ISO 27002: 2022, kontroll 5.4, Ledningsansvar täcker ledningens behov av att säkerställa att all personal håller sig till alla ämnesspecifika policyer och procedurer för informationssäkerhet som definieras i organisationens etablerade informationssäkerhetspolicy.
An informationssäkerhetspolicy är ett formellt dokument som ger ledningsriktning, mål och principer för att skydda en organisations information. En effektiv informationssäkerhetspolicy bör skräddarsys för en organisations specifika behov och stödjas av högsta ledningen för att säkerställa lämplig allokering av resurser.
Policyn kommunicerar de övergripande principerna för hur ledningen vill att anställda ska hantera känslig information och hur företaget kommer att skydda sina informationstillgångar.
Policyn härrör ofta från lagar, förordningar och bästa praxis som organisationen måste följa. Informationssäkerhetspolicyer skapas vanligtvis av en organisations högsta ledning, med input från dess IT-säkerhetspersonal.
Policyer bör också innehålla ett ramverk för definiera roller och ansvar och en tidslinje för periodisk granskning.
Attribut är ett sätt att kategorisera olika typer av kontroller. Dessa attribut låter dig anpassa dina kontroller till industristandarder. I kontroll 5.4 är de:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Konfidentialitet #Integritet #Tillgänglighet | #Identifiera | #Governance | #Styrelse och ekosystem |
ISMS.online kommer att spara tid och pengar
Få din offertKontroll 5.4 utformades för att säkerställa att ledningen förstår sitt ansvar för informationssäkerhet och att de vidtar åtgärder för att säkerställa att alla anställda är medvetna och fullgöra sina skyldigheter om informationssäkerhet.
Information är en värdefull tillgång och måste skyddas från förlust, skada eller missbruk. Organisationen ska se till att lämpliga åtgärder vidtas för att skydda denna tillgång. För att detta ska ske måste ledningen se till att all personal tillämpar all informationssäkerhetspolicy, ämnesspecifika policyer och procedurer i organisationen.
Kontroll 5.4 täcker syfte och implementeringsvägledning för att definiera ledningsansvar med avseende på informationssäkerhet i en organisation i linje med ramverket för ISO 27001.
Denna kontroll handlar om att se till det ledningen är med i programmet för informationssäkerhet samt att alla anställda och entreprenörer är medvetna om och följer organisationens informationssäkerhetspolicy. Ingen ska någonsin undantas från obligatorisk efterlevnad av organisationens säkerhetspolicyer, ämnesspecifika policyer och procedurer.
Nyckeln till att uppfylla kraven för denna kontroll är att säkerställa att ledningen kan tvinga all relevant personal att följa organisationens policyer, standarder och procedurer för informationssäkerhet.
Det första steget är management buy-in och support. Ledningen måste visa sitt engagemang genom att följa alla policyer och procedurer som den inför. Till exempel om du kräver att arbetare ska ta årlig säkerhetsmedvetenhet träningskurser, bör chefer föregå med gott exempel och genomföra dessa kurser först.
Därefter kommer att kommunicera vikten av informationssäkerhet till alla i företaget, oavsett roll. Detta inkluderar styrelse, ledning och ledning samt anställda. Alla måste förstå sin roll i att upprätthålla säkerhet för känsliga uppgifter som omfattas av företagets ISMS program.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Sedan migreringen har vi kunnat minska tiden för administration.
ISO 27002:2022 kontroll 5.4 Ledningsansvar var tidigare känt som kontroll 7.2.1 Ledningsansvar i ISO 27002:2013. Detta är inte en ny kontroll utan en mer robust tolkning av 2013 års version.
Medan kontroll 5.4 och kontroll 7.2.1 i stort sett täcker samma sak, finns det få skillnader som organisationer och företagsledare bör notera. Dessa skillnader tas upp i genomförandet av kontrollen.
