Inventering av information och andra tillhörande tillgångar

Vad är Kontroll 5.9 Inventering av information och andra tillhörande tillgångar?

Kontroll 5.9 i den reviderade ISO 27002:2022 beskriver hur en inventering av information och andra tillhörande tillgångar, inklusive ägare, ska utvecklas och underhållas.

Inventering av informationstillgångar förklaras

För att kunna bedriva sin verksamhet behöver organisationen veta vilka informationstillgångar den har till sitt förfogande.

An inventering av informationstillgångar (IA) är en lista över allt som en organisation lagrar, bearbetar eller överför. Det inkluderar också plats- och säkerhetskontroller för varje objekt. Målet är att identifiera varje enskild databit. Du kan se det som den ekonomiska redovisningsmässiga motsvarigheten för dataskydd.

En IA kan användas för att identifiera luckor i din säkerhetsprogram och informera cyberriskbedömningar där du kan ha sårbarheter som kan leda till ett intrång. Det kan också användas som bevis vid efterlevnadsrevisioner att du har gjort due diligence för att identifiera dina känsliga uppgifter, vilket hjälper dig att undvika böter och påföljder.

Ocuco-landskapet inventering av informationstillgångar bör också innehålla uppgifter om vem som äger varje tillgång och vem som förvaltar den. Den bör också innehålla information om värdet av varje artikel i inventeringen och hur avgörande den är för framgången för organisationens affärsverksamhet.

Det är viktigt att inventeringarna hålls uppdaterade så att de speglar förändringar inom organisationen.

Varför behöver jag en inventering av informationstillgångar?

Information Asset Management har en lång historia inom affärskontinuitetsplanering (BCP), katastrofåterställning (DR) och incidentresponsplanering.

Det första steget i någon av dessa processer innebär att identifiera kritiska system, nätverk, databaser, applikationer, dataflöden och andra komponenter som behöver skydd. Om du inte vet vad som behöver skyddas eller var det finns, kan du inte planera för hur du ska skydda det!

ISMS.online ger dig ett försprång på 81 % från det ögonblick du loggar in

ISO 27001 på ett enkelt sätt

Vi har gjort det hårda arbetet åt dig, vilket ger dig ett försprång på 81 % från det ögonblick du loggar in. Allt du behöver göra är att fylla i tomrummen.

KOM IGÅNG

Attributtabell för kontroll 5.9

Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer.

Denna tabell kompletterar arbete som många kunder för närvarande utför som en del av deras riskbedömning och SOA genom att identifiera konfidentialitet, integritet och tillgänglighet – och andra faktorer. I kontroll 5.9 är attributen:

Kontroll typ	Informationssäkerhetsegenskaper	Cybersäkerhetskoncept	Operativa förmågor	Säkerhetsdomäner
#Förebyggande	#Sekretess	#Identifiera	#Asset management	#Styrelse och ekosystem
	#Integritet			#Skydd
	#Tillgänglighet

Vad är syftet med kontroll 5.9?

Syftet med denna kontroll är att identifiera organisationens information och andra tillhörande tillgångar för att bevara deras informationssäkerhet och tilldela lämpligt ägande.

Kontroll 5.9 täcker styrning, syfte och implementeringsvägledning för att skapa en inventering av information och andra tillhörande tillgångar i linje med ISMS-ramverket som definierats av ISO 27001.

Kontrollen kräver att man inventerar all information och andra tillhörande tillgångar, klassificerar dem i distinkta kategorier, identifierar deras ägare och dokumenterar de kontroller som är eller bör finnas på plats.

Detta är ett avgörande steg mot att säkerställa att alla informationstillgångar är tillräckligt skyddade.

Vad är inblandat och hur man uppfyller kraven

Till uppfylla kraven för den nya ISO 27002:2022måste du identifiera informationen och andra tillhörande tillgångar inom din organisation. Då bör du bestämma betydelsen av dessa artiklar när det gäller informationssäkerhet. Om så är lämpligt bör dokumentationen upprätthållas i särskilda eller befintliga inventeringar.

Tillvägagångssättet för att utveckla en inventering kommer att variera beroende på en organisations storlek och komplexitet, dess befintliga kontroller och policyer, och vilka typer av information och andra tillhörande tillgångar som den använder.

Enligt kontroll 5.9 ska inventeringen av information och andra tillhörande tillgångar vara korrekt, uppdaterad, konsekvent och anpassad till andra inventeringar. Alternativ för att säkerställa riktigheten av en inventering av information och andra tillhörande tillgångar inkluderar:

a) genomföra regelbundna granskningar av identifierad information och andra tillhörande tillgångar mot tillgångsinventeringen;

b) automatiskt genomdriva en lageruppdatering i processen att installera, ändra eller ta bort en tillgång.

