Vad är Control 5.5 Kontakt med myndigheter?
Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer. Dessa är de som finns i kontroll 5.5.
Kontrollattribut 5.5
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Sekretess | #Identifiera | #Governance | #Försvar |
| #Korrigerande | #Integritet | #Skydda | #Elasticitet | |
| #Tillgänglighet | #Svara | |||
| #Ta igen sig |
Vad är syftet med kontroll 5.5?
Syftet med kontroll 5.5 är att säkerställa att lämpligt informationsflöde sker med avseende på informationssäkerhet mellan organisationen och relevanta juridiska, tillsyns- och tillsynsmyndigheter. Ett lämpligt forum för dialog och samarbete mellan företaget och relevanta juridiska, tillsyns- och tillsynsmyndigheter måste finnas på plats.
Kontroll 5.5 täcker krav, syfte och implementeringsinstruktioner om hur man identifierar och rapportera informationssäkerhetshändelser i tid, samt vem och hur man kontaktar vid en incident.
Syftet med kontroll 5.5 är att identifiera vilka intressenter (t.ex. brottsbekämpande myndigheter, tillsynsorgan, tillsynsmyndigheter) som skulle behöva kontaktas i händelse av en säkerhetshändelse. Det är viktigt att du redan har identifierat dessa intressenter innan en incident inträffar.
Kontakt med myndigheter innebär att organisationen ska etablera och genomföra informell kommunikation med myndigheter kring informationssäkerhetsfrågor, inklusive:
- Löpande kommunikation med relevanta myndigheter för att säkerställa att organisationen är medveten aktuella hot och sårbarheter.
- Informera relevanta myndigheter om sårbarheter som upptäckts i organisationens produkter, tjänster eller system.
- Ta emot information från relevanta myndigheter om hot och sårbarheter.
Få ett försprång på 81 %
Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in.
Allt du behöver göra är att fylla i tomrummen.
Vad är inblandat och hur man uppfyller kraven
Huvudsyftet med kontroll 5.5 är att etablera organisationens relation med brottsbekämpande myndigheter när det gäller hantera informationssäkerhetsrisker.
För att uppfylla kraven för kontroll 5.5 förväntas att om en informationssäkerhetsincident upptäcks, bör organisationen ange när och av vilka myndigheter (såsom brottsbekämpande myndigheter, tillsynsorgan och tillsynsmyndigheter) ska underrättas, samt hur identifierade informationssäkerhetsincidenter ska rapporteras i tid.
Informationsutbytet med myndigheter bör också användas för att få bättre kunskap om dessa myndigheters befintliga och kommande förväntningar (t.ex. gällande informationssäkerhetsbestämmelser).
Detta krav är utformat för att säkerställa att organisationen har en sammanhängande strategi för sin relation med brottsbekämpande myndigheter och att den har identifierat den lämpligaste kontaktpunkten i dessa myndigheter.
Kontakter med tillsynsorgan är också användbara för att förutse och förbereda kommande förändringar i relevanta lagar eller förordningar som påverkar organisationen.
Skillnader mellan ISO 27002:2013 och ISO 27002:2022
Kontroll 5.5: Kontakt med myndigheter är inget nytillskott i ISO 27002:2022. Det är en befintlig kontroll i den ursprungliga ISO 27002:2013 med kontrollnummer 6.1.3. Detta innebär att kontrollnumret ändrades i den nya versionen av ISO 27002.
Förutom att ändra kontrollnumret ändrades också frasologin. Där kontroll 5.5 säger att "Organisationen bör upprätta och upprätthålla kontakt med relevanta myndigheter." Kontroll 6.1.3 säger att "Lämpliga kontakter med relevanta myndigheter bör upprätthållas". Denna ändring i frasologi är utformad för att göra denna kontroll mer användarvänlig.
I 2022 års version ingick ett kontrollsyfte. Detta är inte tillgängligt i 2013 års version.
Samtidigt, medan kärnan i båda kontrollerna förblir densamma, finns det subtila variationer som skiljer dem från varandra.
Kontroll 5.5 i ISO 27002:2022 tillägger vidare att kontakter med myndigheter också bör användas för att underlätta förståelsen av dessa myndigheters nuvarande och kommande förväntningar (t.ex. gällande informationssäkerhetsbestämmelser). Detta saknas i 2013 års version.
Vem är ansvarig för denna process?
Smakämnen person som är ansvarig för denna roll är i allmänhet Information Security Manager.
Andra individer kan utföra denna funktion, men de måste rapportera till informationssäkerhetschefen så att de kan ha tillsyn över dessa aktiviteter. Detta upprätthåller ett konsekvent budskap och säkerställer en konsekvent relation med myndigheter.
Hantera all efterlevnad på ett ställe
ISMS.online stöder över 100 standarder
och förordningar, vilket ger dig en singel
plattform för alla dina efterlevnadsbehov.
Vad betyder dessa förändringar för dig?
När en ny certifieringsstandard publiceras blir det vanligtvis en övergångstid. För majoriteten av certifieringscyklerna finns en övergångstid på två till tre år.
Som sagt, den senaste upplagan av ISO 27002 är definitivt viktig om du tänker göra det distribuera ett ISMS (och eventuellt till och med överväga en ISMS-certifiering) och du måste se till att dina säkerhetsåtgärder är uppdaterade.
Bland aktiviteterna som ska utföras finns, men är inte begränsade till, följande:
- Köper den senaste standarden.
- Granska den nya standarden för att se hur den har förändrats. Standarden kommer att tillhandahålla en kartläggningstabell som visar hur den nya standarden motsvarar standarden ISO 27002:2013.
- Genomföra a riskanalys samt en kontrollgapanalys.
Välj de kontroller som är relevanta och ändra din ISMS-policyer, standarder och annan dokumentation. - Gör nödvändiga ändringar i din Förklaring om tillämplighet.
- Du bör revidera ditt internrevisionsprogram för att återspegla de förbättrade kontroller som du har valt.
Se vår guide till ISO 27002:2022, där du kan upptäcka mer om hur dessa förändringar för kontroll 5.5 kommer att påverka din organisation.
Nya ISO 27002 kontroller
Nya kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nytt | Hot intelligens |
| 5.23 | Nytt | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nytt | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 8.9 | Nytt | Konfigurationshantering |
| 8.10 | Nytt | Radering av information |
| 8.11 | Nytt | Datamaskering |
| 8.12 | Nytt | Förebyggande av dataläckage |
| 8.16 | Nytt | Övervakningsaktiviteter |
| 8.23 | Nytt | Webbfiltrering |
| 8.28 | Nytt | Säker kodning |
Organisatoriska kontroller
Människor kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
Fysiska kontroller
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nytt | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
Tekniska kontroller
Hur ISMS.online hjälper
Att hålla reda på dina informationssäkerhetskontroller är en av de svåraste aspekterna av att implementera en ISMS som är kompatibelt med ISO 27001. Men vår molnbaserade plattform gör detta enkelt.
Vår molnbaserade plattform ger dig ett robust ramverk av informationssäkerhet kontroller så att du kan checklista din ISMS-process när du går för att säkerställa att den uppfyller kraven för ISO 27k. Används på rätt sätt, ISMS. online kan hjälpa dig att uppnå certifiering med ett minimum av tid och resurser.
Hör av dig idag för att boka en demo.
Hoppa till ämnet
