Wat is Controle 5.2: Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging?
ISO 27002:2022Controle 5.2 – rollen en verantwoordelijkheden op het gebied van informatiebeveiliging – is een van de belangrijkste controles in ISO 27002:2022. Het is een wijziging van controle 6.1.1 in ISO 27002:2013 en definieert hoe organisaties rollen en verantwoordelijkheden op het gebied van informatiebeveiliging moeten definiëren en toewijzen.
Rollen en verantwoordelijkheden op het gebied van informatiebeveiliging uitgelegd
Het hoofd van de organisatie, de Chief Information Security Officers (CISO's), het IT-servicemanagement (ITSM's), de systeemeigenaren en de systeemgebruikers dragen allemaal bij aan de robuustheid van de informatiebeveiliging. In dit deel worden de zaken samengevat en besproken verantwoordelijkheden van degenen die deze rollen vervullen.
De leider van de organisatie draagt de grootste verantwoordelijkheid
Informatiebeveiliging is uw verantwoordelijkheid als CEO van uw bureau. Daarnaast fungeer je als accreditatieorgaan van de organisatie.
Informatiebeveiliging is de verantwoordelijkheid van de CISO
Goede praktijken in de veiligheidssector en op het gebied van bestuur zijn waar CISO's verantwoordelijk voor zijn. Het hebben van deze positie garandeert dat informatiebeveiliging goed wordt beheerd op het hoogste niveau van de organisatie.
IT service management (ITSM) is verantwoordelijk voor het implementeren van beveiligingsmaatregelen en het leveren van expertise
Een ITSM is een hoge functionaris binnen het bedrijf. Systeembeheerders werken samen met de Chief Information Security Officer om de strategische richtlijnen van de Chief Executive uit te voeren.
Eigenaars van systemen zijn verantwoordelijk voor het onderhoud en de exploitatie ervan
Voor elk systeem is een eigenaar vereist. Als gevolg hiervan is het de taak van elke systeemeigenaar om de naleving van de IT-governanceregels en de vervulling van de bedrijfsbehoeften te garanderen.
Systeemgebruikers beveiligen systemen door zich aan beleid en procedures te houden
Systeemgebruikers zullen zich eerder aan de beveiligingsregels en -procedures houden als er een sterke beveiligingscultuur bestaat. Elk systeem brengt inherente gevaren met zich mee, en het is aan de gebruikers om de verantwoordelijkheid te nemen voor het beperken van dergelijke gevaren.
Het aanpakken van deze controle is van cruciaal belang om ervoor te zorgen dat elke medewerker begrijpt wat hij of zij bedoelt verantwoordelijk voor de bescherming van gegevens, systemen en netwerken. Toegegeven, dit is een uitdaging voor veel bedrijven, vooral voor kleine bedrijven waar de werknemers doorgaans meer dan één hoed dragen.
Attributen Controletabel 5.2
Er is nu een attributensectie opgenomen in het nieuwste versie van ISO 27002. Het definiëren van attributen is een manier om besturingselementen te classificeren. Hiermee kunt u uw besturingsselectie eenvoudig afstemmen op de typische brancheterminologie. De attributen voor controle 5.2 zijn:
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Identificeren | #Bestuur | #Governance en ecosysteem |
| #Integriteit | #Veerkracht | |||
| #Beschikbaarheid |
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Wat is het doel van controle 5.2?
Het doel van controle 5.2 is het opzetten van een gedefinieerde, goedgekeurde en begrepen structuur voor de implementatie, werking en beheer van informatiebeveiliging binnen de organisatie. Dit is een formeel organisatiestructuur die de verantwoordelijkheid voor informatiebeveiliging toekent in de hele organisatie.
Controle 5.2 Uitgelegd
Beheersing 5.2 behandelt de implementatie, werking en beheersing van rollen en verantwoordelijkheden voor informatiebeveiliging in een organisatie volgens het raamwerk zoals gedefinieerd in ISO 27001.
