Tillgång till information från interna och externa källor är hörnstenen i en organisationens informationssäkerhetspolicy.
Kontroll 8.3 är en förebyggande kontroll den där upprätthåller risken genom att fastställa en rad regler och förfaranden som förhindrar obehörig åtkomst/missbruk av en organisations information och IKT-tillgångar.
Kontroll typ | Informationssäkerhetsegenskaper | Cybersäkerhetskoncept | Operativa förmågor | Säkerhetsdomäner |
---|---|---|---|---|
#Förebyggande | #Sekretess #Integritet #Tillgänglighet | #Skydda | #Identitets- och åtkomsthantering | #Skydd |
Kontroll 8.3 handlar om en organisations förmåga att kontrollera tillgången till information.
Som sådan, ägandet bör ligga hos Chief Information Security Officer (eller organisatorisk motsvarande), som har ansvaret för organisationens övergripande informations- och datasäkerhetspraxis.
För att upprätthålla effektiv kontroll över information och IKT-tillgångar, och till stöd för åtkomstbegränsningsåtgärder bör organisationer säkerställa följande i linje med a ämnesspecifikt tillvägagångssätt för tillgång till information:
Kontroll 8.3 förespråkar en dynamisk inställning till informationstillgång.
Dynamisk åtkomsthantering har många kvarvarande fördelar för organisatoriska processer som har behovet av att dela eller använda intern data med externa användare, inklusive snabbare incidentlösningstider.
Dynamisk åtkomst hanteringstekniker skyddar ett brett utbud av information typer, från standarddokument till e-postmeddelanden och databasinformation, och har möjlighet att tillämpas på en detaljerad fil-för-fil-basis, vilket möjliggör en noggrann kontroll av data på organisationsnivå.
Organisationer bör överväga ett sådant tillvägagångssätt när:
Dynamisk åtkomsthantering är särskilt användbar för organisationer som behöver övervaka och skydda data från skapande till radering, inklusive:
Alla ansträngningar för att formulera en dynamisk åtkomsthanteringsmetod bör resultera i data skyddas av:
27002:2022-8.3 replaces 27002:2013-9.4.1 (Informationsåtkomstbegränsning), och representerar ett stort skifte i hur ISO betraktar informationsåtkomsthantering i enlighet med det tidigare nämnda dynamiska tillvägagångssättet (en teknik som inte nämns i 27002:2013-9.4.1)
27002:2022-8.3 innehåller en stor mängd vägledningsnoteringar om dynamisk åtkomsthantering som saknas i dess motsvarighet från 2013, och organisationer rekommenderas att överväga dessa ämne för ämne när de söker certifiering.
ISMS.Online är den ledande programvaran för ledningssystem för ISO 27002 som stöder överensstämmelse med ISO 27002, och hjälper företag att anpassa sina säkerhetspolicyer och procedurer till standarden.
Den molnbaserade plattformen tillhandahåller en komplett uppsättning verktyg för att hjälpa organisationer att sätta upp en ledningssystem för informationssäkerhet (ISMS) enligt ISO 27002.
Vår plattform har designats från grunden med hjälp av informationssäkerhetsexperter från hela världen och vi har utvecklat det på ett sätt som gör det enkelt för personer utan någon teknisk kunskap om ledningssystem för informationssäkerhet (ISMS) att använda den.
Hör av dig idag för att boka en demo.
Vi ger dig ett försprång på 81 %
från det ögonblick du loggar in
Boka din demo
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
5.7 | Nya | Hot intelligens |
5.23 | Nya | Informationssäkerhet för användning av molntjänster |
5.30 | Nya | ICT-beredskap för kontinuitet i verksamheten |
7.4 | Nya | Fysisk säkerhetsövervakning |
8.9 | Nya | Konfigurationshantering |
8.10 | Nya | Radering av information |
8.11 | Nya | Datamaskering |
8.12 | Nya | Förebyggande av dataläckage |
8.16 | Nya | Övervakningsaktiviteter |
8.23 | Nya | Webbfiltrering |
8.28 | Nya | Säker kodning |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
6.1 | 07.1.1 | Screening |
6.2 | 07.1.2 | Anställningsvillkor |
6.3 | 07.2.2 | Informationssäkerhetsmedvetenhet, utbildning och träning |
6.4 | 07.2.3 | Disciplinär process |
6.5 | 07.3.1 | Ansvar efter uppsägning eller byte av anställning |
6.6 | 13.2.4 | Sekretess- eller sekretessavtal |
6.7 | 06.2.2 | Fjärrbearbetning |
6.8 | 16.1.2, 16.1.3 | Händelserapportering för informationssäkerhet |
ISO/IEC 27002:2022 Kontrollidentifierare | ISO/IEC 27002:2013 Kontrollidentifierare | Kontrollnamn |
---|---|---|
7.1 | 11.1.1 | Fysiska säkerhetsområden |
7.2 | 11.1.2, 11.1.6 | Fysiskt inträde |
7.3 | 11.1.3 | Säkra kontor, rum och lokaler |
7.4 | Nya | Fysisk säkerhetsövervakning |
7.5 | 11.1.4 | Skydd mot fysiska och miljömässiga hot |
7.6 | 11.1.5 | Arbeta i säkra områden |
7.7 | 11.2.9 | Tydligt skrivbord och tydlig skärm |
7.8 | 11.2.1 | Utrustningsplacering och skydd |
7.9 | 11.2.6 | Säkerhet av tillgångar utanför lokaler |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Lagringsmedia |
7.11 | 11.2.2 | Stöd till verktyg |
7.12 | 11.2.3 | Kabelsäkerhet |
7.13 | 11.2.4 | Utrustningsunderhåll |
7.14 | 11.2.7 | Säker kassering eller återanvändning av utrustning |