Wat is controle 5.4 Managementverantwoordelijkheden
Wat is een informatiebeveiligingsbeleid?
An informatiebeveiligingsbeleid is een formeel document dat managementrichting, doelen en principes biedt voor het beschermen van de informatie van een organisatie. Een effectief informatiebeveiligingsbeleid moet worden afgestemd op de specifieke behoeften van een organisatie en worden ondersteund door het senior management om een passende toewijzing van middelen te garanderen.
Het beleid communiceert de overkoepelende principes over hoe het management wil dat werknemers omgaan met gevoelige gegevens en hoe de bedrijf zal zijn informatiemiddelen beschermen.
Het beleid is vaak afgeleid van wet- en regelgeving en best practices waar de organisatie zich aan moet houden. Het informatiebeveiligingsbeleid wordt doorgaans opgesteld door het senior management van een organisatie, met inbreng van het IT-beveiligingspersoneel.
Beleid moet ook een raamwerk bevatten het definiëren van rollen en verantwoordelijkheden en een tijdlijn voor periodieke evaluatie.
Attributentabel
Attributen zijn een manier om verschillende soorten besturingselementen te categoriseren. Met deze kenmerken kunt u uw bedieningselementen afstemmen op de industriestandaarden. In controle 5.4 zijn dit:
| controle Type | Eigenschappen voor informatiebeveiliging | Cyberbeveiligingsconcepten | Operationele mogelijkheden | Beveiligingsdomeinen |
|---|---|---|---|---|
| #Preventief | #Vertrouwelijkheid | #Identificeren | #Bestuur | #Governance en ecosysteem |
| #Integriteit | ||||
| #Beschikbaarheid |
ISO 27001 eenvoudig gemaakt
Een voorsprong van 81% vanaf dag één
Wij hebben het harde werk voor u gedaan, waardoor u vanaf het moment dat u inlogt een voorsprong van 81% heeft. U hoeft alleen nog maar de lege plekken in te vullen.
Wat is het doel van controle 5.4?
Controle 5.4 is ontworpen om ervoor zorgen dat het management hun verantwoordelijkheid op het gebied van informatiebeveiliging begrijpt en dat zij stappen ondernemen om ervoor te zorgen dat alle medewerkers hiervan op de hoogte zijn en voldoen aan hun verplichtingen op het gebied van informatiebeveiliging.
Controle 5.4 Uitgelegd
Informatie is een waardevol bezit en moet worden beschermd tegen verlies, beschadiging of misbruik. De organisatie zorgt ervoor dat passende maatregelen worden genomen om dit bezit te beschermen. Om dit te laten gebeuren moet het management ervoor zorgen dat al het personeel het informatiebeveiligingsbeleid, het onderwerpspecifieke beleid en de procedures van de organisatie toepast.
Beheersing 5.4 behandelt het doel en de implementatierichtlijnen voor het definiëren van de managementverantwoordelijkheid met betrekking tot informatiebeveiliging in een organisatie in overeenstemming met de kader van ISO 27001.
Deze controle is erop gericht ervoor te zorgen dat het management achter het informatiebeveiligingsprogramma staat en dat alle medewerkers en contractanten op de hoogte zijn van en zich houden aan het informatiebeveiligingsbeleid van de organisatie. Niemand mag ooit worden vrijgesteld van de verplichte naleving van het beveiligingsbeleid, onderwerpspecifieke beleidsregels en procedures van de organisatie.
Wat komt erbij kijken en hoe kan aan de vereisten worden voldaan
De sleutel om aan de vereisten van deze controle te voldoen is ervoor te zorgen dat het management al het relevante personeel kan dwingen zich te houden aan het informatiebeveiligingsbeleid, de normen en de procedures van de organisatie.
De eerste stap is management buy-in en ondersteuning. Het management moet zijn commitment tonen door al het beleid en de procedures die zij invoert, op te volgen. Bijvoorbeeld als u van werknemers verlangt dat zij jaarlijks een beveiligingsbewustzijn volgen opleidingenmoeten managers het goede voorbeeld geven en deze cursussen eerst voltooien.
Vervolgens komt het communiceren van het belang van informatiebeveiliging naar iedereen in het bedrijf, ongeacht hun rol. Dit omvat de raad van bestuur, het management en het management, maar ook de medewerkers. Iedereen moet zijn rol bij het in stand houden van de economie begrijpen beveiliging van gevoelige gegevens zoals gedekt door het ISMS van het bedrijf programma.