I ISO 27002: 2013 omfattar ledningsansvar att säkerställa att anställda och entreprenörer:
a) är ordentligt informerade om sina roller och ansvar för informationssäkerhet innan de beviljas tillgång till konfidentiell information eller informationssystem;
b) är försedda med riktlinjer för att ange informationssäkerhetsförväntningar på sin roll inom
Organisation;
c) är motiverade att uppfylla organisationens informationssäkerhetspolicyer;
d) uppnå en nivå av medvetenhet om informationssäkerhet som är relevant för deras roller och ansvar inom organisationen;
e) överensstämma med anställningsvillkoren, vilket inkluderar organisationens informationssäkerhetspolicy och lämpliga arbetsmetoder;
f) fortsätta att ha lämpliga färdigheter och kvalifikationer och utbildas regelbundet;
g) är försedda med en anonym rapporteringskanal för att rapportera brott mot informationssäkerhetspolicyer eller -procedurer ("whistle blowing").
Ledningen bör visa stöd för informationssäkerhetspolicyer, rutiner och kontroller och fungera som en förebild.
Control 5.4 är en mer användarvänlig version och kräver att ledningsansvar säkerställer att anställda och entreprenörer:
a) är ordentligt informerade om sina roller och ansvar för informationssäkerhet innan de beviljas tillgång till organisationens information och andra tillhörande tillgångar;
b) Är försedda med riktlinjer som anger informationssäkerhetsförväntningarna på deras roll inom organisationen;
c) Har mandat att uppfylla organisationens informationssäkerhetspolicy och ämnesspecifika policyer;
d) Uppnå en nivå av medvetenhet om informationssäkerhet som är relevant för deras roller och ansvar inom organisationen;
e) Efterlevnad av villkoren för anställning, kontrakt eller avtal, inklusive organisationens policy för informationssäkerhet och lämpliga arbetsmetoder;
f) Fortsätta att ha lämpliga kunskaper och kvalifikationer för informationssäkerhet genom pågående professionell utbildning;
g) Om det är praktiskt möjligt, förses med en konfidentiell kanal för att rapportera brott mot informationssäkerhetspolicyn, ämnesspecifika policyer eller procedurer för informationssäkerhet ("whistleblowing"). Detta kan möjliggöra anonym rapportering, eller ha bestämmelser för att säkerställa att kunskapen om rapporterarens identitet endast är känd för dem som behöver hantera sådana rapporter;
h) Tillförs tillräckliga resurser och projektplaneringstid för implementering av organisationens säkerhetsrelaterade processer och kontroller.
Som du kan se kräver ISO 27002:2022 specifikt att arbetare och entreprenörer förses med nödvändiga resurser samt projektplaneringstid för att kunna utföra organisationens säkerhetsrelaterade procedurer och kontroller.
Formuleringarna i vissa av implementeringsriktlinjerna för ISO 27002:2013 vs ISO 27002:2020 påverkades också. Där riktlinje C i 2013 års version anger att anställda och entreprenörer är "motiverade" att anta företagets ISMS-policyer, använder 2022 ordet "mandat"
Svaret på denna fråga är ganska enkelt: ledningen! Det är ledningens ansvar att se till att ett korrekt ISMS (Information Security Management System) implementeras.
Detta stöds normalt av utnämningen av en lämpligt kvalificerad och erfaren informationssäkerhetschef, som kommer att vara ansvarig inför den högsta ledningen för att utveckla, implementera, hantera och ständigt förbättra ISMS.
En av de största utmaningarna med att implementera en ISO 27001-justerat ISMS håller koll på dina kontroller av informationssäkerhet. Vårt system gör detta enkelt.
Vi förstår vikten av skydda din organisations data och rykte. Det är därför vår molnbaserade plattform är designad för att förenkla implementeringen av ISO 27001, ge dig ett robust ramverk av informationssäkerhetskontroller och hjälpa dig att uppnå certifiering med minimala resurser och tid.
Vi har inkluderat en mängd olika användarvänliga funktioner och verktygssatser i vår plattform för att spara tid och garantera att du skapar ett riktigt robust ISMS. Med ISMS.online, kan du enkelt få ISO 27001-certifiering och sedan enkelt hantera den.
Boka en demo i dag.
ISMS.online är en
en enda lösning som radikalt påskyndade vår implementering.
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
