ISO 27002, Kontroll 5.4, Ledningsansvar

Vad är kontroll 5.4 Ledningsansvar

Vad är en informationssäkerhetspolicy?

An informationssäkerhetspolicy är ett formellt dokument som ger ledningsriktning, mål och principer för att skydda en organisations information. En effektiv informationssäkerhetspolicy bör skräddarsys för en organisations specifika behov och stödjas av högsta ledningen för att säkerställa lämplig allokering av resurser.

Policyn kommunicerar de övergripande principerna för hur ledningen vill att anställda ska hantera känslig information och hur företaget kommer att skydda sina informationstillgångar.

Policyn härrör ofta från lagar, förordningar och bästa praxis som organisationen måste följa. Informationssäkerhetspolicyer skapas vanligtvis av en organisations högsta ledning, med input från dess IT-säkerhetspersonal.

Policyer bör också innehålla ett ramverk för definiera roller och ansvar och en tidslinje för periodisk granskning.

Attributtabell

Attribut är ett sätt att kategorisera olika typer av kontroller. Dessa attribut låter dig anpassa dina kontroller till industristandarder. I kontroll 5.4 är de:

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Identifiera	#Governance	#Styrelse och ekosystem
	#Integritet
	#Tillgänglighet

ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG

Vad är syftet med kontroll 5.4?

Kontroll 5.4 utformades för att säkerställa att ledningen förstår sitt ansvar för informationssäkerhet och att de vidtar åtgärder för att säkerställa att alla anställda är medvetna och fullgöra sina skyldigheter om informationssäkerhet.

Kontroll 5.4 Förklarat

Information är en värdefull tillgång och måste skyddas från förlust, skada eller missbruk. Organisationen ska se till att lämpliga åtgärder vidtas för att skydda denna tillgång. För att detta ska ske måste ledningen se till att all personal tillämpar all informationssäkerhetspolicy, ämnesspecifika policyer och procedurer i organisationen.

Kontroll 5.4 täcker syfte och implementeringsvägledning för att definiera ledningsansvar med avseende på informationssäkerhet i en organisation i linje med ramverket för ISO 27001.

This control is all about making sure that management is on board with the information security programme and that all employees and contractors are aware of and follow the organisation’s information security policy. No one should ever be exempt from mandatory compliance with the organisation’s security policies, topics-specific policies and procedures.

Vad är inblandat och hur man uppfyller kraven

Nyckeln till att uppfylla kraven för denna kontroll är att säkerställa att ledningen kan tvinga all relevant personal att följa organisationens policyer, standarder och procedurer för informationssäkerhet.

Det första steget är management buy-in och support. Ledningen måste visa sitt engagemang genom att följa alla policyer och procedurer som den inför. Till exempel om du kräver att arbetare ska ta årlig säkerhetsmedvetenhet träningskurser, bör chefer föregå med gott exempel och genomföra dessa kurser först.

Därefter kommer att kommunicera vikten av informationssäkerhet till alla i företaget, oavsett roll. Detta inkluderar styrelse, ledning och ledning samt anställda. Alla måste förstå sin roll i att upprätthålla säkerhet för känsliga uppgifter som omfattas av företagets ISMS program.

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo

Skillnader mellan ISO 27002:2013 och ISO 27002:2022

ISO 27002:2022 kontroll 5.4 Ledningsansvar var tidigare känt som kontroll 7.2.1 Ledningsansvar i ISO 27002:2013. Detta är inte en ny kontroll utan en mer robust tolkning av 2013 års version.

Medan kontroll 5.4 och kontroll 7.2.1 i stort sett täcker samma sak, finns det få skillnader som organisationer och företagsledare bör notera. Dessa skillnader tas upp i genomförandet av kontrollen.

Kontroll 5.4 ISO 27002:2013-2022 Implementeringsriktlinjer jämförda

I ISO 27002: 2013 omfattar ledningsansvar att säkerställa att anställda och entreprenörer:

a) är ordentligt informerade om sina roller och ansvar för informationssäkerhet innan de beviljas tillgång till konfidentiell information eller informationssystem;

b) är försedda med riktlinjer för att ange informationssäkerhetsförväntningar på sin roll inom
Organisation;

c) är motiverade att uppfylla organisationens informationssäkerhetspolicyer;

d) uppnå en nivå av medvetenhet om informationssäkerhet som är relevant för deras roller och ansvar inom organisationen;

e) överensstämma med anställningsvillkoren, vilket inkluderar organisationens informationssäkerhetspolicy och lämpliga arbetsmetoder;

f) fortsätta att ha lämpliga färdigheter och kvalifikationer och utbildas regelbundet;

g) är försedda med en anonym rapporteringskanal för att rapportera brott mot informationssäkerhetspolicyer eller -procedurer ("whistle blowing").