Bevrijd jezelf van een berg spreadsheets
Integreer, breid uit en schaal uw compliance, zonder rommel. IO geeft u de veerkracht en het vertrouwen om veilig te groeien.
Verschillen tussen ISO 27002:2013 en ISO 27002:2022
ISO 27002:2022-controle 5.4 Managementverantwoordelijkheden stonden voorheen bekend als controle. 7.2.1 Managementverantwoordelijkheden in ISO 27002:2013. Dit is geen nieuwe controle, maar een robuustere interpretatie van de versie uit 2013.
Hoewel controle 5.4 en controle 7.2.1 in grote lijnen hetzelfde behandelen, zijn er weinig verschillen waar organisaties en bedrijfsmanagers rekening mee moeten houden. Deze verschillen worden behandeld in de implementatierichtlijnen van de besturing.
Controle 5.4 ISO 27002:2013-2022 Implementatierichtlijnen vergeleken
In ISO 27002:2013 omvatten de managementverantwoordelijkheden het garanderen dat werknemers en contractanten:
a) zijn goed geïnformeerd over hun rollen en verantwoordelijkheden op het gebied van informatiebeveiliging voordat toegang wordt verleend tot vertrouwelijke informatie of informatiesystemen;
b) worden voorzien van richtlijnen om de verwachtingen op het gebied van informatiebeveiliging ten aanzien van hun rol binnen de organisatie uiteen te zetten
Organisatie;
c) bent gemotiveerd om het informatiebeveiligingsbeleid van de organisatie te vervullen;
d) een niveau van bewustzijn op het gebied van informatiebeveiliging bereiken dat relevant is voor hun rollen en verantwoordelijkheden binnen de organisatie;
e) conformeren aan de arbeidsvoorwaarden, waaronder het informatiebeveiligingsbeleid van de organisatie en passende werkwijzen vallen;
f) over de juiste vaardigheden en kwalificaties te blijven beschikken en regelmatig onderwijs te volgen;
g) zijn voorzien van een anoniem meldkanaal om schendingen van het informatiebeveiligingsbeleid of -procedures te melden (“klokkenluiden”).
Het management moet blijk geven van steun voor het informatiebeveiligingsbeleid, de procedures en de controles, en als rolmodel optreden.
Control 5.4 is een gebruiksvriendelijkere versie en vereist dat management verantwoordelijkheden zorgt ervoor dat werknemers en opdrachtnemers:
a) goed zijn geïnformeerd over hun rollen en verantwoordelijkheden op het gebied van informatiebeveiliging voordat zij toegang krijgen tot de informatie van de organisatie en andere bijbehorende bedrijfsmiddelen;
b) Worden voorzien van richtlijnen waarin de informatiebeveiligingsverwachtingen van hun rol binnen de organisatie worden vermeld;
c) Zijn gemandateerd om het informatiebeveiligingsbeleid en het onderwerpspecifieke beleid van de organisatie uit te voeren;
d) Een niveau van bewustzijn van informatiebeveiliging bereiken dat relevant is voor hun rollen en verantwoordelijkheden binnen de organisatie;
e) Naleving van de arbeidsvoorwaarden, contract of overeenkomst, waaronder het informatiebeveiligingsbeleid van de organisatie en passende werkwijzen;
f) Blijven beschikken over de juiste vaardigheden en kwalificaties op het gebied van informatiebeveiliging door middel van voortgezette beroepsopleiding;
g) Waar praktisch uitvoerbaar, worden zij voorzien van een vertrouwelijk kanaal voor het melden van schendingen van het informatiebeveiligingsbeleid, onderwerpspecifiek beleid of procedures voor informatiebeveiliging (“klokkenluiders”). Dit kan anonieme meldingen mogelijk maken, of er kunnen voorzieningen in worden opgenomen om ervoor te zorgen dat kennis van de identiteit van de melder alleen bekend is bij degenen die dergelijke meldingen moeten behandelen;
h) Krijgen voldoende middelen en projectplanningstijd voor het implementeren van de beveiligingsgerelateerde processen en controles van de organisatie.
Zoals u kunt zien vereist ISO 27002:2022 specifiek dat werknemers en aannemers, om de veiligheidsgerelateerde procedures en controles van de organisatie uit te voeren, worden voorzien van de nodige middelen en projectplanningstijd.
De bewoordingen in sommige implementatierichtlijnen van ISO 27002:2013 versus ISO 27002:2020 werden ook beïnvloed. Waar richtlijn C uit de versie uit 2013 stelt dat werknemers en opdrachtnemers ‘gemotiveerd’ moeten zijn om het ISMS-beleid van het bedrijf over te nemen, wordt in 2022 het woord ‘gemandeerd’ gebruikt.
Beheer al uw compliance op één plek
ISMS.online ondersteunt meer dan 100 normen en voorschriften, waardoor u één platform krijgt voor al uw compliancebehoeften.
Wie is verantwoordelijk voor dit proces?
Het antwoord op deze vraag is vrij eenvoudig: het management! Het is de verantwoordelijkheid van het management om ervoor te zorgen dat een goed ISMS (Information Security Management System) wordt geïmplementeerd.
Normaal gesproken wordt dit ondersteund door de benoeming van een voldoende gekwalificeerde en ervaren informatiebeveiligingsmanager, die verantwoording zal afleggen aan het senior management voor het ontwikkelen, implementeren, beheren en voortdurend verbeteren van het ISMS.
Nieuwe ISO 27002-controles
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 5.7 | NIEUW | Bedreigingsintelligentie |
| 5.23 | NIEUW | Informatiebeveiliging voor gebruik van clouddiensten |
| 5.30 | NIEUW | ICT gereed voor bedrijfscontinuïteit |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 8.9 | NIEUW | Configuratiebeheer |
| 8.10 | NIEUW | Verwijdering van informatie |
| 8.11 | NIEUW | Gegevensmaskering |
| 8.12 | NIEUW | Preventie van gegevenslekken |
| 8.16 | NIEUW | Monitoring activiteiten |
| 8.23 | NIEUW | Web filtering |
| 8.28 | NIEUW | Veilige codering |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 6.1 | 07.1.1 | Doorlichting |
| 6.2 | 07.1.2 | Arbeidsvoorwaarden |
| 6.3 | 07.2.2 | Bewustzijn, opleiding en training op het gebied van informatiebeveiliging |
| 6.4 | 07.2.3 | Disciplinair proces |
| 6.5 | 07.3.1 | Verantwoordelijkheden na beëindiging of verandering van dienstverband |
| 6.6 | 13.2.4 | Vertrouwelijkheids- of geheimhoudingsovereenkomsten |
| 6.7 | 06.2.2 | Werken op afstand |
| 6.8 | 16.1.2, 16.1.3 | Rapportage van informatiebeveiligingsgebeurtenissen |
| ISO/IEC 27002:2022 Controle-identificatie | ISO/IEC 27002:2013 Controle-identificatie | Controle naam |
|---|---|---|
| 7.1 | 11.1.1 | Fysieke veiligheidsperimeters |
| 7.2 | 11.1.2, 11.1.6 | Fysieke toegang |
| 7.3 | 11.1.3 | Beveiligen van kantoren, kamers en faciliteiten |
| 7.4 | NIEUW | Fysieke beveiligingsmonitoring |
| 7.5 | 11.1.4 | Bescherming tegen fysieke en ecologische bedreigingen |
| 7.6 | 11.1.5 | Werken in beveiligde ruimtes |
| 7.7 | 11.2.9 | Overzichtelijk bureau en helder scherm |
| 7.8 | 11.2.1 | Locatie en bescherming van apparatuur |
| 7.9 | 11.2.6 | Beveiliging van activa buiten het terrein |
| 7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | Opslag media |
| 7.11 | 11.2.2 | Ondersteunende nutsvoorzieningen |
| 7.12 | 11.2.3 | Beveiliging van de bekabeling |
| 7.13 | 11.2.4 | Apparatuuronderhoud |
| 7.14 | 11.2.7 | Veilige verwijdering of hergebruik van apparatuur |
Hoe ISMS.online helpt
Een van de grootste uitdagingen bij het implementeren van een ISO 27001-uitgelijnd ISMS houdt toezicht op uw informatiebeveiligingscontroles. Ons systeem maakt dit eenvoudig.
Wij begrijpen het belang van bescherming van de gegevens van uw organisatie en reputatie. Daarom is ons cloudgebaseerde platform ontworpen om de implementatie van ISO 27001 te vereenvoudigen, u een robuust raamwerk van informatiebeveiligingscontroles te bieden en u te helpen certificering te behalen met minimale middelen en tijd.
We hebben een aantal gebruiksvriendelijke toegevoegd functies en toolkits in ons platform om u tijd te besparen en te garanderen dat u een echt robuust ISMS creëert. Met ISMS.online, kunt u eenvoudig de ISO 27001-certificering verkrijgen en deze daarna eenvoudig beheren.
Demo boeken <p></p>
