Syfte med kontroll 5.36
En viktig del av att arbeta med en robust, säker uppsättning informationssäkerhetsmetoder är behovet av att förbli kompatibel med alla publicerade policyer och procedurer.
Kontroll 5.36 kräver att organisationer får en top-down syn på informationssäkerhet efterlevnad, relaterade till dess olika policyer (både singular och ämnesspecifika), regler och standarder.
Attributtabell
Kontroll 5.36 är en förebyggande och korrigerande kontrollera det ändrar risken genom att bibehålla följsamhet med redan existerande policyer och rutiner inom ramen för informationssäkerhet.
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Identifiera | #Juridik och efterlevnad | #Styrelse och ekosystem |
| #Integritet | #Skydda | #Informationssäkerhetssäkring | ||
| #Tillgänglighet |
Äganderätt till kontroll 5.36
Kontroll 5.36 behandlar i första hand operativa frågor. Som sådan bör ägandet ligga hos COO eller CISO (om sådan finns).
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Allmän vägledning om kontroll 5.36
Chefer och informationsägare (inklusive tjänste- och produktägare) bör kunna granska efterlevnaden i en organisations hela bank av policyer, regler och standarder för informationssäkerhet.
Chefer bör implementera verksamhetsspecifika metoder för rapportering (inkluderande eventuella tekniska verktyg som krävs) om efterlevnad av informationssäkerhet, med det övergripande syftet att genomföra periodiska granskningar – som är noggrant registrerade, lagrade och rapporterade – som lyfter fram områden för förbättringar.
Om problem upptäcks och fall av bristande efterlevnad hittas, bör chefer kunna göra följande:
- Fastställ den bakomliggande orsaken till den bristande efterlevnaden.
- Avgöra huruvida korrigerande åtgärder krävs.
- Om nödvändigt, planera och implementera nämnda korrigerande åtgärd för att säkerställa kontinuerlig efterlevnad.
- När de har antagits, granska eventuella korrigerande åtgärder som vidtagits för att undersöka dess effektivitet och lyfta fram områden för vidare utveckling.
Korrigerande åtgärder bör vidtas "i tid" och helst vid nästa granskning. Om åtgärderna inte är slutförda när nästa granskning kommer, bör chefer åtminstone kunna bevisa framsteg.
Stödkontroller
- 5.35
- 8.15
- 8.16
- 8.17
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Ändringar och skillnader från ISO 27002:2013
27002:2022-5.36 ersätter två kontroller från 27002:2013, nämligen:
- 18.2.2 – Överensstämmelse med säkerhetspolicyer och standarder
- 18.2.3 – Översyn av teknisk efterlevnad
27002:2022-5.36 sammanfattar all den komplexa tekniska vägledningen som erbjuds i 27002:2013-18.2.3, genom att helt enkelt säga att chefer ska kunna granska efterlevnaden varhelst det är nödvändigt att göra det.
27002:2022-5.36 innehåller exakt samma uppsättning vägledningspunkter som 27002:2013-18.2.2, relaterade till åtgärder som krävs när en granskning flaggar för fall av bristande efterlevnad.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
ISO 27002 implementering är enklare med vår steg-för-steg checklista som guidar dig genom hela processen, från att definiera omfattningen av ditt ISMS till riskidentifiering och kontrollimplementering.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