Ledningen bör visa stöd för informationssäkerhetspolicyer, rutiner och kontroller och fungera som en förebild.

Control 5.4 är en mer användarvänlig version och kräver att ledningsansvar säkerställer att anställda och entreprenörer:

a) är ordentligt informerade om sina roller och ansvar för informationssäkerhet innan de beviljas tillgång till organisationens information och andra tillhörande tillgångar;

b) Är försedda med riktlinjer som anger informationssäkerhetsförväntningarna på deras roll inom organisationen;

c) Har mandat att uppfylla organisationens informationssäkerhetspolicy och ämnesspecifika policyer;

d) Uppnå en nivå av medvetenhet om informationssäkerhet som är relevant för deras roller och ansvar inom organisationen;

e) Efterlevnad av villkoren för anställning, kontrakt eller avtal, inklusive organisationens policy för informationssäkerhet och lämpliga arbetsmetoder;

f) Fortsätta att ha lämpliga kunskaper och kvalifikationer för informationssäkerhet genom pågående professionell utbildning;

g) Om det är praktiskt möjligt, förses med en konfidentiell kanal för att rapportera brott mot informationssäkerhetspolicyn, ämnesspecifika policyer eller procedurer för informationssäkerhet ("whistleblowing"). Detta kan möjliggöra anonym rapportering, eller ha bestämmelser för att säkerställa att kunskapen om rapporterarens identitet endast är känd för dem som behöver hantera sådana rapporter;

h) Tillförs tillräckliga resurser och projektplaneringstid för implementering av organisationens säkerhetsrelaterade processer och kontroller.

Som du kan se kräver ISO 27002:2022 specifikt att arbetare och entreprenörer förses med nödvändiga resurser samt projektplaneringstid för att kunna utföra organisationens säkerhetsrelaterade procedurer och kontroller.

Formuleringarna i vissa av implementeringsriktlinjerna för ISO 27002:2013 vs ISO 27002:2020 påverkades också. Där riktlinje C i 2013 års version anger att anställda och entreprenörer är "motiverade" att anta företagets ISMS-policyer, använder 2022 ordet "mandat"

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo

Vem är ansvarig för denna process?

Svaret på denna fråga är ganska enkelt: ledningen! Det är ledningens ansvar att se till att ett korrekt ISMS (Information Security Management System) implementeras.

Detta stöds normalt av utnämningen av en lämpligt kvalificerad och erfaren informationssäkerhetschef, som kommer att vara ansvarig inför den högsta ledningen för att utveckla, implementera, hantera och ständigt förbättra ISMS.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	NYA	Hot intelligens
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.30	NYA	ICT-beredskap för kontinuitet i verksamheten
7.4	NYA	Fysisk säkerhetsövervakning
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.16	NYA	Övervakningsaktiviteter
8.23	NYA	Webbfiltrering
8.28	NYA	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	NYA	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	5.30	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	NYA	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	NYA	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	NYA	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	NYA	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

En av de största utmaningarna med att implementera en ISO 27001-justerat ISMS håller koll på dina kontroller av informationssäkerhet. Vårt system gör detta enkelt.

Vi förstår vikten av skydda din organisations data och rykte. Det är därför vår molnbaserade plattform är designad för att förenkla implementeringen av ISO 27001, ge dig ett robust ramverk av informationssäkerhetskontroller och hjälpa dig att uppnå certifiering med minimala resurser och tid.

Vi har inkluderat en mängd olika användarvänliga funktioner och verktygssatser i vår plattform för att spara tid och garantera att du skapar ett riktigt robust ISMS. Med ISMS.online, kan du enkelt få ISO 27001-certifiering och sedan enkelt hantera den.

Boka demo i dag.

Vi är ledande inom vårt område