De controle stelt dat de rollen en verantwoordelijkheden op het gebied van informatiebeveiliging goed gedefinieerd moeten zijn en dat alle betrokkenen hun rol moeten begrijpen. Doorgaans wordt aan activa een aangewezen eigenaar toegewezen die de verantwoordelijkheid voor de dagelijkse zorg op zich neemt.
Afhankelijk van de omvang van de organisatie en de beschikbare middelen kan de informatiebeveiliging echter worden afgehandeld door een speciaal team of kunnen er extra verantwoordelijkheden worden toegewezen aan de huidige werknemers.
Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan
Het toewijzen van rollen en verantwoordelijkheden voor informatiebeveiliging is van cruciaal belang om ervoor te zorgen dat de informatiebeveiliging van de organisatie behouden en verbeterd wordt. Om aan de vereisten voor deze controle te voldoen, moet de rolverdeling worden geformaliseerd en gedocumenteerd, bijvoorbeeld in tabelvorm of in de vorm van een organigram.
- De organisatie moet de verantwoordelijkheden en verantwoordelijkheden voor informatiebeveiliging binnen de organisatie definiëren en deze toewijzen aan specifieke managementfuncties of -rollen.
- Deze beheersing moet ervoor zorgen dat er duidelijkheid ontstaat over de verschillende rollen en verantwoordelijkheden binnen de organisatie, zodat passende managementaandacht wordt besteed aan informatiebeveiliging.
- Waar passend moet worden voorzien in verdere training voor individuele locaties en informatieverwerkingsfaciliteiten om deze taken te helpen vervullen.
De bedoeling hiervan is om ervoor te zorgen dat duidelijke rollen, verantwoordelijkheden en bevoegdheden binnen de hele organisatie worden toegewezen en begrepen. Om een effectieve scheiding van taken te garanderen, moeten de rollen en verantwoordelijkheden op consistente wijze in de hele organisatie worden gedocumenteerd, gecommuniceerd en toegepast.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Verschillen tussen ISO 27002:2013 en 27002:2022
Zoals al opgemerkt is controle 5.2 in ISO 27002:2022, Informatiebeveiligingsrollen en -verantwoordelijkheden, geen nieuwe controle. Dit is eenvoudigweg een gewijzigde controle, gevonden in ISO 27002:2013 als controle 6.1.1.
Het doel van Controle 5.2 is gedefinieerd en er zijn nieuwe implementatie-instructies opgenomen in de meest recente herziening van ISO 27002. Hoewel de essentie van de twee controles in principe hetzelfde is, zijn er kleine verbeteringen in de 2022-versie.
ISO 27002:2022 stelt bijvoorbeeld dat personen die een specifieke informatiebeveiligingsfunctie op zich nemen, competent in de kennis en vaardigheden vereist door de rol en ondersteund om op de hoogte te blijven van de ontwikkelingen die verband houden met de rol en die nodig zijn om aan de verplichtingen van de rol te voldoen. Dit punt maakt geen deel uit van de versie van 2013.
Bovendien zijn de implementatierichtlijnen van beide versies enigszins verschillend. Laten we delen van de twee hieronder vergelijken:
ISO 27002:2013 stelt dat de gebieden waarvoor individuen verantwoordelijk zijn, moeten worden vermeld. Deze gebieden zijn:
a) de middelen en informatiebeveiligingsprocessen moeten worden geïdentificeerd en gedefinieerd;
b) de entiteit die verantwoordelijk is voor elk activa- of informatiebeveiligingsproces moet worden toegewezen en de details van deze verantwoordelijkheid moeten worden gedocumenteerd;
c) autorisatieniveaus moeten worden gedefinieerd en gedocumenteerd;
d) om verantwoordelijkheden op het gebied van informatiebeveiliging te kunnen vervullen dienen de aangestelde personen competent te zijn op dit gebied en de mogelijkheid te krijgen om op de hoogte te blijven van de ontwikkelingen;
e) coördinatie en toezicht op aspecten van informatiebeveiliging leveranciersrelaties moeten worden geïdentificeerd en gedocumenteerd.
ISO 27002:2022 is beknopter. Het stelt eenvoudigweg dat de organisatie verantwoordelijkheden moet definiëren en beheren voor:
a) bescherming van informatie en andere bijbehorende activa;
b) het uitvoeren van specifieke informatiebeveiligingsprocessen;
c) informatiebeveiliging risicobeheer activiteiten en vooral acceptatie van restrisico's (bijvoorbeeld aan risico-eigenaren);
d) al het personeel dat de informatie van een organisatie en andere bijbehorende activa gebruikt.
Beide controleversies suggereren echter dat organisaties een informatiebeveiligingsmanager kunnen aanstellen die de algehele verantwoordelijkheid op zich neemt voor de ontwikkeling en implementatie van informatiebeveiliging en die de identificatie van controles ondersteunt.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Wie is verantwoordelijk voor dit proces?
Vaak wordt door bedrijven een informatiebeveiligingsmanager aangesteld om toezicht te houden op de creatie en uitvoering van beveiligingsmaatregelen en om te helpen bij het opsporen van potentiële bedreigingen en controles.
Middelen en het plaatsen van de controles zullen doorgaans toekomen aan individuele managers. Het is gebruikelijk om voor elk bedrijfsmiddel een persoon aan te wijzen, die vervolgens verantwoordelijk is voor de voortdurende beveiliging van het bedrijfsmiddel.
Nieuwe ISO 27002-controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | NIEUW | Bedreigingsintelligentie |
| 5.23 | NIEUW | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | NIEUW | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 8.9 | NIEUW | Configuratiebeheer |
| 8.10 | NIEUW | Verwijdering van informatie |
| 8.11 | NIEUW | Gegevensmaskering |
| 8.12 | NIEUW | Preventie van gegevenslekken |
| 8.16 | NIEUW | Monitoring activiteiten |
| 8.23 | NIEUW | Web filtering |
| 8.28 | NIEUW | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Hoe ISMS.online helpt
Er wordt niet van u verwacht dat u veel doet om aan de eisen van de nieuwe ISO 27002:2022-norm te voldoen, behalve het upgraden van uw ISMS processen om de verbeterde controles weer te geven. Als uw interne team dit niet aankan, kan ISMS.online u helpen.
Naast het bieden van een geavanceerd cloudgebaseerd raamwerk voor het documenteren van ISMS-procedures en checklists om naleving van gevestigde normen te garanderen, stroomlijnt ISMS.online ook het ISO 27001-certificeringsproces en het ISO 27002-implementatieproces.
Al uw ISMS-oplossingen kan op een centrale locatie worden beheerd dankzij onze cloudgebaseerde software. U kunt onze eenvoudig te gebruiken applicatie gebruiken om alles bij te houden vereist om de conformiteit met ISO te verifiëren 2K7-specificaties.
De implementatie van ISO 27002 wordt vereenvoudigd met onze intuïtieve stapsgewijze workflow en tools die kaders, beleid en controles, bruikbare documentatie en begeleiding omvatten. U kunt de reikwijdte van het ISMS, identificeer risico's en implementeer controles met behulp van ons platform – in slechts een paar klikken.
We hebben ook een intern team van informatietechnologiespecialisten die u advies en hulp zullen bieden, zodat u aan uw klanten kunt aantonen dat u voldoet aan de normen en dat u zich inzet voor informatiebeveiliging.
Voor meer informatie over hoe ISMS.online u kan helpen bij het bereiken van uw ISO 2K7-doelstellingen, kunt u ons bellen op +44 (0)1273 041140.
Neem vandaag nog contact op met boek een demo.
