Kontroll 5.6 i den nyligen reviderade ISO 27002:2022 eller kontroll 6.1.4 i ISO 27002:2013 rekommenderar att organisationer upprättar och upprätthåller kontakt med särskilda intressegrupper eller andra specialiserade säkerhetsforum och yrkessammanslutningar.
Generellt kan en specialintressegrupp definieras som en sammanslutning av personer eller organisationer med intresse för, eller verksamma inom, ett visst kompetensområde, där medlemmarna samarbetar/arbetar för att lösa frågor, skapa lösningaroch skaffa kunskap. I vår situation skulle detta kompetensområde vara informationssäkerhet.
Tillverkare, specialistforum och yrkesgrupper är exempel på sådana enheter. Regeringen är också ett exempel på en intresseorganisation.
Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer. Attributen för kontroll 5.6 är:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande #Korrigerande | #Konfidentialitet #Integritet #Tillgänglighet | #Skydda #Svara #Återhämta dig | #Governance | #Försvar |
De flesta organisationer har idag någon form av relation till särskilda intressegrupper. De kan vara en kundgrupp, leverantörsgrupp eller en grupp som har ett visst inflytande i organisationen. Syftet med kontroll 5.6 är att säkerställa att lämpligt informationsflöde sker med hänsyn till informationssäkerheten bland dessa särskilda intressegrupper.
Kontroll 5.6 täcker krav, syfte och implementeringsriktlinjer för hur man tar kontakt med intressegrupper för att säkerställa att din organisation aktivt engagerar sig i regelbunden kontakt och konsultation med relevanta intressenter och intressenter, inklusive konsumenter och deras företrädare, leverantörer, partners och regeringen för att förbättra deras informationssäkerhetskapacitet.
Det är möjligt att dessa organisationer kommer att kunna identifiera säkerhetsrisker som du kanske har ignorerat. Som ett partnerskap kan båda sidor dra nytta av varandras kunskap när det gäller nya idéer och bästa praxis, vilket är ett win-win-scenario.
Dessutom kan dessa grupper kanske ge användbara förslag eller rekommendationer angående säkerhetspraxis, procedurer eller tekniker som kan göra ditt system säkrare medan det fortfarande är att uppnå dina affärsmål.
När det gäller att uppfylla kraven för Kontroll 5.6 i ISO 27002:2022, är det viktigt att organisationer följer implementeringsriktlinjerna som definieras av standarden.
Enligt kontroll 5.6 bör medlemskap i särskilda intressegrupper eller forum vara ett sätt att:
Smakämnen ISO/IEC 27000 uppsättning standarder kräver att ett ledningssystem för informationssäkerhet (ISMS) upprättas och underhålls. Kontroll 5.6 är en avgörande del av denna process. Kontakt med specialintressegrupper är viktig eftersom det kan ge dig ett sätt att få feedback från kollegor angående effektiviteten i dina informationssäkerhetsprocesser.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Ta 30 minuter för att se hur ISMS.online sparar timmar (och timmar!)
Boka möteEnligt vad som redan har sagts, kontroll 5.6 tum ISO 27002: 2022, "Kontakt med specialintressegrupper," är inte en ny kontroll. Detta är i huvudsak en modifierad version av kontroll 6.1.4, som finns i ISO 27002:2013.
Medan grunderna för de två kontrollerna i huvudsak är desamma, finns det några mindre ändringar i 2022-versionen av kontrollen. Vid ISO 27002:2022 anges kontrollens syfte i standarden. I 2013 års upplaga saknas detta kontrollsyfte.
Dessutom, även om implementeringsriktlinjerna för båda versionerna är desamma, skiljer sig frasologin som används i varje version.
Alla dessa förbättringar är avsedda att garantera att standarden förblir aktuell och relevant i ljuset av ökande säkerhetsproblem och teknisk utveckling. Organisationer kommer också att dra nytta av detta eftersom det kommer att göra efterlevnaden av standarden enklare.
I en typisk organisation är chefen för informationssäkerhet (även känd som Chief Information Security Officer – CISO) ansvarig för alla aspekter av datasekretess och säkerhet, inklusive efterlevnad.
Denna roll kan också skötas av Information Security Manager (ISMS Manager). Men oavsett vem som sköter denna roll kan den inte gå vidare utan inköp av ledande befattningshavare.
ISMS.online är en
en enda lösning som radikalt påskyndade vår implementering.
Om du inte använder ISMS.online gör du ditt liv svårare än det behöver vara!
Om din organisationen har redan implementerat ISO 27002:2013 måste du uppdatera dina rutiner för att säkerställa överensstämmelse med den uppdaterade standarden, som lanserades i februari 2022.
Även om det kommer att ske några ändringar i 2022-versionen, bör majoriteten av organisationerna kunna göra de nödvändiga ändringarna utan problem. Dessutom kommer certifierade organisationer att ha en tvåårig övergångsfas under vilken de kan förnya sin certifiering för att säkerställa att den följer den nya versionen av standarden.
Med det sagt att vår ISO 27002:2022-guide kan hjälpa dig att bättre förstå hur den nya ISO 27002 kommer att påverka din datasäkerhetsverksamhet och ISO 27001-certifiering.
På ISMS.online, vi har byggt ett omfattande och lättanvänt system som kan hjälpa dig att implementera ISO 27002-kontroller och hantera hela ditt ISMS.
ISMS.online gör implementeringen av ISO 27002 enklare genom att tillhandahålla en uppsättning verktyg som hjälper dig att hantera informationssäkerhet i din organisation. Det kommer hjälpa dig identifiera risker och utveckla kontroller för att minska dessa risker, och sedan visa hur du implementerar dem inom organisationen.
ISMS.online hjälper dig också att visa efterlevnad av standarden genom att tillhandahålla en ledningspanel, rapporter och revisionsloggar.
Vår molnbaserade plattform erbjuder:
ISMS.online har alla dessa funktioner och mer.
Hör av dig idag för att boka en demo.
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
