5.23 is een nieuw besturingselement dat de processen schetst die nodig zijn voor het verwerven, gebruiken, beheren en verlaten van clouddiensten, in relatie tot de unieke eisen op het gebied van informatiebeveiliging.
Controle 5.23 maakt het voor organisaties mogelijk om eerst te specificeren en vervolgens te beheren informatiebeveiliging beheren concepten die verband houden met clouddiensten, in hun hoedanigheid van “klant van clouddiensten”.
5.23 een preventieve controle dat houdt het risico in stand door beleid en procedures te specificeren informatiebeveiliging regelen, binnen de sfeer van commerciële clouddiensten.
controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
---|---|---|---|---|
#Preventief | #Vertrouwelijkheid #Integriteit #Beschikbaarheid | #Beschermen | #Beveiliging van leveranciersrelaties | #Governance en ecosysteem #bescherming |
De afgelopen tien jaar is de wildgroei aan clouddiensten zo groot geworden. Control 5.23 bevat een groot aantal procedures die veel verschillende elementen van de bedrijfsvoering van een organisatie omvatten.
Aangezien niet alle clouddiensten ICT-specifiek zijn – hoewel redelijkerwijs kan worden gesteld dat de meeste dat wel zijn – moet het eigendom van Control 5.22 worden verdeeld tussen de afdelingen van de organisatie. CTO or COO, afhankelijk van de heersende operationele omstandigheden.
Naleving van Controle 5.23 houdt in dat u zich houdt aan wat bekend staat als: ‘themaspecifieke’ aanpak tot clouddiensten en informatiebeveiliging.
Gezien de verscheidenheid aan clouddiensten die worden aangeboden, moedigen onderwerpspecifieke benaderingen organisaties aan om een beleid voor clouddiensten te creëren dat is afgestemd op individuele bedrijfsfuncties, in plaats van vast te houden aan een algemeen beleid. beleid dat van toepassing is op informatiebeveiliging en clouddiensten over de hele linie.
Opgemerkt moet worden dat ISO de naleving van Control 5.23 beschouwt als een gezamenlijke inspanning tussen de organisatie en hun cloudservicepartner. Controle 5.23 moet ook nauw worden afgestemd op de controles 5.21 en 5.22, die betrekking hebben op informatie beheer in de toeleveringsketen en het beheer van respectievelijk leveranciersdiensten.
Hoe een organisatie ook wil opereren, Controle 5.23 mag niet op zichzelf staan en moet een aanvulling vormen op de bestaande inspanningen om dat te bereiken leveranciersrelaties beheren.
Nu informatiebeveiliging voorop staat, moet de organisatie het volgende definiëren:
Control 5.23 erkent dat, in tegenstelling tot andere leveranciersrelaties, cloudserviceovereenkomsten rigide documenten zijn die in de overgrote meerderheid van de gevallen niet kunnen worden gewijzigd.
Met dat in gedachten moeten organisaties cloudserviceovereenkomsten onder de loep nemen en ervoor zorgen dat aan vier belangrijke operationele vereisten wordt voldaan:
Net als bij andere leverancierscontracten moeten cloudserviceovereenkomsten voorafgaand aan acceptatie een grondige risicobeoordeling dat potentiële problemen aan de bron benadrukt.
De organisatie mag op zijn minst alleen een overeenkomst voor clouddiensten aangaan als zij ervan overtuigd is dat aan de volgende tien bepalingen is voldaan:
Wij geven u een voorsprong van 81%
vanaf het moment dat u inlogt
Boek uw demo
Als u ISMS.online niet gebruikt, maakt u uw leven moeilijker dan nodig is!
Naast de bovenstaande richtlijnen suggereert Control 5.23 dat organisaties een nauwe werkrelatie aangaan met cloudserviceproviders, in overeenstemming met de belangrijke service die zij leveren, niet alleen op het gebied van informatiebeveiliging, maar voor de gehele commerciële bedrijfsvoering van een organisatie.
Organisaties moeten, waar mogelijk, de volgende bepalingen van cloudserviceproviders inwinnen om de operationele veerkracht te verbeteren en te profiteren van verbeterde niveaus van informatiebeveiliging:
Controle 5.23 is een nieuwe controle dat komt in geen enkele hoedanigheid voor in ISO 27002:2013.
ISMS.online stroomlijnt de ISO 27002 implementatieproces door het bieden van een geavanceerd cloudgebaseerd raamwerk voor het documenteren van procedures en checklists voor informatiebeveiligingsbeheersystemen om naleving van erkende normen te garanderen.
Wanneer u ISMS.online gebruikt, kunt u:
Neem contact op en boek een demo.
Boek een hands-on sessie op maat op basis van uw behoeften en doelen.
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
5.7 | New | Bedreigingsintelligentie |
5.23 | New | Informatiebeveiliging voor gebruik van clouddiensten |
5.30 | New | ICT gereed voor bedrijfscontinuïteit |
7.4 | New | Fysieke beveiligingsmonitoring |
8.9 | New | Configuratiebeheer |
8.10 | New | Verwijdering van informatie |
8.11 | New | Gegevensmaskering |
8.12 | New | Preventie van gegevenslekken |
8.16 | New | Monitoring activiteiten |
8.23 | New | Web filtering |
8.28 | New | Veilige codering |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
6.1 | 07.1.1 | Doorlichting |
6.2 | 07.1.2 | Arbeidsvoorwaarden |
6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
6.4 | 07.2.3 | Disciplinair proces |
6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
6.7 | 06.2.2 | Werken op afstand |
6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
---|---|---|
7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
7.4 | New | Fysieke beveiligingsmonitoring |
7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
7.6 | 11.1.5 | Werken in beveiligde ruimtes |
7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
7.12 | 11.2.3 | Beveiliging van de bekabeling |
7.13 | 11.2.4 | Apparatuuronderhoud |
7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |