Smakämnen ISO 27002: 2022 kontroll 5.5 anger att en organisation ska upprätta och upprätthålla en process för kontakt med lämpliga myndigheter i enlighet med de lagar, regulatoriska och kontraktuella krav som organisationen verkar inom.
Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer. Dessa är de som finns i kontroll 5.5.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande #Korrigerande | #Konfidentialitet #Integritet #Tillgänglighet | #Identifiera #Skydda #Svara #Återställ | #Governance | #Försvar #Resiliens |
Vi kan inte komma på något företag vars tjänst kan hålla ett ljus till ISMS.online.
Syftet med kontroll 5.5 är att säkerställa att lämpligt informationsflöde sker med avseende på informationssäkerhet mellan organisationen och relevanta juridiska, tillsyns- och tillsynsmyndigheter. Ett lämpligt forum för dialog och samarbete mellan företaget och relevanta juridiska, tillsyns- och tillsynsmyndigheter måste finnas på plats.
Kontroll 5.5 täcker krav, syfte och implementeringsinstruktioner om hur man identifierar och rapportera informationssäkerhetshändelser i tid, samt vem och hur man kontaktar vid en incident.
Syftet med kontroll 5.5 är att identifiera vilka intressenter (t.ex. brottsbekämpande myndigheter, tillsynsorgan, tillsynsmyndigheter) som skulle behöva kontaktas i händelse av en säkerhetshändelse. Det är viktigt att du redan har identifierat dessa intressenter innan en incident inträffar.
Kontakt med myndigheter innebär att organisationen ska etablera och genomföra informell kommunikation med myndigheter kring informationssäkerhetsfrågor, inklusive:
Huvudsyftet med kontroll 5.5 är att etablera organisationens relation med brottsbekämpande myndigheter när det gäller hantera informationssäkerhetsrisker.
För att uppfylla kraven för kontroll 5.5 förväntas att om en informationssäkerhetsincident upptäcks, bör organisationen ange när och av vilka myndigheter (såsom brottsbekämpande myndigheter, tillsynsorgan och tillsynsmyndigheter) ska underrättas, samt hur identifierade informationssäkerhetsincidenter ska rapporteras i tid.
Informationsutbytet med myndigheter bör också användas för att få bättre kunskap om dessa myndigheters befintliga och kommande förväntningar (t.ex. gällande informationssäkerhetsbestämmelser).
Detta krav är utformat för att säkerställa att organisationen har en sammanhängande strategi för sin relation med brottsbekämpande myndigheter och att den har identifierat den lämpligaste kontaktpunkten i dessa myndigheter.
Kontakter med tillsynsorgan är också användbara för att förutse och förbereda kommande förändringar i relevanta lagar eller förordningar som påverkar organisationen.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Kontroll 5.5: Kontakt med myndigheter är inget nytillskott i ISO 27002:2022. Det är en befintlig kontroll i den ursprungliga ISO 27002:2013 med kontrollnummer 6.1.3. Detta innebär att kontrollnumret ändrades i den nya versionen av ISO 27002.
Förutom att ändra kontrollnumret ändrades också frasologin. Där kontroll 5.5 säger att "Organisationen bör upprätta och upprätthålla kontakt med relevanta myndigheter." Kontroll 6.1.3 säger att "Lämpliga kontakter med relevanta myndigheter bör upprätthållas". Denna ändring i frasologi är utformad för att göra denna kontroll mer användarvänlig.
I 2022 års version ingick ett kontrollsyfte. Detta är inte tillgängligt i 2013 års version.
Samtidigt, medan kärnan i båda kontrollerna förblir densamma, finns det subtila variationer som skiljer dem från varandra.
Kontroll 5.5 i ISO 27002:2022 tillägger vidare att kontakter med myndigheter också bör användas för att underlätta förståelsen av dessa myndigheters nuvarande och kommande förväntningar (t.ex. gällande informationssäkerhetsbestämmelser). Detta saknas i 2013 års version.
Smakämnen person som är ansvarig för denna roll är i allmänhet Information Security Manager.
Andra individer kan utföra denna funktion, men de måste rapportera till informationssäkerhetschefen så att de kan ha tillsyn över dessa aktiviteter. Detta upprätthåller ett konsekvent budskap och säkerställer en konsekvent relation med myndigheter.
Det hjälper till att driva vårt beteende på ett positivt sätt som fungerar för oss
& vår kultur.
När en ny certifieringsstandard publiceras blir det vanligtvis en övergångstid. För majoriteten av certifieringscyklerna finns en övergångstid på två till tre år.
Som sagt, den senaste upplagan av ISO 27002 är definitivt viktig om du tänker göra det distribuera ett ISMS (och eventuellt till och med överväga en ISMS-certifiering) och du måste se till att dina säkerhetsåtgärder är uppdaterade.
Bland aktiviteterna som ska utföras finns, men är inte begränsade till, följande:
Se vår guide till ISO 27002:2022, där du kan upptäcka mer om hur dessa förändringar för kontroll 5.5 kommer att påverka din organisation.
Att hålla reda på dina informationssäkerhetskontroller är en av de svåraste aspekterna av att implementera en ISMS som är kompatibelt med ISO 27001. Men vår molnbaserade plattform gör detta enkelt.
Vår molnbaserade plattform ger dig ett robust ramverk av informationssäkerhet kontroller så att du kan checklista din ISMS-process när du går för att säkerställa att den uppfyller kraven för ISO 27k. Används på rätt sätt, ISMS. online kan hjälpa dig att uppnå certifiering med ett minimum av tid och resurser.
Hör av dig idag för att boka en demo.
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |