

18.2.2 – Överensstämmelse med säkerhetspolicyer och standarder
18.2.3 – Översyn av teknisk efterlevnad

27002:2022-5.36 sammanfattar all den komplexa tekniska vägledningen som erbjuds i 27002:2013-18.2.3, genom att helt enkelt säga att chefer ska kunna granska efterlevnaden varhelst det är nödvändigt att göra det.

27002:2022-5.36 innehåller exakt samma uppsättning vägledningspunkter som 27002:2013-18.2.2, relaterade till åtgärder som krävs när en granskning flaggar för fall av bristande efterlevnad.

Hur ISMS.online hjälper

ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.

Hör av dig idag för att boka en demo.

Få en försprång
på ISO 27002

Den enda efterlevnaden
lösning du behöver
Boka din demo

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	Nya	Hot intelligens
5.23	Nya	Informationssäkerhet för användning av molntjänster
5.30	Nya	ICT-beredskap för kontinuitet i verksamheten
7.4	Nya	Fysisk säkerhetsövervakning
8.9	Nya	Konfigurationshantering
8.10	Nya	Radering av information
8.11	Nya	Datamaskering
8.12	Nya	Förebyggande av dataläckage
8.16	Nya	Övervakningsaktiviteter
8.23	Nya	Webbfiltrering
8.28	Nya	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	Nya	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	Nya	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	Nya	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	Nya	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	Nya	Konfigurationshantering
8.10	Nya	Radering av information
8.11	Nya	Datamaskering
8.12	Nya	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	Nya	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	Nya	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	Nya	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Få ett försprång på ISO 27001

Allt uppdaterat med 2022 kontrollset
Gör 81 % framsteg från den minut du loggar in
Enkel och enkel att använda