Kontroll 5.9 i den reviderade ISO 27002:2022 beskriver hur en inventering av information och andra tillhörande tillgångar, inklusive ägare, ska utvecklas och underhållas.
För att kunna bedriva sin verksamhet behöver organisationen veta vilka informationstillgångar den har till sitt förfogande.
An inventering av informationstillgångar (IA) är en lista över allt som en organisation lagrar, bearbetar eller överför. Det inkluderar också plats- och säkerhetskontroller för varje objekt. Målet är att identifiera varje enskild databit. Du kan se det som den ekonomiska redovisningsmässiga motsvarigheten för dataskydd.
En IA kan användas för att identifiera luckor i din säkerhetsprogram och informera cyberriskbedömningar där du kan ha sårbarheter som kan leda till ett intrång. Det kan också användas som bevis vid efterlevnadsrevisioner att du har gjort due diligence för att identifiera dina känsliga uppgifter, vilket hjälper dig att undvika böter och påföljder.
Smakämnen inventering av informationstillgångar bör också innehålla uppgifter om vem som äger varje tillgång och vem som förvaltar den. Den bör också innehålla information om värdet av varje artikel i inventeringen och hur avgörande den är för framgången för organisationens affärsverksamhet.
Det är viktigt att inventeringarna hålls uppdaterade så att de speglar förändringar inom organisationen.
Information Asset Management har en lång historia inom affärskontinuitetsplanering (BCP), katastrofåterställning (DR) och incidentresponsplanering.
Det första steget i någon av dessa processer innebär att identifiera kritiska system, nätverk, databaser, applikationer, dataflöden och andra komponenter som behöver skydd. Om du inte vet vad som behöver skyddas eller var det finns, kan du inte planera för hur du ska skydda det!
Kontroller klassificeras med hjälp av attribut. Med dessa kan du snabbt matcha ditt kontrollval med vanliga branschtermer och specifikationer.
Denna tabell kompletterar arbete som många kunder för närvarande utför som en del av deras riskbedömning och SOA genom att identifiera konfidentialitet, integritet och tillgänglighet – och andra faktorer. I kontroll 5.9 är attributen:
| Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
|---|---|---|---|---|
| #Förebyggande | #Konfidentialitet #Integritet #Tillgänglighet | #Identifiera | #Asset management | #Styrelse och ekosystem #Skydd |
Syftet med denna kontroll är att identifiera organisationens information och andra tillhörande tillgångar för att bevara deras informationssäkerhet och tilldela lämpligt ägande.
Kontroll 5.9 täcker styrning, syfte och implementeringsvägledning för att skapa en inventering av information och andra tillhörande tillgångar i linje med ISMS-ramverket som definierats av ISO 27001.
Kontrollen kräver att man inventerar all information och andra tillhörande tillgångar, klassificerar dem i distinkta kategorier, identifierar deras ägare och dokumenterar de kontroller som är eller bör finnas på plats.
Detta är ett avgörande steg mot att säkerställa att alla informationstillgångar är tillräckligt skyddade.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
Vi är så glada att vi hittade den här lösningen, den fick allt att passa ihop enklare.
Till uppfylla kraven för den nya ISO 27002:2022måste du identifiera informationen och andra tillhörande tillgångar inom din organisation. Då bör du bestämma betydelsen av dessa artiklar när det gäller informationssäkerhet. Om så är lämpligt bör dokumentationen upprätthållas i särskilda eller befintliga inventeringar.
Tillvägagångssättet för att utveckla en inventering kommer att variera beroende på en organisations storlek och komplexitet, dess befintliga kontroller och policyer, och vilka typer av information och andra tillhörande tillgångar som den använder.
Enligt kontroll 5.9 ska inventeringen av information och andra tillhörande tillgångar vara korrekt, uppdaterad, konsekvent och anpassad till andra inventeringar. Alternativ för att säkerställa riktigheten av en inventering av information och andra tillhörande tillgångar inkluderar:
a) genomföra regelbundna granskningar av identifierad information och andra tillhörande tillgångar mot tillgångsinventeringen;
b) automatiskt genomdriva en lageruppdatering i processen att installera, ändra eller ta bort en tillgång.
Placeringen av en tillgång bör inkluderas i inventeringen när så är lämpligt.
Vissa organisationer kan behöva upprätthålla flera lager för olika ändamål. Till exempel har vissa organisationer dedikerade inventeringar för programvarulicenser eller för fysisk utrustning som bärbara datorer och surfplattor.
Andra kan ha en enda inventering som inkluderar all fysisk utrustning, inklusive nätverksenheter som routrar och switchar. Det är viktigt att sådana inventeringar ses över regelbundet för att säkerställa att de hålls uppdaterade så att de kan användas för att hjälpa till med riskhanterings aktiviteter.
Mer information om att uppfylla kraven för kontroll 5.9 finns i det nya ISO 27002:2022-dokumentet.
I ISO 27002: 2022 slogs 57 kontroller från ISO 27002: 2013 samman till 24 kontroller. Så du hittar inte kontroll 5.9 som Inventory of Information and Other Associated Assets i 2013 års version. Snarare i 2022-versionen är det en kombination av kontroll 8.1.1 Inventering av tillgångar och kontroll 8.1.2 Ägande av tillgångar.
Avsikten med kontroll 8.1.1 Inventering av tillgångar är att säkerställa att alla informationstillgångar identifieras, dokumenteras och regelbundet granskas, och att lämpliga processer och procedurer finns på plats för att säkerställa att denna inventering är säker.
Kontroll 8.1.2 Ägande av tillgångar ansvarar för att se till att alla informationstillgångar under deras kontroll är korrekt identifierade och ägda. Att veta vem som äger vad kan hjälpa dig att avgöra vilka tillgångar du behöver skydda och till vem du måste hålla ansvar.
Även om båda kontrollerna i ISO 27002:2013 liknar kontroll 5.9 i ISO 27002:2022, har den senare breddats för att möjliggöra en mer användarvänlig tolkning. Till exempel anger implementeringsvägledningen för ägande av tillgångar i kontroll 8.1.2 att tillgångsägaren ska:
a) säkerställa att tillgångar inventeras;
b) säkerställa att tillgångar är korrekt klassificerade och skyddade;
c) definiera och periodiskt granska åtkomstbegränsningar och klassificeringar för viktiga tillgångar, med hänsyn till tillämpliga policyer för åtkomstkontroll;
d) säkerställa korrekt hantering när tillgången raderas eller förstörs.
Dessa 4 punkter har utökats till 9 punkter i ägardelen av kontroll 5.9.
Smakämnen tillgångsägaren bör ansvara för korrekt förvaltning av en tillgång under hela tillgångens livscykel, vilket säkerställer att:
a) information och andra tillhörande tillgångar inventeras;
b) information och andra tillhörande tillgångar är lämpligt klassificerade och skyddade;
c) klassificeringen ses över regelbundet;
d) komponenter som stöder tekniktillgångar listas och länkas, såsom databas, lagring, programvarukomponenter och underkomponenter;
e) krav för acceptabel användning av information och andra tillhörande tillgångar (se 5.10) fastställs;
f) åtkomstbegränsningar överensstämmer med klassificeringen och att de är effektiva och ses över regelbundet;
g) information och andra tillhörande tillgångar, när de raderas eller kasseras, hanteras på ett säkert sätt och tas bort från inventeringen;
h) de är involverade i identifieringen och hanteringen av risker som är förknippade med sina tillgångar;
i) de stödjer personal som har roller och ansvar för att hantera sin information.
Att slå samman dessa två kontroller till en gör det möjligt för användaren att förstå bättre.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
Sedan migreringen har vi kunnat minska tiden för administration.
De senaste ISO 27002-ändringarna har ingen effekt på din nuvarande certifiering mot ISO 27001-standarderna. ISO 27001-uppgraderingar är de enda som har inflytande på befintliga certifieringar, och ackrediteringsorgan kommer att samarbeta med de certifierande organen för att utveckla en övergångscykel som ger organisationer som har ISO 27001-certifikat tillräcklig tid att överföra från en version till en annan.
Som sagt, följande steg ska följas för att uppfylla den reviderade versionen:
Nya bästa praxis och kvaliteter för kontrollval kommer att finnas tillgängliga under övergångstiden till den nya standarden, vilket kommer att möjliggöra en mer effektiv och effektiv urvalsprocess.
På grund av detta bör du fortsätta att använda ett riskbaserat tillvägagångssätt för att säkerställa att endast De mest relevanta och effektiva kontrollerna väljs för ditt företag.
Du kan använd ISMS.online för att hantera din ISO 27002-implementering, eftersom den har utformats specifikt för att hjälpa ett företag att implementera sitt ledningssystem för informationssäkerhet (ISMS) för att uppfylla kraven i ISO 27002.
Plattformen använder ett riskbaserat tillvägagångssätt kombinerat med branschledande bästa praxis och mallar för att hjälpa dig identifiera riskerna som din organisation står inför och de kontroller som behövs för att hantera dessa risker. Detta gör att du systematiskt kan minska både din riskexponering och dina efterlevnadskostnader.
Använda ISMS.online kan du:
Smakämnen ISMS.online-plattform är baserad på Plan-Do-Check-Act (PDCA), en iterativ process i fyra steg för ständig förbättring, och den uppfyller alla krav i ISO 27002:2022. Det är en enkel fråga att skapa ett gratis testkonto och följa stegen vi tillhandahåller.
Hör av dig idag för att boka en demo.
Boka en skräddarsydd hands-on session
utifrån dina behov och mål
Boka din demo
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 5.7 | Nya | Hot intelligens |
| 5.23 | Nya | Informationssäkerhet för användning av molntjänster |
| 5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 8.9 | Nya | Konfigurationshantering |
| 8.10 | Nya | Radering av information |
| 8.11 | Nya | Datamaskering |
| 8.12 | Nya | Förebyggande av dataläckage |
| 8.16 | Nya | Övervakningsaktiviteter |
| 8.23 | Nya | Webbfiltrering |
| 8.28 | Nya | Säker kodning |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 6.1 | 07.1.1 | Screening |
| 6.2 | 07.1.2 | Anställningsvillkor |
| 6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
| 6.4 | 07.2.3 | Disciplinär process |
| 6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
| 6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
| 6.7 | 06.2.2 | Fjärrbearbetning |
| 6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
| ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
|---|---|---|
| 7.1 | 11.1.1 | Fysiska säkerhetsområden |
| 7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
| 7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
| 7.4 | Nya | Fysisk säkerhetsövervakning |
| 7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
| 7.6 | 11.1.5 | Arbeta i säkra områden |
| 7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
| 7.8 | 11.2.1 | Utrustningsplacering och skydd |
| 7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
| 7.11 | 11.2.2 | Stöd till verktyg |
| 7.12 | 11.2.3 | Kabelsäkerhet |
| 7.13 | 11.2.4 | Utrustningsunderhåll |
| 7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |
