Beheersing 5.10 stelt dat de regels voor acceptabel gebruik en procedures voor het omgaan met informatie en andere bijbehorende activa moeten worden geïdentificeerd, gedocumenteerd en geïmplementeerd.
Het doel van dergelijk beleid is om duidelijke richtlijnen vast te stellen over hoe gebruikers zich moeten gedragen bij het werken met informatiemiddelen, om de vertrouwelijkheid, integriteit en beschikbaarheid van de informatiebeveiligingsmiddelen van de organisatie te garanderen.
Het Beleid voor acceptabel gebruik van informatiemiddelen (AUA) is van toepassing op alle leden van een organisatie en op alle bezittingen die eigendom zijn van of beheerd worden door de organisatie. De AUA is van toepassing op elk gebruik van informatiemiddelen voor welk doel dan ook, inclusief commercieel gebruik.
Hieronder volgen voorbeelden van informatiemiddelen:
Aanvaardbaar gebruik van informatie en andere daarmee samenhangende middelen betekent het gebruik van informatiemiddelen op manieren die de beschikbaarheid, betrouwbaarheid of integriteit van gegevens, diensten of bronnen niet in gevaar brengen. Het betekent ook dat je ze gebruikt op een manier die niet in strijd is met de wetten of het beleid van de organisatie.
De nieuwe ISO 27002: 2022-norm wordt geleverd met attributentabellen die niet voorkomen in de versie van 2013. Attributen zijn een manier om besturingselementen te classificeren.
Ze bieden u ook de mogelijkheid uw besturingsselectie af te stemmen op veelgebruikte termen en specificaties in de sector. De volgende bedieningselementen zijn beschikbaar in bedieningseenheid 5:10.
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Assetbeheer #Informatiebescherming | #Governance en ecosysteem #bescherming |
Het overkoepelende doel hiervan controle is het veiligstellen van informatie en andere bijbehorende activa op passende wijze worden beschermd, gebruikt en behandeld.
Controle 5.10 is ontworpen om ervoor te zorgen dat beleid, procedures en technische controles aanwezig zijn om te voorkomen dat gebruikers op ongepaste wijze toegang krijgen tot informatie, deze gebruiken of openbaar maken.
Deze controle is bedoeld om organisaties een raamwerk te bieden om dit te garanderen informatie en andere activa op passende wijze worden beschermd, gebruikt en behandeld. Dit houdt onder meer in dat ervoor moet worden gezorgd dat het beleid en de procedures op alle niveaus binnen de organisatie bestaan, en dat er ook voor moet worden gezorgd dat dit beleid en deze procedures consequent worden gehandhaafd.
Implementatie van controle 5.10 als onderdeel van uw ISMS betekent dat u de verschillende vereisten heeft ingevoerd met betrekking tot de manier waarop uw bedrijf IT-middelen beschermt, waaronder:
Het helpt ons gedrag op een positieve manier te sturen die voor ons werkt
& onze cultuur.
We zijn begonnen met het gebruik van spreadsheets en het was een nachtmerrie. Met de ISMS.online-oplossing werd al het harde werk gemakkelijk gemaakt.
Om te voldoen aan de eisen voor controle 5.10 in ISO 27002:2022is het van belang dat medewerkers en externe partijen die gebruik maken van of toegang hebben tot de informatie van de organisatie en andere daarmee samenhangende middelen, op de hoogte zijn van de informatiebeveiligingseisen van de organisatie.
Deze mensen moeten verantwoordelijk worden gehouden voor alle informatieverwerkingsfaciliteiten die zij gebruiken.
Iedereen die betrokken is bij het gebruik of de omgang met informatie en andere daarmee samenhangende middelen moet op de hoogte worden gesteld van het beleid van de organisatie inzake aanvaardbaar gebruik van informatie en andere daarmee verband houdende middelen.
Iedereen die betrokken is bij het gebruik of de omgang met informatie en andere bijbehorende activa moet op de hoogte worden gesteld van het beleid van de organisatie met betrekking tot het toegestane gebruik van informatie en andere daarmee samenhangende middelen. Als onderdeel van een onderwerpspecifiek beleid voor acceptabel gebruik moet het personeel precies weten wat er van hen wordt verwacht met informatie en andere bedrijfsmiddelen.
Themaspecifiek beleid zou met name het volgende moeten bepalen:
a) verwacht en onaanvaardbaar gedrag van individuen vanuit het perspectief van informatiebeveiliging;
b) toegestaan en verboden gebruik van informatie en andere bijbehorende activa;
c) het monitoren van de activiteiten die door de organisatie worden uitgevoerd.
Er moeten procedures voor aanvaardbaar gebruik worden opgesteld voor de volledige levenscyclus van informatie, in overeenstemming met de classificatie ervan en de vastgestelde risico's. Er moet rekening worden gehouden met de volgende items:
a) toegangsbeperkingen ter ondersteuning van de beschermingseisen voor elk classificatieniveau;
b) het bijhouden van een register van de geautoriseerde gebruikers van informatie en andere bijbehorende activa;
c) bescherming van tijdelijke of permanente kopieën van informatie tot een niveau dat consistent is met de
bescherming van de originele informatie;
d) opslag van activa die verband houden met informatie in overeenstemming met de specificaties van de fabrikant;
e) duidelijke markering van alle kopieën van opslagmedia (elektronisch of fysiek) ter attentie van de
geautoriseerde ontvanger;
f) autorisatie voor de verwijdering van informatie en andere bijbehorende activa en ondersteunde verwijderingsmethode(n).
De nieuwe herziening van ISO 2022 voor 27002 werd op 15 februari 2022 gepubliceerd en is een upgrade van ISO 27002:2013.
De controle 5.10 in ISO 27002:2022 is geen nieuwe controle, maar is eerder een combinatie van de controles 8.1.3 – aanvaardbaar gebruik van activa en 8.2.3 – omgaan met activa in ISO 27002:2013.
Hoewel de essentie en implementatierichtlijnen van controle 5.10 relatief hetzelfde zijn als die van controles 8.1.3 en 8.2.3, heeft controle 5.10 zowel het aanvaardbare gebruik van middelen als de omgang met middelen samengevoegd in één controle om de gebruiksvriendelijkheid te verbeteren.
Controle 5.10 heeft echter ook een extra punt toegevoegd aan controle 8.2.3. Dit omvat de autorisatie voor de verwijdering van informatie en andere bijbehorende activa en de ondersteunde verwijderingsmethode(n).
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Het aanvaardbare gebruik van informatie en andere bijbehorende activa is een beleid dat regels vastlegt om het juiste gebruik van de informatie van het bedrijf en andere bijbehorende activa, waaronder computers, netwerken en systemen, e-mail, bestanden en opslagmedia, te garanderen. Dit beleid is bindend voor alle werknemers en opdrachtnemers.
Het doel van dit beleid is om:
De Information Security Officer (ISO) is verantwoordelijk voor het ontwikkelen, implementeren en onderhouden van het acceptabele gebruik van informatiemiddelen.
De ISO is verantwoordelijk voor het beheer van het gebruik van informatiebronnen in de hele organisatie om ervoor te zorgen dat informatie wordt gebruikt op een manier die de veiligheid en integriteit van gegevens beschermt, de vertrouwelijkheid van bedrijfseigen of gevoelige informatie bewaart, beschermt tegen misbruik en ongeoorloofde toegang tot computers. middelen, en elimineert onnodige blootstelling of aansprakelijkheid voor de organisatie.
De nieuwe ISO 27002:2022-norm is geen substantiële upgrade. Als gevolg hiervan hoeft u mogelijk geen significante wijzigingen aan te brengen met betrekking tot de naleving van de meest recente versie van ISO 27002.
Raadpleeg echter onze handleiding bij ISO 27002:2022, waar u meer kunt ontdekken over de manier waarop deze wijzigingen in Control 5.10 uw bedrijf zullen beïnvloeden.
Zoals u weet is ISO 27002 een algemeen aanvaarde en algemeen erkende norm voor informatiebeveiliging.
Het biedt een model voor het opzetten, implementeren, exploiteren, monitoren, beoordelen, onderhouden en verbeteren van een Informatiebeveiligingsbeheersysteem (ISMS).
Omdat de ISO 27002-norm zo uitgebreid en gedetailleerd is, kan de implementatie ervan een tijdrovend proces zijn. Maar met ISMS.online, beschikt u over een totaaloplossing die de zaken veel eenvoudiger maakt.
Onze wereldklasse informatiebeveiliging Het managementsysteemsoftwareplatform maakt het supergemakkelijk om te begrijpen wat er moet gebeuren en hoe u dat moet doen.
Wij nemen de pijn weg bij het beheren van uw compliance-eisen.
Met ISMS.online is de implementatie van ISO 27002 eenvoudiger met onze stapsgewijze checklist die u door het hele proces leidt, van het definiëren van de reikwijdte van uw ISMS tot risico-identificatie en controle-implementatie.
Neem vandaag nog contact op met boek een demo.
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | New | Bedreigingsintelligentie |
| 5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | New | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 8.9 | New | Configuratiebeheer |
| 8.10 | New | Verwijdering van informatie |
| 8.11 | New | Gegevensmaskering |
| 8.12 | New | Preventie van gegevenslekken |
| 8.16 | New | Monitoring activiteiten |
| 8.23 | New | Web filtering |
| 8.28 | New | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | New | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