Placeringen av en tillgång bör inkluderas i inventeringen när så är lämpligt.

Vissa organisationer kan behöva upprätthålla flera lager för olika ändamål. Till exempel har vissa organisationer dedikerade inventeringar för programvarulicenser eller för fysisk utrustning som bärbara datorer och surfplattor.

Andra kan ha en enda inventering som inkluderar all fysisk utrustning, inklusive nätverksenheter som routrar och switchar. Det är viktigt att sådana inventeringar ses över regelbundet för att säkerställa att de hålls uppdaterade så att de kan användas för att hjälpa till med riskhanterings aktiviteter.

Mer information om att uppfylla kraven för kontroll 5.9 finns i det nya ISO 27002:2022-dokumentet.

ISMS.online stöder över 100 standarder och föreskrifter, vilket ger dig en enda plattform för alla dina efterlevnadsbehov.

Boka din demo

Skillnader mellan ISO 27002:2013 och ISO 27002:2022

I ISO 27002: 2022 slogs 57 kontroller från ISO 27002: 2013 samman till 24 kontroller. Så du hittar inte kontroll 5.9 som Inventory of Information and Other Associated Assets i 2013 års version. Snarare i 2022-versionen är det en kombination av kontroll 8.1.1 Inventering av tillgångar och kontroll 8.1.2 Ägande av tillgångar.

Avsikten med kontroll 8.1.1 Inventering av tillgångar är att säkerställa att alla informationstillgångar identifieras, dokumenteras och regelbundet granskas, och att lämpliga processer och procedurer finns på plats för att säkerställa att denna inventering är säker.

Kontroll 8.1.2 Ägande av tillgångar ansvarar för att se till att alla informationstillgångar under deras kontroll är korrekt identifierade och ägda. Att veta vem som äger vad kan hjälpa dig att avgöra vilka tillgångar du behöver skydda och till vem du måste hålla ansvar.

Även om båda kontrollerna i ISO 27002:2013 liknar kontroll 5.9 i ISO 27002:2022, har den senare breddats för att möjliggöra en mer användarvänlig tolkning. Till exempel anger implementeringsvägledningen för ägande av tillgångar i kontroll 8.1.2 att tillgångsägaren ska:

a) säkerställa att tillgångar inventeras;

b) säkerställa att tillgångar är korrekt klassificerade och skyddade;

c) definiera och periodiskt granska åtkomstbegränsningar och klassificeringar för viktiga tillgångar, med hänsyn till tillämpliga policyer för åtkomstkontroll;

d) säkerställa korrekt hantering när tillgången raderas eller förstörs.

Dessa 4 punkter har utökats till 9 punkter i ägardelen av kontroll 5.9.

Ocuco-landskapet tillgångsägaren bör ansvara för korrekt förvaltning av en tillgång under hela tillgångens livscykel, vilket säkerställer att:

a) information och andra tillhörande tillgångar inventeras;

b) information och andra tillhörande tillgångar är lämpligt klassificerade och skyddade;

c) klassificeringen ses över regelbundet;

d) komponenter som stöder tekniktillgångar listas och länkas, såsom databas, lagring, programvarukomponenter och underkomponenter;

e) krav för acceptabel användning av information och andra tillhörande tillgångar (se 5.10) fastställs;

f) åtkomstbegränsningar överensstämmer med klassificeringen och att de är effektiva och ses över regelbundet;

g) information och andra tillhörande tillgångar, när de raderas eller kasseras, hanteras på ett säkert sätt och tas bort från inventeringen;

h) de är involverade i identifieringen och hanteringen av risker som är förknippade med sina tillgångar;

i) de stödjer personal som har roller och ansvar för att hantera sin information.

Att slå samman dessa två kontroller till en gör det möjligt för användaren att förstå bättre.

Bädda in, utöka och skala upp er efterlevnad utan krångel. IO ger er motståndskraften och självförtroendet att växa säkert.

Boka din demo

Vad betyder dessa förändringar för dig?

De senaste ISO 27002-ändringarna har ingen effekt på din nuvarande certifiering mot ISO 27001-standarderna. ISO 27001-uppgraderingar är de enda som har inflytande på befintliga certifieringar, och ackrediteringsorgan kommer att samarbeta med de certifierande organen för att utveckla en övergångscykel som ger organisationer som har ISO 27001-certifikat tillräcklig tid att överföra från en version till en annan.

Som sagt, följande steg ska följas för att uppfylla den reviderade versionen:

Se till att ditt företag följer det nya kravet genom att granska ditt riskregister och din riskhantering övar.
SoA bör revideras för att återspegla ändringar i Bilaga A.
Dina policyer och processer bör uppdateras för att följa de nya reglerna.

Nya bästa praxis och kvaliteter för kontrollval kommer att finnas tillgängliga under övergångstiden till den nya standarden, vilket kommer att möjliggöra en mer effektiv och effektiv urvalsprocess.

På grund av detta bör du fortsätta att använda ett riskbaserat tillvägagångssätt för att säkerställa att endast De mest relevanta och effektiva kontrollerna väljs för ditt företag.

Nya ISO 27002 kontroller

Nya kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.7	NYA	Hot intelligens
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.30	NYA	ICT-beredskap för kontinuitet i verksamheten
7.4	NYA	Fysisk säkerhetsövervakning
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.16	NYA	Övervakningsaktiviteter
8.23	NYA	Webbfiltrering
8.28	NYA	Säker kodning

Organisatoriska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
5.1	05.1.1, 05.1.2	Policyer för informationssäkerhet
5.2	06.1.1	Informationssäkerhetsroller och ansvar
5.3	06.1.2	Uppdelning av arbetsuppgifter
5.4	07.2.1	Ledningsansvar
5.5	06.1.3	Kontakt med myndigheter
5.6	06.1.4	Kontakt med intressegrupper
5.7	NYA	Hot intelligens
5.8	06.1.5, 14.1.1	Informationssäkerhet i projektledning
5.9	08.1.1, 08.1.2	Inventering av information och andra tillhörande tillgångar
5.10	08.1.3, 08.2.3	Acceptabel användning av information och andra tillhörande tillgångar
5.11	08.1.4	Återlämnande av tillgångar
5.12	08.2.1	Klassificering av information
5.13	08.2.2	Märkning av information
5.14	13.2.1, 13.2.2, 13.2.3	Informationsöverföring
5.15	09.1.1, 09.1.2	Åtkomstkontroll
5.16	09.2.1	Identitetshantering
5.17	09.2.4, 09.3.1, 09.4.3	Autentiseringsinformation
5.18	09.2.2, 09.2.5, 09.2.6	Tillträdesrättigheter
5.19	15.1.1	Informationssäkerhet i leverantörsrelationer
5.20	15.1.2	Adressering av informationssäkerhet inom leverantörsavtal
5.21	15.1.3	Hantera informationssäkerhet i IKT-försörjningskedjan
5.22	15.2.1, 15.2.2	Uppföljning, granskning och förändringsledning av leverantörstjänster
5.23	NYA	Informationssäkerhet för användning av molntjänster
5.24	16.1.1	Informationssäkerhet incidenthantering planering och förberedelse
5.25	16.1.4	Bedömning och beslut om informationssäkerhetshändelser
5.26	16.1.5	Respons på informationssäkerhetsincidenter
5.27	16.1.6	Lär av informationssäkerhetsincidenter
5.28	16.1.7	Insamling av bevis
5.29	17.1.1, 17.1.2, 17.1.3	Informationssäkerhet vid avbrott
5.30	5.30	ICT-beredskap för kontinuitet i verksamheten
5.31	18.1.1, 18.1.5	Juridiska, lagstadgade, regulatoriska och kontraktuella krav
5.32	18.1.2	Immateriella rättigheter
5.33	18.1.3	Skydd av register
5.34	18.1.4	Integritet och skydd av PII
5.35	18.2.1	Oberoende granskning av informationssäkerhet
5.36	18.2.2, 18.2.3	Efterlevnad av policyer, regler och standarder för informationssäkerhet
5.37	12.1.1	Dokumenterade driftprocedurer

Människor kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
6.1	07.1.1	Screening
6.2	07.1.2	Anställningsvillkor
6.3	07.2.2	Informationssäkerhetsmedvetenhet, utbildning och träning
6.4	07.2.3	Disciplinär process
6.5	07.3.1	Ansvar efter uppsägning eller byte av anställning
6.6	13.2.4	Sekretess- eller sekretessavtal
6.7	06.2.2	Fjärrbearbetning
6.8	16.1.2, 16.1.3	Händelserapportering för informationssäkerhet

Fysiska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
7.1	11.1.1	Fysiska säkerhetsområden
7.2	11.1.2, 11.1.6	Fysiskt inträde
7.3	11.1.3	Säkra kontor, rum och lokaler
7.4	NYA	Fysisk säkerhetsövervakning
7.5	11.1.4	Skydd mot fysiska och miljömässiga hot
7.6	11.1.5	Arbeta i säkra områden
7.7	11.2.9	Tydligt skrivbord och tydlig skärm
7.8	11.2.1	Utrustningsplacering och skydd
7.9	11.2.6	Säkerhet av tillgångar utanför lokaler
7.10	08.3.1, 08.3.2, 08.3.3, 11.2.5	Lagringsmedia
7.11	11.2.2	Stöd till verktyg
7.12	11.2.3	Kabelsäkerhet
7.13	11.2.4	Utrustningsunderhåll
7.14	11.2.7	Säker kassering eller återanvändning av utrustning

Tekniska kontroller

ISO/IEC 27002:2022 Kontrollidentifierare	ISO/IEC 27002:2013 Kontrollidentifierare	Kontrollnamn
8.1	06.2.1, 11.2.8	Användarslutpunktsenheter
8.2	09.2.3	Privilegerade åtkomsträttigheter
8.3	09.4.1	Begränsning av informationsåtkomst
8.4	09.4.5	Tillgång till källkod
8.5	09.4.2	Säker autentisering
8.6	12.1.3	Kapacitetshantering
8.7	12.2.1	Skydd mot skadlig programvara
8.8	12.6.1, 18.2.3	Hantering av tekniska sårbarheter
8.9	NYA	Konfigurationshantering
8.10	NYA	Radering av information
8.11	NYA	Datamaskering
8.12	NYA	Förebyggande av dataläckage
8.13	12.3.1	Säkerhetskopiering av information
8.14	17.2.1	Redundans av informationsbehandlingsanläggningar
8.15	12.4.1, 12.4.2, 12.4.3	Loggning
8.16	NYA	Övervakningsaktiviteter
8.17	12.4.4	Klocksynkronisering
8.18	09.4.4	Användning av privilegierade verktygsprogram
8.19	12.5.1, 12.6.2	Installation av programvara på operativsystem
8.20	13.1.1	Nätverkssäkerhet
8.21	13.1.2	Säkerhet för nätverkstjänster
8.22	13.1.3	Segregation av nätverk
8.23	NYA	Webbfiltrering
8.24	10.1.1, 10.1.2	Användning av kryptografi
8.25	14.2.1	Säker utvecklingslivscykel
8.26	14.1.2, 14.1.3	Säkerhetskrav för applikationer
8.27	14.2.5	Säker systemarkitektur och tekniska principer
8.28	NYA	Säker kodning
8.29	14.2.8, 14.2.9	Säkerhetstestning i utveckling och acceptans
8.30	14.2.7	Outsourcade utveckling
8.31	12.1.4, 14.2.6	Separation av utvecklings-, test- och produktionsmiljöer
8.32	12.1.2, 14.2.2, 14.2.3, 14.2.4	Ändra hanteringen
8.33	14.3.1	Testinformation
8.34	12.7.1	Skydd av informationssystem under revisionstestning

Hur ISMS.online hjälper

Du kan använd ISMS.online för att hantera din ISO 27002-implementering, eftersom den har utformats specifikt för att hjälpa ett företag att implementera sitt ledningssystem för informationssäkerhet (ISMS) för att uppfylla kraven i ISO 27002.

Plattformen använder ett riskbaserat tillvägagångssätt kombinerat med branschledande bästa praxis och mallar för att hjälpa dig identifiera riskerna som din organisation står inför och de kontroller som behövs för att hantera dessa risker. Detta gör att du systematiskt kan minska både din riskexponering och dina efterlevnadskostnader.

Använda ISMS.online kan du:

Implementera snabbt ett Information Security Management System (ISMS).
Hantera enkelt dokumentationen för ditt ISMS.
Effektivisera efterlevnaden av alla relevanta standarder.
Hantera alla aspekter av informationssäkerhet, från riskhantering till utbildning i säkerhetsmedvetenhet.
Kommunicera effektivt i hela din organisation med vår inbyggda kommunikationsfunktion.

Ocuco-landskapet ISMS.online-plattform är baserad på Plan-Do-Check-Act (PDCA), en iterativ process i fyra steg för ständig förbättring, och den uppfyller alla krav i ISO 27002:2022. Det är en enkel fråga att skapa ett gratis testkonto och följa stegen vi tillhandahåller.

Hör av dig idag för att boka en demo.

Vi är ledande inom vårt område